IT-säkerhet- Tre branscher

(1)

IT- ^SÄKERHET

– T RE BRANSCHER

VT 2008:KI10 Kandidatuppsats i Informatik

Aida Hadzic

(2)

I Svensk titel: IT-säkerhet- Tre branscher Engelsk titel: IT- security - Three sectors Utgivningsår: 2008

Författare: Aida Hadzic Handledare: Bertil Lind Abstract

Massive information amount and the sheer again the accelerated development within IT sets all right requirements on organisations' work current IT-security measures. In line with that the threat increases on the basis of must the own resources be protected and negative consequences to be prevented. Through one clear and existed IT-safety policy as employee within organisations is informed about can the everyday existence be facilitated and risks are minimized. An effective information security work is a condition and good assurance that gives long-term profit. Within organisations, the information can often be inadequate and IT-safety policy is not an exception for that rule. In the study, three case studies that are presented implement on three different activities and there members of organization is active within entirely divided sectors. It shows clearly that IT-safety policy is not a document that is available for employee. The survey shows that it within individual activities not tripod's requirements on employee to take part of IT-safety policy. Education around IT - and information security among employees is not frequent and that someone new and updated information around reversed guidelines current IT security does not occur. This essay is typed on Swedish.

Keywords: IT-security, IT-security measures, IT-safety policy

(3)

II Sammanfattning

Ofantliga informationsmängder och den ideligen växande utvecklingen inom IT ställer allt högre krav på organisationers arbete gällande IT-säkerhetsåtgärder. I takt med att hotet ökar utifrån måste de egna resurserna skyddas och negativa konsekvenser förebyggas. Genom en väldefinierad och existerande IT-säkerhetspolicy som anställda inom organisationer är införstådda med kan vardagen underlättas och risker minimeras.

Ett verkningsfullt informationssäkerhetsarbete är en förutsättning och god försäkran som ger långsiktig avkastning. Inom organisationer kan informationen ofta vara bristfällig och säkerhetspolicys är inte ett undantag för den regeln. I studien redovisas tre intervjuer som är genomförda på tre olika verksamheter och där organisationsmedlemmarna är verksamma inom helt skilda branscher. Det framgår tydligt att IT-säkerhetspolicy inte alltid är ett dokument som finns tillgänglig för anställda. Undersökningen visar att det inom enskilda verksamheter inte ställs krav på anställda att ta del av IT-säkerhetspolicy.

Utbildning kring IT - och informationssäkerhet bland anställda är inte ett förkommande faktum och någon ny och uppdaterad information kring ändrade riktlinjer gällande IT- säkerhet förekommer inte.

Nyckelord: IT-säkerhet, IT-säkerhetsåtgärder, IT-säkerhetspolicy

(4)

III Förord

Jag vill rikta ett stort tack till min handledare Bertil Lind för allt fantastiskt stöd, uppmuntran och vägledning med denna studie. Jag vill även framföra ett tack till Björn Sharin på Ringhals AB, Gustav Rydell på TNS Gallup samt Johan Damberg på Elvanstandläkare som tog sig tid att besvara mina frågor.

Borås, maj 2008 Aida Hadzic

(5)

IV

Innehållsförteckning

1 Inledning ...1

1.1 Bakgrund...1

1.2 Problemdiskussion...1

1.3 Syfte...3

1.4 Målgrupp...3

1.5 Förväntat resultat...3

1.6 Avgränsningar...3

1.7 Centrala begrepp ...4

1.8 Disposition ...5

2 Metod...6

2.1 Kunskapskaraktär ...6

2.2 Vetenskapligt perspektiv...6

2.2.1 Hermeneutik ...6

2.3 Forskningsstrategi ...6

2.3.1 Kvalitativ metod...6

2.3.2 Teorins roll...7

2.3.3 Empirins roll ...7

2.4 Insamlingsmetoder ...7

2.4.1 Litteraturstudie...7

2.4.2 Empirisk undersökning...7

2.4.3 Urvalsmetod...7

2.4.4 Argumentation för urval ...8

2.4.5 Genomförande...8

2.4.6 Analysmetod ...8

2.5 Utvärderingsmetod ...9

3 IT-säkerhet ...10

3.1 Vad är IT-säkerhet? ...10

3.1.1 Fysisk säkerhet...11

3.1.2 Organisatorisk säkerhet ...11

3.1.3 Logisk säkerhet ...11

3.2 Informationssäkerhet ...12

3.3 Informationshantering ...13

3.4 IT- säkerhetspolicy...14

3.5 Riskhantering ...15

3.6 Informationssäkerhet i privat sektor ...16

3.7 Informationssäkerhetsarbete ...16

3.8 Utbildning inom IT-säkerhet...17

3.9 Användbarhet...18

3.10 Organisation och organisationsmedlem...19

3.10.1 Organisation...19

3.10.2 Organisationsmedlem...19

4 Sammanfattning av teorin ...20

5 Empiri ...21

5.1 Intervju 1...21

5.1.1 Företagspresentation...21

5.1.2 Bakgrund ...21

5.2 Resultat av intervjun...22

(6)

V

5.2.1 Information och utbildning inom IT-säkerhet...22

5.2.2 Säkerhetsrutiner ...22

5.2.3 IT-säkerhetsåtgärder och användbarhet...23

5.2.4 Förväntningar och synpunkter om IT-säkerhet ...23

5.3 Intervju 2...24

5.4 Resultat av intervju...24

5.5 Intervju 3...27

5.6 Resultat av intervjun...27

6 Sammanfattning av empirin ...30

7 Analys ...31

7.1 Information och utbildning inom IT-säkerhet...31

7.2 Säkerhetsrutiner...32

7.3 IT-säkerhetsåtgärder och användbarhet ...33

7.4 Förväntningar och synpunkter om IT-säkerhet ...33

8 Resultat ...34

9 Diskussion...36

10 Avslutande del...38

10.1 Slutsatser...38

10.2 Metodutvärdering ...39

10.2.1 Teori...39

10.2.2 Empiri...39

10.3 Utvärdering av studien i stort...40

10.4 Generaliserbarhet ...41

10.5 Förslag till fortsatt forskning...41

10.6 Spekulationer inför framtiden ...41

11 Referenser ...42

11.1 Tryckt material...42

11.2 Elektroniskt material ...43

11.3 Figurer ...43

(7)

1 Inledning

Syftet med detta kapitel är att ge läsaren en inledande förståelse för de faktorer som ligger till grunden för studien samt en inblick i området IT-säkerhet.

1.1 Bakgrund

Den snabba utvecklingen inom IT ställer nya och större krav på IT- säkerheten. Inom verksamheter och organisationer ses informationen som den mest värdefulla tillgången. En god IT-säkerhet är på så sätt en självklar investering och en billig försäkran. Trots detta slarvar allt för många. Information försvinner, förstörs och missbrukas, vilket kan få förödande konsekvenser.

Statens offentliga utredning (2004:32) skriver i sin rapport att varje myndighet, företag, kommun och organisation har ett eget ansvar för att tillse att adekvat fortbildning genomförs för alla medarbetare. Det är av stor betydelse att den egna personalen utbildas i frågor rörande informationssäkerhet och inte bara IT-funktioner och de som har uppgifter inom området informationssäkerhet. I rapporten framgår det att IT-området utvecklas snabbare än säkerhetsmedvetandet och den ökade IT- användandet har lett till ett ökat behov av säkerhet och kvalitet.

Det finns ett flertal olika lösningar och informationssäkerheten kan ständigt förbättras.

Lösningar skräddarsys för verksamheter och målet är oftast det samma, att skydda den interna organisationen och begränsa oönskade intrång (Syren, 2005). Teknologins stora framfart och det ständiga växande informationsflödet innebär inte bara ökade möjligheter utan även vissa risker. IT- säkerheten handlar om överlevnad, vi måste ha tillräckligt bra kunskaper för att kunna lösa problem som uppstår nu och i framtiden.(Mitrovic, 2005).

