Informationssäkerhet
smedvetenhet
HUVUDOMRÅDE: Informatik
FÖRFATTARE: Kevin Johansson, Tim Paulsson HANDLEDARE: Erik Bergström
JÖNKÖPING 2021 juni
Hur kan små och medelstora företag inom
tillverkningsindustrin arbeta för att öka
Detta examensarbete är utfört vid Tekniska Högskolan i Jönköping inom informatik. Författarna svarar själva för framförda åsikter, slutsatser och resultat.
Examinator: Ulf Seigerroth Handledare: Erik Bergström Omfattning: 15 hp (grundnivå)
Abstract
Information security awareness among employees is something all organizations work with, and which must be constantly improved as new threats arise. The manufacturing industry is particularly vulnerable as they have recently begun to move towards a data-intensive industry. The purpose of the study is to investigate how small and medium-sized companies in the manufacturing industry can increase their knowledge and awareness of information security. The study is conducted via semi-structured interviews which then underwent a thematic analysis.
The study describes the information security controls used in the manufacturing industry and in which way organizations use them to make employees information security aware. Information security managers describe the motives behind their choice of information security controls and how they adapt the training to increase information security awareness among employees. The employees describe how they feel that the information security controls work and how they could be changed.
The study's conclusion contributes with recommendations for how organizations should proceed in order to make their employees aware of information security in the most effective way. The study also clarifies structural attributes that must be considered when introducing information security controls. The authors also draw attention to the importance of a simplified language within the organization, but also that it is important to create a safe work environment where employees can present incidents without feeling humiliated.
Sammanfattning
Informationssäkerhetsmedvetenhet hos anställda är något alla organisationer arbetar med och som ständigt måste förbättras eftersom nya hot uppkommer. Detta arbete är centralt och utmanande inom samtliga industrier, tillverkningsindustrin är extra utsatt eftersom de på senaste tid börjat gå mot en alltmer dataintensiv industri. Syftet med studien är att undersöka hur små och medelstora företag inom tillverkningsindustrin kan öka sin kunskap om- och medvetenhet avseende informationssäkerhet. Undersökningen genomförs via semi-strukturerade intervjuer som sedan genomgår en tematisk analys.
Studien beskriver de informationssäkerhetåtgärder som används inom tillverkningsindustrin och på vilket sätt organisationerna använder de för att göra anställda informationssäkerhetsmedvetna. Informationssäkerhetsansvariga beskriver de motiven som ligger bakom deras informationssäkerhetsåtgärdsval och hur de anpassar utbildningen för att öka informationssäkerhetsmedvetenheten hos anställda. De anställda beskriver hur de upplever att informationssäkerhetsåtgärderna fungerar och berättar hur de tycker att utbildningarna ska förändras.
Studiens slutsats bidrar med rekommendationer för hur organisationer bör gå till väga för att på det mest effektiva sättet få sina anställda informationssäkerhetsmedvetna. Studien tydliggör även för de struktursattribut som måste övervägas vid införandet av informationssäkerhetsåtgärder. Författarna uppmärksammar också betydelsen av ett förenklat språk inom organisationen, men även att det är viktigt att skapa en trygg arbetsmiljö där anställda kan framföra incidenter utan att känna sig uthängda.
Nyckelord
Informationssäkerhet, informationssäkerhetsmedvetenhet, tillverkningsindustrin, små och medelstora företag, informationssäkerhetsåtgärder, träningsåtgärder, medvetenhetsåtgärder, utbildningsåtgärder
Innehållsförteckning
1
Introduktion ... 1
1.1 PROBLEMFORMULERING ... 2 1.2 SYFTE ... 4 1.3 FRÅGESTÄLLNINGAR ... 5 1.4 AVGRÄNSNINGAR ... 6 1.5 DISPOSITION ... 62
Metod och genomförande ... 7
2.1 FORSKNINGSANSATS ... 7 2.2 DATAINSAMLING ... 7 2.3 TILLVÄGAGÅNGSSÄTT FÖR DATAINSAMLING ... 8 2.4 DATAANALYS ... 9 2.5 INNEHÅLLSANALYS ... 10 2.6 TROVÄRDIGHET ... 11 2.7 ÖVERVÄGANDEN ... 12
3
Teoretiskt ramverk ... 13
3.1 INFORMATIONSSÄKERHET ... 133.1.1 Informationssäkerhet inom tillverkningsindustrin ... 15
3.1.2 Informationssäkerhet i små och medelstora företag ... 16
3.2 INFORMATIONSSÄKERHETSMEDVETENHET ... 16
3.2.1 Generell Informationssäkerhetsmedvetenhet ... 17
3.2.2 Medvetenhet till Informationssäkerhetspolicy ... 18
3.3 ÅTGÄRDER FÖR ATT ÖKA INFORMATIONSSÄKERHETSMEDVETENHET ... 19
3.3.2 Träningsåtgärder ... 21
4
Resultat ... 24
4.1 EMPIRI ... 24 4.1.1 Utbildningsåtgärder ... 24 4.1.2 Organisationsstorlek ... 26 4.1.3 Hotbilden ... 26 4.1.4 Informationsanpassning ... 27 4.1.5 Applicerbarhet ... 28 4.1.6 Motivation av anställda ... 30 4.2 ANALYS ... 32 4.2.1 Forskningsfråga 1 ... 32 4.2.2 Forskningsfråga 2 ... 34 4.2.3 Forskningsfråga 3 ... 355
Diskussion ... 38
5.1 RESULTATDISKUSSION ... 38 5.1.1 Forskningsfråga 1 ... 38 5.1.2 Forskningsfråga 2 ... 40 5.1.3 Forskningsfråga 3 ... 41 5.2 METODDISKUSSION ... 436
Slutsatser och rekommendationer ... 45
6.1 PRAKTISKA IMPLIKATIONER ... 45
6.2 VETENSKAPLIGA IMPLIKATIONER ... 47
6.3 VIDARE FORSKNING ... 49
Referenser ... 50
1
Introduktion
Dagens samhälle är alltmer beroende av informationsteknik (IT) för att kunna utvecklas och effektiviseras. I takt med att organisationer förlitar sig mer på IT för att kunna konkurrera på marknaden har även deras information blivit mer skyddsvärd (Mastrobuoni, 2020). Brister och sårbarheter i informationssystem som utnyttjas av hot kan bland annat leda till finansiella förluster och förtroendeproblem för organisationer (MSB, 2019).
För att reducera risken av en lyckad attack förlitar sig ofta organisationer på tekniska lösningar för att uppnå informationssäkerhet (Bulgurcu, Cavusoglu, & Benbasat, 2010). Trots att dessa tekniska åtgärder tillför skydd för informationsrelaterade attacker kan organisationer sällan endast förlita sig på de för att skydda sin information (Cavusoglu, Cavusoglu, Son, & Benbasat, 2009). De bör i stället kombineras med administrativa säkerhetsåtgärder för att skapa ett balanserat skydd (Bulgurcu, et al., 2010). Organisationer har under senare tid uppmärksammat och fokuserat på införande av administrativa åtgärder som informationssäkerhetspolicys (ISP) och utbildning inom informationssäkerhet för anställda. Detta fokusskifte har rötter i att organisationer förstått vikten av att skydda den svagaste länken till deras system som generellt är människan (Diehl, 2016; Merhi & Ahluwalia, 2019). När organisationer har skapat och infört informationssäkerhetspolicys kvarstår dock problematiken eftersom inte alla följer de uppsatta reglerna och förhållningarna som ska förhindra attacker (Siponen, Mahmood, & Pahnila, 2014). Anställdas efterlevnad av informationssäkerhetspolicys har studerats från flertalet perspektiv som avskräckande faktorer och normer bland anställda till informationssäkerhetspolicys (Herath & Rao, 2009), stress-relaterad avvikelse av informationssäkerhetspolicys (D'Arcy, Herath, & Shoss, 2014) och organisationskulturens betydelse till efterlevnad (Yuryna Connolly, Lang, Gathegi, & Tygar, 2017). En studie av (Ling, Wu, Li, Ivan, & Xiaohong, 2019) utvecklar vidare genom att beskriva kopplingen mellan anställdas informationssäkerhetspolicy-medvetenhet och dess efterlevnad, de menar att anställda med låg informationssäkerhetspolicy-medvetenhet inte upprätthåller de förväntningar som specificeras i informationssäkerhetspolicy. Culot och Fattori (2019) beskriver att inom tillverkningsindustrin är informationssäkerhetsmedvetenhet (ISA) hos anställda låg och att de anställda endast besitter grundläggande informationssäkerhetskompetenser, exempelvis hur lösenord
lagras och hur de undviker phishing-mejl. Detta kan förklara varför tillverkningsindustrin blir utsatt för många säkerhetsintrång (Rose, 2015).
