• No results found

Hur använder personal på kommunkontor i mindre kommuner inom Skaraborg USB-minnen?

N/A
N/A
Protected

Academic year: 2022

Share "Hur använder personal på kommunkontor i mindre kommuner inom Skaraborg USB-minnen?"

Copied!
43
0
0

Loading.... (view fulltext now)

Full text

(1)

Hur använder personal på kommunkontor i mindre kom- muner inom Skaraborg USB- minnen?

Examensarbete inom huvudområdet infor- mationsteknologi

Grundnivå, 22.5 Högskolepoäng 19 juni 2016

Viktor Eriksson B13viker

Handledare: Thomas Fischer Examinator: Marcus Nohlberg

(2)

Sammanfattning

USB-minnen är ett portabelt lagringsmedium som går att hitta nästan överallt i dags- läget. Dessa enheter gör det möjligt att lätt spara filer och flytta dem till andra platser.

Studien har som syfte att undersöka hur personal på kommunkontor i mindre kom- muner inom Skaraborg använder USB-minnen. Mindre kommuner har det ofta svårt att anställa kvalificerad personal samt att få ekonomin att gå ihop. Trotts detta för- utsätts att de fortfarande följer samma lagar och utför samma uppgifter som större kommuner. För att nå ut till kommuner baserades urvalet på medlemskommunerna i Skaraborg kommunalförbund, av dessa kommuner uppfyllde tio kommuner kravet på att vara en mindre kommun.

Personalen fick sedan besvara en enkät om USB-minnen. Totalt inkom 30 unika svar från 7 olika kommuner. Svaren analyserades sedan och visar på att:

Personalen är medvetna vad USB-minnen är och de tillåts använda dessa på kontoren.

Enbart en dryg tredjedel hade fått information om hur de skulle hantera USB-minnen.

Användningen skiljde sig mellan personalen en dryg tredjedel uppgav att de använde USB-minnen för att lagra filer, likaså flytta filer. En dryg tredjedel uppgav att de hade tagit med sig USB-minnen utanför arbetsplatsen. Oberoende av användningsområdet är presentationer den vanligaste filtypen på USB-minnet.

Nyckelord: USB-minne,Kommuner, Enkätstudie

(3)

English summary

This study focused on analyzing how employees from small municipalies use USB- keys.

USB-keys have been around since year 2000 and consist of a Multi-level cell (MLC) nandflash disk and a PCB. There are several laws that control how municipals should handle data since they are such an important part of the society. Small muncipalies often have issues recruting qualified employees and have a weak economy.

To analyze this a quantitative questionnaire was used. The survey was based on ear- lier studies within this specific field. All tough no one had really analyzed what these USB-keys where used for. Municipals that where connected to Skaraborgs kommunal- förbund was contacted through telephone and if they wanted to participate a contact person was decided. Of total 10 municipalities seven wanted to participate in the sur- vey. From these seven municipalities 30 unique answers on the survey. These answers where analyzed and the results show that:

• All the participants knew what USB keys where and all those where allowed to use them in their specific office. Only a third of all the participants had received information on how to handle USB keys.

• A third of all participants used USB keys to store files. These where used to store text documents, presentations and PDF:s.

• A third of all participants used USB keys to move files within the office. These where used to move files to a computer in another room and the most common filetype was presentations.

• Nine of the 30 participants said that they had used USB keys outside the office.

These were taken with to meetings to be able to hold presentations.

(4)

Innehåll

1 Introduktion 1

2 Bakgrund 2

2.1 Universal Serial Bus . . . 2

2.1.1 Flashminnen . . . 2

2.1.2 Definition av USB-minne . . . 3

2.2 Mindre kommuner . . . 3

2.2.1 Informationssäkerhet inom kommuner . . . 4

2.2.2 Offentlighetsprincipen . . . 5

2.2.3 Offentlighets- och sekretesslagen . . . 5

2.2.4 Personuppgiftslagen . . . 6

2.2.5 Säkerhetspolicy . . . 7

2.3 Relaterad forskning . . . 7

3 Problemdefinition 8 3.1 Avgränsningar . . . 8

3.2 Förväntat resultat . . . 8

4 Metod 10 4.1 Enkätstudie . . . 10

4.2 Urval . . . 10

4.3 Validitetshot . . . 11

4.3.1 Internvaliditet . . . 11

4.3.2 Externvaliditet . . . 11

4.3.3 Konstruktionsvaliditet . . . 11

4.3.4 Slutsatsvaliditet . . . 12

4.4 Etik . . . 12

4.5 Dataanalys . . . 12

4.6 Enkätutformning . . . 13

4.7 Pilottest . . . 13

5 Resultat 14 5.1 Användning av USB-minnen . . . 15

5.2 Säkerhetskopior och lagring på USB-minnen . . . 16

5.3 Förflyttning av USB-minnen på kontoret . . . 17

5.4 USB-minnen utanför arbetsplatsen . . . 18

5.5 Bakgrundsfrågor . . . 21

6 Analys 22 6.1 Användning av USB-minnen . . . 22

6.2 Säkerhetskopior och lagring på USB-minnen . . . 22

6.3 Förflyttning av USB-minnen på kontoret . . . 23

6.4 USB-minnen utanför arbetsplatsen . . . 23

7 Slutsats 24 7.1 Framtida arbete . . . 24

(5)

8 Diskussion 26

8.1 Metodval . . . 26

8.2 Urval . . . 26

8.3 Vetenskapliga aspekter . . . 27

8.4 Samhälleliga aspekter . . . 28

8.5 Etiska aspekter . . . 28

8.6 Bidrag . . . 29

Referenser 30

A Validitetshot 33

B Enkätfrågor 34

C Svarsöversättning 36

D Enkätsvar 37

(6)

1 Introduktion

Mindre kommuner blir allt vanligare i Sverige. Något tecken på att avflyttningen från dessa kommuner stoppar går inte att se.

