Informationssäkerhet bland småhustillverkare med inriktning trä: en kvantitativ studie

Examensarbete i Industriell Ekonomi

Informationssäkerhet bland

småhustillverkare med

inriktning trä: en kvantitativ

studie

– Information security for wooden single-family

house producers: a quantitative study

Författare: Frida Andersson Lanas, Jacob Fagerström

Handledare LNU: Tobias Schauerte Examinator LNU: Mirka Kans Datum: 2021-06-07

Kurskod:2MT14E, 15hp Ämne:Industriell ekonomi Nivå: Högskoleingenjör

III

Sammanfattning

Information är ett väsentligt och stort organ inom organisationer och inom tillverkningsindustrin används det till all kommunikation som sker. För att säkerställa att informationen är säker krävs informationssäkerhet. Målet med informationssäkerhet anses vara uppfyllt när informationens integritet, tillgänglighet samt konfidentialitet kan garanteras. I dagens industri är

informationssäkerhet ytterst viktigt på grund av att den fjärde revolutionen (Industri 4.0) kräver data i realtid. Ett problem med informationssäkerheten är att resurser främst läggs på tekniska lösningar men inte på att minska den mänskliga faktorns påverkan som står för cirka 85% av alla organisatoriska olyckor. En bransch som är i behov att moderniseras är småhustillverkare med inriktning trä (SIT). SIT-branschen behöver moderniseras för att följa med i den nya digitala generationen. Branschen i sitt nuläge kräver en ökad produktivitet för att fortsätta vara

konkurrenskraftiga på marknaden men även för att öka sin lönsamhet. Det kan verkställas genom att öka förståelsen för hur SIT arbetar med informationssäkerhet och vilka förbättringar som kan implementeras för att uppnå målet.

Metoden som används för att öka förståelsen över hur arbetet med informationssäkerhet sker inom SIT-branschen är en kvantitativ enkätstudie. Enkätfrågorna skapades utifrån teori om standarden ISO/IEC 27000 samt CIA-triadens komponenter (konfidentialitet, integritet samt tillgänglighet). Standarden bedömer om informationssäkerheten har en god nivå medan CIA-triadens komponenter påvisar om målet med informationssäkerhet är uppfyllt. Svarsfrekvensen som studien gav var 20,83%. En bedömningsmodell gjordes för att kategorisera resultatet i en skala från icke-uppfylld nivå till uppfylld nivå. Resultatet visar på att branschen är i behov av att förbättra sitt informationssäkerhetsarbete. Frågorna kring standarden ISO/IEC 27000 uppgav att branschen tenderar mot en icke uppfylld nivå och CIA-triadens komponenter hamnade på ett mellanläge för varken uppfylld eller icke-uppfylld nivå. Enkätstudien visade att den mänskliga faktorn har en påverkan på informationssäkerheten vilket överensstämmer med teorin angående att mer resurser läggs på tekniska lösningar.

Slutsatsen blev att SIT-branschen har en bristfällig nivå på informationssäkerheten. Genom att implementera förbättringsförslagen ges förutsättningar för branschen att nå upp till en väldigt god informationssäkerhetsnivå.

Nyckelord: Informationssäkerhetsarbete, industri 4.0, informationssäkerhet,

IV

Abstract

Information is an essential and large organ within organizations and in the manufacturing industry it is used for all communication that takes place. To ensure that the information is secure,

information security is required. The goal of information security is considered to be fulfilled when the integrity, availability and confidentiality of the information can be guaranteed. In today's industry, information security is extremely important because of the fourth revolution (Industry 4.0) which requires real-time data. A problem with information security is that resources are mainly invested in technical solutions but not in reducing the impact of the human factor, which accounts for about 85% of all organizational accidents. One industry that needs to be modernized is wooden single-family house producers (SIT). The SIT industry needs to be modernized to keep up with the new digital generation. The industry in its current state requires increased productivity to remain competitive in the market but also to increase its profitability. This can be implemented by increasing the understanding of how SIT works with information security and what improvements can be implemented to achieve the goal.

The method used to increase understanding of how the work with information security takes place in the SIT industry was with a quantitative survey. The survey questions were created based on theory about the ISO/IEC 27000 standard and the CIA triad's components (confidentiality, integrity and availability). The standard assesses whether the information security has a good level, while the components of the CIA triad indicate whether the goal of information security is fulfilled. The response rate given by the study was 20.83%. An assessment model was made to categorize the result on a scale from non-fulfilled level to fulfilled level. The results show that the industry is in need of improving its information security work. The questions regarding the ISO/IEC 27000 standard stated that the industry is trending towards an non-fulfilled level and the components of the CIA triad ended up in an intermediate position for neither fulfilled nor non-fulfilled level. The survey study showed that the human factor has an impact on information security, which is in line with the theory that more resources are spent on technical solutions. The conclusion was that the SIT industry has an inadequate level of information security. By implementing the improvement proposals, conditions are provided for the industry to reach a very good level of information security.

Keywords: Information security work, industry 4.0, information security, small house

V

Förord

Examensarbetet var det avslutande momentet på vår utbildning högskoleingenjör inom industriell ekonomi. Författarna har gemensamt genomfört studien.

Vi vill rikta ett extra stort tack till vår eminenta handledare Tobias Schauerte som väglett oss genom hela arbetets gång med värdefulla kommentarer, genuin omtanke och engagerade diskussioner.

Vi skulle vilja tacka vår examinator Mirka Kans för god vägledning och granskande av rapporten under terminens gång. Slutligen vill vi tacka våra opponenter för relevanta förbättringsförslag på vårt arbete.

Frida Andersson Lanas & Jacob Fagerström Växjö, 07 Juni 2021

VI

Ordlista

- SIT – Småhustillverkare med inriktning trä.

- Småhustillverkare – Företag som producerar bostäder för enskilt hushåll.

- Systematiskt: Följa en plan på ett organiserat och strukturerat sätt. Få tillförlitlighet och reliabilitet i arbetet.

- MSB: Myndigheten för samhällsskydd och beredskap.

- Informationssäkerhetsarbete: Införa och förvalta administrativa regelverk för informationens säkerhet.

- Informationssäkerhet: Säkerhetsåtgärder som införs för att skydda information. - Industri 4.0: Nutidens industriella revolution.

VII

1. INLEDNING ... 1

1.1 BAKGRUND ... 1 1.2 PROBLEMATISERING ... 2 1.3 SYFTE ... 3 1.4 FRÅGESTÄLLNINGAR ... 3

1.5 RELEVANS OCH BIDRAG. ... 3

2. METOD ... 5

2.1 METODVAL ... 5

2.2 FORSKNINGSDESIGN ... 5

2.3 ENKÄTMETODIK ... 6

2.4 URVAL ... 8

2.5 FORSKNINGSKVALITET OCH ETIK ... 9

2.6 VALIDITET OCH RELIABILITET ... 9

3. TEORI ... 11

3.1 INFORMATIONSSÄKERHET ... 11 3.2 MÄNSKLIGA FAKTORN ... 12 3.3 INDUSTRI 4.0 ... 12 3.4 CIA-TRIADEN ... 13 3.5 STANDARD (ISO/IEC 27000) ... 14

3.6 METODSTÖD FÖR SYSTEMATISKT INFORMATIONSSÄKERHETSARBETE ... 15

4. BEDÖMNINGSMODELL ... 16

5. EMPIRI & ANALYS ... 18

5.1 STANDARDEN ISO/IEC 27000 ... 18

5.2 SAMMANFATTNING AV STANDARDEN ISO/IEC 27000 ... 25

5.3 CIA-TRIADEN ... 27 5.3.1 KONFIDENTIALITET ... 27 5.3.2 SAMMANFATTNING AV KONFIDENTIALITETEN ... 30 5.3.3 INTEGRITET ... 32 5.3.4 SAMMANFATTNING AV INTEGRITETEN ... 35 5.3.5 TILLGÄNGLIGHET ... 36 5.3.6 SAMMANFATTNING TILLGÄNGLIGHETEN ... 38

6. RESULTAT ... 39

7. DISKUSSION ... 41

7.1 METODDISKUSSION ... 41 7.2 RESULTATDISKUSSION ... 42 7.3 SAMHÄLLSRELEVANS ... 43

8. SLUTSATSER... 44

REFERENSER ... 45

BILAGA ... 50

Andersson Lanas & Fagerström 1

1. Inledning

1.1 Bakgrund

Ordet information kommer från latinets info’rmlo som betyder utbilda, undervisa och ge form åt något. I nutid definieras information som “meningsfullt innehåll som överförs via kommunikation i olika former” (Henriksson & Sjödin, 2021). Information kan även beskrivas som sammanställd och bearbetad data som presenterats (Gustavsson & Säfsten, 2019).