Organisationer och företag är idag helt beroende av sina datasystem för att kunna bedriva den dagliga verksamheten. De är även beroende av sina anställda. Systemet kan inte drivas och underhållas utan företagets medarbetare. Kunskaper och färdigheter som de tillhandahåller är viktiga faktorer för ett lyckat resultat och för att nå utsatta mål. Genom att organisationsmedlemmar är medvetna om risker och hanterar information varsamt kan obehagliga situationer elimineras. Välutbildade och motiverade anställda är den bästa försäkringen mot förluster av värdefull information.

1.2 Problemdiskussion

Då det strider mot den mänskliga naturen att följa alltför krångliga och oförnuftiga regler är det viktigt att säkerhetsåtgärder, rutiner och kontroller inom verksamheter bygger i grund på givna och enkla förklaringar (Dataföreningen, 2002). För att IT- säkerhetsregler inte skall upplevas som frustrerande gäller det att sätta de på en rimlig nivå. Stor del av informations förluster beror på felaktig hantering av information eller bristande kunskaper om säkerhetsfrågor (Mitrovic, 2005).

(8)

2

Undersökningar visar att de största ekonomiska skadorna i en verksamhet, eller ca två tredjedelar, orsakas av anställda eller personer i deras närhet. Endast en tredjedel beror på andra orsaker, som stöld och skador vållande av utomstående, brand och vattenskador. (Dataföreningen, 2002)

Människan är inte bara objekt när det handlar om hot, risker och katastrofer. Hon är i högsta grad också ett subjekt d.v.s. orsaken till flesta situationer som bedöms farliga och hotande (Seipel et al, 2004). Användarna betraktar ofta säkerhetspolicy som något de måste efterleva men är inte alltid fullt medvetna om vilken roll de har att spela för att policy följs. Säkerhetsmedvetenheten måste ökas för att få användarna att arbeta enligt informationsskyddsprinciper (Mitrovic, 2005). Problemet ligger i att många användare idag betraktar säkerhetskontroller mer som ett hinder i vägen.

Användarna måste förstå anledningarna till att säkerhetskontroller finns för att de skall medverka i ett effektivt säkerhetsarbete.

Detta resonemang leder oss till studiens huvudfrågan:

• Hur bör IT- säkerhetsåtgärder utformas inom en organisation för att efterlevas av organisationsmedlemmar?

Informationssäkerhetspolicy bör vara anpassat till organisationens egen verksamhet och rådande miljö. Informationssäkerhetspolicy skall uppfylla flera ändamål och är en viktig riktlinje för vad som är tillåtet och inte. Det är viktigt att organisationsmedlemmar vet hur de får nyttja företagets IT-resurser och vilka IT- säkerhetsåtgärder som bör tillämpas (Syrén, 2005). För att nå fram till det önskade kunskapsbidraget måste nedanstående delfråga besvara.

• Kan IT-säkerhetspolicy göras mer tillgängligt?

Informationssäkerhetsprinciper bör formuleras på ett tydligt sätt och riktas mot användare på alla nivåer. Policyn måste vara skriven på ett sådant sätt att den är relevant för alla som hanterar information och arbetar med informationsteknik. Saknas en övergripande informationssäkerhetspolicy och IT - säkerhetsregler är oklara ligger förtaget oftast i en farozon. (Mitrovic, 2005) Otillräckliga säkerhetskontroller och resurser för underhåll av IT - system kan i längden bidra till förödande konsekvenser.

Problemet med hur vi ska öka säkerhetstänkandet och medvetenheten om risker kvarstår.

Statens offentliga utredning (2005:42) skriver i förslag till informationssäkerhetspolitik att medvetenhet om sårbarhet, hot och risker är lågt hos enskilda användare. En rad åtgärder måste vidtas för att ytterligare förbättra säkerhetsmedvetandet och öka kunskaperna om informationssäkerhet.

Informationssäkerheten bör utgöra en baskunskap för många yrkesgrupper. Min studie kommer att utreda om organisationsmedlemmarnas besitter utbildning kring IT- säkerhet genom att besvara följande delfråga:

• Vad har organisationsmedlemmar för utbildning kring IT- och informationssäkerhet?

(9)

1.3 Syfte

Syftet med denna studie är att undersöka och presentera hur IT-säkerhetsåtgärder bör utformas inom en organisation för att efterlevas av organisationsmedlemmar. IT- säkerhetspolicyns funktion i verksamheter och utbildning kring IT-säkerhet bland organisationsmedlemmarna kommer att genomlysa studien. Forskningen skall bidra till en öka förståelse om IT-säkerhetens roll i organisationer.

1.4 Målgrupp

Studien riktas sig till systemutvecklare samt beslutsfattare inom organisationer som är intresserade av hur IT-säkerhetsåtgärder bättre kan anpassa till organisationsmedlemmarnas dagliga arbete. Förhoppningen är att studien skall bidra till större medvetenhet om organisationsmedlemmarnas roll i utvecklingen och införandet av IT-säkerhetrutiner. På längre sikt hoppas jag att kunskapen kan så nya rön och leda till fortsatt forskning inom ämnesområdet samt vara inspirationskälla för andra studenter.

1.5 Förväntat resultat

Då syftet med denna studie är att undersöka och presentera hur IT-säkerhetsåtgärder bör utformas inom en organisation för att efterlevas av organisationsmedlemmar är förväntningen att kunskapen jag kommer fram till skall vara tillförlitlig och kvalitativ.

Målet är att studiens resultat skall vara relevant och vidareförbar och leda till utveckling inom ämnesområdet.

Förväntningen är även att den nya kunskapen ska bidra till en ökad förståelse om eventuella brister gälland IT-säkerhet och ligga till grunden för ett bättre IT- säkerhetsarbete.

1.6 Avgränsningar

I denna studie har jag valt att avgränsa mig till tre olika branscher och till en enskild organisation inom varje bransch. Vidare har jag valt att intervjuerna en enskild organisationsmedlem inom den valda organisationen som jag anser innehar erfarenheter och är en relevant representant för organisationen.

Jag kommer inte att gå in på tekniska aspekter gällande IT-säkerheten. Studiens omfattning påverkas av den tid på 10 veckor som finns till disposition och genomförs utan några ekonomiska bidrag.

(10)

4

1.7 Centrala begrepp

Nedan presenteras de centrala begrepp som förekommer i uppsatsen. Syftet är att ge en kort förståelse för varje enskild begrepp samt öka förståelse för hur dessa begrepp hänger samman.

Betydelse

IT-säkerhet är skydd förenade med användning av IT och ingår i organisationens säkerhetsramverk. IT- säkerhet skyddar tillgångar, både information, mjukvara och hårdvara.

Säkerhet IT-säkerhet

Informations- säkerhet

Organisation

Organisations- medlem

Informations- hantering

IT-

Säkerhetspolicy

Att vara och känna sig säker.

Informationen skall vara säker, tillgänglig, spårbar samt riktig. Informationssäkerhet omfattas av hela infrastrukturen inom ett företag och är en viktig del av företagets riskhantering. Den utgörs både av processer, system, tjänster och teknologi.

Organisationens arbetsprocess med att mäta, bedöma och hantera risker inom verksamheten.

Riskhantering

Ett socialt system av roller som knyts samman för att uppnå bestämda mål.

Den person som är en del av en organisation och som jobbar inom verksamheten för att uppnå bestämma mål.

Hantering av information både fysiskt och digitalt.

Inom en organisation kan informationshanteringen ske både externt och internt.

Syftar till att skydda företaget och anger bl.a. hur företagets anställda får nyttja IT-resurser.

Term

(11)

1.8 Disposition

För att öka förståelse för uppsatsens upplägg har jag valt att under dispositionen ge en förklaring av varje enskilt moment.

1. Inledning

Syftet med detta kapitel är att ge läsaren en inledande förståelse för de faktorer som ligger till grunden för studien samt en inblick i området IT-säkerhet.