1.1 Problemformulering
Varje år förekommer stora mängder dataintrång och informationsläckage. Det innebär att hög informationssäkerhet är viktigt för organisationer. Trots ansträngningar och ekonomiska investeringar i informationssäkerhetsåtgärder för att skydda organisationers information uppstår det intrång (Al-Omari, Deokar, El-Gayar, Walters, & Aleassa, 2013). Park och Ruighaver (2008) hävdar att även om organisationer har insett vikten av informationssäkerhet är det många som inte upprätthåller en balans mellan administrativa och tekniska säkerhetsåtgärder. Denna obalans påvisas även i Franke och Wernbergs (2020) studie.
Obalansen av informationssäkerhetsåtgärder har resulterat i att många organisationer förlitar sig på tekniska lösningar i stället för att strategiskt tänka över vilken implementation är den lämpligaste säkerhetsåtgärden (Al-Omari, et al., 2013). Bristen på administrativa säkerhetsåtgärder har då tillåtit riktade attacker att lyckas, vilket leder till att fler attacker utförs mot människan (Beznosov, Beznosova, & Furnell, 2007). Hackern Mitnick konstaterade att hans framgång är tack vare outvecklade administrativa säkerhetsåtgärder och att han därför har fokuserat sina attacker där och inte via tekniska vägar (Press, 2000). Vid ett flertal tillfällen har det visat sig att anställda väljer att nonchalera organisationens policys. Detta ger intrycket av att administrativa säkerhetsåtgärder är oväsentliga då exempelvis organisationens anställda väljer att kringgå de policys som organisationen har infört (Siponen et al., 2014).
Enligt Enigbokan och Ajayj (2017) är administrativa åtgärder väsentliga för att kunna bibehålla informationssäkerhet. Människan beskrivs ofta som den svagaste länken inom informationssäkerhet, eftersom organisationer inte kan försäkra att efterlevnad av policys och riktlinjer följs (Diehl, 2016; Merhi & Ahluwalia, 2019). Detta styrks även av Workman & Gathegi (2007) som beskriver att informationssäkerhetsrelaterade hot ofta utnyttjar svagheter i det mänskliga beteendet. Organisationer formulerar informationssäkerhetspolicys som består av olika arbetssätt, riktlinjer, roller och ansvar. Denna informationssäkerhetspolicy förväntas följas av anställda då den
specificerar hur dem ska arbeta säkert för att inte utsätta organisationen för risker (Nayak & Hodeghatta Rao, 2014; Li, Pan & Zhang, 2019).
Enligt Bulgurcu et al. (2010) kan informationssäkerhetsmedvetenhet (ISA) definieras som den anställdas generella kunskap om informationssäkerhet och deras medvetenhet till organisationens informationssäkerhetspolicy. Bilal et al. (2011) menar även att ytterligare faktorer bidrar till utformningen av informationssäkerhetsmedvetenhet, där attityd, normer och intentioner formar beteenden tillsammans med den befintliga kunskapen som utgör grunden för informationssäkerhetsmedvetenhet.
Den generella kunskapen består av anställdas förståelse och kännedom av hot och risker relaterat till informationssäkerhet, samt kunskap om hur dessa hot ska hanteras eller bemötas för att förhindra intrång. Utöver kunskap om hot och hur intrång förhindras, behöver anställda veta vilka tillgångar som behövs skyddas, värdet av dessa tillgångar och vilka sårbarheter som kan utnyttjas. Detta skapar en förståelse hos de anställda för varför en tillgång blir en måltavla och vad konsekvensen av ett lyckat intrång kan innebära (Bulgurcu, et al., 2010; Rocha Flores & Antonsen, 2013). Kunskapen av informationssäkerhet som anställda besitter är en av delarna i informationssäkerhetsmedvetenhet. För att anställda ska kunna applicera sin kunskap och uppfylla organisationens säkerhetskrav krävs en kännedom och förståelse av informationssäkerhetspolicyn (Bulgurcu, et al., 2010; Rocha Flores & Antonsen, 2013; Bauer & Bernrioder, 2017). Exempelvis kan anställda känna till att de inte ska läcka kundinformation till obehöriga, någonting som organisationens policy också innefattar. Problemet är att de anställda inte förstår vilken information som policyn applicerar eller på vilket sätt det berör dem. För att anställda ska vara informationssäkerhetsmedvetna behövs en kännedom av att organisationen har infört en policy och vad den innefattar, med denna grund behöver sedan anställda skapa sig en förståelse för hur policyn berör dem, på vilket sätt det förändrar arbetet samt vad målet med policyn är. (Bulgurcu, et al., 2010; Rocha Flores & Antonsen, 2013). Informationssäkerhetsmedvetenhet anses vara den viktigaste faktorn som kan påverka anställda att efterleva organisationens säkerhetskrav (Siponen, 2000). Detta styrks av Gundu (2019) som förklarar att första steget till efterlevnad är att vara medveten då det är svårt att efterleva någonting som inte känns till eller förstås.
För att anställda ska bli informationssäkerhetsmedvetna använder sig organisationer av olika informationssäkerhetsåtgärder (Goode et al., 2018). Dessa
informationssäkerhetsåtgärder kommer i många varierande former och är avsedda att skapa en förståelse för vad, hur och varför säkerhetsmedvetenhet behövs. Anställda måste alltså känna igen hot, risker och sårbarheter. De måste även ha relevant kompetens genom olika träningar och övningar. De anställda måste även förstå sårbarheter och hot men även värdet av de tillgångar som måste skyddas (Hänsch & Benenson, 2014). Exempelvis används nyhetsbrev för att anställda ska kunna identifiera hot som finns, workshops nyttjas med syftet att träna anställda hur de bör arbeta för att förhindra intrång. Diskussionsseminarium kan sedan användas för att bygga en förståelse för varför anställda ska arbeta säkert och vilka konsekvenser ett intrång får (Hänsch & Benenson, 2014). Bada och Nurse (2019) skriver att alla organisationer upplever svårigheter att få sina anställda informationssäkerhetsmedvetna. Detta är ett kontinuerligt arbete som kräver mycket tid och resurser, något små och medelstora företag (SMF) inte har (Ponsard, Grandclaudon & Bal, 2019). Det blir ännu mer problematiskt för små och medelstora företag inom tillverkningsindustrin som redan beskrivs som en icke-dataintensiv industri vilket kan medföra ett mindre fokus av resurser på IT och informationssäkerhet (Chua, Wong, Low & Chang, 2018; Bada & Nurse, 2019). Anställda inom tillverkningsindustrin karaktäriseras av låg informationssäkerhetsmedvetenhet och grundläggande informationssäkerhetskunskaper vilket blir problematiskt eftersom tillverkningsindustrin går mot ett mer dataintensivt håll med introduktionen av Industry 4.0 som introducerar mer digitaliserade och informationskrävande teknologier (Culot, et al., 2019).
1.2 Syfte
I problemformuleringen framgår det att den mänskliga faktorn är den främsta orsaken till dataintrång och informationsläckage. Vidare framgår det att anställda inom tillverkningsindustrin karaktäriseras av låg informationssäkerhetsmedvetenhet och grundläggande informationssäkerhetskunskaper. Det innebär att informationssäkerhetsåtgärder måste vidtas för att upprätthålla anställdas informationssäkerhetsmedvetenhet, då tillverkningsindustrin går mot en mer data-intensiv riktning. Problemet är dock att små och medelstora företag har begränsade resurser att investera i informationssäkerhet. Därmed måste de välja lämpliga informationssäkerhetsåtgärder som är resurseffektiva, upplevs fungera hos de anställda
och är kontinuerligt genomförbara för att anställda ska fortsätta vara informationssäkerhetsmedvetna. Därmed är syftet med denna studie att:
Undersöka hur små och medelstora företag inom tillverkningsindustrin kan öka sin kunskap om- och medvetenhet avseende informationssäkerhet.
Studien avser att producera rekommendationer för lämpliga informationssäkerhetsåtgärder som upplevs fungera hos små och medelstora företag inom tillverkningsindustrin, som i sin tur organisationer inom tillverkningsindustrin eller andra industrier kan applicera för att förbättra informationssäkerhetsmedvetenheten hos deras anställda.