Mindre kommuner har ofta svårt att rekrytera kompetent personal och personalen får ofta hjälpas åt med sina arbetsuppgifter. Trots att mindre kommuner har färre anställda krävs det fortfarande att de följer samma lagar och utför samma arbete som större kommuner.

Allt fler kommuner går över till att använda elektroniska tjänster och elektronisk för- valtning. När kommunerna börjar använda sig av dessa krävs det att kommunen för- bättrar sitt säkerhetsarbete. För att statliga myndigheter ska ha en tillräckligt hög in- formationssäkerhetsnivå ger Myndigheten för samhällsskydd och beredskap (MSB) ut direktioner för hur detta ska gå till. Till skillnad från de statliga myndigheterna är inte kommuner bundna till dessa direktioner. (MSB, 2012).

Trots att Molotsi och Tait (2013) studie säger att USB-minnen används allmänt på fö- retag har inga nyliga studier gjorts på vad dessa faktiskt används till. Det har gjorts studier på hur företag bör skydda sig men få vet vad de ska skydda sig mot. Det som gör denna studie unik är att den har som mål att visa på vad anställda faktiskt använ- der USB-minnen till.

Denna studie är baserad på en enkätstudie som skickades ut till sju mindre kommuner i Skaraborg. Där ombads personal på kommunkontoret att besvara enkäten och detta ligger sedan till grund för studien.

(7)

2 Bakgrund

I detta kapitel kommer följande att definieras:

• USB-minnen

• Mindre kommuner

• Lagar som styr kommuners datahantering

• Relaterad forskning

2.1 Universal Serial Bus

Universal Serial Bus (USB) är en kommunikationsstandard som standardiserades år 1995. Standarden hanteras och övervakas av organisationen Universal Serial Bus Im- plementers Forum (USB-IF) som är en organisation skapad av Compaq, IBM, Intel, Microsoft och Northern Telecom (McDowell & Seyer, 1998).

Anledningen till att USB skapades var att det saknades en serial-port teknologi som var passande för 2000-talet. Olika kontaktsnitt användes till exempel skilde sig kon- takten mellan en skrivare och en joystick. Alla dessa olika standarder hade både sina fördelar och nackdelar. Målet blev att skapa en standard som var robust, självkonfi- gurerande och som fungerade på olika arkitekturer. USB-IF lyckades med detta vilket möjliggjorde att det blev lätt att koppla in extern utrustning (McDowell & Seyer, 1998).

Standarden möjliggjorde även att det går att använda enheter som exempelvis möss, tangentbord, kameror, skrivare och USB-minnen via en och samma port (Anderson, 2010).

Enligt McDowell och Seyer (1998) blev USB populärt för att det är mycket mer än en serial-port. USB har en egen buss som gör det möjligt att koppla samman flera enheter via en och samma USB-port. Under åren har det kommit flera nya versioner av USB standarden. USB 1.1, USB 2.0, USB 3.0 och nu senast USB 3.1. Senare versioner möjliggör snabbare dataöverföring (USB-IF, 1998, 2000; Hewlett-packard, 2012; Crider, 2016).

2.1.1 Flashminnen

Enligt Axelson (2006) finns det två teknologier för flashminnen NOR och NAND. An- vändningsområdet skiljer sig mellan de två olika typerna.

NOR bör generellt användas när data bara ska läsas och inte skrivas till mediet. Det går snabbt att läsa från NOR men tar lång tid att skriva till. NOR minne har en låg densitet, därför krävs det att det finns fler eller större lagringschip när det ska sparas mycket data.

NAND har en snabb skrivtid och möjlighet att lagra mer data på grund av en högre densitet. NAND flash är därför det optimala valet vid tillverkning av USB-minnen (Axelson, 2006).

(8)

Det finns två olika typer av NAND flash. Single-level cell (SLC) och Multi-level cell (MLC). Av dessa två är MLC den mest populära just för att det går att skriva flera bitar i varje cell. Den stora nackdelen med MLC är att det tar längre tid att läsa från än SLC.

Trots detta är MLC det som används vid tillverkning av USB-minnen då det är möjligt att göra minnen med hög lagringsförmåga till ett lågt pris (Axelson, 2006).

2.1.2 Definition av USB-minne

Enligt Axelson (2006) är ett USB-minne ett lagringsmedium som består av en kontrol- lenhet som sköter kommunikationen mellan datorn, USB-minnet och en NAND flash disk som lagrar själva datan. På svenska kan även USB-minnen kallas för minnespin- nar (Datatermgruppen.se, u. å.). På engelska finns det flera termer för USB-minnen.

Några exempel på olika namn är USB key, Pen drive,ThumbDrive, DiskOnKey och JumpDrive (Axelson, 2006).