2. Metod

Syftet med detta kapitel är att ge inblick i de tillvägagångssätt som tillämpas i studien och skapa en förståelse för de perspektiv som ligger till grund för studiens analys och utvärdering.

3. IT-säkerhet

Detta kapitel är till för att ge en förståelse för området IT-säkerhet samt alla de viktiga delar som ingår under begreppet och är viktiga att belysa och framhäva i denna studie.

4. Sammanfattning av teorin

Syftet med detta kapitel är att ge läsaren en sammanfattning av det teoretiska avsnittet.

5. Empiri

Den empiriska delen i min uppsats grundar sig på tre genomförda intervjuer på tre olika organisationer inom skilda branscher: Ringhals AB, TNS Gallup och Elvans tandläkare. Syftet är att kartlägga hur organisationsmedlemmar inom de olika branscherna ser på IT-säkerhetsåtgärder och få en uppfattning om IT-säkerhetens roll inom den enskilda verksamheten. Avsnittet är en sammanställning av intervjumaterialet.

6. Sammanfattning av empirin

Under detta avsnitt presenteras en sammanfattning av den genomförda empiriska undersökningen i form av en tabell.

7. Analys

Syftet med avsnittet är att ge läsaren en koppling mellan studiens empiriska material och den teoretiska referensramen.

8. Resultat

Under detta avsnitt presenteras resultatet av de genomförda undersökningarna för att ge svar på studiens forskningsfrågor. Den nya kunskapen redovisas i både en sammanfattande och mer detaljera beskrivning.

9. Diskussion

Syfte med detta avsnitt är att ge en läsarna en utvärdering av studien utifrån det teoretiska avsnittet och studiens redovisade resultat.

10. Avslutande del

Studien avslutande avsnitt har till syfte att redovisa de slutsatser jag kommit fram till efter den genomförda forskningen samt att redovisa en slutlig utvärdering av studien i stort av de metoder som tillämpats.

(12)

6

2 Metod

Syftet med detta kapitel är att ge inblick i de tillvägagångssätt som tillämpas i studien och skapa en förståelse för de perspektiv som ligger till grund för studiens analys och utvärdering.

2.1 Kunskapskaraktär

Då kunskapsbehovet i studien är att ta reda på hur IT-säkerhetsåtgärder bör utformas inom en organisation för att efterlevas av organisationsmedlemmar skall följande fråga besvaras:

• Hur bör IT- säkerhetsåtgärder utformas inom en organisation för att efterlevas av organisationsmedlemmar?

I denna fråga vill jag ta fram förståelsekunskap som ska bidra till ökade kunskaper om IT-säkerhetens roll bland organisationer och dess organisationsmedlemmar.

2.2 Vetenskapligt perspektiv

2.2.1 Hermeneutik

Hermeneutiken beaktar helheten ur olika perspektiv för att få en förståelse genom tolkning. Då min studie bygger på ett kvalitativt förhållningssätt där förståelsen är viktigare än förklaringen kommer jag i denna studie att förhålla mig hermeneutiskt.

(Gilje & Grimen, 2004)

2.3 Forskningsstrategi

2.3.1 Kvalitativ metod

Jag kommer att använda mig av en kvalitativ forskningsstrategi. Detta för att på bästa sätt skapa en djupare förståelse inom mitt valda ämnesområde.

Då den kvalitativa metoden bygger på att sammanställa information för att få en helhetsuppfattning som ligger till grunden för den avgörande tolkningen anser jag detta tillvägagångssätt lämpligt i min forskning. Kvalitativa metoders största styrka är att de visar totalsituationer som ökar förståelse för sociala processer och sammanhang.

För att få en uppfattning om hur organisationsmedlemmar ser på IT-säkerhetsåtgärder kommer jag i den empiriska studien på ett flexibel sätt närmar mig de olika undersökningsenheterna. Genom att använda mig av kvalitativ undersökningsmetod kan jag ställa direkta frågor till organisationsmedlemmarna och observera deras attityd om IT-säkerhetspolicy och utbildning gällande IT-säkerhet. Syftet med kvalitativa intervjuer är att öka informationsvärdet och skapa en grund för djupare och mer fullständiga uppfattningar om det fenomen man studerar. (Bryman, 2002)

(13)

2.3.2 Teorins roll

Det teoretiska ramverket ger en förståelse av ämnesområdet och ligger till grunden för de intervjufrågor som använd i den empiriska studien. Momenten ger viktig kunskap för att kunna ställa teorier i relation till den verklighet som studeras. Avsnittet är inte bara ett komplement till den empiriska delen utan även ett stöd för den analys som genomförs innan slutgiltiga slutsatser kan fastställas.

2.3.3 Empirins roll

Empirin är det huvudskaliga verktyget för att närma sig det studerade fenomenet och sätta det i ett verkligt sammanhang. Utgångspunkten i studien är den tolkning och uppfattning som finns representerad under avsnittet och som ligger till grund för hela analysen. Utifrån empirin i relation med det teoriska fundamentet kommer jag att härleda slutsatser samt få underlag för att besvara de frågor som studien tar upp.

2.4 Insamlingsmetoder

2.4.1 Litteraturstudie

Genom att studera de begrepp och teorier som är relevanta för studien har jag försökt skapa en djupare förståelse och bekanta mig med ämnesområdet. Källkritiskt har studerat existerande litteratur och försökt hitta kämpliga referenser.

2.4.2 Empirisk undersökning

I studien kommer jag att arbeta utifrån ett perspektiv där jag tillämpar och använda mig av tre olika verksamheter. Syftet är att kartlägga tre olika organisationer som arbetar inom helt skilda branscher. Jag vill på så sätt kunna göra en jämförelse mellan de olika organisationsmedlemmarnas synpunkter, erfarenheter och den dagliga kontakten med IT-säkerhet för att kunna dra slutsatser och identifiera eventuella skillnader.

Mitt mål är att i den första fallet studera en organisation där säkerhetsåtgärder är mer centralt styrda och där organisationens måste följa vissa föreskrifter. Det kan handla om europeiska regler som i första hand tillämpas inom industrier (ITSEC). I det andra fallet kommer jag att studera något mindre organisation verksam inom markandsinformation för att gör en jämförelse ur styrningsperspektiv när det gäller de IT-säkerhetsåtgärder som tillämpas.

I mitt tredje fall kommer jag att granska en mindre privat verksamhet inom tandvården för att få en spridning och ytterligare en synvinkel.

2.4.3 Urvalsmetod

För att säkra kvalitén och för att studien skall resultera i en förstående kunskap har jag valt att använda mig av intervjuer som insamlingsteknik. Jag kommer att jobba utifrån en kvalitativstrategi och genomför kvalitativa intervjuer med ett antal utvalda organisationsmedlemmar. Urvalet kommer att baseras på medlemmarnas roller i verksamheten och den kontakt de har med IT-säkerhet. Jag kommer att genomföra intervjuerna på deras arbetsplats för att på så sätt kunna studera arbetsmiljön och andra viktiga faktorer. Den kvalitativa intervjun är mindre strukturerad och medför möjligheter för en öppen konversation och spontana frågor, jag kan i vissa situationer avvika helt från frågeschemat för att uppfatta den intervjuades ståndpunkt. För att skapa en bra relation med intervjupersonen och ge ett gott intryck kommer jag att

(14)

8

förbereda mitt arbete noga. Tyngden i mina kvalitativa intervjuer kommer vara intervjupersonernas egna uppfattningar och synsätt. Jag kommer även att skicka frågorna i förväg så att intervjupersonen får möjlighet att förbereda sig och eventuellt samla material som kan vara av betydelse för intervjun.

2.4.4 Argumentation för urval

Jag har valt att göra ett strategiskt urval mellan tre olika verksamheter. För att få en spridning kommer jag att studera organisationer inom hel skilda verksamhetsområden.