1.3 Frågeställningar
För att kunna besvara syftet har det brutits ned i tre frågeställningar.
För att rekommendationer ska vara möjliga att tas fram, behövs en kännedom om vilka åtgärder organisationer använder sig av för att öka anställdas informationssäkerhetsmedvetenhet. Därmed är studiens första frågeställning:
1. Vilka informationssäkerhetsåtgärder använder små och medelstora företag inom tillverkningsindustrin för att öka kunskap om- och medvetenhet om informationssäkerhet hos anställda?
När aktuella informationssäkerhetsåtgärder är dokumenterade, behövs förståelse för varför organisationen har valt att införa dessa informationssäkerhetsåtgärder. Genom att förstå varför vissa informationssäkerhetsåtgärder införts, kan motivationen till organisationers val av informationssäkerhetsåtgärder är analyseras. Denna analys utgör grunden till de rekommendationer som studien avser ta fram. Därmed är studiens andra frågeställning:
2. Hur motiveras dessa informationssäkerhetsåtgärder för att öka kunskap om- och medvetenhet om informationssäkerhet hos anställda?
Baserat på vilka informationssäkerhetsåtgärder som organisationer använder sig av, undersöks vilka informationssäkerhetsåtgärder som anställda upplever som de mest gynnsamma och effektiva, och därmed rekommenderade för andra SMF. Därmed är studiens tredje frågeställning:
1.4 Avgränsningar
Enligt studiens problemformulering har studien valt att avgränsats till små och medelstora företag inom tillverkningsindustrin. Studien avgränsas även till enbart svenska företag då det förenklar intervju- och transkriberingsprocessen samt förminskar risken av missförstånd vid språkskillnader. På grund av rådande pandemi Covid-19 har studien avgränsats till en intervjustudie (se kapitlet 2.2 Datainsamling) då det möjliggör datasamling på distans. Då studien fokuserar på informationssäkerhetsåtgärder som kan användas för att öka kunskap och medvetenhet av informationssäkerhet hos anställda avgränsas studien till administrativ säkerhet (se kapitel 3.1 Informationssäkerhet). Vidare avgränsas studiens definition av informationssäkerhetsmedvetenhet genom att den utesluter attityder, normer och beteende som faktorer, denna avgränsning gjordes då studien inte fokuserar på beteendevetenskap och då det saknas en tydlig och homogen teoretisk bakgrund.
1.5 Disposition
Rapporten inleds med en redogörelse för metod och genomförande i kapitel 2 där strategin för studien beskrivs. Här presenteras datainsamlingsmetod som följs av analys och trovärdighet av data. Därefter följer kapitel 3 det teoretiska ramverket, där väsentliga begrepp introduceras och förklaras, samt forskning som utgör grunden för studien. I kapitel 4 presenteras och värderas det insamlade materialet genom vald analysmetod för att framställa resultatet. Studien avslutas med kapitel 5 diskussion och kapitel 6 slutsatser där resultatet och använd metod diskuteras samt utvärderas. Här presenteras även förslag på framtida forskning och de implikationer studien kommer producera.
2
Metod och genomförande
Detta kapitel går igenom val av tillvägagångsätt för att samla in empirisk data, samt vilken analysmetod som används. Därefter beskrivs trovärdighet och överväganden.
2.1 Forskningsansats
Studien undersöker hur små och medelstora företag inom tillverkningsindustrin kan öka sin kunskap om- och medvetenhet avseende informationssäkerhet. Den problembild som presenteras i problemformulering redogör för att anställda inom tillverkningsindustrin karaktäriseras med låg informationssäkerhetsmedvetenhet, samt att små och medelstora företag inom tillverkningsindustrin har begränsat med resurser att investera i informationssäkerhet. Flertalet tidigare studier inom problemområdet har använt sig av kvantitativa metoder för att undersöka fenomenet. Studien avser därmed utföra en kvalitativ undersökning för vilka informationssäkerhetsåtgärder som används hos dessa organisationer för att framföra informationssäkerhetsansvarigas motivering till åtgärdsval och för att skapa en förståelse för hur anställda upplever att informationssäkerhetsåtgärderna fungerar. Den kvalitativa grunden möjliggör därmed en nyansering av problembilden. Studien avser även att först intervjua informationssäkerhetsansvariga och sedan anställda vilket kan visa dynamiken mellan informationssäkerhetsansvariga intention och verkan på de anställda. Detta sammanställs sedan för att framföra rekommendationer för de informationssäkerhetsåtgärder som är lämpliga och upplevs fungera.
2.2 Datainsamling
Då studiens ansats är av kvalitativ natur utsågs semi-strukturerade intervjuer vara den valda processen för datainsamling. Kvalitativa intervjuer ger möjligheten för informationssäkerhetsansvariga och anställda att dela med sig av egna uppfattningar och perspektiv, samt möjliggör en rörligare struktur som främjar vad respondenten anser vara viktigt och relevant (Bryman & Nilsson, 2002). Andra metoder har övervägts för att besvara frågeställningarna. Observation övervägdes som en lämplig metod för att få ett mer omfattande material från organisationer där författarna har möjlighet att under en period observera samt intervjua respondenter i organisationen eftersom det ger möjlighet till en tydligare bild av hur anställda upplever de införda informationssäkerhetsåtgärderna. Observation uteslöts som datainsamlingsmetod då den kräver mer tid än vad som är tillgänglig samt minskar antalet organisationer som
har möjlighet att delta i studien (Blomqvist & Hallin, 2015). Observation ansågs heller inte genomförbart med de rådande restriktionerna i och med den pågående pandemin COVID-19. En observationsstudie kräver att författarna befinner sig på arbetsplatsen, vilket inte är möjligt med tanke på restriktionerna.
Ett annat alternativ hade varit att utföra intervjuer via fokusgrupper, där ett antal anställda bjuds in och förfrågas. Problematiken som uppstår är dock att de anställda kan enkelt dras med i grupptrycket och att gruppen då representerar en eller ett antal anställdas åsikter istället för att individuellt hävda sin åsikt. I fokusgrupper förväntas det även att alla respondenter kommer till tal för att alla perspektiv och åsikter presenteras, däremot finns det en risk att respondenter kan skygga undan och inte våga uttrycka sig om sina perspektiv och åsikter (Blomqvist & Hallin, 2015).
Som tidigare nämnt har författarna valt att utföra intervjuerna i formen av semi-strukturerade intervjuer. En semi-strukturerad intervju möjliggör att en öppen diskussion kan utföras där respondenten har friheten att utforma svaren på sitt sätt, samt att följdfrågor ställs med syfte att få en djupare förståelse till det tidigare givna svaret (Saunders, Lewis, & Thornhill, 2019). En intervjuguide med relaterade frågor har framställts med syftet att hålla intervjuerna i rätt riktning men ändå tillåta respondenter att svara fritt (Bryman & Nilsson, 2002).
2.3 Tillvägagångssätt för datainsamling
Arbetsprocessen startade med att hitta lämpliga företag som passade det urval vi hade begränsat oss till (se kapitel 1.4 Avgränsningar) samt framställningen av de intervjuguider som nyttjats vid respektive intervju (se bilaga 2 & 3). Den initiala kontakten har skett via epostmeddelanden (se bilaga 1), där 40 organisationer har kontaktats med en förfrågan att delta i författarnas studie. Efter konversation via e-post alternativt samtal via telefon, bokades intervjuer in med intressenter från varierande organisationer. Första intervjun för varje organisation började med personen som ansvarar för vilka utbildningsåtgärder som valts att införas inom organisationen. Detta uppföljdes av två intervjuer med ordinarie anställda inom samma organisation.
Vid intervjuernas start beskrevs studiens- samt intervjuns syfte och de etiska aspekterna som berör respondenten (se kapitlet 2.5 Överväganden). Respondenten uppmuntrades även att utveckla sina svar samt exemplifiera utbildningsåtgärderna som används inom
som erbjuder inbyggd inspelningsteknik. Intervjuerna transkriberades sedan av båda författarna i ett gemensamt dokument, där intervjuerna spelades upp i sänkt hastighet för att kunna transkribera konversationerna.