USB-minnen har funnits på marknaden sedan tidigt 2000-tal då M-Systems och IBM lanserade det första på marknaden (Ha, 2010). Men redan år 1999 kom det första pa- tentet på ett USB-minne. Ban, Moran och Ogdan (2000) visade att en extern hårddisk skulle anslutas via kabel istället för en fastlödd kontakt på kretskortet som på dagens USB-minnen.

För att USB-minnet och operativsystemet ska kunna kommunicera behövs ett proto- koll som kan hantera detta. USB-minnen använder sig av protokollet Mass Storage Class (MSC) (Deb & Chetry, 2015). MSC hanterar allt från att ta emot information om enheten till att med hjälp av Small Computer System Interface (SCSI) skicka och läsa data till och från enheten (Class, 1999). MSC stöds enligt (Axelson, 2006) av alla opera- tivsystem.

2.2 Mindre kommuner

Kommunernas uppgift är att hantera den offentliga förvaltningen på lokal nivå, de sköter uppgifter som social omsorg, skolgång, byggfrågor och miljöskydd. Ramarna för hur detta ska gå till får kommunerna av Sveriges riksdag och regering (Regeringskansliet, u. å.).

Sverige har sedan länge haft kommuner och redan år 1862 delades landet in i kom- muner. Vid denna tidpunkt fanns det drygt 2500 kommuner i Sverige. Under 50-talet växte det moderna industrisamhället fram vilket resulterade i att folk flyttade från landsorten till städerna. Detta skapade ett behov att slå ihop mindre kommuner till större. Totalt finns nu 290 kommuner i Sverige. Invånarantalet har sjunkit i drygt hälf- ten av landets kommuner sedan den senaste reformen vilket har skapat ett behov av ytterligare sammanslagningar (Erlingsson, Syssner & Ödalen, 2015).

Trots att mindre kommuner har färre invånare ska de utföra samma arbetsuppgifter och följa samma lagar som större kommuner. Exempelvis bor det drygt 900.000 invå- nare i Stockholm kommun medan i Bjurholm bor det 2500 invånare (SCB, 2016). Mind- re kommuner har det därför svårt med ekonomin utan bidrag från staten(Sundström

& Tingvall, 2006).

(9)

I Erlingsson m. fl. (2015) studie presenteras strategier för att möta småkommunernas utmaningar. Studien visar att en av fyra kommuner i Sverige har mindre än 10.000 In- vånare. Kommuners ansvarsområden kräver att de har specialister anställda. Mindre kommuner kan dock ha svårt att rekrytera dessa och kunna ge en tjänst där specialis- ten enbart får arbeta inom sitt specialist område. För att få verksamheten att fungera krävs det att anställda delar på arbetsbördan även om kompetenserna är olika, vilket kan skapa stora problem om en uppgift kräver en specialistkompetens (Sundström &

Tingvall, 2006).

2.2.1 Informationssäkerhet inom kommuner

Kommuner har som mål att att bibehålla tillgänglighet, integritet, konfidentialitet och spårbarhet enligt (MSB, 2012). Definitionen på dessa enligt ISO/IEC (2014); MSB (2012) är:

• Konfidentialitet: Att information inte är tillgänglig eller avslöjas för obehöriga personer, enheter eller processer.

• Integritet: Noggrannhet och fullständighet

• Tillgänglighet: Åtkomlig och användbar för auktoriserade.

• Spårbarhet: Att kunna i efterhand härleda specifika aktiviteter.

Informationssäkerhet omfattar hela kommunens verksamhet och dess information. Då stora delar av informationen hanteras av IT-system handlar informationssäkerhet även om teknik (MSB, 2012).

Kommunerna ska ha som mål att öka öppenheten mot sina invånare. Medborgarna ska kunna ta del av handlingar och därmed få möjlighet att själva kunna delta i pla- neringsarbetet. Medborgarna ska även kunna ta del av kommunens prioriteringar och dess beslutsgrunder via elektroniska tjänster.

Med elektronisk förvaltning (e-förvaltning) kan nu kommuner och andra myndigheter lätt dela med sig av information. Det blir då viktigt att e-förvaltningen inte sprider per- sonuppgifter till obehöriga, vilket skulle resultera i att individens integritet äventyras (Datainspektionen, 2007).

Den utökade e-förvaltningen har resulterat i att frågor om tillgänglighet och säkerhet nu utgör kärnfrågor inom e-förvaltning (Datainspektionen, 2007). För att kunna säker- ställa en tillräcklig nivå av informationssäkerhet ger myndigheten för samhällsskydd och beredskap (MSB) ut direktiv för hur statliga myndigheter och kommuner ska ar- beta med informationssäkerhet. Dessa direktiv är baserade på ISO/IEC 2700-serien.

Till skillnad från statliga myndigheter behöver inte kommuner följa dessa direktiv.

Dock finns det lagar som exempelvis Personuppgiftslagen (PUL) och offentlighet- och sekretess lagen som kräver att kommunen jobbar med informationssäkerhet (MSB, 2012).

Enligt MSB (2012) skulle det finnas mycket att vinna för kommunerna om de valde att följa dessa direktiv. Kommunledningen får möjlighet att styra informationssäkerhets- arbetet vilket leder till bättre säkerhetsekonomi och högre förtroende för kommunen.

(10)

Utvecklingen inom e-förvaltningen kräver att kommuner, myndigheter och landsting samverkar. Om alla parter arbetar med samma standarder kan det bli lättare att hitta en ömsesidig förståelse för säkerhetsfrågor. Detta skulle resultera i ökad effektivitet, högre säkerhetsmedvetande och lägre kostnader (MSB, 2012).