Syftet är att kartlägga och belysa uppfattningar om IT-säkerhetsåtgärder inom olika branscher. I studien har jag valt att genomför tre fallstudier där jag utsett enskilda organisationsmedlemmar som representanter av den utvalda verksamheten.

Valet av intervjupersoner har jag baserat på roll i verksamheten samt erfarenheter inom yrket. För att få ytterligare spridning har jag valt att fördela urvalen mellan kommunanställd, privat anställd och en egen företagare.

2.4.5 Genomförande

Två av intervjuerna är genomförda hos respektive organisation och den tredje, på grund av säkerhetsaspekter, utanför verksamheten.

Respektive intervju baseras på de frågor som jag i förväg skickat till respondenterna.

Intervjupersonerna fick information om ämnet och syftet med studien. Samtalet spelades in med mobiltelefon och jag förde även vissa anteckningar under intervjuns gång.

2.4.6 Analysmetod

Då jag i studien valt att arbeta utifrån kvalitativ forskningsstrategi kommer jag att tillämpa narrativ analys då detta tillvägagångssätt är inriktat på att få fram intervjupersonernas perspektiv. Människor upplever ofta sitt liv i termer av kontinuitet och process och därför anser jag att detta angreppssätt är viktigt att beakta.

Min studie kan även ses som en komparativ studie då jag använder mig av en multipel fallstudie och studerar organisationer i tre sektorer. Under arbete med analys kommer att jämföra de olika organisationerna, rollerna och situationerna. Komparativ design underlättar teoriutvecklingen, genom en jämförelse mellan fler fall är jag i bättre stånd att beskriva under vilka förutsättningar en teori håller eller är otillräcklig.

(Bryman, 2002)

(15)

2.5 Utvärderingsmetod

I studien kommet jag att strävat efter en god överensstämmelse mellan observationer och de teoretiska idéerna. För att studien skall bidra med ny och lärorik kunskap kommer jag att validera all insamlad material innan jag fastställer några slutsatser.

Jag kommer även i min utvärdering av undersökningen behandlar följande kriterier enligt Bryman (2002) :

Tillförlitlighet

För att uppnå tillförlitlighet kommer jag att följa alla de regler som finns inom ramen för studien krav på upplägg och innehåll samt kvalitet. Jag kommer att skapa trovärdighet genom att följa aktörens resonemang och undvika alltför förenklade generaliseringar. För att ytterligare öka studiens precision kommer jag bekräfta att jag uppfattat situationen och åsikter rätt med de personer som ingått i mina kvalitativa intervjuer.

Överförbarhet

Min utgångspunkt med studien är att komma fram till ny kunskap inom det angivna området. Detta uppnår jag bäst genom att ha fylliga redogörelser av alla detaljer av den verklighet jag studerar. Organisationer jag studera och de organisationsmedlemmar jag intervjuar kommer att ge sin beskrivning av verkligheten. Det är sedan upp till andra personer att bedöma om deras värderingar överensstämmer med andra miljöer.

Pålitlighet

I studien kommer jag att på bästa sätt skapa en fullständig och tillgänglig redogörelse av alla faser som ingår i den kvalitativa studiens process.

Möjlighet att styrka och konfirmera

Objektivitet kommer att genomlysa hela studien och jag kommer inte medvetet låta mina värderingar påverka utförandet och slutresultatet.

Taktisk autenticitet

Genom att kartlägga de faktorer som påverkar uppfattningen om säkerhetsfrågor kan studien generera i att brister om säkerhetstänkande upptäcks. Detta kan medföra att studie senare fungerar som ett underlag för att vidta de åtgärder som krävs för att åstadkomma förbättring.

(16)

10

3 IT-säkerhet

Detta kapitel är till för att ge en förståelse för området IT-säkerhet samt alla de viktiga delar som ingår under begreppet och är viktiga att belysa och framhäva i denna studie.

3.1 Vad är IT-säkerhet?

Säkerhet betyder att vara och känna sig säker. IT står för informationsteknologi och kan förklaras som tekniska möjligheter som skapats genom framsteg inom datateknik och telekommunikation. IT-säkerhet koncentrera sig på skydd förenade med användning av IT och ingår i organisationens säkerhetsramverk och skyddar tillgångar.

Det kan vara både information, mjukvara och hårdvara.

Skyddsåtgärder måste ständigt anpassas och omvärderas då hotbilder och omvärld ändras. IT-säkerhet är en process som fortgår löpande och måste underhållas för att ge verkan över tiden. IT-säkerhet handlar om att allokera resurser som sköter skyddet samt komplettera med rätt utbildning och tydligt definierade befogenheter.

(NSEC Network Security, 2008)

Process

Policy - Riskanalys - Hotbild - Organisation - Skyddsåtgärder

Kontroll & Verifikation - Omvärdera hotbild - Omvärldsbevakning - Kontrollera att policy efterlevs - Kontrollera att skydd ger verkan

Införande - Utvärdering av tekniska lösningar - Implementera lösningar - Dokumentera lösning/policy

Utbildning

- Utbilda organisation - Utbilda användare - Informera alla om regler och policy

Figur 1 Säkerhetslösning (NSEC Network Security AB, 2008)

(17)

En IT-säkerhetslösning bör inkludera:

• Ett regelverk som ofta brukar kallas IT-säkerhetspolicy

• Implementation av kunnig personal och utbildad personal som stämmer med hotbild och policy

• Ansvarig grupp/person inom organisationen

• Utbildning av alla berörda parter

• Återkommande uppföljningar där frågan ställs om skyddet är tillräckligt mot rådande hotbild.

För att skapa en närmare förståelse kring begreppet IT-säkerhet är även viktig att reda ut tre olika typer av säkerhet som tillsammans ger en mer fullständig helhetsbild.

3.1.1 Fysisk säkerhet

Genom införande av passerkort och skapande av alternativa driftmiljöer kan verksamheter skydda sig mot hot som stöld och modifiering. Fysisk säkerhet handlar det om att skydda system, servrar och all känslig utrustning mot fysiskt angrepp.

Konfidentiell information måste förvaras säkert och den fysiskt säkerhet måste vara så god att funktionaliteten kan återskapas på rimlig tid. Att begränsa personalens möjligheter att fysiskt nå datorutrustning innebär att risker elimineras och möjligheten för obehöriga att använda stulen information minskas. Det är även ytterst viktigt att ha kontroll på dem som har möjlighet att koppla in sig på företagets nätverk, att skydda viktiga resurser ger en god framtida utdelning.(SIG Security, 1999)

3.1.2 Organisatorisk säkerhet

Organisatorisk säkerhet omfattar alla de krav organisationen måste ställa på användare och driftpersonalen. Det kan handla om föreskrifter om hur systemet skall administreras och hur drift och underhåll av systemet skall ske. Arkitekturen som organisationen väljer måste vara hanterbar då organisatorisk säkerhet inbegriper all mänsklig interaktion. Alla inblandade måste vara informerade om vilka regler som finns och att dessa är relevanta och skall efterföljas. Personalen och användarna måste ha en tydlig bild och förståelse om varför dessa regler finns och varför det är av stor betydelse att de respekteras.(SIG Security, 1999)

3.1.3 Logisk säkerhet

All den teknik och alla mekanismer som tas till hjälp för att lösa säkerhetsproblem i vårt system innefattar logisk säkerhet. Riktlinjen är att med hjälp av tekniska lösningar och åtgärder försöka styra användarnas beteende och på så sätt förbättra säkerhetsarbete. Teorier pekar på att det finns användare som inte är tillräckligt lojala både inom och utanför den enskilda organisationen och som begår misstag. Det kan både handla om att försöka sig på att göra saker som är förbjudna eller köra tvivelaktiga applikationer i syfte att förenkla det vardagliga arbetet. I praktiken är det väldigt nödvändigt för organisationen att ha god logisk säkerhet. (SIG Security, 1999)

(18)

12

3.2 Informationssäkerhet

Syrén (2005) skriver att informationen skall vara säker, tillgänglig, spårbar och riktig så att företag, dess medarbetare, kunder, ägare samt leverantörer och andra intressenter skall kunna vara säkra. Om informationen är äkta, tillförlitlig och inte kan ifrågasättas så kan alla intressenter känna sig säkra.