2.4 Dataanalys
Studien använder sig av tematisk analysmetod för att analysera den data som samlats in. Tematisk analys är den vanligaste analysmetoden vid analysering av kvalitativa data, då den är mindre komplex än andra analysmetoder och eftersom den används för att undersöka teman eller mönster som uppkommer från den insamlade datan (Saunders, et al., 2019). En tematisk analys förser författarna med ett systematiskt sätt att organisera och logiskt analysera kvalitativa data, genom att datan kategoriseras utefter ord eller begrepp som respondenterna använder sig av vid intervjuerna (Blomqvist & Hallin, 2015; Saunders, et al., 2019). Kategorisering av data möjliggör att analys av stor mängd data och en mindre mängd kan genomföras, vilket medför flexibilitet vid urval av respondenter (Saunders, et al., 2019).
En tematisk analys genomgår sex faser (Clarke, Braun & Hayfield, 2006)
1. Bekantskap av data - Författarna gör sig bekanta med insamlade data genom att åter lyssna ljudfiler från intervjuer samt återläser det transkriberade materialet och noterar mönster i data.
2. Sortering - En systematisk process där författarna identifierar och sorterar relevant data utefter egenskaper. Datan sorteras då inom kategorier som författarna har valt att framställa med åtanke till de identifierade egenskaperna hos empirin.
3. Identifiering av teman - Den insamlade datan analyseras och passande tema diskuteras och framförs.
4. Genomgång av teman - Författarna går igenom framförda teman och utvärderar ifall de passar till det sorterade materialet, författarna väljer sedan att förändra eller behålla teman.
5. Definition och namngivning av teman - Författarna sammanställer datan under teman och namnger varje tema, vilket underlättar framställning av slutsatsen. 6. Rapportskrivning - Författarna binder ihop det empiriska materialet med de
teman som tidigare framställdes för att framföra den analytiska slutsatsen som sedan presenteras i rapporten.
2.5 Innehållsanalys
Intervjuerna transkriberades gemensamt för att säkerställa att materialet inte förändras utefter författarnas egna uppfattningar och åsikter, den transkriberade texten genomgick även justeringar för att undvika upprepningar och missuppfattningar som förekom under intervjuerna. Författarna bekantar sig sedan med datan och påbörjar en gemensam sortering av citeringar som anses kunna besvara studiens frågeställningar. När allt material har genomgått sortering kan författarna tillsammans diskutera fram lämpliga huvudkategorier och underkategorier som var återkommande i majoriteten av intervjuerna och kan placeras i det teoretiska ramverket. Författarna återvänder sedan till datan för att göra en ytterligare sortering baserat på de framtagna kategorierna. Efter sorteringsprocessen filtreras citaten under respektive kategori för att skapa en tydlig bild av den insamlade empirin. Denna slutgiltiga version kan författarna sedan granska för att förstå hur resultatet besvarat frågeställningarna och därefter formulera analysdelen av resultatkapitlet. Se figur 1 för en visualisering av hur analysprocessen kommer genomföras.
2.6 Trovärdighet
För att förstärka pålitligheten av studien har flera faktorer övervägts av författarna. Bland annat är tid och datum något som anses vara viktigt för att undvika att respondenten samt författarna genomför intervjun där exempelvis stress, hunger eller trötthet kommer påverka studiens resultat (Saunders, et al., 2019). För att undvika att respondenten bidrar med partiska svar är intervjufrågorna och följdfrågorna ställda på ett neutralt sätt, respondenten efterfrågas även att placera sig i ett slutet rum där de kan känna sig anonyma och inte bli avlyssnade. För att försäkra validiteten av den insamlade datan, kontrolleras datan av de respondenter som empirin framställts utifrån. Respondenterna kan då korrigera datan utefter vad de menade med svaren och därmed validera den datan som används för att framställa resultatet (Saunders, et al., 2019). Studiens validitet förstärks av triangulering med hjälp av olika datakällor. Denna trianguleringsmetod innebär att insamlad data valideras genom att flera olika källor konstaterar samma eller liknande svar. Författarna avser att intervjua både anställda som deltar vid utbildningsåtgärder inom informationssäkerhet samt en person som varit delaktig i valet av tidigare nämnd utbildningsåtgärd. Den insamlade datan från båda källorna kan då jämföras med varandra och ge en klarare bild av fenomenet (Carter, DiCenso, Blythe, & Neville, 2014; Saunders, et al., 2019).
Analysen avser att identifiera vilka åtgärder som används, vilka argument som används för att välja åtgärderna samt vilka av dessa åtgärder som upplevs fungera bäst. Men då respondenternas svar kan skilja sig åt vid öppna frågor, sker analysen tematiskt. Det innebär att teman framställs utefter respondenternas svar. För att andra författare ska ha möjligheten att någorlunda reproducera resultatet som studien kom fram till, är det förutsatt att samma frågor, urval och analysmetod används (Blomkvist & Hallin, 2015). Då studien genomförs av två författare kan även den interna reliabiliteten av studien stärkas då både insamling, analys och resultat av data valideras och diskuteras innan den presenteras (Saunders, et al., 2019). Det finns dock även brister med studiens trovärdighet. Då studien inkluderar ett lågt antal respondenter från en specifik industri finns en risk att resultatet inte ger en balanserad och faktiskt bild som är generaliserbar. Författarnas oerfarenhet av att utföra intervjuer kan även påverka trovärdigheten av studiens resultat.
2.7 Överväganden
Författarnas studie förhåller sig till Vetenskapsrådets fyra forskningsetiska principer inom humanistisk-samhällsvetenskaplig forskning (Vetenskapsrådet, 2002):
1. Informationskravet: Informanterna måste känna till studiens syfte. 2. Samtyckeskravet: Informanterna måste godkänna deltagandet i studien
3. Konfidentialitetskravet: Allt material ska behandlas konfidentiellt och får därför inte delas fritt.
4. Nyttandekravet: Insamlat material får enbart används till det som informerats om.
Deltagande respondenter har informerats att insamlad data hanteras utmed Vetenskapsrådets fyra forskningsetiska principer. Vid intervjuernas start informerades respondenten om syftet med studien och att allt material som samlats in hanteras konfidentiellt samt enbart mellan författarna. Respondenten tillfrågades samtidigt om deras medgivande för deltagande i studien och meddelades att det insamlade materialet enbart används för att besvara syftet med studien.
Utöver de fyra forskningsetiska principerna förhåller sig studien till GDPR (General Data Protection Regulation). GDPR ställer högre krav på transparens och informerat samtycke, alltefter artikel 12 (EU, 2016). Det innebär att respondenten ska tillhandahållas all information enligt artikel 13 och 14, samt all kommunikation enligt artiklarna 15 – 22 och 34 på ett koncist, klart och tydligt sätt. Informanterna har även ”Rätt till radering” enligt artikel 17, detta medför att författarna är beredda att exkludera och radera respondenters personuppgifter efter begäran (EU, 2016).
3
Teoretiskt ramverk
I teoretiskt ramverk tas väsentliga begrepp upp samt viktig bakomliggande forskning som studien är baserat på.
Kapitel 3.1 beskriver vilka egenskaper som bygger upp konceptet informationssäkerhet, vidare redogör kapitlet hur informationssäkerhet hanteras inom tillverkningsindustrin och små och medelstora företag. Kapitel 3.2 beskriver vad informationssäkerhetsmedvetenhet är, vad det applicerar och på vilket sätt det kan förändras hos anställda. Kapitel 3.3 redogör för de utbildningsåtgärder som kan användas för att utbilda organisationers anställda om informationssäkerhet. Det finns flertal olika sorters utbildningsåtgärder och de kan i enklaste form delas in inom medvetenhets- och träningsåtgärder, som på varierande sätt påverkar informationssäkerhetsmedvetenheten hos anställda.