2.2.2 Offentlighetsprincipen

Kommuners arbete styrs av offentlighetsprincipen vilket betyder att medborgare ska kunna få insyn i kommunens arbete. Detta är ingen egen lag utan den ingår i tryck- frihetsförordningen. För att ta del av kommunens arbete kan handlingar krävas ut.

Huvudregeln är att dessa handlingar ska vara offentliga och därför kunna krävas ut av vem som helst.

En handling kan vara antingen en skrift, en bild eller en elektronisk handling. Des- sa kan ha uppkommit i ett IT-system exempelvis mejl eller databas uppgifter. Om en kommun delar en handling till en annan kommun blir det också den en handling i den andra kommunen (Samrådsgruppen för kommunala arkivfrågor, 2011).

En allmän handling avses vara en handling som förvaras hos en kommun som an- tingen har inkommit eller upprättats där. Kommunerna måste kontrollera att sekre- tesskyddade uppgifter inte lämnas ut. Själva sekretessen bestämmer inte kommunen över, utan kommunen måste testa handlingen via en myndighet som är styrd av riks- dagens ombudsmän (JO) och justitiekanslern (JK). Detta resulterar sedan i ett formellt beslut som går att överklaga i kammarrätten.

För att säkerställa alla handlingar har kommuner ett diarium där alla dokument spa- ras. Ingen tidsgräns finns på hur länge dessa dokument ska sparas, utan det ska gå att få information om både nuvarande och upphörda verksamheter (Samrådsgruppen för kommunala arkivfrågor, 2011).

2.2.3 Offentlighets- och sekretesslagen

Kommuner sekretessbelägger information för att den inte ska lämnas ut till allmänhe- ten, exempelvis ärenden om tillstånd till parkering för rörelsehindrade (Offentlighets- och sekretesslag (2009:400), 2009).

Offentlighetsprincipens mål är att handlingar ska delas ut till allmänheten. Offentlighets- och sekretesslagen är ett regelverk för vad som inte ska delas ut.

Detta resulterar i att det kan finnas begränsningar för vad den anställda får säga och skriva. Sekretess betyder att det är förbjudet att sprida känsliga uppgifter.

Om en uppgift i en allmän handling inte är passande att lämna ut omfattas den av sekretess. Kommunen markerar i sådant fall handlingen med en sekretessmarkering.

Det skall också markeras på handlingen vilken typ av sekretessbehandling, datum då beslutet gjordes och vem som har gjort bedömningen. Om handlingen skulle begä- ras ut betyder inte sekretessmarkeringen att kommunen slipper lämna ut handling- en utan en bedömning måste alltid ske. Snarare är markeringen en varningssignal (Offentlighetsprincipen och sekretess, 2013).

(11)

2.2.4 Personuppgiftslagen

Personuppgiftslagens mål är att bibehålla säkerheten för individens personuppgifter.

En personuppgift är något som kan härledas till en levande människa. Svenska kom- muner behandlar personuppgifter och därför krävs det att kommunerna följer person- uppgiftslagen. Denna lag säger att det ska finnas personuppgiftsansvarig, denna ska se till att kommunen uppfyller de grundläggande kraven vid behandling av person- uppgifter som nämns i 9 §.

1. Personuppgifter behandlas bara om det är lagligt

2. Personuppgifter behandlas alltid på ett korrekt sätt och i enlighet med god sed.

3. Personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål.

4. Personuppgifter skall inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.

5. De personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen.

6. Inte fler personuppgifter än nödvändigt behandlas med hänsyn till ändamålen med behandlingen.

7. De personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuel- la.

8. Alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana person- uppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

9. Personuppgifter bevaras inte under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

(Justitiedepartementet, 2011)

I paragraf 10 säger lagen att utgångspunkten är att personuppgifter enbart får behand- las om det finns ett godkännande av den som blir behandlad. Finns det inget god- kännande får uppgifterna bara behandlas om en arbetsuppgift sker i samband med en myndighetsutövning, eller om intresset väger tyngre än den registrerades intresse (Justitiedepartementet, 2011).

Lagen dikterar i paragraf 31 att den personuppgiftsansvarige skall vidta lämpliga tek- niska och organisatoriska åtgärder för att se till att personuppgifterna är skyddade.

Skyddet ska ge en lämplig säkerhetsnivå beaktande av:

1. De tekniska möjligheterna som finns

2. Vad det skulle kosta att genomföra åtgärderna.

3. De särskilda riskerna som finns med behandlingen av personuppgifterna och hur pass känsliga dom är.

(Justitiedepartementet, 2011). Något som är viktigt att tänka på är att denna lag bara är aktuell om det är tänkt att använda personuppgifterna i ett sökbart system eller

(12)

någon typ av sammanställning. Om personuppgifterna bara ska användas i löpande text, lagras på en dator eller skickas i ett mejl behövs inte personuppgiftslagen beaktas (Datainspektionen, 2007).

2.2.5 Säkerhetspolicy

En säkerhetspolicy är ett dokument vars syfte är att informera de anställda om målen och begränsningarna i ett system. Denna policy ska stå som grund för alla säkerhets- åtgärder som utförs.