Uttrycket är sammansatt av två ord: information och säkerhet. Med information menas den samlade informationen som vid ett visst tillfälle finns i företag. Det kan röra sig om både information som är lagrad i server, förvarad i hårddisk, arkiverad eller som finns i utskrifter. Till information räknas även den samlade kunskapen hos företagets medarbetare.

Information är en tillgång som måste skyddas mot otillåten åtkomst. Säkerhet handlar om att förse företaget med skyddsåtgärder så att risker kan minimeras och åtgärder vidtas för tidigt identifiera och upptäcka hot. Informationssäkerhet omfattas av hela infrastrukturen inom ett företag och är en viktig del av företagets riskhantering. Den utgörs både av processer, system, tjänster och teknologi. (Syrén, 2005)

Statens offentliga utredning (2004:32) skriver i sin rapport att då många system är komplexa och i många fall hopkopplande kan det ibland vara svårt att avgöra var eller hur ett fel eller en störning har uppstått. Det är alltså svårt att vara oberoende i sitt informationssäkerhetsarbete då enskilda organisationer är beroende av sina leverantörer och samarbetspartner. Inom vissa branscher kan dessa beroende bilda komplexa mönster och förhållanden spänner över flera länder.

Informationssäkerhet

Konfidentialitet Spårbarhet Riktighet Auktorisation Tillgänglighet Autentisering Oavvislighet

Figur 2 Uppdelning av Informationssäkerhet (SOU 2004:32)

(19)

3.3 Informationshantering

För att information skall vara säker måste den hantera enligt vissa regler. Vi har idag olika lagar som reglera hur informationshanteringen bör gå till, t.ex. Sekretesslagen eller personuppgiftslagen(PUL). Inom särskilda områden som socialtjänsten eller hälsovården tillämpas även lagen om skydd för företagshemligheter och säkerhetsskyddslagen.

Företagen har även vissa interna regler för hur den egna informationen ska hanteras.

Det kan handla om speciella informationsägare som utses vars uppgift bygger att beskriva syftet med informationen, hur den skall hanteras (både intern och externt) samt informera alla anställda.

IT-säkerhet diskuteras ofta med tekniken som utgångspunkt men det är dock viktigt att inte glömma att säkerhet handlar om skydd av information. Genom hela historien har funnits olika metoder för at hålla uppgifter hemliga från icke betrodd part. Under andra världskriget användes krypteringsmaskinen Egima men stora möjligheter för teckenkombinationer. Idag förekommer information i en mängd olika former, både som databuren, pappersburen, i forma av ljud- och filmupptagningar samt muntligt förmedlad och lagrad i ”huvudet” på verksamhetens medarbetare. Det är av den anledningen oerhört viktigt att informationen hanteras på ett ansvarsfullt sätt. Inom en verksamhet är alla medarbetare med och delar ansvaret.(Mitrovic, 2005)

Enskilda medarbetare inom varje organisation har ett ansvar för att följa verksamhetens riktlinjer för hantering och bearbetning av information, särskild om det handlar om känslig och sekretessbelagt information. Medarbetare har ett ansvar att ingen obehörig utnyttjar deras användar-ID och att hemlighetshålla lösenord och viktiga koder. Vi som medarbetare har ett ansvar för att rapportera incidenter om något onormal skulle inträffa t.ex. datavirusattack eller försök till dataintrång. (Dataföreningen, 2000)

Tydliga regler och förhållningssätt kring informationshantering skall vara väldefinierade inom verksamheten. Medarbeta måste vara underrättade med att inte ha någon privat information i företagets dator på arbetsplatsen och att datorn är ett redskap som arbetsgivaren tillhandahåller för att arbetsuppgifter skall kunna genomföras. (Mitrovic, 2005)

(20)

14

3.4 IT- säkerhetspolicy

IT-säkerhetspolicy inom organisationer skall koordineras med företagets övriga riktlinjer och ha ett tydligt syfte. Skarpa avgränsningar där det framgår tydligt vilka delar policyn täcker respektive utelämnar. Säkerhetsnivå skall vara väl definierad för att kunna upprätthållas. Riktlinjer för vem som ansvarar att regler efterlevs och tydliga förhållningssätt för att anställa att rätta sig efter är en väsentlig del av policyns innehåll.

Ett led i genomförande av IT-säkerhetspolicy är att samla all viktig information samt redovisa vilka kunskaper och utbildning som krävs för hantering av företagets resurser.

Rättigheter och skyldigheter skall anges och policyn skall tydligt definiera säkerhetsansvariga. Det är av stor betydelse att det framgår vem som äger rättigheterna till informationen och det specifika systemet. Genom tydligt definierat ansvarsområde underlättas arbete av hantering vid oförutsedda händelser och katastrofer.

Katastrofplanering kan ses som en betydande dela i säkerhetspolicyn för att minimera skadan. I ett utsatt läge bör det vara självklart vem som ansvara och vilka åtgärder som konkret måste vidtas. (Mitrovic, 2005)

Förhållningsregler och rutiner är till för att efterlevas, där av skall efterlevnad vara en naturlig del av genomförandet. En process måste framställas för att säkerställa att policyn efterföljs och vilka åtgärder som gäller om någon bryter och överskrider regler.

Mitrovic (2005) skriver att IT-säkerhet till största delen handlar om mänskliga faktorer och att tekniken bara är ett hjälpmedel. Grunden enligt honom till all IT-säkerhet ligger i en tydlig organisation av företagets IT-användning manifesterat i en säkerhetspolicy.

En säkerhetspolicy skall innehålla klara besked om ansvarsfrågor, behörighetsadministration och allt säkerhetsrelaterat arbete inom organisationen. IT- säkerhetspolicy är ett övergripande ledningsansvar och skriver vidare att ansvar inte bör läggas på IT-avdelningen. Nyckeln till god IT-säkerhet är effektiv hantering av behörigheterna och att säkra åtkomsten till den information som rollen kräver.

Information är ett kraftigt vapen som inte bör underskattas skriver Mitrovic (2005).

Han menar att brist på information, för mycket oväsentlig information och felaktig information är direkt skadligt för en verksamhet där säkerhetspolicyn efterlevnad inte är ett undantag för den regeln. Alla skall kunna ta del av företagets säkerhetspolicy och det måste finna tydlig information som att detta möjliggörs. Konsulter, användare, projektledare och IT-strateger måste känna till att en IT-säkerhetspolicy finns och vart att vända sig för att få tillgång till relevant information. IT-säkerhet är en underskattad framgångsfaktor och att en uppdatera säkerhetspolicy bör vara ett stöd i allt nytt som en verksamhet besluta sig för att göra. IT-säkerhetspolicy är ett dokument som måste hållas levande och vid nya IT-projekt ska säkerhetspolicyn vara ett självklart verktyg och inte ett hot. (Mitrovic, 2005)

(21)

3.5 Riskhantering

Organisation kan oavsett storlek drabbas av stora kostnader för inträffade incidenter.

Riskhantering kan ses som verksamhetens process att mäta, bedöma och hantera risker.