I tillverkande företag är information en grundläggande beståndsdel. Information behövs för att kunna utföra det vardagliga arbetet inom tillverkningsindustrin, exempelvis för att skapa plocklistor, skicka ut produktionsorder, skapa fakturor etc. Försvinner tillgången till informationen, det vill säga att den går förlorad, placeras fel eller medvetet tas bort kan det ha förödande konsekvenser för företaget (Paananen et.al, 2020). En god start mot ett säkrare beteende hos tillverkande företag är att öka kunskapen om risker, hur betydelsefull information kan vara samt betydelsen att bevara informationen i ett säkert tillstånd.

Begreppet informationssäkerhet misstolkas vanligtvis till att endast gälla skyddandet av hemlig information när det i själva fallet gäller all information som används i en organisation. Målet med informationssäkerhet kan beskrivas som arbetet för att säkerställa informationens integritet, tillgänglighet samt konfidentialitet (Lundblad, 2005).

• Integritet säkerställs genom att informationen inte har ändrats av personer utan behörighet eller tillstånd, samt att informationens historik kan granskas och följas upp.

• Tillgänglighet menas med att informationen är tillgänglig i rätt format. Det vill säga att stödsystemen som behövs för tillgång till informationen är tillgänglig, exempelvis om information är skriven i Word behöver organisationen tillgång till Microsoft Word.

• Konfidentialitet berör vem och vilka som tar del av informationen samt hur organisationen kan säkerställa att rätt person har tillgång till rätt information. Svenska Institutet för Standarder (SIS) (2015) förtydligar att de tre nyckelorden integritet, tillgänglighet och konfidentialitet kan kompletteras med en eller flera egenskaper som spårbarhet, oavvislighet, ansvarsskyldighet, auktorisation och

autencitet. Värdefull information måste skyddas för att information är en grundläggande byggsten, på samma sätt som medarbetare, lokaler och utrustning. Pfleeger (2015) menar på att det finns fyra olika hot mot informationssäkerhet en organisation kan ställas framför:

Andersson Lanas & Fagerström 2

• Avbrott. Om ett system försvinner eller tappar kommunikationen har det utsatts för ett avbrott.

• Förändring. Diverse typer av förändrad eller förstörd information är exempel på förändringar som skadar ett system.

• Fabrikation. Vid denna typ av hot handlar det om att angriparen har förfalskat information på olika sätt.

• Uppfångning. En icke auktoriserad person får tillgång till en resurs som borde ha skyddats.

Ovanstående hot är exempel på hur bristande informationssäkerhet kan påverka organisationens vardagliga arbete. Problematiken kring att uppnå en hög

informationssäkerhet kan vara på grund av bristande kunskap. Enligt Tillväxtverket (2020) är bristande kunskap inom informationssäkerhet en faktor till minskad tillväxt i svenska företag. Anledningar till en bristfällig informationssäkerhet kan även vara resursbrister, omedvetenhet av problemet, den mänskliga faktorn etc. Den mänskliga faktorn utgör ungefär 85% av alla olyckor som sker inom en organisation.

Problemområdet grundas i att lyckas få informationssäkerhetspolicys och strategier att samverka med beteendet hos användarna för att vara effektivt och säkert. Det krävs en balans mellan att anpassa strategier efter användarna och öka förståelsen för risker kring informationssäkerhet i takt med samhällsutvecklingen (Gonzales & Sawicka, 2002).

1.2 Problematisering

Utvecklingen av samhället går mot smartare lösningar och inom tillverkningsindustrin går utvecklingen mot Industri 4.0, även kallad den fjärde revolutionen. Den nya industriella revolutionen fokuserar primärt på fyra aspekter: sammankoppling, automatisering, maskininlärning och realtidsdata. För att implementeringen och verksamheten ska drivas på ett säkert och korrekt sätt ökar kraven på anställdas kompetens (SKF, 2018). Enligt Epicor (2021) är ständig uppkoppling och tillgång till informationen i realtid en utmaning vid implementering av Industri 4.0. Det medför en större risk för intrång samt problematik med att hålla informationen säker. Där

informationen flödar fritt är det viktigt att information är säkrad. Tidigare studier har haft olika metoder för att utvinna ett mått på informationssäkerheten och metoderna är oftast anpassade efter en kvalitativ studie. Därav kommer en bedömningsmodell skapas för att enhetligt kunna bedöma nivån på informationssäkerheten inom organisationer (Binyamin, S., & Lundgren, J. 2017; Almgren, C., & Höjenberg, K. 2015). Genom att utveckla en god informationssäkerhet innan implementeringen av Industri 4.0 är färdigställd skapas bättre förutsättningar för att lyckas.

En bransch i Sverige som enligt Vestin et.al (2018) har ett behov av att moderniseras i form av Industri 4.0 är småhustillverkare med inriktning trähus (SIT). SIT är en bransch som tillverkar bostäder i form av villor, fritidshus och enfamiljshus där utvecklingen sker långsamt historiskt sett. På grund av att mindre än en fjärdedel av de existerande småhustillverkarna behövs för att möta marknadens efterfrågan är konkurrensen hög

Andersson Lanas & Fagerström 3

(Lindblad et.al, 2016). Vestin et.al (2018) betonar att företagen bör moderniseras för att vara konkurrenskraftiga på marknaden. Schauerte & Vestin (2019) redogör att

produktiviteten inom SIT-branschen hade minskat med 4.7% mellan 2008 och 2017 varav slutsatsen var att moderniserade lösningar samt utvecklade IT-systemen kan öka produktiviteten. Vestin (2020) belyser att SIT-branschens produktivitet skulle gynnas vid införandet av industri 4.0. Popovic et. al (2017) redogör att informationsflödet blir större och mer betydelsefullt desto mer verksamheter automatiseras. I nuläget skiljer sig nivåerna av modernisering inom SIT-branschen mellan kontor och produktion.

Kontorspersonal använder främst tekniskt moderna program medan produktionen i första hand använder pappersritningar. Skillnaderna skapar slöserier i form av tid och resurser där exempelvis efterföljning av ritningar samt omständliga arbetsorder till truckar är bidragande faktorer. Digitalisering som behövs göras kommer öka kraven på informationsflödet därav är det väsentligt att informationen är säkrad. Popovic & Rösiö (2019) betonar att digital integrering med tillverkningen börjar bli en nödvändighet för att kunna göra det möjligt att effektivt nyttja all information som den nuvarande generationen besitter. Genom att undersöka den nuvarande informationssäkerheten skapas förutsättningar för småhustillverkarna att moderniseras.

1.3 Syfte

Syftet är att öka förståelsen kring arbetet med informationssäkerhet i SIT-branschen.

1.4 Frågeställningar

• Hur arbetar SIT med informationssäkerhet? • Hur kan informationssäkerhetens nuläge bedömas?

• Vilken påverkan har den mänskliga faktorn hos SIT med avseende på informationssäkerhet?

• Hur kan arbetet med informationssäkerhet förbättras?

1.5 Relevans och bidrag.

Relevans syftar på vad forskningsarbetet kan bidra med till omvärlden samt om den tillför ett visst värde i sammanhanget. Om det resultat som i slutändan fastställts är relevant beror på för vem eller vad det var avsett för (Säfsten & Gustavsson, 2019). Världens industrier står inför den fjärde revolutionen och samhällets krav på ökad teknisk utveckling. Inom den fjärde revolutionen är ständig uppkoppling och tillgång till informationen i realtid ett krav (Epicor, 2021). För att säkerställa informationens

integritet, konfidentialitet och tillgänglighet behövs en god informationssäkerhetsnivå. Whitman & Mattord (2012) påvisar att människan kan vara den svagaste länken inom informationssäkerhet och om åtgärder inte görs kommer människan omedvetet eller

Andersson Lanas & Fagerström 4

medvetet fortsätta vara en svag länk. Genom att kartlägga nuläget inom branschen småhustillverkare och skapa förbättringsförslag anpassat efter de mest förekommande problemen skapas förutsättningar till en god informationssäkerhet. En god

informationssäkerhet är relevant för tillverkningsindustrins utveckling inför den fjärde industriella revolutionen. Bedömningsmodellen som skapas kommer även kunna användas av diverse branscher för att bedöma nivån av informationssäkerheten vilket medför att ett enhetligt mätverktyg används.

Andersson Lanas & Fagerström 5

2. Metod

I följande kapitel motiveras författarnas diverse metodval och hur de kommer användas.

2.1 Metodval

För datainsamling finns det två olika metoder, kvantitativ och kvalitativ. Vid

datainsamling väljs en av föregående metoder utifrån vad för typ av undersökning som måste göras och vilka frågor som behöver besvaras (Eliasson, 2018). Kvantitativa metoder används för att sätta siffror på det materialet som undersökts och kvantitativa data uttrycker kvantitet, storlek, syftar på omfattning, myckenhet (mängd, antal, grad), storlek (utsträckning i tid och rum) och kan uttryckas numeriskt. Den kvalitativa metoden är dock lämplig vid att sätta ett sammanhang och där processen utvecklas kontinuerligt för att bli tydligare desto mer det fortsätter undersökas.

