Effekterna av en
ISO/IEC
27001-certifiering
Upplevda förändringar bland små svenska
organisationer
Detta examensarbete är utfört vid Tekniska Högskolan i Jönköping inom huvudområdet informatik. Författarna svarar själva för framförda åsikter, slutsatser och resultat.
Examinator: Anders Adlemo Handledare: Erik Bergström
Abstract
Society today is more connected and handles more information than ever before. The information is handled to a greater extent by IT systems, where the requirements for secure information management have increased. To manage this increase in information flow, organization can implement an information security management
system (ISMS).
It takes both time and resources to design and implement an ISMS. For this investment to be profitable, it should also provide additional value for companies. In order to standardize and specify the structure of ISMS, ISO/IEC 27001 (Standard for ISMS) has been developed and implemented by companies all over the world. The purpose of this study is to identify the changes that an ISO/IEC 27001-certification leads to for small organisations in Sweden.
An interview study has been conducted and semi-structured interviews has been used for data collection. Based on the collected empirical evidence, six categories have been identified and described thematically for each informant.
The study shows that organisations get a better process and control over information security and a strengthened information security culture. In addition, information security is said to have improved among organisations through various security measures. In addition communications with customers have been simplified, whenever information security is discussed.
The study examines the impact of ISO/IEC 27001-certification on four organisations, in order to ensure diversity of the empirical evidence collected. This was done with one informant per organisation, with an overview of both the organisation and the certification.
The study examines organisations that are already certified, since the organisation need to have implemented the ISO/IEC 27001 standard. Neither the certification process, the security measures, the implementation nor the application of the management system have been investigated in this study.
Keywords
Sammanfattning
Samhället idag är mer uppkopplat och hanterar större mängder information än tidigare. Informationen hanteras i större omfattning av IT-system där kraven på säker hantering av information blir allt större. För att hantera informationssäkerhet kan organisationer implementera ett ledningssystem för informationssäkerhet (LIS). Det tar både tid och resurser att designa och implementera ett LIS. För att denna investering ska vara lönsam bör den också ge ett mervärde för organisationer. För att standardisera och specificera uppbyggnaden av LIS har ISO/IEC 27001 (standard för LIS) utvecklats och implementerats av organisationer världen över. Syftet med denna studie är att identifiera vilka förändringar som en ISO/IEC 27001-certifiering leder till hos små organisationer i Sverige.
En intervjustudie har utförts med en semistrukturerad intervju som datainsamlingsmetod. Utifrån den insamlade empirin har sex kategorier identifierats och beskrivs tematiskt utifrån varje informant.
Studien visar att organisationer får en bättre process och kontroll över informationssäkerhet och en stärkt informationssäkerhetskultur. Utöver detta uppges informationssäkerhet ha förbättrats bland organisationer genom olika säkerhetsåtgärder. Dessutom har kommunikationen med kunder förenklats, när informationssäkerhet diskuteras.
Studien undersöker ISO/IEC 27001-certifierings påverkan hos flera organisationer, för att få en diversitet på den insamlade empirin. Detta genomfördes med en informant per organisation, med överblick över både organisationen och certifieringen.
Studien undersöker organisationer som redan är certifierade, då organisationen ska ha implementerat ISO/IEC 27001-standarden. Varken certifieringsprocessen, säkerhetsåtgärder, implementationen av eller tillämpningen av ledningssystemet har undersökts i denna studie.
1.1 Nyckelord
ISO 27001, ISO/IEC 27001, SS-ISO/IEC 27001, LIS, ledningssystem för informationssäkerhet, certifiering.
Innehållsförteckning
1 Introduktion... 1
1.1 BAKGRUND...1
1.2 PROBLEMBESKRIVNING...2
1.3 SYFTEOCHFRÅGESTÄLLNINGAR...3
1.4 OMFÅNGOCHAVGRÄNSNINGAR...3
2 Teoretisk bakgrund... 4
2.1 LEDNINGSSYSTEMFÖRINFORMATIONSSÄKERHET...4 2.2 ISO/IEC 27000-SERIEN...4 2.3 VÄRDETAVCERTIFIERING...5 2.3.1 Finansiella effekter...5 2.3.2 Operativa effekter...63 Metod och genomförande...7
3.1 FORSKNINGSANSATS...7
3.2 URVAL...8
3.3 DATAINSAMLINGSMETODEROCHDATAANALYS...8
3.4 ARBETSPROCESSEN...9 3.5 TROVÄRDIGHET...10 3.6 ETISKAÖVERVÄGANDEN...11 3.7 INTERVJUDESIGN...12
4 Empiri... 13
4.1 PRESENTATIONAVINFORMANTER...13 4.1.1 Informant A:...13 4.1.2 Informant B:...134.1.4 Informant D:...14 4.2 EMPIRIFRÅNINTERVJUER...14 4.2.1 Målsättning...15 4.2.2 Kommunikationsverktyg...17 4.2.3 Marknadsföringsvärde...18 4.2.4 Informationssäkerhetskultur...20 4.2.5 Informationssäkerhetsarbete...21 4.2.6 Fortsatt arbete...24
5 Analys... 27
5.1 MÅLSÄTTNINGAR...27 5.2 KOMMUNIKATIONSVERKTYG...27 5.3 MARKNADSFÖRINGSVÄRDE...28 5.4 INFORMATIONSSÄKERHETSKULTUR...28 5.5 INFORMATIONSSÄKERHETSARBETE...28 5.6 FORTSATTARBETE...296 Diskussion och slutsatser...30
6.1 RESULTATDISKUSSION...30 6.1.1 Målsättning...30 6.1.2 Kommunikationsverktyg...31 6.1.3 Marknadsföringsvärde...32 6.1.4 Informationssäkerhetskultur...32 6.1.5 Informationssäkerhetsarbete...33 6.1.6 Fortsatt arbete...33 6.2 METODDISKUSSION...34
1
Introduktion
Kapitlet ger en bakgrund till studien och det problemområde som studien byggts upp kring. Vidare presenteras studiens syfte och dess frågeställningar. Därtill beskrivs studiens omfång och avgränsningar.
1.1 Bakgrund
Samhället idag är mer uppkopplat och hanterar större mängder information, bara i Sverige har 95% av befolkningen tillgång till Internet, av dessa är det 84% som dagligen använder Internet (SCB, 2019). Då mängden information som rör sig i samhället har ökat, menar Myndigheten för samhällsskydd och beredskap (MSB) (MSB, 2019) att informationshantering utförs i större utsträckning med hjälp av informationstekniska (IT) lösningar. Om kundinformation, affärshemligheter eller annan känslig information läcker ut så kan detta få en negativ påverkan för både organisationer och privatpersoner. Den ökade användningsgraden innebär att informationen och tillförlitligheten för dessa IT-system blir alltmer kritiska.
För att hantera information och dess IT-system kan organisationer implementera ett
ledningssystem för informationssäkerhet (LIS). LIS skapar förutsättningar för att
informationssäkerhet tas i hänsyn vid utformandet av processer, system och säkerhetsåtgärder, för att uppnå detta bör ett LIS vara en integrerad del i organisationens ledningsstruktur (SIS, 2017). För att standardisera och specificera uppbyggnaden av LIS har ISO/IEC 27001 (standard för LIS) utvecklats och implementerats av organisationer världen över (Hsu et al., 2016). Organisationer kan certifiera sina LIS enligt ISO/IEC 27001, och på så sätt få ett bevis för sina säkerhetsåtgärder (Disterer, 2013).
Det finns dock olika uppfattningar om vilka finansiella och operativa effekter en ISO/IEC 27001-certifiering har (AbuSaad et al., 2011; Hsu et al., 2016; Park et al., 2010; Vejseli och Hedberg, 2016). Bland annat om certifieringen medför några konkurrensfördelar (AbuSaad et al., 2011; Park et al., 2010), eller om organisationer redan har en tillräcklig informationssäkerhetshantering (Hsu et al., 2016). Studien undersöker därför vad en ISO/IEC 27001-certifiering innebär för organisationer.