Organisationens ekonomiska storlek har historiskt sätt spelat en avgörande roll gällande resurser avdelade för arbetet med att minimera risker. Riskhantering kan ses som en beräknad konsekvens och sannolikhet för att något negativt kan drabba organisationens verksamhet. För att kunna genomföra ett verkningsfullt informationssäkerhetsarbete är det viktigt att beakta faktor som verksamhetens erfarenheter och kunskaper om risker och de kostnader som utlöser risker. Genomförda studier visar att organisationer är mycket beroende att ha fungerande IT. (Syrén, 2005) I en marknadsundersökning bland 650 svenska företagsledare framgår det att var tredje företagsledare inte klara av det dagliga arbetet om det blir ett IT-avbrott. Samma undersökning visar att en fjärdedel av företagen inte anser att driftsäkerhet utgör en risk för företaget. (Symantec Nordic, 2004)

Symantec Nordic (2004) skriver att verksamheters totala riskexponering idag är beroende av samspelet mellan extra samarbetspartners då vissa delar av IT-drift sköts av externa konsulter. Riskhanteringen måste på så sätt omfatta samtliga externa samarbetspartners och verksamhetsansvarige skall identifiera dessa i en risk- och konsekvensanalys. Utifrån en åtgärdsplan som är komplett och omfattar hela verksamheten kan de ansvarige arbeta med att reducera risker.

Att identifiera risker är ett svårt och omfattande arbete då det ligger i människan natur att vi endast ser och kan förstå sådan som vi har erfarenheter av. Det finns alltså en risk att det i riskhanteringen glömmer bort sådant som det saknas kunskap om.

Organisationsmedlemmar kan i vissa fall göra felbedömningar att tro att risker inte utgör någon risk alls. Konsekvenserna av handlande kan få överraskande och allvariga följder. Syrén menar att vi reagerar på sopor och avfall som luktar illa men de mest allvarliga föroreningar för naturen och människan har ingen lukt och vi kan inte heller se föroreningar. Hon skriver vidare att vi måste lära oss vad denna typ av risk kan innebära för vår hälsa för att kunna förstå och vidta åtgärder för att minska denna typ av risk.(Syrén, 2005)

(22)

16

3.6 Informationssäkerhet i privat sektor

Statens offentliga utredning skriver i sin rapport (2004:32) att föreningen Svenskt Näringsliv har nära samverkan med medlemmar i säkerhetsfrågor. Enligt föreningen bör säkerhetsfrågor ses ur ett riskhanteringsperspektiv där helhetssynen är central.

Informationssäkerheten är beroende av andra säkerhetsområden för att skyddets totala effektivitet.

I samma rapport (2004:32) skriver statens offentliga utredning av internationalisering, ökad IT-användning och nätverkslösningar mellan olika företag satt fokus på företagens beroende av omvärlden. Samtidigt som företagen allt mer delar resurser måste det de även ta ansvar för den egna säkerheten. I rapporten framgår det att det behövs bättre förutsättningar och regler i säkerhetsarbetet vare sig det gäller insatser mot vardagsbrottslighet eller kvalificerad IT-brottslighet. Idag har säkerhetsarbete i företagen ändrat karaktär och det görs fler medvetna risktagande för att därigenom öka affärsmöjligheterna och lönsamhet. Nätverken får en allt ökad betydelse då få företag har möjlighet att bygga upp en egen bred kompetens och full informationsbas gällande sårbarhet och hotbild skriver redovisar statens offentliga utredning.

Statens offentliga utredning (2004:32) visar att en viktig del av företagens säkerhetsarbete är de skyddsstrategier de använder. Inom informationssäkerheten har det blivit tydligt att verksamheter allt mer är beroende av de avvägningar de själva gör mellan risk och möjligheter. Skyddsåtgärderna måste vägas av den information som skall skydda och samtidigt även stödjas av rättsordningen. Rättsligt skydd genom lag om skydd av företagshemligheter är lika viktig som tekniska skyddsåtgärder.

3.7 Informationssäkerhetsarbete

Syrén (2005) redovisar några viktiga punkter som måste vara väl fungerande när informationssäkerhetsarbetet skall målsättas:

• Informationssäkerhetspolicy skall finnas och vara antagen av ledningen.

• Det skall finnas instruktioner och anvisningar samt riktlinjer för informationssäkerhetsarbetet i företaget.

• Samtliga dokument som beskiver informationssäkerhetsarbetet, inklusive policy och riktlinjer skall vara kommunicerade.

• En övergripande hotbildsanalys för verksamheten bör tas fram en gång per år. Det kan med fördel läggas ut på den interna webben så att den är tillgänglig för samtliga medarbetare.

• Risk och konsekvensanalyser skall ha genomförts av samtliga verksamhetskritiska processer.

• Checklistor och andra dokument skall finnas som stöd för delar av verksamheten.

• Utbildning för samtliga anställda i informationssäkerhet som kan omfatta olika typer av säkerhet. (Syrén, 2005)

(23)

3.8 Utbildning inom IT-säkerhet

I samband med pc-utvecklingen på 90-talet och de stora inverteringar som företag gjorde i sina IT-system utgjorde informationssäkerheten ett begrepp som endast omfattade företagets informationstillgångar. Idag efter IT-boomen har utvecklingen skiftat fokus till de investeringar som sker i företagets medarbetare. (Syrén, 2005).

Statens offentliga utredning skriver i sin rapport (2004:32) att tillgången till säkerhetsinriktade ämnen på högskolan borde belysas och att det finns skäl som en del av samhällets säkerhetsförebyggande arbete att inför utbildning om sårbarhet och säkerhet som en normal del i grundutbildningarna i akademiska examina. I samma rapport framhålls det även att området IT-säkerhet befinner sig i mycket snabb förändring där teknik, metoder, risker och hot förändras och att behovet av fortbildning i frågor som rör informationssäkerhet och IT-säkerhet är mycket omfattande.(SOU 2004:32)

Statens offentliga utredning (2004:32) skriver att varje myndighet, företag, kommun och organisation har ett eget ansvar för att tillse att adekvat fortbildning genomförs för alla medarbetare. Det är av stor betydelse att den egna personalen utbildas i frågor rörande informationssäkerhet och inte bara IT-funktioner och de som har uppgifter inom området informationssäkerhet.

Syrén(2005) redovisar tre länkarna i informationskedjan och påvisar att företag förutom investeringar i den hårdvara och mujkvaran som behövs för ett fungerande IT- stöd allt mer är beroende av sina medarbete. Syrén (2005) skriver att utbildning i informationssäkerhet bör genomföras med jämna mellanrum på ett systematiskt sätt så att alla medarbetare oavsett hur länge de har arbetat inom företaget får fortlöpande informationssäkerhetsutbildning. Utbildningsinsatser kan genomföras som en del av informationssäkerhetsarbetet och det är viktig att ha insikt om att det krävs resurser för planering samt tid för ett bra resultat. (Syrén 2005)

Mjukvara

Medarbetare

Hårdvara

Figur 3 De tre länkarna I informationskedjan (Syrén, 2005)

(24)

18

3.9 Användbarhet

"Den utsträckning till vilken en specificerad användare kan använda en produkt för att uppnå specifika mål, med ändamålsenlighet, effektivitet och tillfredsställelse, i ett givet användningssammanhang"

( ISO 9241-11, 1998)

När vi talar om användbarhet menar vi kvalitetsegenskap hos interaktiva produkter. En produkts användbarhet mäts genom samspel mellan produkten och användare över en tidsperiod. Produkten har hög användbarhet om den uppfyller beställarens syfte.

Användbarhet kan beskrivas som summan av nytta och användarvänlighet. Nytta på så sätt att system gör det som användaren vill medan användarvänlighet handlar om utformning. För att utforma ett användarvänligt system gäller det att släppa sitt eget perspektiv och anta användarens. All användbarhet bör utgå från användaren och handla om att ta tillvara användarens intresse.(Sundström, 2008)

Synen på användbarhet sträcker sig från verksamhetsmål till krav på teknik via krav på funktion och interaktion. Systemet måste uppfylla de uppsatta mål som från börjar var anledningen till att system införskaffats. Användbarhet är en viktig verksamhetsfråga och måste formas av teknikens möjligheter samt begränsningar. Tekniken är en möjliggörare och bestämmer inte systemets funktionalitet. Vi måste studera användningen av systemet i ett givet sammanhang för att verkligen kunna förstå eller värdera användbarheten. (Antrop AB, 2008)

Viktiga aspekter att beakta vid utvärdering av användbarhet:

• Användarna - vilka använder systemet/produkten?