Det här arbetet kommer endast använda sig av ett kvantitativt arbetssätt. Valet motiveras med att författarna av rapporten vill möjliggöra att dra slutsatser om hela branschen småhustillverkare med inriktning trä. För att validera resultaten krävs en breddstudie i form av kvantitativ studie. Insamlingen av data genomförs genom formulering av enkätfrågor som skapats av inläsning inom teorin på det aktuella ämnet och sedan utskick av dessa till diverse olika småhustillverkare. Frågorna som fastställs kommer primärt fokusera på det interna hos företagen, där den mänskliga faktorn är inkluderad. Uppbyggnaden av enkätfrågorna kommer grunda sig i ja- och nej svarsalternativ. Enkätundersökningen kommer dessutom vara anonym för att se till att få till en så konkret och korrekt datainsamling som möjligt.

2.2 Forskningsdesign

Enligt Blomkvist & Hallin (2014) förekommer ett antal vetenskapliga angreppssätt för en rapport. Angreppssätten är deduktiv ansats, induktiv ansats samt abduktiv ansats vilka används för att beskriva forskningsdesignen. En deduktiv ansats grundar sig i en teoretisk bas som sedan undersöks för att skapa ett resultat, medan induktiv är

motsatsen, det vill säga att en observation görs för att sedan skapa teori för att dra en slutsats. Generellt är en blandning av deduktiv och induktiv ansats det vanligaste angreppssättet vilket kallas för abduktiv ansats (Säfsten & Gustavsson, 2019).

Författarna av rapporten inleder med en litteraturstudie som grund till enkätstudien med kvantitativ ansats som kommer genomföras. Litteraturstudien görs för att orienteras inom ämnet informationssäkerhet med relevanta källor. Utifrån litteraturstudien skapas en teoretisk referensram inom ämnet. Teorin som beskrivs är grunden till utformningen av en bedömningsmodell som används för att bedöma nivån på informationssäkerheten. Teorin utgör även grunden till skapandet av enkätfrågorna som görs för att undersöka vilken nivå SIT arbetar med informationssäkerhet. När frågorna har reviderats och

Andersson Lanas & Fagerström 6

konkretiserats sammanställs dem i en enkät. När en enkätmall är vald och färdigställd med frågor pilottestas den för att säkerställa tydligheten, för att undvika tekniska komplikationer samt för att se om data presenteras på föredraget sätt. Efter eventuella ändringar från pilottestet skickas enkäten ut till företag inom SIT-branschen. Genom att analysera och sammanställa det empiriska resultatet till ett statistiskt underlag skapas en bild av nuläget. Utifrån givna resultat skapas förbättringsförslag i form av

strategier/metoder/tankesätt för företagsledningen att implementera i det vardagliga arbetet för en väldigt god informationssäkerhet. Slutligen dras slutsatser över

frågeställningarna som presenterats. På grund av att rapportens grundas på en teoretisk referensram som sedan analyserar nuläget tolkas forskningsdesignen för att ha en deduktiv ansats.

Figur 1; visualisering av forskningsdesignen.

2.3 Enkätmetodik

Enligt Eliasson (2018) är enkätmetodik den främsta metoden för att kvantifiera

undersökningsmaterialet och ge forskaren möjlighet att undersöka större urvalsgrupper. Däremot ökar risken av missförstånd vid enkätundersökning och svarsfrekvensen minskar på grund av den bristande mänskliga kontakten. Vid formulering av enkätfrågor skall variablerna vara ett resultat av operationaliseringen, där det ska finnas minst en enkätfråga från varje variabel.

Enligt Säfsten & Gustavsson (2019) förekommer elva riktlinjer för enkätfrågor: 1. Demografiska frågor: Bakgrundsfrågor som ålder, kön, yrke,

arbetslivserfarenhet och utbildning. Används för att beskriva

Andersson Lanas & Fagerström 7

2. Enkelhet i språk: språket bör anpassas efter den grupp som ska undersökas. 3. Entydiga frågor: ska inte finnas något rum för att en fråga ska kunna

misstolkas. Var tydlig med vad som frågas och definiera begrepp om så skulle behövas.

4. Precisera tids- och rumsangivesler: formuleringar som “Brukar du” sätter en ram inom en viss tids- och rumsgräns.

5. Undvik dubbla frågor - en fråga åt gången: ställ endast en fråga åt gången som kräver ett svar. Dela hellre upp det i två enskilda än en separat.

6. Undvik dubbla negationer: kräver en större tankeinsats av respondenten. 7. Undvik ledande frågor: ledande frågor kan få respondenten att komma in i en

viss tankebana som inte motsvarar dess egentliga uppfattning om det

undersökta. Undantag är ledande frågor i form av likert-typ, vilket kräver att respondenten antingen bekräftar eller tar avstånd från den ställda frågan. 8. Undvik rena kunskapsfrågor: finns inte kunskapen hos respondenten om

frågan är den meningslös att ställa.

9. Undvik onödigt långa frågor: blir för mycket information och bör inte vara längre än vad som krävs för att få en frågeformulering ställd.

10. Undvika alltför generella frågor: blir en tolkningsfråga från person till person och kan leda till ett missvisande resultat.

11. Beakta minnesfaktorn: svårigheter att minnas vad som hänt för ett år sedan. Det som frågan vill ha svar på kan vara helt bortglömt eller så överensstämmer inte enkätsvaren med den verkliga händelsen.

Eftersom undersökningen är kvantitativ och fokuserar på småhustillverkare bör frågorna anpassas därefter. Svårtolkade begrepp såsom informationssäkerhet förtydligas för att frågan inte ska ignoreras eller få ett felaktigt svar som i sin tur kan förstöra den statistik som skall sammanställas i slutet av forskningen. Enkätfrågorna har skapats och

Andersson Lanas & Fagerström 8

2.4 Urval

Blomkvist & Hallin (2014) beskriver processen för ett kvantitativt urval, varav det första steget är att identifiera populationen. Population syftar på allt som ingår inom kategorin som studeras. På grund av att populationer är näst intill omöjligt att studera som en helhet måste ett urval göras. Urvalet delas in i två sorters urvalsmetoder, slumpmässigt urval samt icke slumpmässigt urval:

• Slumpmässigt urval kan delas in i fyra underkategorier. Obundet slumpmässigt

urval är att urvalet görs utan en eftertänkt systematik. Systematiskt urval görs genom att använda en viss systematik, exempelvis var 6:e företag. Klusterurval innefattar urval där populationen redan är indelade i naturliga grupper,

exempelvis elever i skolklasser. I ett proportionerligt stratifierat urval har forskaren själv delat in populationen i grupper (exempelvis ålder, kön, arbete etc.) för att sedan proportionerligt till populationen göra ett slumpvist urval. Anledningen till varför dessa specifika grupper undersöks bör motiveras och framföras i problematiseringen samt syftet. Sannolikheten är större att man representerar hela populationen i ett slumpmässigt urval.

• Icke slumpmässigt urval kan delas in i tre underkategorier. Genom ett

bekvämlighetsurval undersöks de exempel man lättast har tillgång till. Ja-sägar-urval är ett Ja-sägar-urval som görs utifrån personer som är villiga att delta i

undersökningen. Snöbollsurval menas med att respondenterna från första urvalets kontakter kontaktas för att få ett bredare urval. Det är en väl fungerande metod om problem med urvalsramen uppkommer. Fördelen med ett icke

slumpmässigt urval är att själva urvalsprocessen görs hastigt vilket leder till att den empiriska datan kan samlas in kvickt. Nackdelen är att det inte blir en representation av hela populationen och statistiska slutsatser kan ej dras. Rekommendationen är att använda icke slumpmässigt urval vid tidsbrist eller vid mindre omfattande undersökningar.

Författarna använder ett slumpmässigt urval i form av klusterurval genom användandet av en forskningsdatabas skapad av Tobias Schauerte baserad på SNI koder samt webbinformation. Forskningsdatabasen uppdateras årligen för fortlöpande forskning inom SIT-branschen varav antalet SIT-företag inom Sverige är fyrtiosju stycken. På grund av att författarna vill ha ett brett underlag till den kvantitativa studien kommer även ett ja-sägar-urval (icke-slumpmässigt) vara aktuellt för urvalet av

undersökningspersoner. För att få en god uppfattning om informationssäkerheten kommer ledning, ansvariga av informationssäkerhetens uppfyllnad samt operatörer försöka nås. Urvalet av enkätfrågor gjordes genom att sammanställa ISO/IEC 27000s säkerhetsåtgärder med fokus på interna faktorer och frågorna skapades även direkt från den givna teorin om CIA-triaden. Urvalet gjorde för att få en koncist och konkret enkät som innehåller CIA-triaden samt de basala delarna av informationssäkerhet.