3.1 Informationssäkerhet
Termen informationssäkerhet är tätt kopplad till vår studie och är ett av de centrala begreppen vi har byggt studien på. Enligt Nayak och Hodeghatta Rao (2015) är syftet med informationssäkerhet att bevara och garantera säkerheten av information mot diverse hot som till exempel sabotage, infiltration, haveri med mera. Information är allt som kommuniceras publikt eller privat oavsett media. Informationssäkerhet är oftast uppdelad i tre eller fler kategorier enligt egenskaperna i Figur 2. Konfidentialitet, Riktighet och Tillgänglighet är de primära egenskaperna som utgör CIA triaden. Konfidentialitet beskriver att informationen är hemlig, sekretessbelagd och att åtkomsten bör begränsas för att auktoriserade användare endast ska kunna se informationen (Nayak & Hodeghatta Rao, 2014). Konfidentialitet kan även beskrivas som sekretess, detta begrepp avråds då den har en annan innebörd inom legala sammanhang (SIS-TR 50:2015, 2015). Riktighet har stark koppling till konfidentialitet då det beskriver att information ska vara riktig och endast modifierad av auktoriserade användare enligt deras avsikt (Nayak & Hodeghatta Rao, 2014). Tillgängligheten utgör sista delen i CIA triaden, tillgänglighet betyder att information kan nås och användas enligt överenskommen prestanda och ifall tillgängligheten förloras kan den återgå till normalt tillstånd inom accepterad tidsplan (Pfleeger, Pfleeger, & Margulies, 2015). För att upprätthålla CIA och motverka hot eller olyckor använder organisationer sig av olika typer av informationssäkerhetsåtgärder (Yeh & Chang, 2007). Beroende på vad
organisationer skyddar är valet av rätt informationssäkerhetsåtgärd mycket viktigt, då vissa informationssäkerhetsåtgärder är mer effektiva men mer komplexa och svårare att implementera (Pfleeger, et al., 2015). Informationssäkerhetsåtgärder delas in i två olika kategorier (se figur 2); administrativa och tekniska säkerhetsåtgärder.
Figur 2. Informationssäkerhetsmodell (SIS-TR 50:2015, 2015)
Administrativa säkerhetsåtgärder har stor betydelse för ett företag, då en attack mot svagheterna i de administrativa säkerhetsåtgärderna kan kringgå alla tekniska säkerhetsåtgärder om strukturen tillåter det (Siponen, et al., 2014). Därav implementeras administrativa säkerhetsåtgärder som kompletterar de svagheter som tekniska lösningar inte kan täcka. Denna åtgärd kan till exempel vara utbildning av personal inom informationssäkerhet och medvetenhet om vissa hot som anfaller de sociala aspekterna. Flera av de åtgärder som införs inom organisationer är riktlinjer, arbetssätt och avtal (Pfleeger, et al., 2015). Administrativa säkerhetsåtgärder delas in i antingen formella eller informella säkerhetsåtgärder, där formella åtgärder är uppföljning av rutiner via ledning eller styrning. Informella åtgärder är medvetenheten hos personal, vilket innebär hur uppfattar, värderar och agerar personal i varierande informationssäkerhetsfrågor (SIS-TR 50:2015, 2015).
En teknisk säkerhetsåtgärd refererar till lösningar som motverkar hot via teknisks lösningar, dessa åtgärder delas ytterligare in i två kategorier, Fysisk säkerhet och IT-säkerhet. Med fysisk säkerhet menas de åtgärder som används för att skydda personer, lokaler och utrustning av betydelse för informationssäkerheten (SIS-TR 50:2015, 2015) dessa åtgärder brukar innebära stängsel, lås, brandsläckare och brandalarm eller andra påtagliga objekt. IT-säkerhet omfattar datasäkerhet och kommunikationssäkerhet. Pfleeger et al. (2015) beskriver åtgärder som implementeras för att skydda lagrade data, informationssystem och överföring av data. Detta görs via teknologiska medel som lösenord, brandväggar, kryptering, program, operativsystems-begränsningar samt nätverksprotokoll (Pfleeger, et al., 2015).
3.1.1 Informationssäkerhet inom tillverkningsindustrin
Enligt Culot et al. (2019) utvecklas tillverkningsindustrin konstant och beror mer och mer på data för att driva sin verksamhet framåt. De menar på att detta leder till att organisationer implementerar och applicerar nya teknologier som Internet of Things (IoT), molntjänster, Big data och AI som ställer andra krav på informationssäkerhetsåtgärder och öppnar upp nya attackvektorer. Culot et al. (2019) har även i sin studie angående informationssäkerhetsutmaningar observerat att organisationer flyttar mer arbetsbelastning till molnet vilket resulterat i att vissa åtgärder blivit ineffektiva. De noterar även en ökad popularitet i organisationsägda enheter som används privat hemifrån för att nå konfidentiella dokument hos organisationen. Vidare påvisar studien att tillverkningsorganisationer ser informationssäkerhet som en kostnad och att det består av enbart tekniska problem. Tillverkningsindustrins tillvägagångssätt är reaktiv vilket leder till att säkerhetstänket drar igång efter ett större intrång (Culot, Fattori, Podrecca, & Sartor, 2019). Xiaolei och Pinghua (2020) beskriver olika strategier för att uppnå informationssäkerhet inom tillverkningsindustrin. De nämner att traditionellt appliceras informationssäkerhetsåtgärder ovanpå nuvarande infrastruktur, något som istället bör inkluderas under designfasen för olika system och utrustning med möjligheten att dynamiskt förändras efter behov. De berättar även att ökad informationssäkerhetsmedvetenhet är viktigt där olika parter i industrikedjan litar på varandra. Vikten av informationssäkerhet kommer fortsätta öka då tillverkningsindustrin tillämpar nya teknologier. Enligt Franke och Wernberg (2020) är
informationssäkerhet kritiskt för att lyckas inom tillverkningsindustrin, ”Thus, there will be no smart industry without cyber security” (s. 1).
3.1.2 Informationssäkerhet i små och medelstora företag
Säkerheteten av organisationens information är något som berör alla organisationer eftersom informationen har en nära relation till organisationens framgång. En förlust eller offentliggörande av konfidentiell information kan bland annat leda till finansiell förlust eller ett försämrat förtroende i organisationen (Schütz, Weber, & Fertig, 2020). Små och medelstora företag (SMF) ligger ofta i framkant av implementation av digitala teknologier för att kunna konkurrera med större företag, detta medför en ökad exponering till cyberattacker (Ponsard, Grandclaudon, & Bal, 2019). Exponering problematiseras ytterligare eftersom små och medelstora företag inte tror att de är värda att attackera och att deras organisationsstorlek skyddar de mot externa hot (Ponsard, Grandclaudon, & Bal, 2019). De informationssäkerhetsåtgärderna som små och medelstora företag inför är begränsade av de resurser (Tid, pengar, expertis) som investeras i informationssäkerhet vilket medför att informationssäkerhetsansvariga har svårt att skapa ett komplett skydd (Zec, 2015).
Bada och Nurse (2019) menar att utöver de få resurser som små och medelstora företag har tillgång till är de informationssäkerhetsansvariga redan dagligt insatta i det resterna IT-arbetet vilket förhindrar de att lägga tid på och proaktivt förbättra organisationens informationssäkerhet. Ett annat problem som Zec (2015) uppmärksammade i sin studie var att informationssäkerhetsansvariga i små och medelstora företag saknar ledningsstöd för att utveckla sina informationssäkerhetsåtgärder, ledningen menar på att organisationen endast behöver ett grundläggande skydd mot informationssäkerhetsintrång.
3.2 Informationssäkerhetsmedvetenhet
Utan människan hade informationssäkerhet knappast behövts, människan har möjlighet att forma ett starkt försvar för hot mot informationssäkerhet men har en tendens att vara den svagaste länken i försvaret på grund av låg medvetenhet eller elaka motiv. För att förhindra lyckade attacker riktade mot anställda bör deras medvetenhet, attityd och inställningar till informationssäkerhet ständigt förbättras och säkerställas (Nayak & Hodeghatta Rao, 2014).
Studier har påvisat att kampanjer för att öka medvetenhet om rattfylleri, snattning och droganvändning avskräcker folk från att begå nämnda handlingar (D’Arcy, et al., 2009). Detsamma sker inom informationssäkerhet, då medvetenhet bland anställda medför att sårbarheter och hot minimeras betydligt (Ling, et al., 2019; Nayak & Hodeghatta Rao, 2014). Därför anses medvetenhet vara nummer ett för att säkerställa både fysisk säkerhet och informationssäkerhet (Nayak & Hodeghatta Rao, 2014; Bauer & Bernrioder, 2017).
Informationssäkerhetsmedvetenhet definieras som anställdas generella kunskap och förståelse om informationssäkerhet samt deras kännedom och medvetenhet om organisationens införda informationssäkerhetspolicy (Bulgurcu, et al., 2010; Rocha Flores & Antonsen, 2013). Exempelvis kan anställda förstå innebörden av att ha komplexa lösenord för att de inte ska “knäckas” enkelt, däremot vet de inte att organisationen kräver att lösenord består av en viss komplexitet. Därmed anses de två aspekterna gå hand i hand för att skapa informationssäkerhetsmedvetenhet hos anställda (Bulgurcu, et al., 2010). Definitionen av informationssäkerhetsmedvetenhet är nära kopplad till idén att denna medvetenhet är ett tillstånd när anställda inom en organisation är medvetna och engagerad till de säkerhetsmål som organisationen strävar efter (Siponen M. T., 2000). Eftersom informationssäkerhetsmedvetenhet är byggt på medvetenhet till informationssäkerhetspolicy och generell informationssäkerhetsmedvetenhet är båda aspekterna väsentliga för att anställda ska vara riskmedvetna inom informationssäkerhet (Bauer & Bernrioder, 2017).