De anställda bör lätt kunna nå en säkerhetspolicy som beskriver den allmänna säker- hetsstrategin, ansvarsfördelningen och de övergripande målen. Denna policy ska vara lätt för den anställde att ta till sig och möjlig att praktiskt tillämpa. Framförallt ska denna policy ständigt omprövas och anpassas efter det aktuella behovet av säkerhet.

När en anställd får tillgång till personuppgifter ska den anställde ha fått en relevant utbildning i hur dessa hanteras av personuppgiftsansvarige. De anställda behöver tydligt veta vad som är tillåtet och vad som inte är tillåtet att göra med uppgifterna (Datainspektionen, 2008).

2.3 Relaterad forskning

Gorge (2005) presenterar i sin artikel att en säkerhetspolicy bör skapas som i detalj beskriver hur organisationen tillåter användningen av bärbara lagringsenheter. Denna policy ska ingå i organisationens accepterade användningspolicy.

Molotsi och Tait (2013) presenterar en liknande uppfattning om ämnet. De utgår ifrån en enkätstudie om hur användarnas attityd är om säkerhetsriskerna vid hantering av bärbara lagringsenheter. De presenterar sedan ett ramverk som både jobbar på ett tek- niskt och ett icke tekniskt plan för att kunna garantera konfidentialitet, integritet och tillgänglighet.

He, Kumar, Lee och Sherratt (2014) presenterar en annan lösning för problemet med USB-minnen. Vilket är att implementera en tre-parts autentisering för att använda sig av USB-minnen.

Heikkila (2007) presenterar i sin artikel att organisationen bör ha som mål att kryptera den bärbara lagringsenheten. Samt att ha någon tredjepartsavlysningsmjukvara som kollar vad enheten innehåller för data. Om det är otillåtna filer på enheten ska enheten inte godkännas. Dessa enheter bör först tillåtas på arbetsplatsen när en säkerhetspolicy som hanterar dessa är på plats.

(13)

3 Problemdefinition

USB-minnen är ett stort problem på arbetsplatser (Cisco, 2008), men trots detta går det att hitta USB-minnen nästan överallt (Molotsi & Tait, 2013). USB-minnen är lätta att ta med sig och i en studie av (Beautement m. fl., 2009) konstateras att USB-minnen följer med den anställde överallt. Enheten följer med till arbetsplatsen, möten och på konferenser.

I Gorge (2005) studie påtalas att anställda använder USB-minnen till att lagra företags- data såsom personregister, mejl, företagsdokument, tredjeparts data, företags katalo- ger och kalendrar. Denna studie är mer än tio år gammal och ny forskning visar på att ett ökande antal företag nu för tiden använder sig av cloud tjänster för att lagra användarnas personliga data (Abu-Libdeh, Princehouse & Weatherspoon, 2010).

Kommuner har en viktig samhällsfunktion och hanterar stora mängder av informa- tion. Denna information måste hanteras rätt enligt de lagar som finns.

På större kommuner finns det en möjlighet att ha specialistpersonal till arbetsuppgifter medan mindre kommuner ofta tvingas att låta sin personal hjälpas åt trots avsaknad av specialistkompetens. Kommuner har personal anställd för flera olika ändamål allt från vård till infrastruktur (Personalen i diagram och siffor, 2016). Då kommuners personal är väldigt utspridd inom kommunen kommer denna studie fokusera på personal som arbetar på de olika kommunkontoren.

Bristen på tidigare arbeten om hur USB-minnen används gör att det blir intressant att studera hur dessa används. Målet med denna studie blir att besvara följande fråga:

Hur använder personal på kommunkontor i mindre kommuner inom Skaraborg USB-minnen?

3.1 Avgränsningar

Deltagarna i studien avgränsas till tjänstemän på de olika kommunkontoren. Anled- ningen till det är tillgängligheten och att den interna spridningen av enkäten blir enkel för kontaktpersonen på kommunkontoret.

Gränsen på kommunens storlek kommer att dras vid 16000 invånare. Större kommu- ner är inte med i denna studie då de har mer personal och en större möjlighet att ha specialiserad personal (Sundström & Tingvall, 2006).

Enligt Peer och Gamliel (2011) finns det ett problem med enkätstudier, respondenten kan välja att ljuga i sina svar. I denna studie kommer enbart respondentens svar att analyseras trots att respondenten kan ljuga, detta då inga verktyg finns för att kunna verifiera sanningen i svaren.

3.2 Förväntat resultat

Det förväntade resultatet av denna studie är att kunna ge en bild av hur personal på kommunkontor i mindre kommuner inom Skaraborg använder USB-minnen. Även

(14)

kunna redovisa en kartläggning på hur användningsmönstret av USB-minnen ser ut och vart personalen tar med sig USB-minnen.

(15)

4 Metod

Detta kapitel kommer att diskutera den forskningsmetod som kommer att användas i denna studie. Enligt Wohlin m. fl. (2012) har alla metoder sina fördelar och nackdelar och det krävs att den metoden som förväntas ge bäst slut resultat används.

4.1 Enkätstudie

Syftet med denna studie är att undersöka hur personal på kommunkontor använder USB-minnen på arbetet. För att besvara det kommer en enkätstudie användas för att samla in data. Enkätstudien kommer vara av typen tvärsnitt detta för att kunna visa på hur personalen använder USB-minnen just nu. Ett annat alternativ vore att göra en longitudinell studie där mätningar sker flera gånger. På grund av tidsramen är inte denna typ applicerbar (Creswell, 2013).