1.2 Problembeskrivning
Syftet med ISO/IEC 27001-standarden är att tillhandahålla krav för att upprätta, införa, underhålla och ständigt förbättra ett LIS (SIS, 2017). Det tar både tid och resurser att designa och implementera ett LIS. För att denna investering ska vara lönsam bör den också ge ett mervärde för organisationen. Dock finner Hsu et al. (2016) inget samband mellan certifieringen och ekonomisk tillväxt. Utifrån resultatet argumenterar Hsu et al. (2016) för att informationssäkerhet bör ses som en skyldighet och inte en konkurrensfördel. Detta motsäger tidigare studier inom ISO/IEC 27001 (AbuSaad et al., 2011; Park et al., 2010) som bland annat har visat på olika konkurrensfördelar. Liknande studier (Terlaak & King, 2006; Lima et al. 2000) inom
ISO 9000 (standard för kvalitetsledningssystem) har även påvisat olika
konkurrensfördelar med en ISO 9000-certifiering.
Som motivation till ISO/IEC 27001-certifiering har konkurrensfördelar uppgetts (AbuSaad et al., 2011). En certifiering förväntades ge “en högre ställning bland organisationer inom samma bransch” (Vejseli och Hedberg, 2016, s. 29). Även bland ISO 9000 återfinns liknande argument. Där ISO 9000 har visat sig vara användbart för att signalera till kunder och att certifikatet fungerar likt en kvalitetsstämpel (Terlaak & King, 2006). Genom en ISO/IEC 27001-certifiering skulle en organisation på ett liknande sätt visa att organisationen har en god hantering av informationssäkerhet, och därigenom främja kunders förtroende (Disterer, 2013).
Effekterna som har identifierats efter en certifiering skiljer sig åt (AbuSaad et al., 2011; Hsu et al., 2016; Park et al., 2010). Flera fördelar attribueras till en ISO/IEC 27001-certifiering, gällande en förbättrad informationssäkerhetskultur, hantering av affärsrisker, struktur för informationssäkerhet och organisationens förtroende (AbuSaad et al., 2011). Även ökad försäljning, skyddsförmåga, förbättrade affärsmöjligheter samt minskade kostnader har påvisats (Park et al., 2010). Dessa resultat är spridda och motsäger Hsu et al. (2016) resultat, där inga samband identifierades mellan certifiering och ekonomisk tillväxt. Vilket borde kunna förväntas utifrån dessa fördelar.
Tidigare forskning inom ISO 9000 har visat en positiv inverkan på organisationers operationella och finansiella prestanda (Casadesús & Giménez, 2000; Lima et al., 2000). Då tidigare studier (AbuSaad et al., 2011; Hsu et al., 2016; Park et al., 2010) inte är eniga har denna övergripande indelning använts. För att undersöka vilka effekter en ISO/IEC 27001-certifiering har, samt för att ge utrymme för andra följder av certifieringen.
1.3 Syfte och frågeställningar
Studien ämnar bygga vidare på tidigare forskning genom att undersöka vilka upplevda förändringar en ISO/IEC 27001-certifiering leder till för organisationer. Syftet är att identifiera vilka förändringar en ISO/IEC 27001-certifiering leder till hos certifierade organisationer i Sverige. För att besvara detta syfte undersöker studien skäl till certifieringen samt effekterna av ISO/IEC 27001-certifiering. För att identifiera värdet av en ISO/IEC 27001-certifering undersöks effekterna ur finansiella och operativa perspektiv.
Forskningsfråga
Vilka förändringar upplever organisationer efter en ISO/IEC 27001-certifiering? 1.4 Omfång och avgränsningar
Tidigare studier menar på att mer forskning inom ISO/IEC 27001-certifiering behövs (Park et al., 2010; Hsu et al., 2016; Vejseli & Hedberg, 2016). Där ISO/IEC 27001-certifierade organisationer jämförs med varandra för att finna likheter och skillnader (Vejseli och Hedberg, 2016). Därför undersöker denna studie ISO/IEC 27001-certifierings påverkan hos flera organisationer detta för att få en diversitet på den insamlade empirin. Även studier inom beslutsfattandet av en ISO/IEC 27001 implementering efterfrågas (Hsu et al., 2016). Vilket denna studie också försöker fastställa genom att undersöka varför organisationer väljer att certifiera sig, för att sedan ställa denna motivering mot de effekter som en certifiering ger.
Studien är avgränsad till små svenska ISO/IEC 27001-certifierade organisationer. Små organisationer används i studien för att informanterna ska kunna ha en överblick över hela sin organisation, detta för att informanten ska kunna ge en bredare bild av ISO/IEC 27001-certifieringen och dess påverkan på organisationen. Studien genomfördes med en informant per organisation, med god insikt över certifieringen och organisationen.
Europeiska unionen (EU) definierar små organisationer som; organisationer med
mellan 10 och 50 anställda, eller med en omsättning på mellan 2 och 10 miljoner euro (EU, 2016a).
I Sverige är cirka 70 bolag certifierade enligt ISO/IEC 27001 (certifiering.nu, 2020). Den begränsade mängden certifierade organisationer resulterade i att studiens urval består av ett fåtal organisationer (vidare beskrivning under 3.2 Urval).
2
Teoretisk bakgrund
Kapitlet ger en teoretisk bakgrund till de begrepp, samt introducerar tidigare forskning som denna studie bygger på.
2.1 Ledningssystem för informationssäkerhet
LIS innefattar bland annat organisationers policyer, rutiner, arbetsprocesser och mål (SIS, u.å.). LIS är ett strukturerat sätt att identifiera informationssäkerhetsrisker, de ekonomiska effekter dessa hot innebär samt lämpliga metoder för att hantera de identifierade informationssäkerhetriskerna (Tarantino, 2008). Ett effektivt LIS ska minska riskerna och hindra intrång (Disterer, 2013), dock hanterar ett LIS inte enbart IT-problem utan påverkar hela organisationen (Everett, 2011). Att säkra informationstillgångar handlar lika mycket om mänskligt beteende och hennes oaktsamhet som teknologiska försvar (Tarantino, 2008).
Ledningssystemet för informationssäkerhet bevarar informationens konfidentialitet, riktighet och tillgänglighet genom att tillämpa en riskhanteringsprocess och ger förtroende för berörda parter att risker hanteras på ett adekvat sätt.
(SIS, 2017, s. 4).
LIS påverkas av en rad aspekter, bland annat organisations behov och mål, dess säkerhetskrav och arbetsprocesser, vilka alla kan komma att förändras över tid (SIS, 2017). Ett LIS är unikt för varje organisation och behöver kontinuerligt uppdateras allt eftersom organisationen förändras.
2.2 ISO/IEC 27000-serien
International Organization for Standardization (ISO) och International Electrotechnical Commission (IEC) har tillsammans tagit fram ISO/IEC 27000-serien
(SIS, 2017). ISO/IEC 27000-serien består av flera standarder som täcker olika områden inom informationssäkerhet, och utgör ett ramverk för att utforma och förvalta ett LIS. Med hjälp av ISO/IEC 27000-serien kan organisationer anpassa sina IT-rutiner för att uppnå en tillräcklig säkerhet, genom en systematisk hantering av informationssäkerhet (Disterer, 2013).
I ISO/IEC 27000-serien ingår bland annat ISO/IEC 27001, som beskriver kraven för ett LIS, vilket ska stödja utformandet av åtgärder för att skydda tillgångar (SIS, 2017). ISO/IEC 27001-standarden definierar krav på upprättandet, införandet, underhållet och det ständiga förbättrandet av ett LIS (SIS, 2017).
Olika nationella standardorgan anpassar och översätter ISO/IEC standarden, i Sverige görs detta av Svenska Institutet för Standard (SIS). SIS utgåvorna lägger till prefixet
Certifiering
Organisationer kan välja att certifiera sitt LIS för att kontrollera att ledningssystemet följer ISO/IEC 27001-standarden och för att få ett bevis på att de har implementerat ISO/IEC 27001. Denna certifieringsprocess görs via ett certifieringsorgan. Det finns ett antal certifieringsorgan i Sverige som har rätt att ackreditera och utfärda certifikat, som oberoende tredje part kan verifiera att organisationen uppfyller standardens krav. Organisationer behöver dock inte följa standarden ordagrant, utan kan avvika om det finns goda och väl dokumenterade skäl till besluten och åtgärderna, som är baserade på organisationens riskprofil (Everett, 2011).
2.3 Värdet av certifiering
ISO/IEC 27001 har “tagits fram för att tillhandahålla krav för att upprätta, införa, underhålla och ständigt förbättra ett ledningssystem för informationssäkerhet” (SIS, 2017, s. 4). Även om certifierade LIS används för att skydda informationstillgångar och på så sätt förbättra organisationens konkurrenskraft, ifrågasätts ISO/IEC 27001-certifieringens kvalitativa aspekter avseende ledningssystemets effektivitet bland organisationer (Park et al., 2010).