Andersson Lanas & Fagerström 9

2.5 Forskningskvalitet och etik

Under examensarbetets arbetsgång förväntas forskarna att följa kodex. Kodex kan beskrivas som en guide med uppförandekoder som ska följas. Enligt Vetenskapsrådet (2017) förekommer fyra nationella krav:

• informationskravet syftar på att involverade och studerade personer ska informeras om arbetets syfte.

• samtyckeskravet berör att ett samtycke ska finnas hos personerna som studeras. • konfidentialitetskravet handlar om att insamlad information ej får spridas utöver

vad informanten medgivit. Det ska var konfidentiellt.

• nyttjandekravet menar på att den insamlade informationen endast får användas i rätt syfte.

Det är väsentligt att ingen ska ta skada av det vetenskapliga arbetet som forskarna utför. Arbetet ska vara opartiskt i både tal och skrift för att utomstående ska kunna värdera resultatet. För att undvika plagiat måste reglerna för citat och referat följas, vilket betyder att citat ska vara ordagranna med korrekt utplacerade citattecken samt referenser ska vara omskrivningar av den originella texten. Citaten samt referaten måste

härstamma från relevanta källor och måste källförtecknas korrekt (Blomkvist & Hallin 2014).

Författarna av rapporten följer kodexen genom att delge informanterna hur

informationen som ges kommer användas. Vid utskick av enkäten kommer villkoren samt processen för informationshanteringen delges. Informanternas svar är anonyma för att öka validiteten i svaren samt för att enskilda företags informationssäkerhetsnivå inte ska vara offentlig. Informationen som delges kommer endast användas i forskningssyfte. Genom att använda referensmallar som tillhandahålls, peer reviewed källor och

noggrant omformulera primära källors text undviker författarna av rapporten plagiat.

2.6 Validitet och reliabilitet

För att beskriva trovärdigheten i en rapport används två termer, reliabilitet och validitet. Ett arbete med hög reliabilitet kan inte säkerställa att arbetet dessutom har en hög validitet. Däremot kan arbetets höga validitet även medföra hög reliabilitet (Blomkvist & Hallin, 2014).

Validitet innebär att forskarna undersöker inom ramen för ämnet och att det mäts korrekt. Det är viktigt att slutsaterna av arbetet skall vara relevanta och trovärdiga. Validiteten uppnås genom att det finns en koherensen mellan teori, problematisering, syfte, frågeställningar och datainsamlingsmetod (Blomkvist & Hallin, 2014). Validiteten

Andersson Lanas & Fagerström 10

i arbetet säkerställs genom att teorin som samlats in berör ämnet informationssäkerhet och stödjer problematiseringen av rapporten. Teorin har sedan använts för att utveckla bedömningsmodellen och för att skapa enkätfrågor vilket ökar validiteten i mätverktyget samt enkäten. På grund av att hela SIT-branschen undersöks är en kvantitativ studie i form av enkätfrågor ett relevant sätt att utföra undersökningen som även ökar

validiteten. I enkäten kommer ett förtydligande av svårare begrepp göras, för att se till att de inte sker en misskommunikation i vad som försöker förmedlas av oss och vad mottagaren uppfattar. Kvalitén på enkäten har kontrollerats genom att enkäten har pilottestas innan utskick samt blivit reviderad av handledare. Författarna av rapporten är medvetna att svarsfrekvensen är kring 5-30% på webbenkäter och för att öka chansen för fler svar kommer enkäten skickas ut igen efter ungefär en vecka (Surveymonkey, 2021: CustomerThermometer, 2019).

Reliabilitet innebär att vid upprepade undersökningar skall resultatet förbli detsamma om den genomförs under liknande förhållanden. Dock är det viktigt att poängtera att vid kvantitativa undersökningar påverkas svarsfrekvensen av slumpmässiga och yttre faktorer. Reliabiliteten innefattar även att studien skall kunna upprepas med hjälp av den information som delges i rapporten (Patel & Davidsson 2019). Reliabiliteten i rapporten säkerställs genom att trovärdiga källor från Linnéuniversitetets egna OneSearch, Google Scholar samt ScienceDirect använts. Enkätfrågorna som skapats är direkt tagna ur teorin vilket medför att enkäten är repeterbar och går att applicera på alla branscher.

Reliabiliteten ökar även genom att författarna redovisar en forskningsprocess där varje steg går att efterfölja för att upprepa studien.

Svarsfrekvensen på den kvantitativa enkätstudien var 20,83% vilket medför att läsaren personligen får bedöma om studien är representativ.

Andersson Lanas & Fagerström 11

3. Teori

I kapitlet framförs relevant teori för att utforma enkätstudien samt en bedömningsmodell presenteras för att nivån på informationssäkerheten ska kunna mätas.

3.1 Informationssäkerhet

Behovet och kraven på säker information ökar i takt med samhällsutvecklingen. Bristen av informationshantering leder till tappat förtroende för nuvarande tjänster och

bakomliggande aktörer, och kan äventyra aktörens verksamhet och användningen av dess tjänster. Allvarliga störningar inom organisationen kan sprida sig till andra sektorer och göra arbetet betydligt jobbigare. Exempelvis kan försämrat förtroende hos

internetbanker spridas så att delar av samhället känner en viss osäkerhet kring användning av tjänsten (MSB 2019).

Den tekniska utvecklingen bidrar till att organisationer blir mer sårbara mot hot inom informationssäkerheten. Ungefär tre procent av organisationers vinster förloras på grund av problem relaterade till informationssäkerheten (Tang et. al, 2016). SIS (2021) betonar att den tekniska utvecklingen skapar smartare samhälle, ökar effektiviteten och

förbättrar servicen. Det krävs dock ett stort utbyte av information vilket medför att säkerhetskraven ökar. Med hjälp av en god informationssäkerhet förhindras

informationen att förvridas, förstöras eller att läcka. Informationssäkerhetens syfte är att bevara konfidentialiteten, integriteten och tillgängligheten av informationen. Med hjälp av policys, regelverk, utbildningar, medvetenhet och teknologi skapas ett säkert arbetssätt för organisationer att hantera information (Whitman, Mattord 2009; MSB 2019). Enligt MSB (2018) bör verksamheter ha en tydligt utpekad roll för vem som huvudsakligt hanterar informationssäkerhetsrelaterade frågor. Det visas att

organisationer som har en en utsedd person inom verksamheten får en bättre överblick angående risker och hur väl organisationen är skyddad.

Andersson (2013) nämner att hot kan delas in i tre grupper: fysiska-, logiska- och mänskliga hot. Fysiska hot är det som kan observeras utvändigt. Det inkluderar

hårddiskar, datorer m.fl. som kan drabbas av inbrott, en brand eller något annat som kan komma att skada de fysiska objekten som innefattas på arbetsplatsen. Logiska hot berör obehörig tillgång av den informationen organisationen lagrar på servrar, molntjänster eller datorer. Det kan vara att den informationen som finns lagrad är komprometterad och anger felaktig information. Mänskliga hot innebär hur människan oavsiktligt kan göra företaget sårbart och mottagligt för risker. Exempelvis att låta datorn stå på under en paus eller att ens personliga mejl öppnas på företagets datorer. Det kan ge obehöriga personer tillgång till informationen vilket påverkar dess reliabilitet.

Andersson Lanas & Fagerström 12

3.2 Mänskliga faktorn

Studier av den mänskliga faktorns påverkan på informationssäkerhet har studerats. Studierna visar på att okunskap, illvilja, omedvetenhet, misskommunikation och brist på engagemang bland personal är de främsta faktorerna till varför informationssäkerhets-intrång sker. Den mänskliga faktorn är den främsta anledningen till majoriteten av att organisatoriska olyckor sker och även majoriteten till varför informationssäkerhets-intrång sker. Tidigare forskning redogör även att den mänskliga faktorns påverkan minskar vid kunskap, engagemang, en bra attityd av användarna samt vid innehavandet av en informationssäkerhetspolicy (Safa et.al, 2015: Albrechtsen & Hovden, 2009: Hadlington et. al, 2021).

Genom att implementera frågor angående den mänskliga faktorn i enkäten kan författarna få en överblick över hur den mänskliga faktorn kan eller påverkar

informationssäkerheten inom SIT-branschen. Den mänskliga faktorn implementeras i enkätfrågorna genom frågor om utbildning och om ledningen uppmuntrar samt

engagerar till informationssäkerhet. Huruvida informationssäkerhetskrav efterföljs visar på attityden hos användare och även engagemanget. Även kunskapen om

informationssäkerhet undersöks för att få en inblick av användarnas medvetenhet.