• Deras mål - vad försöker användarna göra med systemet/produkten - stödjer den vad användarna vill göra med den?

• Ändamålsenlighet - kan användarna uppnå det de behöver genom att använda systemet/produkten?

• Effektivitet - vilken är resursåtgången? (tex. i tid)

• Tillfredsställelse - vad tycker de om sin interaktion med systemet/produkten?

Användningssituationen/Användarsammanhang - var och hur används systemet/produkten?

(25)

3.10 Organisation och organisationsmedlem

För att beakta den enskilda människan som en del av en grupp är det viktigt att studera den organisation han/hon är del av. Genom hela människans historia har organisationer funnit i alla dess olika former och deras existens är nödvändigt då människans kunskap kännetecknas av strävan att överleva och skaffa sig ett bättre liv, både individuellt och kollektivt. (Gustavsson, 2002)

O rganisation

P

P P

P P P

P P

P

Figur 4- Egen illustration av en organisation där organisationsmedlemmar (P) binder samman processen till ett socialt system.

3.10.1 Organisation

En organisation kan ses som ett socialt system av roller som knyts samman för att uppnå bestämda mål. Det handlar vanligtvis om en samling människor som på ett stabilt och medvetet sätt verkar tillsammans för att åstadkomma målinriktat arbete. Den som jobbar inom en organisation för att uppnå bestämda mål kallas för organisationsmedlem. Organisation kan ses som alla former av ett samordnat mänskligt beteende mellan människor för att lösa gemensamma uppgifter. Som människor är vi oftast beroende av varandra för att lösa enskilda uppgifter. Genom organisering kan vi öka möjligheterna med de samlade resurserna.

3.10.2 Organisationsmedlem

Varje organisation är unik och har en unik sammansättning av medlemmar som med sin samverkan upprätthåller organisationen. Denna sammansättning av människor konstrueras avsiktligt och är en praktisk lösning på människors gemensamma aktivitet.

Samverkan är ofta inte helt problemfri, avtal och rutiner ställer gränser för de beteenden som individen får och ska uppvisa. Organisationsmedlemmar förlitar sig på varandra att arbetsuppgifter genomförs men då jobbet kan ha olika innebörd för individer och organisationer måste arbetsprocessen vara ett resultat av ömsesidig förståelse. Den växande mångfalden av organisationer har bidragit till att individer blivit självständiga och oberoende av en viss enskild organisation. I längden har det bidragit till att det uppstått en kamp och konkurrens om människorna mellan organisationerna. (Hammarén, 1997)

(26)

20

4 Sammanfattning av teorin

Syftet med detta kapitel är att ge läsaren en sammanfattning av det teoretiska avsnittet

IT -s ä k e rh e t In fo rm atio n s-

sä k erh e t IT -sä k erh e ts -

p o lic y In fo rm a tio n s -

h a n te rin g

U tb ild n in g a a v a n s tä lld a O rg a n is a tio n

IT-säkerhet är en process som fortgår löpande och måste underhållas för att ge verkan över tid. Begreppet innefattar skydd förenat med användning av IT och ingår i organisationens säkerhetsramverk och skyddar tillgångar. IT-säkerhet handlar om att allokera resurser som sköter skyddet samt komplettera med rätt utbildning och tydliga definierade befogenheter. (NSEC Network Security, 2008)

Enligt Dataföreningen (2000) har enskilda medarbetare inom varje organisation ett ansvar för att följa verksamhetens riktlinjer för hantering och bearbetning av information. Mitrovic (2005) skriver att nyckeln till god IT-säkerhet är effektiv hantering av behörigheter och att säkra åtkomsten till den information rollen kräver. I största delen handlar IT-säkerhet om mänskliga faktorer och tekniken kan ses som ett hjälpmedel. Grunden i all IT-säkerhet ligger i en tydlig organisation av företagets IT- användning redovisad och definierad i en säkerhetspolicy. Ett tydligt syfte är nödvändigt för en fungerande IT-säkerhetspolicyns samt att säkerhetsnivån är definierad för att kunna upprätthållas. Riktlinjer för vem som ansvara att regler efterlevs och tydliga förhållningssätt för anställda att rätta sig efter är en väsentlig del av policyns innehåll. IT-säkerhetspolicy är ett dokument som måste hållas levande och fungerad som ett självklart verktyg. (Mitrovic, 2005).

Statens offentliga utredning skriver i sin rapport (2004:32) att IT-säkerheten befinner sig i mycket snabb förändring och att behovet att fortbildning i frågor som rör informationssäkerhet och IT-säkerhet är mycket omfattande. I samma rapport framgår det att varje organisation har ett eget ansvar för att tillse adekvat utbildning genomförs för alla medarbetare. Syrén (2005) menar att utvecklingen efter IT-boomen skiftat fokus, idag investeras det mer i företagets medarbetare än i IT-system som utgör informationssäkerheten. Informationskedjan består idag enlig Syrén (2005) av tre länkar där det framgår att företag idag förutom investeringar i mjukvara och hårdvara är beroende av sin medarbetare. Utbildning i informationssäkerhet bör genomföras med jämna mellanrum på ett systematiskt sätt så att alla medarbetare oavsett hur lång tid de arbetat inom företaget får fortlöpande informationssäkerhetsutbildning.

(27)

5 Empiri

Den empiriska delen i min uppsats grundar sig på tre genomförda intervjuer på tre olika organisationer inom skilda branscher: Ringhals AB, TNS Gallup och Elvans tandläkare. Syftet är att kartlägga hur organisationsmedlemmar inom de olika branscherna ser på IT-säkerhetåtgärder och få en uppfattning om IT-säkerhetens roll inom den enskilda verksamheten. Avsnittet är en sammanställning av intervjumaterialet.

5.1 Intervju 1

Intervjun är genomförd på Ringhals och respondenten är Björn Sharin¹ som är ansvarig operatör för Ringhals 1

5.1.1 Företagspresentation

Kärnkraftverket Ringhals hör till nordens största elfabrik som producerar en femtedel av all den el som används i Sverige. En stor industri med ca 1500 anställda och en omsättning på drygt 5,6 miljarder kronor gör. I över trettio år har produktionen av el pågått och idag ägs verksamheten av Vattenfall (70,4 %) och E.ON (29,6%).

För att förstå omfattningen och kapaciteten av produktionen kan vi beakta det faktum att Ringhals under ett normalt år producerar el som räcker till att försörja sex städer av Göteborgs storlek. Kärnkraftverket utgörs av fyra reaktorer och är ett av få i världen som har både kokvatten- och tryckvatten reaktor. På Ringhals jobbar tekniker som hör till de främst i världen och det pågår ständig forskning och utveckling.

Då säkerhetskraven på svenska kärnkraftverk är mycket höga arbetar man ständigt med att utveckla och förbättra säkerheten. Säkerhetskultur och säkerhetsarbete är viktiga komponenter i personalens utbildning. För att skydda allmänheten, miljön och framförallt den interna personalen ställs säkerhet alltid i första hand. Stor del av säkerhetsarbetet handlar om strålskydd, att inte radioaktiva ämnena kommer ut på ett okontrollerat sätt.

5.1.2 Bakgrund

Björn Sharin har i snart 23 år var en del av koncernen Vattenfall, den senaste två år har han tillbringat på ringhals som ansvarig operatör. De främsta och huvudskaliga arbetsuppgifterna är handhavande av reaktorn, med dess kringsystem, vilket innebär effektändringar, provning, driftövervakning under normal och störd drift. Sharin har även en dela andra uppgifter som faller inom ramen för ansvarsområdet bl.a.

instruktionsskrivandet samt uppdatering av dessa.