2.3.1 Finansiella effekter
Forskning inom ISO 9000 (Terlaak & King, 2006) har visat sig påverka den finansiella prestandan, bland annat genom kvalitetsförbättringar vilket i sin tur förbättrar organisationens rykte. Finansiell prestanda kan även påverkas negativt av säkerhetsincidenter bland annat genom driftstörningar och förlust av marknadsvärde (Goel och Shawky, 2009). Hsu et al. (2016) fann dock inget samband mellan en ISO/IEC 27001-certifiering och ekonomisk tillväxt eller börsutveckling.
ISO 9000 har vidare visat sig vara användbart för att indikera till kunder, likt en kvalitetsstämpel för organisationen (Terlakk & King, 2006). En undersökning hos en organisation som står inför en ISO/IEC 27001-certifiering visar att certifieringen förväntas ge mer konkurrenskraft, då man förväntas få en status av att ta informationssäkerhet på allvar (Vejseli & Hedberg, 2016). Konkurrensfördelar uppges av flera studier som en anledning till ISO/IEC 27001-certifiering (AbuSaad et al., 2011; Vejseli & Hedberg, 2016). Efter certifiering har ISO/IEC 27001 uppgetts ha ökat organisationens förtroende (AbuSaad et al., 2011), ökat försäljning, minskat kostnader och skapat fler affärsmöjligheter (Park et al., 2010). Detta motsäger Hsu et al. (2016) resultat, som menar på att informationssäkerhet ses som en skyldighet istället för en konkurrensfördel.
2.3.2 Operativa effekter
ISO/IEC 27001-certifiering uppges ge en rad operativa förändringar, som förbättrad skyddsförmåga (Park et al., 2010), informationssäkerhetskultur, struktur för informationssäkerhet samt hantering av affärsrisker (AbuSaad et al., 2011).
Med en ISO/IEC 27001-certifieringen kan organisationer anpassa sina IT-procedurer och processer för att säkerställa en tillräcklig informationssäkerhet (Everett, 2011). Där certifieringen kan ge en bra utgångspunkt för informationssäkerhet (SIS, 2020). ISO/IEC 27001-certifieringen är alltså inte ett slut mål, utan snarare rikitlinjer för hur informationssäkerhet bör hanteras. Liknande argument återfinns finns även för ISO
14000 (ledningssystem för miljöhantering), där standarden kan ge riktlinjer för sunt
förnuft (Rondinelli & Vastag, 2000). Miljöhantering, precis som informationssäkerhet kan i många fall också ses som sunt förnuft, vilket återfinns i Hsu et al. (2016) argumentering.
Tidigare studier är inte eniga om effekterna en ISO/IEC 27001-certifiering har på organisationer (AbuSaad et al., 2011; Hsu et al., 2016; Park et al., 2010; Vejseli & Hedberg, 2016). De studier som visar på positiva effekter stämmer inte överens, framförallt vad gäller operativa förändringar (AbuSaad et al., 2011; Park et al., 2010). Dock finns det även flera likheter, så som de positiva strukturförändringar gällande informationssäkerhet (AbuSaad et al., 2011; Park et al., 2010; Vejseli & Hedberg, 2016).
3
Metod och genomförande
Kapitlet ger en översiktlig beskrivning av studiens arbetsprocess. Vidare beskrivs studiens ansats och design. Därtill beskrivs studiens datainsamling och dataanalys. Kapitlet avslutas med en diskussion kring studiens trovärdighet.
3.1 Forskningsansats
Tidigare forskning (Vejseli & Hedberg, 2014) menar på att det saknas kvalitativ forskning inom ISO/IEC 27001 området, och efterfrågar vidare kvalitativ forskning som jämför likheter och skillnader mellan organisationer med en intervjustudie. Studien har en kvalitativ ansats då intervjustudien görs med en icke-numerisk datainsamling (Saunders et al., 2016) som genererar bred och riklig empiri (Blomkvist & Hallin, 2014). Kvalitativ forskning studerar deltagarnas svar och förhållandena mellan dem, för att utveckla ett rikare teoretiskt perspektiv än med en kvantitativ ansats (Saunders et al., 2016).
Kvalitativa ansatser använder ofta en induktiv metod för att vidare undersöka ett fenomen som finns beskrivet i tidigare litteratur (Saunders et al., 2016). En induktiv studie samlar in empiri utifrån ett identifierat problem, för att sedan med hjälp av litteratur bättre förstå resultatet (Blomkvist & Hallin, 2014). Vilket innebär att studien är mer öppen för vilken litteratur som används, där det empiriska materialet visar vilken teori som är intressant (Blomkvist & Hallin, 2014).
En induktiv metod är därför lämplig i form av en intervjustudie, för att undersöka vilka upplevda förändringar en ISO/IEC 27001-certifiering leder till bland organisationer. Eftersom tidigare studier inte är eniga om effekterna en ISO/IEC 27001-certifiering har på en organisation (AbuSaad et al., 2011; Hsu et al., 2016; Park et al., 2010; Vejseli & Hedberg, 2016).
3.2 Urval
Informanturvalet är baserat på fyra kriterier:
• Studien undersöker små organisationer, intervjuobjekten valdes därför utifrån organisationens storlek. Då en informant ska kunna ha en överblick över sin organisation, för att ha möjlighet att se hur ISO/IEC 27001-certifieringen påverkar organisationen som helhet.
• Det är därmed även viktigt att informant har haft insikt i certifieringsprocessen samt beslutsfattandet av att ISO/IEC 27001-certifiera sig. Då informanten ska vara insatt i organisationens certifiering. Detta innebär att studien inriktar sig på ett ledningsperspektiv för att undersöka ISO/IEC 27001-certifieringens effekter.
• Organisationen ska ha implementerat ISO/IEC 27001, därför ingår enbart certifierade organisationer i studiens urval, för att ändamålsenligt kunna undersöka effekterna av certifieringen.
• För att minska eventuella språkbarriärer, samt för att fokusera studien har svenska organisationer använts. Detta medför även att organisationerna då är certifierade enligt SIS utgåvan av ISO/IEC 27001, vilket innebär att organisationerna inte är certifierade med olika tolkningar av ISO/IEC 27001-standarden.
3.3 Datainsamlingsmetoder och dataanalys
För att få en helhetsbild över de upplevda förändringar en ISO/IEC 27001-certifiering har genomfördes intervjuer med nyckelpersoner hos certifierade små organisationer. Semistrukturerad intervjuer används för att samla in empiri. Merparten av frågorna i en semistrukturerad intervjustudie är inte formulerade i förväg, utan skapas under intervjun (Blomqvist och Hallin, 2014). Detta ger respondent möjlighet att utveckla sina svar vid behov, samt vidare beskriva andra områden för att exempelvis lyfta upp delar av frågeställningen som tidigare forksning inte haft i åtanke. En semistrukturerad intervju använder ett antal frågeområden med tillhörande frågor, där ordningen beror på informantens svar (Blomqvist och Hallin, 2014).
Öppna frågor ger respondenten full frihet att svara, allmänna öppna frågor används ofta för att inleda eller för att ge respondenten möjlighet till att berätta fritt (Keates, 2000). Allmänna öppna frågor kan följas upp av specifika öppna frågor, beroende på svarets innehåll, för att utforska mer specifika aspekter av den allmänna frågan (Keates, 2000). Exempelvis används följande frågor:
• Allmän öppen fråga: “Vad var era mål med ISO 27001-certifiering?” (se bilaga 2).
• Specifik öppen fråga: “Har ni uppnått era mål?” (se bilaga 2).
Analysarbetet baseras på en tematisk analys där den insamlade empirin kartlagts utifrån sex identifierade kategorier. En tematisk analys använder sig utav kategorier, där empirin sorteras för att besvara studiens frågeställning (Blomkvist & Hallin, 2014). Kategorierna kan identifieras utifrån den insamlade empirin, utifrån ord och begrepp informanterna använder, eller likheter och olikheter i empirin (Blomkvist & Hallin, 2014).
Kategorierna för analysarbetet togs fram genom att ta ut tydliga områden informanterna tog upp under intervjuerna, vilket då indirekt är baserade på intervjufrågorna. Dessa områden är främst baserade på ord och begrepp från det insamlade materialet, men även likheter samt vissa olikheter i informanternas svar. 3.4 Arbetsprocessen
Den första kontakten med organisationerna har skett med riktade e-postmeddelanden (se bilaga 1), där cirka 50 organisationer som faller under vårt urval med ISO/IEC 27001-certifiering kontaktades. I efterföljande e-postkonversationer, med de parter som visat intresse inbokades ett videokonferensmöte för intervju.