3.3 Industri 4.0

Industri 4.0 är en ny fas inom den industriella revolutionen med fokus på sammankoppling, automatisering, maskininlärning och realtidsdata. Industri 4.0 erbjuder en mer omfattande, sammanlänkad och helhetssyn på tillverkning. Det medför även möjlighet av bredare utnyttjande av realtidsdata för ökandet av produktivitet, förbättring av processer och ökad tillväxt på företaget (Epicor 2021). Vid ökande användning av realtidsdata och en mer automatiserad produktion tillkommer även högre krav hos säkerheten av informationen för att säkerställa dess konfidentialitet, integritet och tillgänglighet. Konfidentialitet för Industri 4.0 innebär att trådlösa nätverk kan bli komprometterade om data överförs från sensorer eller att en produktionslinjesmodul hamnar i händerna hos en opålitlig användare. Känsliga data bidrar till reliabiliteten i produktionsmiljön och får inte vara felaktig då den påverkar integriteten av

informationen. För att säkerställa tillgängligheten vid Industri 4.0 måste tillgången till data skyddas för att rätt information skall vara på rätt plats vid rätt tid (Kjersgaard et.al 2018).

Andersson Lanas & Fagerström 13

3.4 CIA-triaden

CIA-triaden är en säkerhetsmodell som sammankopplar de tre principerna

konfidentialitet (confidentiality), integritet (integrity) och tillgänglighet (availability). I sin helhet tillhör modellen grunden för informationssäkerhet och skapad för att styra och utvärdera hur en organisation hanterar data i olika scenarion såsom: lagring, överföring och bearbetning. Sambandet mellan dessa komponenter visas i figur 1.1 nedan (CIS 2021).

Figur 2; CIA-triaden

Den första principen är konfidentialitet. Det syftar på att data inte ska kunna åtkommas eller läsas utan autentisering. Det ser till att endast autentiserade parter har tillgång till informationen (CIS, 2021). Konfidentialiteten kan komma att bli komprometterad genom till exempel förlusten av en bärbar dator, en person som kollar över ens axel när ens lösenord skrivs in, ett mejl som skickas fel eller någon som försöker göra intrång på systemen (Andress 2014).

Den andra principen är integritet. Kortfattat innebär det att data inte ska kunna bli modifierat eller komprometterat. Det antar att data förblir i sitt rätta tillstånd och kan endast redigeras av autentiserade parter. Åhlfeldt et. Al (2007) förklarar att integritet inte endast berör att obehöriga får åtkomst till data utan även att autentiserade användare borde ha möjligheten att redigera eventuella fel och se till att informationen är korrekt. Integritet är viktigt när informationen som hanteras lägger grunden för framtida beslut som måste genomföras.

Den tredje och sista principen är tillgänglighet. Kortfattat innebär det att data alltid ska vara åtkomlig när den begärs av en person som har rättighet till informationen. Det ger en försäkran att endast autentiserade parter har oavbruten tillgång till data när behovet uppstår. Förlusten av tillgänglighet kan hänvisas till en bred variation av brytningar varsomhelst i kedjan som gör att åtkomsten till informationen kapas. Sådana problem kan till exempel vara: strömavbrott, operativsystems- eller applikations problem (Murphy, 2015).

Genom att exemplifiera korrelationen mellan CIA-triaden och informationssäkerhet ökar förståelsen för sambandet. Föreställ ett fartyg som fraktar data åt en organisation, varav data går förlorad under färden. Konfidentiellt blir det problem för att data var okrypterad

Andersson Lanas & Fagerström 14

och obehöriga kan haft åtkomst till informationen. Datas integritet påverkas ifall de blir återuppfunna, eftersom de kan ha blivit komprometterade. När det gäller tillgänglighet kan det bli ett problem om filerna ej återfinns, eftersom ingen säkerhetskopiering genomfördes före fartygets avgång (Andress 2014).

Enkätfrågor har skapats utifrån CIA-triadens tre komponenter och kategoriserats med frågor som berör varje del individuellt för att undersöka hur SIT-branschen förhåller sig till säkerhetsmodellen.

3.5 Standard (ISO/IEC 27000)

Svenska institutet för standarder (SIS) definition på en standard lyder:

“En standard är en gemensam lösning på ett återkommande problem. Syftet med standarder är att skapa enhetliga och transparenta rutiner som vi kan enas kring. Det

ligger ju i allas intresse att höja kvaliteten, undvika missförstånd och slippa uppfinna hjulet på nytt varje gång” (SIS, 2020).

Standardserien ISO/IEC 27000 är framtagen av experter för att skapa och tillämpa förutsättningar för en god informationssäkerhet samt skydda information inom organisationer oavsett bransch och storlek. För att en organisation ska kunna bli certifierade med ISO/IEC 27000-serien måste följande krav uppfyllas:

• Organisationen har ett ledningssystem som uppfyller kraven i den standard som ska tillämpas.

• Systemet är en naturlig del av organisationens dagliga verksamhet. • Systemet är beskrivet.

• System och beskrivning underhålls löpande.

• Att ett uttalande om tillämplighet upprättas, där de säkerhetsåtgärder som inkluderas i certifieringen specificeras.

• Att verksamheten blir granskad mot kraven i ISO/IEC 27001 av ett ackrediterat certifieringsorgan.

Standardserien är indelad i två huvudgrenar bestående av säkerhetsarbete och

systematiskt ledningsarbete. Det systematiska arbetet med standarden ger organisationen förutsättningar att anpassa säkerhetsarbetet strukturerat utifrån dess befintliga

förhållanden. Implementeringsstrategier för ledningssystemet är individuellt för varje verksamhet, på grund av att strategin anpassas efter säkerhetsmognad, storlek, lagar etc. Säkerhetsåtgärderna som presenteras för ISO/IEC 27000-serien är 114 stycken.

Säkerhetsåtgärderna skapar möjligheten för en organisation att utveckla och implementera ett grundskydd för information- och cybersäkerhet (SIS, 2020).

Säkerhetsåtgärderna från ISO/IEC 27000-serien har sammanställts och avgränsats till enkätfrågor för att få en generell överblick över SIT-branschens

Andersson Lanas & Fagerström 15

3.6 Metodstöd för systematiskt informationssäkerhetsarbete

Metodstöd för systematiskt informationssäkerhetsarbete är byggt på ISO/IEC-27000 serien varav målet är att förbättra informationssäkerhetsarbetet. Metodstödet använder komponenterna ur ledningssystemet för informationssäkerhet för att säkerställa ett systematiskt informationssäkerhetsarbete och går att implementera på samtliga organisationer. För att informationssäkerheten ska vara på en tillräcklig nivå krävs ett långsiktigt tänkande samt att informationen följer CIA-triadens konfidentialitet, integritet och tillgänglighet. Ett systematiskt informationssäkerhetsarbete skapar förtroende, god efterlevnad, säkert informationsutbyte (stöd för utveckling och

digitalisering) och är kostnadseffektivt i form av anpassning efter organisationens krav, behov och mål (MSB, 2019). Metodstödet är indelat i fyra steg:

• Identifiera och analysera

Genom att utföra analyser på omvärlden och organisationen framkommer ett nuläge. Metoderna som används är verksamhetsanalys, omvärldsanalys, riskanalys samt GAP-analys. Skillnaderna mellan målläge och nuläge styr vilka åtgärder som ska införas, hur arbetet ska utformas samt bedrivas.

• Utforma

Informationssäkerhetskoordinatorn har ett stort ansvar för informationssäkerhetsarbetet och ska alltid ha ett strategiskt perspektiv, men ansvaret för informationssäkerheten följer ordinarie verksamhetsansvar. Under det här steget ska övergripande långsiktiga- och kortsiktiga mål för informationssäkerheten tas fram, en informationssäkerhetspolicy ska utformas med begripliga instruktioner över hur den efterföljs, en klassning av informationen ska göras för att få rätt skydd och åtgärd samt en årlig handlingsplan skall även utformas utifrån prioriteringar som framkom i GAP-analysen. För att hela

organisationen skall arbeta mot samma riktning är det väsentligt att ledningen skapar en informationssäkerhetspolicy.

• Använda:

I det här steget ska ledningssystemet tillämpas och implementeras i det vardagliga arbetet. Informationssäkerhetskoordinatorn måste få organisationen att arbeta i samma riktning. Genom att konstant analysera, utföra förbättringsarbete och dokumentera utformas riktningen tydligare. För att metodstödet ska vara effektivt krävs kontinuerlig utbildning och kommunikation. Ledningen måste vara medvetna om hur de ska leda och hur medarbetaren ska engageras.

• Följa upp och förbättra:

På grund av att hotbilden, tekniken, informationshanteringen etc. konstant förändras krävs ständig anpassning. För att anpassa informationssäkerhetsarbetet måste krav hos informationssäkerhetskoordinatorn ställas och en redovisning av det nuvarande läge presenteras framför högsta ledningen där beslut om riktning och resurser tas.

Andersson Lanas & Fagerström 16

4. Bedömningsmodell

Bedömningsmodellen är ett mätverktyg skapat av författarna för att kunna mäta nivån på informationssäkerheten utifrån enkätstudien.