3.2.1 Generell Informationssäkerhetsmedvetenhet
Generell informationssäkerhetsmedvetenhet beskriver Bulgurcu et al. (2010) som den generella kunskapen om informationssäkerhet som anställda besitter. Det innebär kännedom och förståelse av potentiella hot och risker inom informationssäkerhet, samt hur anställda ska gå till väga för att förhindra intrång (Bulgurcu, et al., 2010). Generell informationssäkerhet innefattar även anställdas förståelse om organisationers tillgångar, vad för värde de har och vad för sårbarheter de tillgångarna har (Bulgurcu, et al., 2010; Rocha Flores & Antonsen, 2013). Siponen (2000) instämmer men belyser även att anställdas uppfattning och förståelse av de säkerhetsmål som organisationen infört medföljer i anställdas generella medvetenhet om informationssäkerhet.
Enligt Bulgurcu et al. (2010) har anställdas generella kunskap om informationssäkerhet många påverkande faktorer. Det kan vara erfarna incidenter som de varit med om, där konsekvenserna av ett intrång synliggjordes och medförde förståelse för hur viktigt det är att skydda information (Bulgurcu, et al., 2010). Det kan vara inläst kunskap som tidningar, affischer, journaler eller andra mediatyper som bidra med kunskap om varför informationssäkerhet är viktigt (Bulgurcu, et al., 2010). Det stämmer överens med Ajzen och Albarracin (2010) som även påstår att ytterligare faktorer finns som påverkar besittande kunskap, som exempelvis demografi.
3.2.2 Medvetenhet till Informationssäkerhetspolicy
Medvetenhet om informationssäkerhetspolicy definieras enligt Bulgurcu et al. (2010) som den anställdas kännedom och förståelse till organisationens informationssäkerhetspolicy. Det innebär att den anställda förstår vad för säkerhetskrav som ställs i informationssäkerhetspolicyn och hur de ska efterleva dem. (Bulgurcu, et al., 2010; Rocha Flores & Antonsen, 2013).
En informationssäkerhetspolicy är ett framställt ramverk för att sätta informationssäkerhetsmål enligt en organisations syfte. En informationssäkerhetspolicy innefattar åtagande att uppfylla tillämpliga krav relaterade till informationssäkerhet och åtagande att ständigt förbättra informationssäkerhet, vanligtvis inkluderas arbetssätt och riktlinjer, men även roller och ansvar relaterade till informationssäkerhet. En informationssäkerhetspolicy ska finnas tillgänglig i dokumenterad form, kommuniceras inom organisationen och i tillämplig utsträckning vara tillgänglig för intressenter (SIS, 2017). informationssäkerhetspolicys ger vägledning för alla inom organisationen, via tydligt definierade policys som styr anställda för att upprätthålla informationssäkerhet. Det finns flertal sätt att utveckla en informationssäkerhetspolicy, detta leder till att en informationssäkerhetspolicy kan ta olika former beroende på industri, storleken av organisationen men även dess anställda. I små och medelstora företag där resurser oftast är riktade åt andra vägar finns det en risk att policyn inte är tydligt dokumenterad utan mer generellt formulerad och muntligt förmedlad till anställda (Lopes & Oliveira, 2015). Eftersom organisationen, risker och teknologi ständigt utvecklas behöver organisationens informationssäkerhetspolicy också utvecklas och uppmärksammas i samma hastighet för att hålla anställda medvetna om informationssäkerhet (Nayak & Hodeghatta Rao, 2014).
3.3 Åtgärder för att öka informationssäkerhetsmedvetenhet
Dagens organisationer möter kontinuerligt förändrade hot i den digitala världen. Detta innebär att det blir viktigt för organisationer att introducera och förankra god informationssäkerhetspraxis hos anställda (Haney & Lutters, 2020). För att öka kunskap om- och medvetenhet avseende informationssäkerhet hos anställda använder sig organisationer av varierande åtgärder i utbildningssyfte (Goode et al., 2018). Dessa utbildningsåtgärder som nyttjas av organisationer ska vara baserade på deras vision, designade efter anställdas förväntningar och behov samt anpassade till organisationens resurser och tillgångar. Detta görs för att anställda inom organisationen ska kunna relatera till det som förmedlas och därmed applicera det till deras arbete, vilket leder till ökad kunskap om- och medvetenhet av informationssäkerhet (Bada & Nurse, 2019). Utbildningsåtgärder kan ses som något negativt hos anställda om åtgärderna anses vara ointressanta, inte kan appliceras i arbetet eller är repetitiva. Ifall utbildningsåtgärderna inte anpassas kan det leda till ett försämrat resultat där åtgärderna har avtagande effekt (Haney & Lutters, 2020).
Soomro (2016) belyser även att informationssäkerhetsansvariga inom organisationer kan påverka anställdas inställning till utbildningar om informationssäkerhet genom att kommunicera och visualisera betydelsen av informationssäkerhet på ett tydligt sätt. De anser att detta är ett viktigt moment för att både ha ett hållbart arbete inom informationssäkerhet och för att anställda ska ha de bästa möjliga förutsättningarna för att inskaffa sig en förståelse och kunskap om informationssäkerhet. Bergström, Lundgren och Ericson (2019) menar att organisationer också kan homogenisera det interna språket genom att skapa ett gemensamt ordförråd vilket förminskar missförstånd och där information kan förmedlas mer effektivt. Komplexa koncept kan då förmedlas på ett sätt som är mottagligt i hela organisationen. Enligt Hu et al. (2012) bör informationssäkerhetsansvariga också bedriva en aktiv dialog med anställda om informationssäkerhet för att de ska motiveras och engageras i informationssäkerhetsarbetet som genomförs inom organisationen. De påstår att den aktiva dialogen kommer medföra en positiv inverkan på anställdas deltagande i informationssäkerhetsarbete och därmed de utbildningar som införs (Hu, Dinev, Hart, & Cooke, 2012).
Syftet med utbildningsåtgärder är som tidigare nämnt, att öka kunskap om- och medvetenhet avseende informationssäkerhet hos anställda. För att det ska lyckas
används olika varianter av utbildningsåtgärder som avser att påverka anställdas informationssäkerhetsmedvetenhet (Goode et al., 2018). Enligt Hänsch och Benenson (2014) kan informationssäkerhetsåtgärder delas upp utbildningsåtgärder i medvetenhets- och träningsåtgärder för att utbilda anställda om informationssäkerhet på diverse sätt. De beskriver att respektive åtgärd avser att påverka anställdas informationssäkerhetsmedvetenhet genom att förklara vad informationssäkerhet innebär för den anställda och hur anställda ska arbeta säkert för att förhindra intrång. Men även för att skapa en förståelse hos anställda för varför informationssäkerhet är viktigt (Hänsch & Benenson, 2014).