Före varje intervjustart togs allmänna frågor upp och studiens- samt intervjuns syfte beskrevs. Informanterna informerades även i enlighet med de etiska principerna (se
kapitel 3.6 Etiska överväganden). Dessutom informeras informanten om att studien
inte lägger någon värdering i om svaren är positiva eller negativa, utan att informanten ska svara så sanningsenlig som möjligt.
Intervjun genomfördes med hjälp av videokonferensmjukvara och spelas in med inspelningsmjukvara, separat på varje intervjuares dator. Detta för att minimera risken för eventuella inspelningsfel. Dessa inspelningar användes sedan under transkriberingen, där de spelades upp i sänkt hastighet. Transkriberingen gjordes med flera genomgångar med löpande kontroller och justeringar.
Efter transkriberingen skickades den till informanten för kontroll och eventuella tillägg eller förtydliganden, via e-post. Den godkända transkriberingen avidentifierades sedan, och tidigare versioner av transkriberingen samt inspelningar raderades, detta i enlighet med de etiska riktlinjer studien följer (se kapitel 3.6 Etiska
överväganden).
Varje transkriberad intervju kartlades sedan med hjälp av den tematiska analysen som tidigare beskrevs i kapitel 3.3 Datainsamlingsmetod och dataanalys.
3.5 Trovärdighet
På grund av den spridning inom tidigare forskning (se 1.2 Problembeskrivning) är studiens syfte att identifiera vilka förändringar organisationer upplever efter en ISO/IEC 27001-certifiering. För att organisationer bättre ska kunna fatta beslut kring ISO/IEC 27001 implementering och certifiering.
För att få en diversitet på den insamlade empirin har fyra organisationer intervjuats. Detta genomfördes med en informant per organisation, med insikt och inflytande över certifieringen. Intervjuer användes för datainsamlingen och intervjuguiden baseras på öppna frågor (se 3.7 Intervjudesign). Detta för att inte färga informanternas svar, utan låta dessa beskriva hur de har upplevt förändringar som en ISO/IEC 27001-certifiering ger.
En tematisk analysmetod har använts då syftet med studien är att identifiera de förändringar organisationer upplever efter en genomförd ISO/IEC 27001-certifiering. Då tidigare studier har identifierat specifika men skilda områden passar en tematisk analys, då teman utröns ur den insamlade empirin för att skapa en bild av verkligheten ur mer komplex empiri.
En testintervju har genomförts för att rätta till eventuella misstag i studiens intervjudesign. Testintervjun har sedan exkluderats från den empiri som presenteras i kapitel 4. Empiri och har resulterat i att frågorna har ett större fokus på neutralitet. Detta för att inte färga informanternas svar. Innan varje intervju har informanten informerats om vilka etiska överväganden studien utgår ifrån (se 3.6 Etiska
överväganden) samt hur den data dem gett oss kommer att användas. Efter varje
intervju skickades det transkriberade materialet till respektive informant, främst för förtydliganden. Detta ger informanterna alla möjligheter att påverka den empiri som används i studien.
Då intervjuguiden främst består av öppna frågor skiljer därför informanternas svar åt. Men då analysen sker tematiskt, och då identifierar teman ur informanternas svar bör resultatet gå att återskapa förutsatt att samma frågor, urval och analysmetod används.
Under arbetets gång har ett konsultföretag. som erbjuder lösningar inom informationssäkerhet bland annat inom ISO/IEC 27001 agerat rådgivare. Företaget har bidragit med teknisk vägledning kring ISO/IEC 27001-standarden. Företaget har liksom många andra liknande konsultföretag ett intresse av att veta vad organisationer får ut av en ISO/IEC 27001-certifiering. För att hålla studien neutral har företaget inte varit inblandade i utformandet av studien och har därför inget inflytande över studiens resultat.
3.6 Etiska överväganden
Studien förhåller sig till Vetenskapsrådets fyra forskningsetiska principer inom humanistisk-samhällsvetenskaplig forskning (Vetenskapsrådet, 2002):
1. Informationskravet: Informanterna måste känna till studiens syfte. 2. Samtyckeskravet: Informanten måste godkänna deltagandet i studien.
3. Konfidentialitetskravet: Allt material ska behandlas konfidentiellt och får därför inte delas fritt.
4. Nyttjandekravet: Insamlat material får enbart användas till det som informerats om.
Informanterna har informerats om hur vi hanterar den insamlad data utefter Vetenskapsrådets fyra forskningsetiska principer.
Utöver dessa forskningsetiska principer har även informationsinsamling skett enligt
GDPR (General Data Protection Regulation). Jämfört med de forskningsetiska
principerna så tillför GDPR större krav på transparens och informerat samtycke, enligt artikel 12 (EU, 2016b). Informanterna har även rätt att bli raderade (engelska right to erasure) eller borttagna från studien, enligt artikel 17 (EU, 2016b). Detta påverkar studien genom att informanter kan be om att exkluderas från studien fram tills empirin är avidentifierad och publicerad.
Utöver dessa åtgärder har även all insamlade data och relaterad administrativa metadata, i enlighet med nyttjandekravet raderats, vilket vidare beskrivs under 3.4
Arbetsprocessen. Samtliga mjukvaror som har använts för kommunikation och
3.7 Intervjudesign
Ett antal kriterier bör tas i hänsyn när intervjufrågor designas, dessa kriterier behandlar om frågorna är ledande, otvetydiga och klara (Dalen, 2014). Frågornas formulering påverkar även respondents svar och uppfattning, som språk, artighetsnormer och talstil (Keates, 2000).
Utöver tvetydighet och partiskhet bör även hinder för att svara bedömas, exempelvis speciell kunskap som informanten inte har eller känslig information (Dalen, 2014). Intervjun bör även ge utrymme för otraditionella uppfattningar (Dalen, 2014), detta görs genom flera neutrala frågor (se bilaga 2).
Öppna frågor ger respondenten full frihet att svara, allmänna öppna frågor används ofta för att inleda eller för att ge respondenten möjlighet till att berätta fritt (Keates, 2000). Inledande används öppna intervjufrågor för att ge informanten möjlighet att mer fritt beskriva (se bilaga 2). Allmänna öppna frågor kan följas upp av specifika öppna frågor, beroende på svarets innehåll, för att utforska mer specifika aspekter av den allmänna frågan (Keates, 2000). Frågorna blir mer specifika efter en inledande bredare fråga där ett område introduceras. Vidare följdfrågor är inte förutbestämda då intervjun är av den semistrukturerade typen.
4
Empiri
Kapitlet presenterar deltagande informanter samt ger en beskrivning av insamlad data i form av tematiskt analyserad empiri.
4.1 Presentation av informanter
För att besvara studiens frågeställning; Vilka förändringar upplever organisationer efter en ISO/IEC 27001-certifiering, har fyra informanter intervjuats från olika små svenska organisationer. Informanterna har innehaft en befattning av betydande roll för ISO/IEC 27001 och innehar en roll i styrelsen för respektive organisation.
Nedan presenteras informanterna, vilka hädanefter kallas informant A, informant B, informant C och informant D. Detta görs för att i enlighet med de riktlinjer som beskrivs under 3.6 Etiska överväganden, värna om informanternas integritet. Identifierbar information har medvetet utelämnats eller beskrivits vagt.
4.1.1 Informant A:
Informant A innehar befattningen VD på ett mindre Software-as-a-Service (SaaS) bolag som har mellan 10 och 20 anställda. Organisationen är svensk och verkar inom ett nischat område med höga krav på konfidentialitet vid hantering av kunduppgifter. Organisationen har flera internationella kunder av varierande storlek.
Informant A beskriver sin roll med ISO/IEC 27001-certifieringen som “beställare”, “resursfördelar” och “kontrollör”. Informanten har en god inblick i organisationen och dess ISO/IEC 27001-certifiering, och ansvarade för att säkerställa kompetens och fördelning av resurser för certifieringen.
Jag är ju då ledningen i bolaget, så naturligtvis är jag involverad i certifieringsprocessen och säkerställer att vi får ett ledningssystem på plats och att vi följer det och att vi informerar, att vi har utbildning i det hela och att det finns kompetens så, ja resurser för det.
Organisationen har erfarenhet av en liknande standard, och var certifierade enligt denna standard innan ISO/IEC 27001-certifieringen gjordes på bolaget.