Teoretiskt sett finns det ett korrekt svar på varje enkätfråga som ställts. Alla svar på respektive enkätfråga kommer poängsättas så att en bedömning ska kunna göras:

• Fel svar ger 0 poäng

• Majoriteten av respondenterna svarar fel ger 1 poäng • En lika fördelning av rätt och fel svar ger 2 poäng • Majoriteten av respondenterna svarar rätt ger 3 poäng • Rätt svar ger 4 poäng

Enkäten är indelad i fyra avsnitt från olika teoretiska områden: 1. Standarden ISO/IEC 27000 som innehåller 13 frågor 2. CIA-triaden; Konfidentialitet som innehåller 7 frågor 3. CIA-triaden; Integritet som innehåller 6 frågor 4. CIA-triaden; Tillgänglighet som innehåller 5 frågor .

Utifrån varje avsnitt och poäng har en tabell skapats. Tabellen används som en bedömningsskala för vilken nivå respektive avsnitt ligger på.

Avsnitt: Standarden ISO/IEC

27000

Konfidentialitet Integritet Tillgänglighet

Ej uppfylld 0-12 poäng 0-6 poäng 0-5 poäng 0-4 poäng

Tenderar mot en icke-uppfylld

13-25 poäng 7-13 poäng 6-11 poäng 5-9 poäng

Mellanläge av ej uppfylld och uppfylld

26-38 poäng 14-20 poäng 12-17 poäng

10-14 poäng

Tenderar mot att bli uppfylld

39-51 poäng 21-27 poäng 18-23 poäng

15-19 poäng

Uppfylld 52 poäng 28 poäng 24 poäng 20 poäng

Tabell 1; Poängsystem för att bedöma branschens informationssäkerhet.

Exempelvis om majoriteten av respondenterna har svarat rätt på fråga 1 ger det tre poäng på just den frågan. Fråga 1-13 innehåller frågor om standarden ISO/IEC 27000 vilket bidrar till att den totala poängen kan hamna mellan 0-52. Om standarden får 50

Andersson Lanas & Fagerström 17

poäng tenderar SIT-branschen mot att uppfylla en god nivå av informationssäkerhet. Utifrån poängen kan man ge förbättringsförslag för hur nivån skall bli uppfylld.

Enligt teorin kan informationssäkerheten delas in i nivåerna: väldigt god nivå, god nivå, informationssäkerhetsmålet uppfyllt och bristfällig nivå. Utifrån den totala poängen från alla avsnitt kan SIT-branschen tilldelas en nivå:

• Väldigt god nivå: Organisationen uppfyller kraven för att bli certifierade inom ISO/IEC 27000-serien och bibehåller informationen utifrån de tre

komponenterna för CIA: konfidentialitet, integritet samt tillgänglighet. Det skapar en kombination av att informationssäkerhets-målet är uppfyllt samt att informationssäkerheten är på en god nivå vilket skapar en väldigt god nivå på informationssäkerheten.

• God nivå: För att informationssäkerheten ska anses vara på en god nivå ska kraven som ställs av standardserien ISO/IEC 27000 vara uppfyllda (SIS, 2020). Kraven är framtagna av experter för att organisationer skall få en god

informationssäkerhet och för att bli certifierade inom standarden krävs efterföljande av kraven som sammanställts i enkäten.

• Informationssäkerhetsmålet: anses vara uppfyllt vid efterföljandet av CIA-triadens komponenter (Whitman, Mattord 2009; MSB 2019). Det försäkrar att informationen hålls säker från utomståendes åtkomst, fri från komprimering och alltid tillgänglig vid begärd åtkomst av en autentiserad användare (Andress 2014; Åhlfeldt et.al 2007).

• Bristfällig nivå: varken CIA-triadens komponenter eller standarden ISO/IEC 27000 har uppfyllts inom organisationen. Det bidrar till att organisationen i nuläget inte kan garantera informationens säkerhet och är mottagliga för intrång som kan äventyra verksamheten.

Enligt Kjersgaard et.al (2018) är efterföljden av CIA-triaden tillräcklig för att säkra implementeringen av Industri 4.0, dock är målläget för en organisation att uppfylla kombinationen av standardens krav och triadens kriterier. Exempelvis om CIA-triaden efterföljs av SIT-branschen kan målet med informationssäkerheten vara uppfyllt men den är inte på en god nivå eftersom standarden ISO/IEC 27000 inte efterföljs.

Andersson Lanas & Fagerström 18

5. Empiri & Analys

Under rubriken resultat presenteras svaren som gavs på enkätfrågorna och analyseras utifrån teorin. Svarsfrekvensen är 20,83 % av populationen som undersöktes vilket motsvarar 10 respondenter. Varje respondent represemnterade varsitt företag.

5.1 Standarden ISO/IEC 27000

Under kommande avsnitt presenteras svaren på enkätfrågorna som berör standarden ISO/IEC 27000.

Under punkt 4.2 presenteras en sammanfattning av avsnittet för

Standarden ISO/IEC 27000.

5.1.1 Fråga 1

Hälften av respondenterna har en informationssäkerhetspolicy medan andra hälften inte har en eller är omedvetna om den. Enligt den framställda bedömningsskalan bedöms frågan som ett mellanläge av ej uppfyllt och uppfyllt vilket genererar i 2 poäng. Det beror på att 20 % av respondenterna klickade i “vet ej” och om de inte vet om det finns en policy kan de omöjligt efterfölja den. Enligt MSB (2019) är

informationssäkerhetspolicyn ett viktigt verktyg för att hela organisationen skall arbeta i samma riktning. Innehavandet av en informationssäkerhetspolicy är en av

säkerhetsåtgärderna som krävs för att bli certifierade med ISO/IEC 27000, vars mål är att skapa en god nivå av informationssäkerhet (SIS, 2020). Genom att införa en informationssäkerhetspolicy skapas en gemensam syn och tillvägagångssätt för att skydda informationen. Av respondenterna är det 20% som är omedvetna om att en informationssäkerhetspolicy existerar. Safa, Solms & Furnell (2015) beskriver att medarbetarnas omedvetenhet är en av de främsta faktorerna till brister inom informationssäkerheten. För att minska risken måste ledning alternativt ansvariga kommunicera samt påminna om policyn och dess riktlinjer. För att öka

kommunikationen kan riktlinjerna påminnas om muntligt på möten, skriftligt med hjälp av mail eller med fysiska listor. Till respondenterna som svarade “ja” gavs följdfrågorna 4.1.2 samt 4.1.3.

Andersson Lanas & Fagerström 19

5.1.2 Fråga 2

Från diagrammet framgår det att ledningen i övervägande del uppmanar personalen att följa kraven som satts för att hålla branschen säker. En majoritet med rätt svar och bedöms därför som att tendera mot att uppfyllas vilket resulterar i 3 poäng. Det beror på att ledningen påminner sina medarbetare att efterfölja den policyn som finns på

fastställd och bidrar med att mindre misstag uppkommer. Den mänskliga faktorn utgör största risken att organisatoriska olyckor sker men med frekventa påminnelser från ledningspersonal om hur efterföljandet av informationssäkerhetspolicyn minskar risken för olyckor på grund av mänskliga faktorn (Safa et.al, 2015: Albrechtsen & Hovden, 2009: Hadlington et. al, 2021). Det kan exempelvis göras genom en ständig påminnelse varje vecka via mail från ledningen eller den utsedda IT-ansvarige om kraven som ställs på medarbetarna och hur de efterföljs på bästa sätt.

5.1.3 Fråga 3

Majoriteten av respondenterna granskar policyn minst en gång per räkenskapsår. Policyn revideras och granskas minst en gång per räkenskapsår, kan därför tolkas som en tendens mot att uppfylla målen och ger därför 3 poäng. Granskning samt revidering av informationssäkerhetspolicyn bidrar till en parallell efterföljning av samhällets

Andersson Lanas & Fagerström 20

utveckling. Nya hotbilder kräver nya metoder samt verktyg (SIS,2020). Genom att granska informationssäkerhetspolicyn frekvent skapas förutsättningar för ett

kontinuerligt informationssäkerhetsarbete och ett starkare försvar gentemot intrång. 5.1.4 Fråga 4

Diagrammet visar en viss ovetskap om en certifiering inom ISO/IEC 27000 är aktiv men att en merpart menar på att branschen inte är det. Det bidrar till att branschen ej

uppfyller målet, även om de som svarat ”vet ej” faktiskt har en certifiering påverkar deras omedvetenhet mot det negativa vilket bidrar till 0 poäng. Det visas tydligt att efterföljandet av standardserien ISO/IEC 27000 kan kopplas till att en god

informationssäkerhetsnivå uppnås (SIS, 2020). Branschen har nu alla möjligheter att påbörja vägen mot en certifiering inom standardserien ISO/IEC 27000 och det borde göras snarast för ett eventuellt intrång kan komma att kosta betydligt mer än vad certifieringen kommer göra.