Enligt Berndtsson, Hansson, Olsson och Lundell (2008) passar en enkätstudie bra när ett välkänt fenomen ska undersökas bland en större grupp deltagare. Vilket gör en enkätstudie passande i denna studie. Enkäten kommer vara kvantitativ då målet är att statistiskt presentera vad USB-minnen används till (Trost, 2012).

För att kunna samla in många svar och få bra svarsdata anser Fowler Jr, Floyd J (2013) att en elektronisk enkät bör användas. Det finns flera olika verktyg för att kunna utföra en elektronisk enkät, exempelvis Google formulär eller LimeSurvey. Google formulär går inte att använda då deras användaravtal säger att de får använda respondentens IP-adress i andra projekt (Datatilsynet, 2012). Vilket hade resulterat i att konfidentia- litetskravet ej gick att uppfylla. LimeSurvey användes då det är ett projekt byggt av öppen källkod som själv går att administrera och tillhandahålla för respondenten, på det sättet sprids inte respondenternas uppgifter vidare och konfidentialitetskravet gick att uppfylla (Schmitz, 2016).

En nackdel med enkätstudier är att det inte går att förtydliga en oklar fråga för re- spondenten då den som skapat enkäten inte deltar när den utförs (Berndtsson m. fl., 2008).

Alternativa metoder som skulle kunna vara aktuella till att besvara forskningsfrågan är en intervjustudie. En intervjustudie går inte att applicera då enligt McCracken (1988) är intervjuer ofta skapade för få deltagare och för att få fram ett kvalitativt resultat. Då studien riktar sig till många deltagare och har som mål att kunna presentera tendenser passar inte en intervjustudie.

En annan metod vore att utföra en litteraturstudie. Men då det inte finns tillräckligt mycket information om ämnet är inte denna metod användbar.

4.2 Urval

För att enklare kunna komma i kontakt med kommuner och att få dem att delta i studien baserades urvalet på kommuner som ingick i Skaraborgs kommunalförbund.

(16)

Skaraborgs kommunalförbund har 15 medlemskommuner och av dessa uppfyllde 10 kommuner kravet på att ha mindre än 16000 invånare.

För att sprida enkäten till de tio kommunerna blev alla uppringda. I telefonsamtalet blev de tillfrågade om de ville delta i en enkätstudie om USB-minnen. Om kommu- nen ville delta utsågs en kontaktperson hos kommunen som skötte den interna sprid- ningen av enkäten. Kontaktpersonen fick sedan ett mejl skickat till sig som innehöll en kortare beskrivning av enkäten samt länken till enkäten. Detta mejl kunde sedan kontaktpersonen vidarebefordra till sina kollegor.

4.3 Validitetshot

I den här delen kommer en hotanalys utföras baserat på metodvalet kvantitativ enkät- studie. Denna del är helt och hållet baserad på Wohlin m. fl. (2012). En fullständig lista på alla validitetshot går att se i Appendix A.

4.3.1 Internvaliditet

De validitetshoten som är applicerbart av de interna validitetshoten är instrumentation och Maturation.

• Instrumentation undviks via en lättförståelig enkät.

• Maturation hanterar att de som utför enkäten blir uttråkade under enkätens gång.

För att undvika detta kommer enkäten vara kort och bakgrundsfrågorna kommer ställas i slutet.

4.3.2 Externvaliditet

Inga av de externa validitetshoten går att applicera vid denna typ av enkätstudie. Inte- raction of selection and treatment blir inte applicerbar då enkäten skickas ut till flera olika kommuner. På kommunkontoret görs sedan inget urval utan alla tjänstemän ombes besvara enkäten.

I och med att USB-minnen är en teknologi som kan tänkas användas i alla kommuner är inte heller interaction of setting and treatment applicerbar.

interaction of history and treatment hanterar hur något sker en speciell dag. Då frågorna kommer vara konstruerade på ett sådant sätt som inte gör det relevant hur de anställda har använt USB-minnen i tio år eller tio dagar blir inte detta hot applicerbart.

4.3.3 Konstruktionsvaliditet

De validitetshot som är applicerbara av konstruktionsvaliditeten är inadequate preope- rational explication of construct, evaluation apprehension och experimenter expectencies.

För att undvika dessa har grundarbetet utförts innan enkäten skickades ut.Då vissa

(17)

respondenter kan vara rädda för att bli utvärderade samlades ingen personlig infor- mation in.

4.3.4 Slutsatsvaliditet

De validitetshot som är applicerbara av slutsatsvaliditeten är low statistical power och Fishing and the error rate. För att undvika de två hoten skickades en påminnelse ut till kommunerna efter två veckor om de inte hade svarat. Inga frågor vinklades och ingen hypotes presenterades. Detta för att kunna bevara en objektiv syn på svaren.

4.4 Etik

Vetenskapsrådet (2002) presenterar fyra etiska krav: informationskravet, samtyckeskra- vet, konfidentialitetskravet och nyttjandekravet. För att uppfylla dessa kommer följan- de utföras:

• De som utfrågas kommer att informeras om vad syftet med studien är, detta för att kunna uppfylla informationskravet.

• Deltagarna är inte tvingade att vara med i enkäten, detta för att uppfylla samtyc- keskravet.