4.1.2 Informant B:
Informant B innehar befattningen VD på ett mindre konsultbolag med fokus på molnteknik. Organisationen är svensk, med mellan 10 till 20 anställda och har kunder av varierande storlek.
Informant B hade under organisationens arbete med ISO/IEC 27001-certifiering rollen som projektledare, och drev då hela arbetet med ISO/IEC 27001 implementeringen utan externa konsulter. Informant B har därför en mycket god inblick i organisationen som helhet och även certifieringen.
Jag drev det projektet. Och det var ett val vi gjorde, vi funderade på att ta in en projektledare utifrån för att göra den, men vi valde att jag som VD skulle driva det och jag tror att det var ett väldigt smart val. För jag skulle vara väldigt involverad ändå.
4.1.3 Informant C:
Informant C innehar befattningen “head of IT operations” och Chief Information
Security Officer (CISO) på ett mindre SaaS bolag som har mellan 20 och 30 anställda.
Organisationen är svensk med stora internationella kunder och har mycket stora krav på säkerhet och konfidentialitet.
Informant C är med i ledningsgruppen i organisationen, och ansvarar för ISO/IEC 27001 arbetet. Dock var informant C inte involverad i beslutsfattandet eller det tidiga förarbetet för ISO/IEC 27001-certifiering. Trots det har informant C mycket god inblick i certifieringen och organisationen som helhet, på grund av sin befattning och arbetsuppgifter.
Jag kom in i sluttampen av ett förarbete som hade drivits ganska länge och tog över hela certifieringsdelen, hela ISO arbetet, som ansvarsområde. Jag drev igenom det och genomförde certifieringen [. . .]. Det är jag som är ansvarig för efterlevnad och för att se till så att ledning anammar ledningssystemet.
4.1.4 Informant D:
Informant D innehar befattningen Chief Technical Officer (CTO) på ett medelstort SaaS bolag som har mellan 40 och 50 anställda. Utöver de anställda påverkas även mellan 10 och 20 konsulter av ISO/IEC 27001-certifieringen. Organisationen är svensk och erbjuder en tjänst som hanterar affärsdata.
Informant D drev ISO/IEC 27001-certifieringsprocessen som projektledare, och har därmed stor inblick i certifieringen och organisationen.
4.2 Empiri från intervjuer
Utifrån den insamlade empirin har sex huvudsakliga områden identifierats (se kapitel
3.3 Datainsamlingsmetoder och dataanalys). Nedan presenteras en sammanställning
av informanternas svar kategoriserade; målsättning, kommunikationsverktyg, marknadsföringsvärde, informationssäkerhetskultur och fortsatt arbete.
4.2.1 Målsättning
Samtliga informanter beskriver vilken målsättning organisationen haft med en ISO/IEC 27001-certifiering.
Informant A:
Informant A beskriver hur kunder tidigare kom med långa frågeformulär om informationssäkerhet, som i detalj ville veta hur organisationen arbetar. Målsättningen med ISO/IEC 27001 uppges därför främst vara för att effektivisera försäljningsprocessen och enklare kunna besvara frågor om informationshantering.
Att slippa svara på oändligt långa frågor från kunder på hur vi hanterar informationssäkerhet.
Som tidigare nämnt var organisationen certifierade enligt en standard som bland annat behandlar informationssäkerhet, vilket då kom som ett krav från kund. Informant A påstår att steget till att bli ISO/IEC 27001-certifierade då var mindre än till den tidigare certifieringen. ISO/IEC 27001-certifieringen uppges vara mer internationellt känt, därför certifierade organisationen sig, i förhoppningen om att bättre kunna marknadsföra sig.
Men i varje fall då sa vi då att eftersom vi är certifierade enligt [tidigare certifiering] så är steget till en ISO 27001 certifiering väldigt liten, egentligen kan man säga mindre än till [tidigare certifiering]. Och så kom vi in och därmed har vi också fått det här beviset som är lite mer internationellt känt, när det gäller hanteringen av information.
Informant B:
Informant B berättar hur organisationen satte upp en strategi för tillväxt för ett antal år framöver, bland annat skulle organisationen certifiera sig enligt ISO/IEC 27001. Då molnleverantören är ISO/IEC 27001-certifierade, förväntades organisationen få krav från kunder om att själva följa ISO/IEC 27001-standarden.
Ett [av] de initiativen var att vi skulle vara ISO 27001 certifierade för att vi misstänkte att vi skulle få det som ett kundkrav, i de miljöerna vi jobbar med. [. . .] för att mappa in i en eventuell kund som också var ISO-certifierad, så skulle vi också då tvingas var det. Så det var en, egentligen en, vad kan man säga, en förväntan om en, ett kommande kundkrav.
Utöver dessa målsättningar uppger även informant B att organisationen ville marknadsföra och visa på ett mått av kvalité, för att vara attraktiva för potentiella kunder.
[. . .] alltså målet i sig vara ju att bli certifierad, det var målet [. . .]. Vi skulle kunna vara attraktiva för vår omgivning, företag. [. . .] det är inte bara det att man är ISO 270001 certifierad. Det är också det att man visar upp att där är en, ett mått av kvalité och ordning och reda i företaget. Vad gäller drift processer och vad gäller hur man hanterar information, och informationssäkerhet. Så det är inte exakt enbart det som finns igenom ISO 27001 som vi marknadsmässigt var ute efter, utan det är mer en, en kvalitetsstämpel för bolaget.
Informant C:
Informant C beskriver hur informationstillgångar ofta klassas som kritiska i organisationens bransch, då det ställs hårda krav på underleverantörer. Kunder har långa frågebatterier som tidigare tog flera dagar att besvara berättar informant C vidare.
Informant C uppger att målet med ISO/IEC 27001-certifieringen var att säkra kritisk data, att få bättre kontroll samt att bättre kunna besvara kunders frågor.
Det jag vet och kan berätta är ju att [. . .] all data, alla
informationstillgångar, är väldigt kritiskt klassificerade. Då behöver man ha någon form utav bevis på att man hanterar kunddata bra. Så att i ruta ett handlade det om att vara en, ha en bra affärsidé och säljpitch för [organisationen].
Informant D:
Informant D beskriver hur organisationen alltid värnat om säkerhet, men att organisationen märkte att detta alltmer även blev ett krav från kunder. Hur kunder ställde mer och mer frågor kring säkerhet och databearbetning i samband med GDPR. Informant D berättar hur en ISO/IEC 27001-certifiering kan bevisa för kunder hur informationssäkerhet hanteras. Informant D uppger även att certifieringen gjordes för att förenkla säljprocessen och för att attrahera nya kunder.
[. . .] men vi märkte att mer och mer att det blev ett krav från kunderna. Så att när vi fick nya kunder som, all data ska skickas till oss och vi ska bearbeta deras data och i och med GDPR så började folk ställa mycket mer frågor. Okej, hur hanterar ni säkerhet, är ni ett säkert bolag? Hur kan ni bevisa det? Och i och med ISO 27001 certifieringen. Så folk började fråga istället så, om vi hade någon certifiering. Så [vi] tog initiativet att certifiera oss, just för att förenkla säljprocessen för oss, för att ta in nya kunder.
4.2.2 Kommunikationsverktyg
Samtliga informanter beskriver hur kommunikation med kunder har förändrats efter ISO/IEC 27001-certifieringen.
Informant A:
Informant A beskriver hur organisationen har en effektivare säljprocess, där ISO/IEC 27001-certifieringen enkelt visar för kunder hur organisationen hanterar informationssäkerhet.
[. . .] det känns väldigt trevligt när man får en fråga från en kund, har ni några certifieringar, hur hantera en informationssäkerhet och så där? 27001. Jaha, vi håller precis på med det själv här, så då vet vi vad ni vart igenom. Okej, då tar vi nästa fråga. Det känns så gött att kunna ticka av den boxen på detta enkla sätt i kundsamtalet och att man får cred tillbaks för det, då vet vi var ni varit igenom eftersom ni är certifierade.
Informant A menar även att certifieringen har hjälpt till genom att organisationen fått ett bättre anseende när kunder utvärderar organisationen.
Vi har kommit högre upp i, vad säger man, poängsättning i där man utvärderar leverantörer.
Informant B:
Som tidigare nämnt beskriver informant B hur ISO/IEC 27001-certifiering skulle användas som en kvalitetsstämpel, hur organisationen håller ett mått av kvalitét vad gäller processer och hanteringen av information och informationssäkerhet.