1 Björn Sharin, Intervju 27 December, 2007

(28)

22

5.2 Resultat av intervjun

5.2.1 Information och utbildning inom IT-säkerhet

Datorn är Björns främsta arbetsverktyg och används under hela arbetspasset parallellt med andra datasystem för styrning och övervakning av processen. När det gäller utbildning inom informations- och datasäkerhet har Björn inte genomgått några kurser med den specifika inriktningen. Någon uppdatera och ny information om IT- säkerhet får Björn inte ta del av, om inte informationen ingår som en del i systemutbildningen i samband med idrifttagning av t.ex. ett nytt processystem.

Skulle hans data eller system krångla finns det hjälp att tillgå. Vattenfall Data helpdesk, som motsvara företaget IT-funktion, brukar vara behjälpliga med det mesta inom området. Björn har inte tagit del av någon IT-säkerhetspolicy på Ringhals och kan inte ge svar på om ett sådant finns, det har i alla fall inte ställs några krav menar han på att de skall ta del av den.

I samhället generellt tror han att det finns en del bristande kunskaper kring IT-säkerhet och han instämmer även i att stor del av informationen försvinner och missbrukas pga.

okunskap. Nyfikenhet samt ren illvilja menar han skall inte underskattas.

5.2.2 Säkerhetsrutiner

Sharin menar att goda säkerhetsrutiner är enligt hans mening sådana som det är lätta att införliva i det dagliga arbetet. Rutiner skall vara naturliga och så tydliga att det aldrig uppstår något tvivel om vad som gäller. Det är även ytters viktigt menar han att personalen har en förståelse för rutinerna, förutom att känna till vad som är tillåtet respektive inte tillåtet, även känner till varför det förhåller sig så. Han påpekar att en bra regel borde vara att sådant som inte är tillåtet alternativt olämpligt, även bör ha någon form av fysisk spärr som förhindrar åtkomst. Ett exempel menar han kan vara företagshemliga dokument i nätverket ska inte kunna kommas åt av personer som inte behöver dessa för sitt arbete.

Generellt i sitt arbete kommer Björn i kontakt med säkerhetsrutiner i olika former varje arbetsdag. Inpasseringskontrollen är det första säkerhetsåtgärd han möter när har intar ingången. Detta är en flerstegs process och numera innefattar biometrisk kontroll (fingeravtryck) av den inpasserande. En annan kontinuerlig rutin är inloggning på företagets nätverk. Denna rutin genomför av alla anställda och är en stor del av verksamhetens datasäkerhet. I vissa fall måste han ha separata inloggningar för applikationer som dokumentstyrningssystemet vilket kan innebära en hel del lösenord att lägga på minnet.

Vidare i intervju framhäver Björn att goda säkerhetsrutiner bör vara skriftliga samt lättåtkomliga för den/de som är berörda. Säkerhetsrutiner får heller aldrig vara statiska, utan bör på ett naturligt sätt följa teknikutvecklingen, samt nya rön inom området. Ett exempel menar han är den kraftiga förhöjda områdessäkerheten som kom till som en reaktion på händelserna den 11/9 2001.

(29)

5.2.3 IT-säkerhetsåtgärder och användbarhet

Att IT-system kan vara bristfälliga och användbarheten dålig har Sharin erfarenheter av som han gärna delar med sig. Han och resten av personalen tvingas med plågsam regelbundenhet var 3:e månad byta nätverkslösenord. Ett s.k. starkt lösenord måste användas, så det duger inte att använda ett enkelt ord med små bokstäver eller 4 siffror.

Detta är väldigt irriterande menar han.

Vidare berättar Sharin om andra applikationer som tillåter endast 3 inloggningsförsök därefter blir man utspärrad, vilket kan störa arbetet om det råkar vara helg och han inte har Vattenfall Datas helpdesk att tillgå. Han har även erfarenhet av en del program som kräver inloggning med både användarnamn och lösenord trots att detta inte är relevant då all personal använder samma login. Det är svår att se något sunt förnuft i denna policy. Resultatet har blivit att de flesta skriver upp sitt lösenord på en lapp, eller väljer ett tillvägagångssätt som bygger på att själv kunna gissa sitt eget lösenord ifall det fallit ur minnet.

En annan IT-säkerhetsåtgärd som Björn upplever lite överambitiös är den automatiska skärmsläckaren efter 5 minuters inaktivitet. Manuell inloggning med användar-id och nätverkslösenord krävs då av användaren. För att kringgå detta har många på arbetsplatsen tagit hjälp av egna små program för att simulera tangentbordsaktiviteten.

Sharin påpekar starkt att man inte ska underskatta kombinationen av en tekniska intresserad personal samt regler som inte personalen har någon förståelse för. Han lägger också till att väldigt många IT-säkerhets åtgärder är källor till irritation då användbarheten är dålig.

5.2.4 Förväntningar och synpunkter om IT-säkerhet

IT-säkerhetsrutiner skall vara utformade så att de inte utgör något större irritationsmoment i det dagliga arbetet menar Björn. De skall vara naturliga samt väl anpassade till en relevant hotbild. Han påpekar även att de helst skall vara helt osynliga för användaren och i stor del automatiska, det skall alltså inte kräva stor ansträngning av användaren. Vidare berättar Björn att kunskapen om IT-säkerhet borde utökas inom verksamheter och att det är viktig att belysa konsekvenserna av dålig säkerhet. På så sätt menar han är det lättar för de anställda att känna sig delaktiga och inse vikten av god IT-säkerhet. Det är mycket lättar att samarbeta och jobba för en bättre utveckling då alla känner meningsfullhet. Rutiner som inte upplevs skydda mot något ses inte med blida ögon av personalen.

(30)

24

5.3 Intervju 2

Intervjun är genomförd på TNS Gallup och respondenten är junior konsulten Gustav Rydell² som arbetar inom data processing.

5.3.1 Företagspresentation

TNS Gallup är en av de ledande aktörerna när det gäller att leverera förädlig marknadsinformation. Verksamheten förser kunder med skräddarsydda markandsundersökningar i fler än 80 länder och har idag drygt 15 000 medarbetar världen över. Tillsammans med TNS- Gallup-bolagen i Norge, Danmark och Finland är verksamheten störst i Norden.

Företagets strategiska målsättning är att vara det ledande företaget i världen och att upprätthålla en global täckning och samtidigt ha lokal kompetens om varje geografisk marknad. Genom insikter om segmentering, produktutveckling och varumärken tillgodoser verksamheten sina uppdragsgivare med nödvändig underlagt för att fatta framgångsrika beslut.

5.3.2 Bakgrund

Gustav Rydell började sin karriär på TNS Gallup redan som telefonintervjuare 2004 för att sedan arbeta sig upp som ”coach” inom samma avdelning. Tjänsten inom data processing som junior konsult är en ny utmaning för honom då han i drygt en månad varit verksam inom detta yrke.

Hans huvudsakliga arbetsuppgifter är att framställa de formulär och scripta de enkäter som används vid undersökningarna över Internet. Vidare ansvarar han för all urvalsdragning till undersökningarna samt uppföljning av intervjuer och utdrag av dess data.

5.4 Resultat av intervju

5.4.1 Information och utbildning inom IT-säkerhet

I sitt dagliga arbete använder Gustav dator till alla de arbetsuppgifter som ingår i hans tjänst. För att kunna koppla upp sig till en global server måste ha tillgång till Internet och programvara Comformit. Han är ytterst beroende av webben då ingen mjukvara ligger hos TNS Gallup utan allt ligger externt och sköts via server i England. Detta kan skapa en viss fördröjning eller i värsta fall resultera i att arbete kan ligga ner ett tag om server inte är tillgänglig menar han. När USA är uppkopplade märker vi det direkt genom att det går mycket långsammare menar Gustav.

Tjänsten som junior konsult inom data processing är en ny utmaning och han inte behövt genomgå någon utbildning i samband med tjänstbyte. All nödvändig kunskap och utbildning om arbetsuppgifterna fick han från den kollega han tog över tjänsten efter. Han menar att mycket bygger på ”learning by doing” och att grunderna är

2 Gustav Rydell, Intervju 28 Februari, 2008