• Enkäten kommer undvika att samla in personlig data. Den insamlade datan kom- mer enbart användas för att kunna besvara forskningsfrågan. Detta för att kunna uppfylla konfidentialitetskravet och nyttjandekravet.

4.5 Dataanalys

Enligt Wahlin (2011) börjar analysen med att se vilken typ av variabel som ska analy- seras. I denna studie har enbart kategoriska variabler använts. Det första steget är att presentera diagram av den insamlade datan. För att kunna göra detta ska andelar av alla svar på varje fråga räknas ut. Detta gjorde Limesurveys statistikfunktion automa- tiskt och detta ligger till grund för diagrammen som visas i kapitel 5.

Det andra steget är att beräkna beskrivande mått för varje fråga. På frågor med bara två val räknades typvärdet ut. Exempelvis Tillåts du använda USB-minnen?

Detta presenteras för dessa frågor i analysdelen. För flervalsfrågor översattes svaren till ett fast värde. Dessa går att se i Appendix C. Det gör att de tidigare kategoris- ka variablerna översattes till kvantitativa variabler för att kunna visa medelvärde och standardavvikelse.

Det tredje steget är att leta efter samband mellan variabler. För att se om något sam- band finns mellan kategoriska variabler skapades korstabeller för intressanta kombina- tioner. Enligt Wahlin ska detta bara göras när kombinationen kan hjälpa till att besvara forskningsfrågan. Korstabellerna analyserades sedan med ett Chi2 test för att se att det verkligen fanns ett samband.1 På de kvantitativa variablerna räknades konfidensinter- vallet ut.

(18)

4.6 Enkätutformning

Enligt Creswell (2013) ska frågorna som ställs i en enkät formuleras för att direkt eller indirekt besvara forskningsfrågan. För att analysen av svaren skulle gå enkelt eftersträ- vades det att enkäten skulle vara strukturerad där respondenten får fasta svarsalterna- tiv att välja på (Trost, 2012). På vissa frågor fanns det även möjlighet för respondenten att ge ett eget svar om en annan filtyp eller plats användes.

Frågorna i enkäten förankrades i tidigare studier. När frågorna skapades undveks avancerade ord för att respondenterna inte skulle missförstå enkätfrågorna. Enkäten följde en logisk ordning för att inte röra till det för respondenten.

Flera av frågorna skapades på ett sådant sätt att det är krav på att tidigare frågor ska ha besvarats innan nästa fråga visas. Exempelvis om respondenten tillåts använda USB- minnen på sin arbetsplats, tillåts inte respondenten använda USB-minnen är enkäten slut där annars fortsätter enkäten med nästa fråga. I slutet av enkäten bads deltagar- na att fylla i bakgrundsinformation, anledningen till att bakgrundsfrågorna först kom i slutet är då detta ökar sannolikheten till att respondenterna slutför enkäten (Trost, 2012). Alla enkätfrågor går att se i Appendix B.

Enligt Berndtsson m. fl. har enkäter ofta ett lågt antal deltagare. För att fler skulle delta lottades tre trisslotter ut som ett extra incitament för respondenterna.

4.7 Pilottest

Innan enkäten skarpt skickades ut till kommunerna utfördes ett pilottest. De som be- svarade enkäten fick utföra hela enkäten och sedan fick de ge en återkoppling. Målet med pilottestet var att kunna besvara följande frågor och att se att enkäten samlade in den informationen som behövdes för att kunna besvara forskningsfrågan.

• Förstod du alla frågor?

• Var någon fråga du tyckte var otydlig?

• Behöver något förtydligas?

• Är svarsalternativen rimliga?

• Hur lång tid tog enkäten att utföra?

Fem studerande på Högskolan i Skövde fick utföra enkäten för att sedan besvara de tidigare presenterade frågorna. Detta för att se att enkäten höll en rimlig nivå.

Alla fem deltagare uppgav att de förstod alla frågor men vissa frågor ansågs otydliga och behövde därför omformuleras. Deltagarna uppgav även att de tyckte att svars- alternativen kändes rimliga samt att det tog mellan två och tre minuter att besvara enkäten.

(19)

5 Resultat

De 10 mindre kommunerna som ingår i Skaraborgs kommunalförbund blev kontakta- de och tillfrågade om de ville ställa upp i en enkätstudie om USB-minnen. Enkäten var möjlig för kommuner att besvara mellan 27/04 till den 19/05 2016.

7 Ja

Nej 3

0 15

Deltagande kommuner Figur 1: Kommuner

Figur 1 visar att sju kommuner valde att ställa upp. Resterande tackade antingen nej direkt i telefon eller svarade inte alls. Totalt inkom 30 unika svar och en sammanställ- ning av dessa kommer att presenteras. Enkätsvaren går att se i appendix D.

För att undvika decimaler avrundas resultatet vilket kan ge en viss felmarginal och att vissa figurer inte uppnår 100%.

Resultatet kommer följa den ordning som frågorna ställdes i denna går att se i appen- dix B.

(20)

5.1 Användning av USB-minnen

För att se att alla var medvetna om vad ett USB-minne var fick alla besvara frågan Vet du vad ett USB-minne är?

På denna fråga uppgav alla 30 deltagare att de visste vad ett USB-minne var.

De fick även frågan Tillåts du använda USB-minnen på din arbetsplats?

Alla 30 som deltog i enkäten uppgav att de tilläts använda USB-minnen på sin arbets- plats.