Dock menar informant B att det är färre kunder än förväntat som krävt certifieringen, men att organisationen ändå upplever en positiv attityd från kunder vad gäller ISO/IEC 27001-certifieringen.
Vi har fått några enstaka kund förfrågningar runt det, men det har faktiskt hittills vart färre än vad vi har förväntat oss. Färre kunder som har krävt det här av oss, men vi känner ändå en väldigt positiv attityd från kunden. Framförallt nya kunder som kommer in när vi berättar att vi är ISO 27001 certifierade, precis som att de pustar ut och säger åh, vad skönt. Att de kan ta det med sig i en upphandling.
Informant C:
Informant C beskriver hur organisationen upplevs som mer seriöst av kunder, och berättar hur en ISO/IEC 27001-certifiering är en väldigt bra kvalitetsstämpel för en organisation. Certifieringen visar på att organisationen har koll på sina informationstillgångar menar informanten.
ISO-Informant C tillägger att informationssäkerhet blir viktigare och värdesätts alltmer.
Det blir liksom, IT blir större och data och informationstillgångar blir viktigare och viktigare, och folk förstår det bättre för varje år som går.
Informanten berättar hur det ibland räcker med att visa certifikatet under upphandlingar, och slipper därmed svara på stora frågeformulär.
[. . .] där ställer man ganska hårda krav på att du måste ha järnkoll på din underleverantör. Så vi får stora batterier med frågar om hur vi hanterar data och väldigt mycket i princip ett, liksom ett axplock av de ISO kontroller som finns. Ibland behöver jag inte ens fylla i de här papprena som kan ta två till tre dagar, eller som en annan leverantör inte klarar av att fylla i. Ibland behöver jag bara visa certifikatet så behöver man inte ens svara på grejerna. Så att, det är väldigt starkt och väldigt effektfull.
Informant D:
Informant D beskriver hur frågorna om informationssäkerhet tydligt minskade när organisationen påbörjade sin ISO/IEC 27001-certifieringsprocess.
Bara vi började säga att vi höll på att certifiera oss så slutade nästan frågorna komma. Okej, men vad bra, då jobbar ni mot det liksom. Sen så tror jag att de hade väl blivit sura om vi inte hade blivit certifierade till slut.
Tack vare certifieringen uppger informant D att säljprocessen har förenklats, när det kommer till dialoger med kunder om informationssäkerhet.
Istället för att man kanske hade behövt ett möte med mig, med kunden. Där jag ska förklara hur våra IT-säkerhet är. Så bara att vi har den stämpeln nu, så säljaren behöver liksom inte involvera oss på utvecklingsavdelningen längre.
4.2.3 Marknadsföringsvärde
Samtliga informanter har på olika sätt nämnt marknadsföring eller konkurrensfördelar efter en ISO/IEC 27001-certifiering.
Informant A:
Informant A berättar stolt hur organisationen har konkurrensfördelar gentemot liknande organisationer tack vare ISO/IEC 27001-certifieringen.
Vi lyser med detta jämfört med, att jämfört med andra. Tror vi är nog en av, utav väldigt få som har den här certifiering som jobbar med den här typen av verksamhet.
Dock tror inte informant A att kunderna hade uteblivit utan certifieringen.
Nya vet jag inte, men vi har inte förlorat några på grund av den. Nej men det har nog hjälpt till, det har det [. . .]. Det är möjligt att vi hade klarat dem tidigare, men betydlig större umbärande att besvara väldigt långa frågeformulär om hur vi jobbar med olika saker. Jag vet inte, jag kan inte säga om det var nya.
Informant B:
Informant B berättar att organisationen marknadsför sig med hjälp av ISO/IEC 27001-certifieringen och använder sig av 27001-certifieringens loggor i sin marknadsföring. Informant B uppger att certifieringen är en konkurrensfördel.
Nej, men på kundsidan då så känner jag att det är en, jag uppfattar det så som en hög grad av respekt för vad vi håller på med [. . .]. Det är en konkurrensfördel, absolut, att vi går ut med det här [. . .]. Man går in i andra diskussioner med företag eller med kunder då runt informationssäkerhet. När vi är certifierade, alltså för att man har lite mer kött på benen då, för att vi vet vad det handlar om att bli certifierade och så vidare.
Dock beskriver informanten B att kunder inte väljer organisationen på grund av certifieringen, och tillägger att man inte märkt någon större skillnad från underleverantörer efter certifieringen.
[. . .] vi använder som en, försöker få en konkurrensfördel av det. [. . .] man ser positivt på det, men det är inget, inget sånt där kioskvältare som gör att folk springer benen av sig för att göra affärer med oss.
Informant C:
Informant C beskriver hur organisationen är ganska unik i sin bransch och har man en certifiering, uppger informanten att organisationen är särskilt attraktivt vid upphandlingar. Om organisationen är ISO/IEC 27001-certifierat vet kunder om att organisationen har grundlig koll på sina informationstillgångar, berättar informant C vidare.
[. . .] vi har inte så inte så många tunga konkurrenter. Vi har några stora men, och de konkurrenter vi har är med största sannolikhet inte certifierade. Men idag när man pratar om, framförallt den bransch vi sitter i [. . .], så blir ju [organisationen] per automatiken en spelar man tittar på när för att upphandla ett system. Och har man ett certifikat så tar man sig väldigt långt, i ruta ett, annars är det vanligt i ett offertförfarande få fylla i väldigt mycket dokumentation. Det är svårt att sätta fingret på hur mycket ett certifikat gör i en försäljningssituation, men i många situationer är ju ett fåtal leverantörer kvar och att anlita, använd ett bolag som är ISO 27001 certifierat och har ett färskt certifikat. Då vet man att man får en administration som måste ha någon form, ganska hög och grundläggande koll på sina informationstillgångar.
Informant C uppger att organisationens varumärke har stärkts och att certifieringen har skapat nya affärsmöjligheter.
Vi använder vårt certifikat och vår certifiering inte bara för att hålla, klart en väldigt hög nivå inom produktionslinjen och i förvaltnings delen, utan också som en säljpitch. Vi är ju, och det ska man vara, vi är stolta över att visa upp certifikatet och kunderna gillar det.
Informant D:
Informant D menar att det är för tidigt att säga om ISO/IEC 27001-certifieringen har gett några konkurrensfördelar, då organisationen certifierade sig en relativt kort tid innan intervjun ägde rum. Informanten beskriver ändå att certifieringen redan har blivit en stark del av organisationens varumärke.
Kanske inte just med ISO, men vi är ju ett nytt svenskt bolag med service i Sverige så det försöker vi trycker på med våran marknadsföring, jämfört med våra amerikanska konkurrenter då. Och då är såklart ISO 27001 en starkt del i varumärket också då, att vi jobbar så.
4.2.4 Informationssäkerhetskultur
Flera informanter har beskrivit organisationens informationssäkerhetskultur efter ISO/IEC 27001-certifieringen.
Informant A:
Informanten A menar att organisationen har mer fokus på informationssäkerhet och att alla i organisationen har fått en ökad säkerhetsmedvetenhet.
Det är en högre medvetenhet inom organisationen, att tänka på säkerhet. Det finns på agendan vid varje månadsmöte. Om det funnits några säkerhetsincidenter som vi har upplevt, informationssäkerhetsincidenter då för att förtydliga, under den senaste månaden.
Informant B:
Informant B menar att informationssäkerhetskulturen har förbättrats, och beskriver att organisationen har en högre förståelse för informationssäkerhet. Informanten beskriver sina medarbetare som IT-säkerhetsintresserade, med få undantag. Där ISO/IEC 27001-certifieringen har inneburit att medarbetare fått en bättre förståelse för vad informationssäkerhet handlar om. Att det mer handlar om att få till ett regelverk för ständig förbättring och få igång en process för informationssäkerhet, menar informant B.
Så den interna effekten är väl mer, mer ordning och reda och ett högre fokus på informationssäkerhet än vad vi hade tidigare. Vi har en högre förståelse för det. Ni kan ju tänka er, vi har alla våra medarbetare har en teknisk utbildning i princip det finns något undantag, någon ekonomiansvarig, men, och alla är extremt intresserad av IT-säkerhet som jobbar hos oss. Så att, att alla tycker att man är Tarzan på IT-säkerhet, men det är egentligen inte det som ISO 27000 handlar om. Utan det är mer att få till ett regelverk för ständig förbättring och liksom få igång en maskin för det här, och den har vi ju fått på plats. Och man har vänt den här säkerhets expert attityden till att få en högre förståelse, vad det egentligen handlar om, bland våra medarbetare också.