5.1.5 Fråga 5

Den största andelen av respondenter har inte eller är osäkra på om en utbildning inom informationssäkerhet har delgetts. Majoriteten svarade nej eller är omedvetna om en utbildning har genomförts och kan därför sättas inom bedömningen för att tendera mot icke uppfyllt vilket innebär att 2 poäng delas ut. Bristande kunskap inom

informationssäkerhet är en faktor till varför tillväxten bland svenska företag minskar (Tillväxtverket, 2020). Bristande kunskap kan skapa en omedvetenhet om vilka krav som måste ställas på informationen inför införandet av Industri 4.0, vilket ökar risken för incidenter (Kjersgaard et.al 2018). Genom utbildning skapas förutsättningar för en

Andersson Lanas & Fagerström 21

bredare förståelse över hur informationssäkerheten påverkar organisationen. Till respondenterna som svarade “Ja” gavs följdfrågorna 4.1.6 och 4.1.7.

5.1.6 Fråga 6

Utav respondenterna som utbildats följer hälften riktlinjerna medan resterande icke efterföljer riktlinjerna, eller är omedvetna om de uppfyller alla krav. Det innebär att frågan kan bedömas som ett mellanläge mot ej uppfyllt och uppfyllt (2 poäng). För att säkerställa ett effektivt systematiskt informationssäkerhetsarbete krävs kontinuerlig utbildning och kommunikation (MSB, 2019). Det kan exempelvis göras genom att erbjuda fler utbildningstillfällen samt ha en whiteboardtavla i fikarummet där alla anställda kan ständigt påminnas vad det ursprungliga syftet med utbildningen var. 5.1.7 Fråga 7

Diagrammet visar att ingen av respondenterna har erbjudits mer än ett

utbildningstillfälle. Eftersom inget mer utbildningstillfälle genomförts bedöms frågan som ej uppfyllt och ger 0 poäng. För att upprätthålla kunskapen måste den repeteras kontinuerligt. Kunskapen bidrar till minskad risk för att incidenter gällande

Andersson Lanas & Fagerström 22

5.1.8 Fråga 8

Diagrammet tyder på att en informationssäkerhetsansvarig generellt inte finns till förfogande inom branschen. Svaret är delat men eftersom majoriteten är nej och

omedvetna bedöms frågan som ej uppfyllt (0 poäng). Det bör finnas en roll som relaterar till informationssäkerhetsrelaterade frågor för det ger organisationen en bättre chans att både upptäcka fel men även hur de skall hanteras. Problemet kan lösas genom att antingen utse en redan befintlig anställd till informationssäkerhetsansvarig och ge personen relevant utbildning, eller öppna upp en ansökningsprocess för utomstående med kvalifikationerna som krävs.

5.1.9 Fråga 9

Det är en stor ovisshet angående om riktlinjer finns för att rapportera ett intrång. En stor andel har riktlinjer men majoriteten är omedvetna eller har det ej. Majoriteten består av omedvetna och nej, det innebär att frågan bedöms som att tendera mot icke uppfyllt och uppfyllt vilket ger 1 poäng. Tang et. al (2016) redogör att organisationers vinst minskar med cirka tre procent på grund av problem kopplade till informationssäkerheten. För att kunna motarbeta intrång och undvika incidenter måste riktlinjer följas. Organisationen måste tillsammans samarbeta för att minska risken av intrång. Skapa riktlinjer,

exempelvis om en lathund och utbildning ges ökar förutsättningarna för att upptäcka intrång avsevärt.

Andersson Lanas & Fagerström 23

5.1.10 Fråga 10

I frågan angående om rutiner efterföljs vid incidenter är majoriteten omedvetna eller ej efterföljande. Det innebär att frågan fallerar in på icke uppfylld nivå (1 poäng).

Rutinerna inom organisationer är individuella och utformade efter egna behov. Hanteringen av incidenter måste ske utifrån rutiner som ges för att vara effektiva. Dokumentation kan bidra till att samma misstag ej upprepas eller för att hitta svaga punkter inom säkerheten. Säkerhetsåtgärder för ISO/IEC 27000 kräver att incidenterna hanteras utifrån rutiner (SIS, 2020). Genom att skapa enkla och lättillgängliga rutiner ökar chansen för efterföljandet av dem.

5.1.11 Fråga 11

Den större delen av branschen testar informationssäkerheten inför utvecklandet av system. Det tolkas som att branschen är på god väg att mot att uppfylla målen (3 poäng). Det måste ses till att informationen som skall bearbetas efterföljer CIA-triaden

komponenter. Det innebär att det inte ska kunna åtkommas eller läsas utan behörighet, inte kunna modifieras samt vara åtkomlig vid begäran från en autentiserad användare. Vid utvecklingen av system försöka skapa en transparent arbetsplats där alla tydligt kan följa med i stegen som görs och varför så en helhetsbild byggs samt vikten att hålla informationen organisationen besitter säker.

Andersson Lanas & Fagerström 24

5.1.12 Fråga 12

En övervägande majoritet anmäler misstänkta svagheter gällande informationssäkerhet. Eftersom en liten andel inte anmäler alla observerade eller misstänka svagheter måste frågan bedömas som att tendera mot att uppfylla målet (3 poäng). Ledning alternativt ansvariga för informationssäkerheten har det största ansvaret att frekvent påminna samt uppmuntra medarbetarna att anmäla svagheter. För att bidra till en lättillgänglighet bör en funktion skapas där medarbetare enkelt kan anmäla brister och att ledningen frekvent påminner om hur anmälningar görs.

5.1.13 Fråga 13

Hälften av respondenterna har krav på användning av företagets datorer medan 40% inte har krav och en minoritet är omedvetna om krav på användning existerar. Delat läge innebär att mellanläge av ej uppfyllt och uppfyllt blir det som frågan bedöms med (2 poäng). Hadlington, Binder & Stanulewicz (2021) menar på att en stor andel av intrång sker på grund av privat användning av företagets enheter. För att minska risken gällande intrång bör riktlinjer skapas för användare att efterfölja gällande privat användning.

Andersson Lanas & Fagerström 25

5.2 Sammanfattning av standarden ISO/IEC 27000

Varje fråga har klassats utifrån bedömningsskalan som beskrivs i teorikapitlet. Den sammanställda poängen för avsnittet är 22 poäng. Utifrån poängen kan branschens nivå inom standarden ISO/IEC 27000 beskrivas som att tendera mot en icke-uppfylld nivå enligt bedömningsskalan. För att uppnå en god nivå1 _{av informationssäkerhet är}

sammanfattningen av förbättringsförslagen att; • Skapa och efterfölja policy:

- Genom att införa en informationssäkerhetspolicy skapas en gemensam syn och tillvägagångssätt för att skydda informationen.

- Ledning alternativt ansvariga måste kommunicera samt påminna om policyn och dess riktlinjer. För att öka kommunikationen kan riktlinjerna påminnas om muntligt på möten, skriftligt med hjälp av mail eller med fysiska listor

- Efterföljandet av informationssäkerhetspolicyn kan öka genom exempelvis en ständig påminnelse varje vecka via mail från ledningen eller den utsedda IT-ansvarige om kraven som ställs på medarbetarna och hur de efterföljs på bästa sätt.

- Genom att granska informationssäkerhetspolicyn frekvent skapas förutsättningar för ett kontinuerligt informationssäkerhetsarbete och ett starkare försvar

gentemot intrång.

- För att minska risken gällande intrång bör riktlinjer skapas för användare att efterfölja gällande privat användning.

- Genom att skapa enkla och lättillgängliga rutiner ökar chansen för efterföljandet av dem.

- För att kunna motarbeta intrång och undvika incidenter måste riktlinjer följas. Organisationen måste tillsammans samarbeta för att minska risken av intrång. Skapa riktlinjer, exempelvis om en lathund och utbildning ges ökar

förutsättningarna för att upptäcka intrång avsevärt

- Vid utvecklingen av system försöka skapa en transparent arbetsplats där alla tydligt kan följa med i stegen som görs och varför så en helhetsbild byggs samt vikten att hålla informationen organisationen besitter säker.

1 _{För att uppnå en väldigt god nivå på informationssäkerheten krävs en kombination av}

Andersson Lanas & Fagerström 26

• Utse informationssäkerhetsansvarig:

- Problemet kan lösas genom att antingen utse en redan befintlig anställd till informationssäkerhetsansvarig och ge personen relevant utbildning, eller öppna upp en ansökningsprocess för utomstående med kvalifikationerna som krävs. - För att bidra till en lättillgänglighet bör en funktion skapas där medarbetare

enkelt kan anmäla brister och att ledningen frekvent påminner om hur anmälningar görs.