3.3.1 Medvetenhetsåtgärder
För att anställda ska bli informationssäkerhetsmedvetna är det viktigt att förklara vad informationssäkerhet innebär för de anställda och deras arbete (Bulgurcu, et al., 2010; Hänsch & Benenson, 2014). Därmed används medvetenhetsåtgärder som är teoretiska lösningar som förmedlar generell information om informationssäkerhet till anställda (Hänsch & Benenson, 2014). Enligt Stalling och Brown (2008) har medvetenhetsåtgärder som syfte att få anställda att bli medvetna till hur deras roll bidrar till att säkerhetsställa informationssäkerhet inom organisationen. Det innebär att den anställda ska bli medveten om- och känna igen vad för hot, risker och sårbarheter som förekommer inom deras arbete, samt vad för konsekvenser som uppstår vid intrång (Bulgurcu, et al., 2010; Hänsch & Benenson, 2014). Utöver att anställda blir medvetna och kan känna igen hot, sårbarheter och konsekvenser, bidrar medvetenhetsåtgärder till anställdas förståelse för varför informationssäkerhet är viktigt. Dessa åtgärder förmedlar information som avser att uppmärksamma informationssäkerhetens betydelse hos de anställda, samt ha en inverkan på de anställdas förståelse till varför de behöver ha kunskap och kompetens inom informationssäkerhet (Goode et al., 2018). Medvetenhetsåtgärder som används enligt Abawajy (2014) är nyhetsbrev, videos, affischer, broschyrer eller informationssäkerhetspolicys. Dessa åtgärder används för att snabbt och enkelt kunna förmedla information relaterat till informationssäkerhet till anställda. Medvetenhetsåtgärder är avsedda att vara en kontinuerlig process som konstant ska uppdatera anställda om ny information som berör organisationen eller nya hot, risker och sårbarheter som uppmärksammats (Stallings & Brown, 2008; Chmura, 2017; Ghafir, et al, 2018). Exempelvis används nyhetsbrev för att uppdatera anställda
antingen vara betydelsefullt för hela organisationen eller enskild avdelning. Informationen kan då variera beroende på vem den är riktad mot (Abawajy, 2014). Fördelen med de flesta medvetenhetsåtgärder som tidigare nämnt, är att de är enkla att införa och att de är effektiva med att förmedla information till anställda, samt att de är kostnadseffektiva. Nackdelen med dessa åtgärder är att organisationen inte kan garantera att de anställda tar del av den information som förmedlas (Abawajy, 2014; Chmura, 2017).
Till skillnad från nyhetsbrev, affischer eller liknande kan organisationer framställa informationssäkerhetspolicys för att uppmärksamma vikten av informationssäkerhet (Bulgurcu, et al., 2010). Fördelen med en informationssäkerhetspolicy är att den har ett definierat ramverk framställt för att upprätthålla informationssäkerhet inom organisationen (Nayak & Hodeghatta Rao, 2014). Effekten av informationssäkerhetspolicyn blir betydligt bättre ifall anställda förstår innehållet i den och varför den finns implementerad i organisationen (Bulgurcu, et al., 2010). Nackdelen med en informationssäkerhetspolicy är att den är kostsamt att framställa, samt att anställda även vid uppmaning att efterleva informationssäkerhetspolicyn inte gör det av varierande skäl (Kaur & Mustafa, 2013; Ling et al., 2019).
3.3.2 Träningsåtgärder
Syftet med träningsåtgärder är att förklara vad anställda kan göra under arbetsdagen för att de ska arbeta säkert. Det ska framgå vilka verktyg, arbetssätt eller tekniker anställda kan använda och hur de kan använda dessa (Goode et al., 2018). Arbetssätten som förmedlas kan innebära grundläggande åtgärder som appliceras generellt för diverse applikationer eller specifika instruktioner för hur anställda bör arbeta med konfidentiella dokument, kundinformation, etc. Träningsåtgärder ska vara relevanta till anställdas arbetsuppgifter och anpassade till organisationens industri eftersom det medför ett personligt ansvar och tydliggör vilka säkerhetsbeslut anställda kan möta varje dag (Haney & Lutters, 2020). Träningsåtgärder kan till skillnad från medvetenhetsåtgärder medföra ett aktivt deltagande av den anställda, där de kan ställa frågor till föreläsaren eller få direkt hjälp under workshops (Chmura, 2017). Utöver att lära anställda hur de ska arbeta bör även träningsåtgärder förmedla vikten av varför de arbetar på ett säkert sätt eftersom det tillför en förståelse hos den anställda varför det är viktigt att arbeta säkert, vilka konsekvenser som kan förekomma vid bristande
efterlevnad samt att det kan leda till ett ökat engagemang från den anställda (Goode et al., 2018).
Träningsåtgärder kan förekomma i olika variationer beroende på organisationens kompetens, resurser och tid (Stefanuik, 2020). En av de vanligaste träningsmetoderna är föreläsningar, en föreläsning innebär att en expert eller intern anställd berättar om ett specifikt ämne relaterat till informationssäkerhet och tar samtidigt emot och svarar på frågor (Stefanuik, 2020). Det finns både för- och nackdelar med föreläsningar, för det första beror effektiviteten helt på föreläsaren som måste presentera ämnet på ett intressant sätt som fångar deltagarnas uppmärksamhet oavsett medium. Denna åtgärd kan även vara kostsam ifall det inte finns intern kompetens som kan framföra föreläsningen (Abawajy, 2014). En annan träningsåtgärd med liknande karaktär är workshops. Workshops är en träningssession som medför praktiska övningar och ett aktivt deltagande från anställda. Detta innebär exempelvis att anställda kan arbeta och diskutera runt ett ämne kopplat till informationssäkerhet samtidigt som de kan ställa frågor, framföra sina perspektiv och få stöd från en informationssäkerhetsexpert. Något som kan förhindra effektiviteten likt föreläsningar är brist av intresse från anställda samt att kostnaden beror på intern expertis (Bada & Nurse, 2019). Ifall intern kompetens saknas kan det som sagt vara kostsamt att framställa och införa ovanstående träningsåtgärder.
Det finns i stället möjligheter för organisationer att fokusera på digitala metoder där anställda kan förbättra informationssäkerhetsmedvetenhet med hjälp av dedikerade träningshemsidor. Dessa träningsprogram kan införas för alla organisationens anställda för att skapa standardiserad informationssäkerhetsträning (Abawajy, 2014). Mikroträning är en träningsåtgärd som möjliggör för användaren att under korta sessioner lära sig om relevanta träningsmoduler som exempelvis phishing, ransomware och lösenord. Kävrestad och Nohlberg (2020) beskriver att genom att dela upp inlärningsmaterial till kortare sekvenser och anpassa det till användaren är denna träningsåtgärd inte bara mer uppskattad av de anställda men även mer effektiv.
Videospel har även använts för att träna anställda inom informationssäkerhet, dessa spel lyfter fram informationssäkerhet på ett roligt sätt där anställda blir engagerade och motiverade att klara spelet (Stefanuik, 2020). Videospel som träningsåtgärd har bevisats leda till större engagemang från anställda än andra åtgärder men fokuset kan
innovativ träningsåtgärd är simuleringsbaserad träning. En attack eller intrång simuleras på organisationen som ett scenario där exempelvis egengjorda phishing-mejl skickas ut till anställda. Det simulerade scenariot följs upp av lämplig träning där anställda kan skapa förståelse för vikten av informationssäkerhet med hjälp av den simulerade attacken. En simulation kräver mycket tid och resurser från organisationen samt intern kompetens i organisationen som kan skapa simuleringen (Abawajy, 2014).
4
Resultat
Kapitlet är indelat i två delar: Empiri och Analys. Empirikapitlet presenterar den data som samlats in från respondenter med syftet att besvara studiens frågeställningar. Respondenterna är indelade i två grupper, informationssäkerhetsansvariga och anställda, där respektive respondent är numrerad. Informationssäkerhetsansvariga bestod av fem respondenter, där intervjuerna genomfördes ungeräligt på 45 minuter för respektive respondent. De informationssäkerhetsansvariga som intervjuades besatt allihop någon form av eftergymnasial utbildning. Respondentgruppen anställd bestod av totalt nio respondenter där genomsnittstiden för varje intervju var 25 minuter. Totaltsätt bestod transkriberingen av 99 sidor dialog mellan författarna och respondenterna. Analyskapitlet ger svar på studiens frågeställningar genom att behandla empiri och teoretiskt ramverk.
4.1 Empiri
Nedan presenteras ett urval av citeringar från varje respondentgrupp, informationssäkerhetsansvariga och anställda.
4.1.1 Utbildningsåtgärder
Detta kapitel tar upp respondenternas åsikter och motivation till de utbildningsåtgärder som används eller har övervägts nyttjas. Respondenterna anses har liknande resonemang till varför vissa utbildningsåtgärder utses samt ett liknande urval bland de utbildningsåtgärder som används.
Frekvent använda
I samtliga intervjuer talar respondenterna om liknande utbildningsåtgärder som förekommer inom de varierande organisationerna. Dessa åtgärder är: mikroutbildningar, phishingsimuleringar och nyhetsbrev. De nämnda åtgärderna utgör de mest frekvent använda och positivt upplevda åtgärderna som respondenterna talade om.