Informant C:
Informant C uppger att alla i organisationen är mer medvetna om informationssäkerhet samt att nyanställda utbildas inom informationssäkerhet. Dock menar informanten att informationssäkerhetsmedvetenheten fanns med i organisationskulturen sedan tidigare.
Alla är betydligt mycket mer medvetna och vi höjer även nivån på medvetenhet, när vi är nyanställer. De som har varit med från början har en ganska hög medvetenhet och det finns i kulturen att man tar hand om den data som finns. Vi ser att till exempel när vi nyanställd, så får man en nybildad informationssäkerheten när man kom till [organisationen].
Informant D:
Informant D nämnde enbart kort om informationssäkerhetskultur, där informanten beskrev hur medvetenheten har ökat. Dock menar informanten att detta är något som organisationen fortfarande arbetar med.
[. . .] men internt så har vi ändrat beteende och ökat medvetenheten hos medarbetarna. Sen så gäller det ju, jätteviktigt också i det här att försöka bibehålla den med vidareutbildning och påminnelser, kring att det inte är över för att vi är certifierade, nu måste vi fortsätta jobba med det här. Vilket kanske inte har gått upp till alla liksom än. Jag tror vi kommer behöva några månader, kanske till och med år till innan det sitter mycket djupare i organisationen.
Informant D beskriver ett exempel om hur anställda ska agera och rapportera säkerhetsincidenter.
Och då tänker jag mycket på man ska ju informera när det är en säkerhetsincident. Till exempel man har fått något, skicka pengar till mig fort eller spam mail och sådant. Eller att, kanske någon kunddata som försvunnit eller något. Ökar den medvetenheten, att rapportera det och hitta dem rutinerna. Det är fortfarande något vi jobbar på.
4.2.5 Informationssäkerhetsarbete
Samtliga informanter beskrev hur informationssäkerhetsarbetet hade förändrats efter ISO/IEC 27001-certifieringen.
Informant A:
Då organisationen som tidigare nämnt certifierats enligt en liknande standard som bland annat behandlar informationssäkerhet, i och med detta menar informant A att organisationen inte uppnådde något ytterligare med ISO/IEC 27001-certifieringen. Då informant A menar att organisationen redan uppnått målet av en förbättrad informationssäkerhet genom den tidigare certifieringen.
Informanten uppger dock att ISO/IEC 27001-certifieringen har resulterat i förbättrade processer, och tar upp den förbättrade incidenthanteringen och processer för fysisk säkerhet som exempel.
Informant B:
Informant B menar att organisationen haft rätt bra koll på informationssäkerhet tidigare men att ISO/IEC 27001-certifieringen har förbättrar strukturen och fått bättre fokus på informationssäkerhetsarbetet. Informant B beskriver hur organisationen har tvingats vara extremt tydliga när det gäller informationssäkerhet på grund av certifieringen. Informanten beskriver i ett förtydligande att certifieringen kan liknas vid en hygienfaktor.
[. . .] vi har fått ett, fått på plats ett ledningssystem, att hantera det här och vi har ju också fått en, ja bättre ordning och reda alltså, mer fokus internt då, det blir ju det. Vi har tvingats till ett regelverk, och tvingas vara extremt tydliga runt informationssäkerhet och de bitarna. Och vi har lärt oss väldigt mycket på den här processen. Det har varit en jobbig process, kan jag ju säga, verkligen, men jag känner att det har varit värt det.
Dock uppger informant B att det inte är någon dramatisk förändring av informationssäkerheten i organisationen, utan snarare en uppskärpning vad gäller policys, särskilt de som gäller anställda. Informant B beskriver även hur arbetet har formaliserats, i synnerhet avvikelsehanteringen. Informanten uppger att klienthantering, men menar att det annars inte varit några stora förändringar med ISO/ IEC 27001-certifieringen.
[. . .] vi hade rätt bra koll på det tidigare. Det tycker jag, så att det är inga dramatiska förändringar men det är väl mer en uppskärpning av det hela. I dokument i mallar och regler och framförallt regelverket då ut till anställda. Vad som är okej, vad som inte är okej.
Informant C:
Informant C uppger att organisationen har bättre kontroll. Informanten beskriver även hur ISO/IEC 27001-certifieringen har medfört att kritisk data verkligen hanteras korrekt.
[. . .] mycket större medvetenhet om hur man faktiskt hanterar, i princip allt som är känsligt. Så man får väldigt fina bieffekter att man tar hand om saker på bra sätt. Men sen mycket bättre kontroll, bättre effektivitet i allt operativt, i princip. Och sen såklart då att informationssäkrade system, man kan säkerställa att den data man jobbar med, som är kritisk verkligen hanteras på ett bra sätt.
Certifieringen har inneburit att organisationen håller en högre standard, vilket även ackrediteringsorgan instämmer med, menar informant C. Trots detta menar informanten att det är en förbättrings resa, som kommer ta flera år till.
[. . .] vi är ett litet bolag vilket är en god förutsättning när man ISO certifierad, för att klara certifieringen. För att upprätthålla en hög standard, men ändå trots att vi anses vara väldigt bra på det av våra, av de ackrediteringsorgan som pratar med oss. Så skulle jag säga att det tar säkert tio år innan man väl, liksom superbra på det. Så resan dit är så klart en förbättring.
Informant C berättar hur genom certifieringsprocessen har identifierat kritiska informationstillgångar som informanten tidigare inte värderat på samma sätt. Informanten menar att organisationen hanterar detta säkrare, där ISO/IEC 27001 ger riktlinjer för hur organisationen förbättrar sitt informationssäkerhetsarbete.
Vi har höjt oss avsevärt och framförallt så har vi klarat av att, att scope’a in alla information assets vi har. Det vi i början trodde var det mest kritiska visade sig efter ett tag, att man har mer kritisk information som man behöver hantera. Vi hantera saker säkrare, bättre. Vi håller oss à jour med best practice lösningar. Det innebär att man inte tappar i informationssäkerhetsarbetet.
Informant D:
Informant D menar att organisationen har blivit säkrare efter ISO/IEC 27001-certifieringen, framförallt där anställda inte har så hög IT-vana. Särskilt hur kunddata hanteras och vad anställda gör med information de har tillgång till, berättar informanten.
Och har vi blivit säkrare? Ja, det tycker jag och framförallt i de delarna i organisationen som kanske inte har så hög IT-vana. Så har en högre medvetenhet kring kunddatan. Vad gör man med informationen på sina datorer och såna saker.
Efter certifieringen har arbetsprocesser tydligare dokumenterats och säkerheten kontrolleras numera rutinmässigt, beskriver informant D.
Men med ISO 27001 har ju varit väldigt mycket att du måste bevisa att saker är gjort. Så vi har ju behövt dokumentera väldigt mycket kring våra arbetsprocesser. Och också få på pränt att om någon slutar så, okej, men har vi gått igenom alla system och säkerställt att den personen inte har access och sådana saker. De har ju gjorts historiskt, men i och med att vi har fått in de här processen och rutinerna så tror jag att vi slarvar inte lika mycket.
Informant D berättar att efter certifieringen har organisationen en bättre struktur för arbetet med informationssäkerhet, hur man förebygger och hur man hindrar att incidenter sker igen. Vilket kommer minska antalet incidenter över tid uppger informanten.
Om man ska sammanfatta så, vi fick ta fram väldigt mycket på processdokument och vi fick ta fram mycket mer rutiner för att göra de här sakerna. Mycket av det har vi gjort ad-hoc men nu har vi fått mer en struktur, en mall på hur ska man jobba med informationssäkerhet. Sen tycker jag också att en förändring som har skett är att om en incident sker, vilket det alltid gör på ett bolag, att man börjat titta på orsaksanalys. Varför kunde den här incidenten ske, och hur kan vi hindra att den sker i framtiden. Det tycker jag har gjort att vi tänker mer så, och kommer på så sätt minska antalet incidenter med tiden. Desto mer vi jobbar med.
Informanten uppger att ISO/IEC 27001-certifieringen har givit en bättre koll på informationssäkerhet, men att det även skapat mer arbete än tidigare.
Så jag tycker att positivt så har vi fått bättre koll på våran informationssäkerhet och på den negativa sidan är det så klart att det är lite mer jobb än tidigare.