• Utbildning:

- Genom utbildning skapas förutsättningar för en bredare förståelse över hur informationssäkerheten påverkar organisationen. Det kan exempelvis göras genom att erbjuda fler utbildningstillfällen samt ha en whiteboardtavla i

fikarummet där alla anställda kan ständigt påminnas vad det ursprungliga syftet med utbildningen var.

- För att upprätthålla kunskapen måste den repeteras kontinuerligt. Kunskapen bidrar till minskad risk för att incidenter gällande informationssäkerheten inträffar.

- Branschen har nu alla möjligheter att påbörja vägen mot en certifiering inom standardserien ISO/IEC 27000 och det borde göras snarast för ett eventuellt intrång kan komma att kosta betydligt mer än vad certifieringen kommer göra.

Andersson Lanas & Fagerström 27

5.3 CIA-triaden

Under kommande avsnitt presenteras svaren på enkätfrågorna gällande CIA-triadens komponenter; konfidentialitet, integritet och tillgänglighet.

5.3.1 Konfidentialitet

Under punkt 4.3.2 finns en sammanfattning av avsnittet Konfidentialitet. 5.3.1.1 Fråga 14

Endast en liten andel av respondenterna har förlorat information (3 poäng). Andress (2014) betonar att informationens konfidentialitet blir komprimerad vid förlust av information. För att undvika att information förloras eller blir komprimerad är lösenordsskyddad data samt policys för förflyttning av information relevanta lösningsmetoder.

5.3.1.2 Fråga 15

Som diagrammet visar hålls inloggningsuppgifter i största mån privata med någon enstaka avvikelse, vilket bidrar till att majoriteten har svarat rätt (3 poäng). Andress (2014) förklarar att data inte ska kunna åtkommas, läsas eller redigeras av obehöriga

Andersson Lanas & Fagerström 28

användare, men om inloggningsuppgifter lånas ut kan det inte garanteras. Det kan lösas genom att fastställa en strikt policy där konsekvenserna vid utgivandet av ens

inloggningsuppgifter till en annan anställd tydligt framgår. 5.3.1.3 Fråga 16

I största mån finns det inga rutiner över hur information ska hanteras (1 poäng). Andress (2014) förtydligar att konfidentialitet innebär att data inte ska kunna åtkommas eller läsas utan autentisering. Det är omöjligt att undvika om dokument eller papper lämnas öppet på skrivbord för vem som helst att se. Det borde därför införas tydliga rutiner genom hela organisationen för informationshanteringen så det kan hanteras på likvärdigt sätt utav alla involverade parter.

5.3.1.4 Fråga 17

Majoriteten av användare följer rutinerna till punkt och pricka medan den andra delen oftast följer de fastställda rutinerna (3 poäng). Rutiner behövs för att exempelvis försäkra att ett mail inte skickas till en opålitlig användare (Andress 2014).

Efterföljandet av rutiner vid konfidentiell information kan öka genom kontinuerlig påminnelse om varför rutinerna är viktiga och konsekvenserna av att konfidentiell information läcker ut.

Andersson Lanas & Fagerström 29

5.3.1.5 Fråga 18

Resultatet visar att hälften av respondenternas åtkomsträttigheter granskas frekvent medan andra hälften inte granskas eller är omedvetna om det görs (2 poäng). Inom organisationer skall information endast delges till personer som har rättigheter till den. Vid ändrad anställning, vid avslutad tjänst eller när informationen är avsedd till en viss målgrupp inom organisationen skall åtkomsten vara anpassad därefter för att undvika att informationens konfidentialitet påverkas (CIS, 2021). För att garantera att

åtkomsträttigheterna är korrekta bör ansvariga korrigera åtkomsten genom exempelvis ett intranät med diverse klassningar. Ansvariga bör även korrigera åtkomsten vid varje avlutad eller påbörjad tjänst samt vid tillkomsten av ny information. Respondenterna som svarade “Ja” fick följdfrågorna 4.2.1.6 och 4.2.1.7.

5.3.1.6 Fråga 19

Förtydligande av figuren ovan:

• Vid organisatoriska förändringar (någon bryter ansvarsområde, någon slutar eller liknande), samt vid vårt årliga systematiska informationssäkerhetsarbete. • Vet ej

• Via vårt IT-företag vi anlitar • 90 dagar

Andersson Lanas & Fagerström 30

Respondenterna är splittrade över om åtkomsträttigheter granskas eller hur ofta det genomförs. Eftersom det finns en splitt i svar antas en lika fördelning av frågan (2 poäng). Ett av många olika sätt som kan komma att komprimera konfidentialiteten är genom försök av intrång på systemen (Andress 2014). Det går inte att säkerställa att en före detta anställd väljer att utnyttja sina åtkomsträttigheter i efterhand för att orsaka skada hos verksamheten. Genom att direkt vid avslutande av någons tjänst granska allas åtkomsträttigheter minimeras risken att en före detta anställd ska kunna genomföra ett intrång mot systemen.

5.3.1.7 Fråga 20

En stor del av respondenterna är omedvetna eller vet att åtkomsträttigheterna inte tas bort vid avslutad tjänst. En lika stor del som är omedvetna är medvetna om att

åtkomsträttigheterna tas bort. Det innebär att det tenderar mot en icke uppfylld nivå (1 poäng). Vid avslutad tjänst är inte personen i fråga behörig till organisationens

information vilket bidrar till att informationens konfidentialitet blir komprimerad (CIS, 2021). Genom att ansvarig IT-personal frekvent granskar och aktivt tar bort

åtkomsträttigheter vid avslutad anställning minskar risken avsevärt för informationen att bli komprimerad.

5.3.2 Sammanfattning av Konfidentialiteten

Varje fråga har klassats utifrån bedömningsskalan som beskrivs i teorikapitlet. Den sammanställda poängen för avsnittet är 15 poäng. Utifrån poängen kan branschens nivå inom Konfidentialiteten beskrivas som att vara på ett mellanläge av varken uppfylld eller icke-uppfylld nivå enligt bedömningsskalan.

För att målet med

informationssäkerheten kring konfidentialiteten skall vara uppfyllt

är sammanfattningen av förbättringsförslagen att:

• Rutiner utifrån policy:

- Det är omöjligt att undvika om dokument eller papper lämnas öppet på skrivbord för vem som helst att se. Det borde därför införas tydliga rutiner genom hela organisationen för informationshanteringen så det kan hanteras på

Andersson Lanas & Fagerström 31

likvärdigt sätt utav alla involverade parter.

- Efterföljandet av rutiner vid konfidentiell information kan öka genom

kontinuerlig påminnelse om varför rutinerna är viktiga och konsekvenserna av att konfidentiell information läcker ut.

- För att undvika att information förloras eller blir komprimerad är

lösenordsskyddad data samt policys för förflyttning av information relevanta lösningsmetoder.

- Utlånade inloggningsuppgifter kan motverkas genom att fastställa en strikt policy där konsekvenserna vid utgivandet av ens inloggningsuppgifter till en annan anställd tydligt framgår.

• Konkreta arbetsuppgifter:

- Genom att ansvarig IT-personal frekvent granskar och aktivt tar bort åtkomsträttigheter vid avslutad anställning minskar risken avsevärt att informationen blir komprimerad.

- Det går inte att säkerställa att en före detta anställd väljer att utnyttja sina åtkomsträttigheter i efterhand för att orsaka skada hos verksamheten. Genom att direkt vid avslutande av någons tjänst granska allas åtkomsträttigheter

minimeras risken att en före detta anställd skulle kunna genomföra ett intrång mot systemen.

- För att garantera att åtkomsträttigheterna är korrekta bör ansvariga korrigera åtkomsten genom exempelvis ett intranät med diverse klassningar. Ansvarig bör även korrigera åtkomsten vid varje avlutad eller påbörjad tjänst samt vid

Andersson Lanas & Fagerström 32

5.3.3 Integritet

Under punkt 4.3.4 presenteras en sammanfattning av avsnittet Integritet.

5.3.3.1 Fråga 21

En majoritet av respondenterna har fysiska säkerhetsåtgärder (3 poäng). Att fysiskt skydda informationen förhindrar informationen från att användas av obehöriga personer och stärker informationens integritet (Lundblad, 2005). Att använda ID-brickor med personlig kod bidrar till endast behörig personal får tillgång till informationen samt att loggar kan föras över vem, till vad och hur informationen används.

5.3.3.2 Fråga 22

Förtydligande av respondenternas svar:

• Låsta utrymmen och passerkort på individnivå • Vet ej

• Larm, automatisk utloggning • Kassavalv för backuper, larm

Merparten av respondenterna känner till vilka fysiska skydd som används inom organisationen (3 poäng). Enligt Lundblad (2005) säkerställs integriteten exempelvis genom uppföljning av informationens historik. Det kan ses som om ett dokument senast redigerades av en användare även om denne inte skulle ha tillgång till dokumentet. Det