Informationssäkerhetsansvarig 1 - “De anställda får en introduktion med några
kurser, där de ska svara på ett gäng frågor och så får anställda avgöra ifall ett mejl är legitimt eller inte. Dessa mejl slumpas ut till användarna, så du kan bedöma ifall de greppat denna kurs eller ifall de bara klickat sig igenom kursen för att fördriva tiden”
Informationssäkerhetsansvarig 5 - “Det är som sagt korta utbildningar, tar mellan
3–6 minuter som handlar om lite olika tema som ofta är överlappande. Det handlar främst om hur man identifierar exempelvis riktiga hemsidor, riktiga mejl.”
Informationssäkerhetsansvarig 2 - “Vi hade ju drivit en nätfiskekampanj, den gången
tog det 3 minuter att få användarnamn och lösenord. Det var väldigt många som gick på den här kampanjen, vi körde även en uppföljningsnätfiske kampanj där ingen gick på det. [...] Sedan kör vi även nano-utbildningar”
Struktur
När utbildningsåtgärderna beskrivs under intervjuerna förekommer tre återkommande strukturattribut som övervägts. Frekvensen av utbildningsformerna var en stående punkt som diskuterades för att hålla anställda medvetna men inte försvåra arbetseffektiviteten. Tidsspannet för utbildningen var också viktig för att säkerställa att koncentration kunde bibehållas, utöver tiden behövdes även komplexiteten av innehållet anpassas för mottagaren.
Informationssäkerhetsansvarig 1 - “Den här programvaran vi tänker köra på gör
utbildningen mer frekvent. [...] Ja, och de här är ju väldigt korta. Snittiden är ungefär 4–5 minuter, väldigt korta kapitlet med olika teman”
Anställd 1 - “Det kommer lite i sjok, varannan vecka eller så. Det är ju inte så mycket
information i de utan jag ser deras största syfte som en slags väckarklocka, tänk på det här.”
Anställd 9 - “Jag tycker det är en bra mängd just nu, hade det blivit för tungt och man
måste sitta i 20 minuter är man väl inte fokuserad på samma sätt.”
Resurser
Vid samtliga intervjuer med informationssäkerhetsansvariga diskuterades valet av utbildningsåtgärder, dels för att se vilka utbildningsåtgärder som bortsetts ifrån, dels för att se vilken motivation som används för de utsedda utbildningsåtgärderna. De främsta motivationerna som förekom var tillgängligt kapital, tid och expertisen inom organisationen.
Informationssäkerhetsansvarig 4 - “Man kan väl säga att jag tar fram förslagen, men
i slutändan är det min chef eller vår ledningsgrupp som tar beslutet. Det beror mestadels hur mycket det kostar och hur mycket tid som behövs läggas på det. [...] Om
vi hade pengar så hade vi haft någon sorts utbildning vid det här laget. Det är verkligheten för oss.”
Informationssäkerhetsansvarig 1 - “Vi hade utbildning av en extern-part första
gången, powerpoint-dragning. Kvaliteten var inte bra, även fast det var en hyfsad leverantör. Men det blev liksom lite, inte tillräcklig vasst och lite för ytligt.”
Informationssäkerhetsansvarig 2 - “Det första jag skulle säga är tid och resurser, för
det är det verkligen. Att få tiden att räcka till för oss som jobbar här.”
4.1.2 Organisationsstorlek
En organisations storlek har visat sig ha betydelse till vilka utbildningsåtgärder som anses vara rimliga att använda samt vilka som kan användas. Organisationerna har varierat i storlek och de större företagen har visat sig ha flera och mer frekventa utbildningsåtgärder men mindre bolag har möjlighet till närmare dialoger med anställda och snabbare beslut.
Informationssäkerhetsansvarig 1 - “Man känner igen nästan alla, vi är inte så stora
att vi inte har hört talas om personen. Det är ju värre med större bolag, kanske inte har någon aning om vem det är dem pratar med, det gör det svårare.”
Informationssäkerhetsansvarig 3 - “Eftersom vi är ett litet bolag möjliggör även detta
att jag kan fatta snabba beslut.”
Informationssäkerhetsansvarig 5 - “Där tycker jag även att vi som litet bolag har en
fördel när man sitter nära varandra.”
4.1.3 Hotbilden
Respondenterna har en gemensam hotbild av de hot som de anser är de mest förekommande. Hotbilden som främst målas upp är de förekommande phishing-attackerna via organisationers olika mejl-ingångar. Organisationerna uppfattade även att specifika personer blir mer utsatta för dessa angrepp och agerar samt applicerar utbildning därefter.
Informationssäkerhetsansvarig 1 - “Jag hade en föreläsning om vad man ska titta
efter i speciellt mejl, då det är där de är utsatta. Det är inte många övriga attackvinklar som vi utsätts för, utan det är primärt mejlen. […] I min värld hade det blivit Ledning, ekonomi och kundtjänst eftersom de är våra mest utsatta avdelningar. Jag anser att de
Informationssäkerhetsansvarig 4 - “Just mejlen har vi sett som ett stort
säkerhetsproblem där inte många har så bra koll.”
4.1.4 Informationsanpassning
Kompetensanpassning är något som alla organisationer har behövt anpassa sig till och respondenterna har beskrivit en markant betydelse för anpassningen av information. Anpassningen av information enligt respondenterna ska visa en förändring hos anställdas förståelse och därmed öka deras medvetenhet.
Förmedling av information
Alla informationssäkerhetsansvariga uppmärksammade vikten av att anpassa information beroende på vilka inom organisationen som ska ta del av den. De belyste kompetensskillnaden som existerar inom organisationen och att alla anställda besitter olika kunskaper samt skild utsträckning av medvetenhet angående informationssäkerhet.
Informationssäkerhetsansvarig 1 - “Man kan då även välja användare som har det
lite svårare med testerna och ge de någon extra kurs, eller så kan jag gå in och prata med användaren och förtydliga svåra saker. Kanske för mycket IT-begrepp.”
Informationssäkerhetsansvarig 2 - “vi behöver skapa en awareness hos personalen,
och det var därför vi satsa på den här teatern och den obligatoriska kursen”
Informationssäkerhetsansvarig 5 - “Om jag tror att personen är mottaglig och kan
förstå hur det ligger till så försöker jag förklara, annars drar jag ett streck och fixar någon lösning åt de.”
Begreppsflora
Majoriteten av de anställda som intervjuades uttryckte en gemensam uppfattning om att informationen som förmedlas inom organisationen angående informationssäkerhet är förståelig. De talade positivt om att informationen borde hålla sig på en förenklad nivå för att merparten av organisationerna ska begripa det som förmedlas.
Anställd 1 - “Det gäller att kunna paketera det på ett bra sätt så det blir förståeligt,
Anställd 4 - “Det är även lätt att det blir avancerat och går in på detaljer, där tycker
jag inte att vi behöver vara. Jag vill gärna se lite mer allmän information och vad man bör tänka på.”
Anställd 5 - “Man förstår hur det påverkar just du som sitter kanske på ’lager godsmottagning’ du ska ju se till hur varje person arbetar, de är ju inte intresserade av djupet utan en helhetsbild.”
4.1.5 Applicerbarhet
Organisationernas utbildningsåtgärder bör förhållas nära till organisationens verksamhet. När hot, risker och konsekvenser blir verklighetsförankrade vid utbildningsmomenten skapas förståelse hos användaren där de förstår varför de bör ta till sig informationen och arbeta säkert.
Verklighetsförankrade exempel
Alla företag som intervjuades försökte verklighetsförankra fall eller exempel som kan eller har hänt organisationen. Företagen använde tidigare attacker för att visualisera hur ett intrångsförsök kan se ut, något som anställda tyckte var mottagligt.
Informationssäkerhetsansvarig 1 - “Exakt, det var väl det som var problemet. De
fallen som presenterades kunde inte relateras till de anställda. När vi kör egen utbildning så är den väldigt specifik mot det vi får/ser. Folk kan då känna igen sig i det.”
Informationssäkerhetsansvarig 3 - “Jag tycker istället att man ska visa verkligheten,
vi visar istället vad som händer vår organisationen. [...] det är en slags ‘eye-opener’.
Anställd 2 - “det är viktigt att hitta en utbildning som är nära till sin specifika roll och
blir applicerbart med den informationen man bearbetar. Det kan bli lätt att man slår ihop allt till en klump och då kanske man tappar allting istället”
Anställd 4 - “Ja det tycker jag, jag gillar när det är mer verklighetsförankrat. För jag
tror att man har det lättare att ta till sig då, och kunna svara på bra sätt också när man känner att det liksom passar för mig och det är vad jag råkar ut för om dagarna. Så det tycker jag är jätteviktigt.”