4.2.6 Fortsatt arbete
Samtliga informanter har beskrivit hur organisationen arbetar vidare med LIS.
Informant A:
Informant A beskriver hur organisationen har uppnått ett kontinuerligt förbättringsarbete inom informationssäkerhet, vilket krävs för att behålla certifieringen. Informanten trycker även på att organisationen arbetar för att fånga upp incidenter och förhindra att dessa ska inträffa igen.
[. . .] det ingår ju i certifieringen att, för att vidmakthålla den så är det ett kontinuerligt förbättringsarbete. Där vi hela tiden måste ha en återkoppling från verksamheten, hur man jobbar med detta och fånga upp incidenter och vi tar mått och steg för att inte de här incidenterna ska uppträda igen. För det är så vi jobbar vidare med det för att vidmakthålla detta, det ingår ju i standarden att man måste ha en kontinuerligt arbete.
Informant A berättar även att säkerhetskulturen behöver kontinuerligt arbete, för att behålla denna säkerhetsmedvetenhet.
Informant B:
Informant B menar att ISO/IEC 27001-certifiering mer är ett ramverk för ständig förbättring, där organisationen får på plats en maskin med ständig förbättring och ständiga genomgångar. Med både regelbundna kontroller och händelsestyrda åtgärder berättar informant B vidare. Dock uppger informanten att organisationen behöver arbeta mer med de händelsestyrda aspekterna.
Det är ju något som aldrig är klart, det ju ett ständigt. Vi har ju, i och med den här periodiska aktiviteter och hela den maskinen i ISO 27001, så är vi ju inne i en loop. Som aldrig kommer att ta slut med ständiga förbättringar och ständiga genomgångar, och den är ju både, då tidsstyrd alltså med periodiska aktiviteter som då är väldigt styrda efter regelbundenhet och det ligger då i det här ledningssystemet och kör. Sen får vi väl lära oss mer det event styrda då, det är ju när vi får in en ny kund och hur vi hanterar den nya leverantörer. Alltså det är den, de bitarna som också ska in, som vi jobbar med, som är på plats. Men alltså det är ju ständigt pågående kan jag säga. Så vi, och det ingår i konceptet.
Informant C:
Informant C uppger att ISO/IEC 27001-certifieringen har lett till ett väl fungerande processtyrt arbetssätt. Informanten menar att efter certifieringen handlar om att förvalta och förädla systemet genom kontinuerliga förbättringar. Informanten beskriver även hur informantens syn på ISO/IEC 27001 förändrades efter att ha arbetat med ledningssystemet.
Jag tror att, om man har den förväntas och kanske förhoppningen eller som jag hade att det här blir en stor liksom byråkratisk apparat då, kör man det racet då är det svårt, då kommer det inte funka bra. Men om man istället anammar kontroll objektena för att bygga en organisation och väva in det i befintliga processer, så får man en väldigt väldigt bra apparat. [. . .] man kan göra det på olika sätt och ska man göra det ordentligt så ska man definitivt integrera det i det som passar för ett bolag. Man ska inte, man måste vara villig att förändra lite i processor och arbetssätt som redan finns för att anpassa sig mot ISO’n.
Vidare beskriver Informant C att en extern revisor anlitas av organisationen för att göra regelbundna kontroller.
Informant D:
Informant D beskriver hur arbetet fortsätter efter ISO/IEC 27001-certifieringen, och tar upp olika aktiviteter och kontroller som organisationen går igenom för att behålla certifieringen. Vidare beskriver informanten att det inte är enkelt att förändra en organisation och att det krävs mer utbildning och information för att förändra organisationen på individnivå.
[. . .] det var inte lätt att få organisationen att förändra sig. Utan det gäller ju verkligen att hålla mycket utbildningar, prata om det mycket, statuera exempel. För att få till förändringen. För att den är inte så lätt att. Äh, jag behöver inget lösenord, det är mycket skönare att komma till datorn. Jag behöver inte låsa den, jag skulle ju bara hämta kaffe. Så att de förändringarna var tuffast liksom att få igenom.
5
Analys
Kapitlet ger svar på studiens frågeställningar genom att behandla insamlad empiri och teoretiskt ramverk.
5.1 Målsättningar
Från intervjuerna framkommer det att samtliga informanter har förhoppningar om att ISO/IEC 27001-certifieringen skulle fungera som ett kommunikationsverktyg, där certifikatet fungerar som ett intyg för hur informationssäkerhet hanteras på de representerade organisationerna. Målsättningen med certifieringen var att förbättra kommunikationen med kunder, men även att genom marknadsföring vinna nya kunder.
Dock beskriver informant C tydligt hur målet med ISO/IEC 27001-certifieringen var att i första hand säkra upp kritisk data. Liknande argument återfinns även bland informant B och informant D svar, som genomförde certifieringen främst för att bemöta förväntade krav från kunder. Även informant A nämner informationssäkerhet, men inte som främsta anledning till certifieringen då en tidigare certifiering redan hade förbättrat organisationens informationssäkerhetsarbete.
5.2 Kommunikationsverktyg
Tre av informanterna beskriver hur ISO/IEC 27001-certifieringen är användbart som ett kommunikationsverktyg för organisationens kvalité. Informant B och informant C liknar certifieringen vid en stämpel för organisationens kvalité, när de beskriver hur ISO/IEC 27001-certifieringen har gjort organisationen mer attraktiv. Informant A beskriver på liknande vis hur certifieringen har gett organisationen ett bättre anseende, då certifikatet visar på en högre kvalité inom organisationen. Informant A, informant B och informant C beskriver en positiv attityd eller till och med ett högre förtroende från kunder efter ISO/IEC 27001-certifieringen i kundsamtal.
Samtliga informanter beskriver även en smidigare säljprocess efter ISO/IEC 27001-certifieringen, där certifieringen enkelt visar hur organisationer hanterar informationssäkerhet. Informant A och informant C beskriver ett stort arbetet vid upphandlingar men att dessa sedan kunde besvaras med hjälp av certifieringen. Liknande beskrivningar återfinns även bland informant B och informant D svar.
5.3 Marknadsföringsvärde
Samtliga informanter använder sig utav ISO/IEC 27001-certifieringen i marknadsföringssyfte. Informant A, informant B och informant C menar att certifieringen har skapat konkurrensfördelar. Dock beskriver enbart informant C hur informantens organisation har fått nya affärsmöjligheter. Både informant A och informant B menar att ISO/IEC 27001-certifieringen inte är avgörande i kundbeslut. Informant D beskriver hur organisationen inte haft certifieringen tillräckligt länge för att kunna avgöra om det blivit någon förändring. Ändå beskriver informant C och informant D på olika sätt att ISO/IEC 27001-certifieringen har stärkt organisationens varumärke.
5.4 Informationssäkerhetskultur
Från intervjuerna framkommer det att samtliga informanter uppger att informationssäkerhetskulturen har förbättrats på respektive organisation. Alla informanter beskriver även en ökad säkerhetsmedvetenhet och ett större fokus på informationssäkerhet i organisationen. Dock menar informant D att de behöver arbeta vidare med informationssäkerhetskulturen, genom utbildningar och påminnelser. Informant D beskriver hur det tar tid att förändra en kulturen på en organisation. Dock berättar informant B och informant C om hur deras organisationer redan hade en god informationssäkerhetskultur. Detta skulle kunna förklara varför ingen annan informant beskriver den tid förändringsarbete tar, vilket enbart informant D har gjort. Då förändringen eventuellt var relativt liten, då övriga informanters organisationer redan hade en mer utbredd organisationskultur som värdesatte informationssäkerhet. 5.5 Informationssäkerhetsarbete
Samtliga informanter beskriver hur ISO/IEC 27001-certifieringen har förbättrat informationssäkerhetsarbetet, det är dock stor spridning bland informanternas svar om vad som förändrats. Men det finns även flera likheter, där förbättrade processer, rutiner och struktur för informationssäkerhet ofta beskrivs.
Informant B och informant D tar särskilt upp att certifieringen har förbättrat strukturen för informationssäkerhetsarbete. Detta gör även övriga informanter, men genom att beskriva olika områden av säkerhetsarbetet.
Informant C tar tydligast upp hur ISO/IEC 27001-certifieringen har förbättrat informationssäkerhet, där certifieringsprocessen har identifierat och säkrat kritisk hantering, data och system. Informant D beskriver ett exempel där säkerheten ökade hos organisationen, och menar att antalet incidenter kommer att minska över tid, tack vare certifieringens struktur och iterativa arbete.