För att kunna se om kommuner ger sina anställda information om hur de ska hantera USB-minnen blev de frågade Har du genom kommunen fått information om hur du ska hantera USB-minnen?

Ja

34%

Nej

64% 2% Inget svar

Figur 2: Har du fått information om hur du ska hantera USB-minnen?

I figur 2 går det se att drygt en tredjedel har fått information om hur de ska hantera USB-minnen.

För att identifiera användningsmönster fick de besvara frågan Hur ofta använder du ett USB-minne på jobbet?

En eller flera gånger i veckan 3%

En eller flera gånger i månaden

30%

En eller flera gånger om året

40%

Aldrig 20%

Inget svar 7%

Figur 3: Hur ofta använder du ett USB-minne på jobbet?

I figur 3 går det att se att Hela 73% använder USB-minnen minst en eller flera gånger om året. Resterande har inte svarat eller uppgett att de inte alls använder USB-minnen.

En sammanfattning på denna del visar att alla besvarande visste vad ett USB-minne var och alla tilläts använda USB-minnen på sin arbetsplats. Hur ofta USB-minnen an- vändes skilde sig mellan deltagarna men enbart 20% uppgav att de inte använde sig alls av USB-minnen.

(21)

5.2 Säkerhetskopior och lagring på USB-minnen

För att kunna identifiera vad de anställda faktiskt använde USB-minnen till fick de besvara följande fråga. Använder du USB-minnet för att lagra filer? Här uppgav 11 personer av 30 att de använder USB-minnet för att lagra filer.

De 11 som uppgav att de använde USB-minnet för att lagra filer fick en följdfråga där de fick berätta hur ofta de använde USB-minnen för att lagra filer. Hur ofta använder du USB-minnet för att lagra filer?

En eller flera gånger i veckan 9%

En eller flera gånger i månaden

36%

En eller flera gånger om året 55%

Figur 4: Hur ofta använder du USB-minnet för att lagra filer?

I figur 4 går det att se att USB-minnen generellt används för att lagra filer en eller flera gånger om året.

De fick också frågan Vad för filer lagrar du på minnet? detta för att kunna se vilka filer som de anställda lagrar på USB-minnet. Här kunde de som besvara frågan välja att fylla i flera olika alternativ. Dessa var textdokument(A), presentationer(B), PDF:er(C), bilder(D), ljudfiler(E) eller kalkyler(F). Alternativt själva svara i fritext(G).

A B C D E F G

0 2 4 6 8

Filtyp

Antal

Figur 5: Vad för filer lagrar du på minnet?

I figur 5 går det se en viss skillnad på vilka filer som sparades på USB-minnet. De vanligaste filerna var presentationer, PDF:er och textdokument.

(22)

En sammanfattning på denna del tyder på att en dryg tredjedel använder USB-minnen för att lagra filer. Det skiljer sig på vilka filer som sparas på minnet men det vanligaste är textdokument, presentationer och PDF:er.

5.3 Förflyttning av USB-minnen på kontoret

För att se hur USB-minnet hanterades på kontoret fick de frågan Använder du USB- minnet för att flytta filer mellan olika platser på kontoret? Här uppgav 11 av 30 att de an- vände sig av USB-minnen för att flytta filer på kontoret.

De 11 som använde sig av USB-minnet för att flytta filer på kontoret fick sedan följd- frågan Hur ofta flyttar du filer med hjälp av ett USB-minne?

En eller flera gånger i veckan 9%

En eller flera gånger i månaden

36%

En eller flera gånger om året 55%

Figur 6: Hur ofta flyttar du filer med hjälp av ett USB-minne?

I figur 6 går de se att USB-minnen generellt används en eller flera gånger om året.

För att kunna se vart USB-minnet följer med fick de besvarande svara på Vart flyttar du filerna? här kunde de antingen välja till en dator i samma rum(A) alternativ till en dator i ett annat rum(B) eller båda. De kunde också själva välja att svara i fritext.

3 A B 10

0 30

Enkät svar

Figur 7: Vart flyttar du filerna?

I figur 7 går det se att det vanligaste att de flyttade filer till ett annat rum. Ingen valde att själv svara i fritext om vart de flyttade USB-minnet.

(23)

De fick också frågan Vad för filer flyttar du? detta för att kunna se vilka filer som de an- ställda flyttar med USB-minnet. Här kunde de som besvara frågan välja att fylla i flera olika alternativ. Dessa var textdokument(A), presentationer(B), PDF:er(C), bilder(D), ljudfiler(E) eller kalkyler(F). Alternativt själva svara i fritext(G). Presenteras inte filty- pen i figuren betyder det att ingen valde det alternativet.

A B C

2 4 6 8

Filtyp

Antal

Figur 8: Vad för filer flyttar du?

I figur 8 visas att det vanligaste alternativet är presentationer men även textdokument och kalkyler flyttades.

En sammanfattning på denna del visar att 11 av 30 använde sig av USB-minnen för att flytta filer på kontoret. Detta skedde generellt en eller flera gånger om året. Filerna flyttades då till ett annat rum och då primärt presentationer.

5.4 USB-minnen utanför arbetsplatsen

För att se om USB-minnen följer med från arbetsplatsen fick de besvara frågan Har du använt ett USB-minne från jobbet någon annanstans? Här svarade nio av 30 att de hade använt ett USB-minne utanför arbetsplatsen.

(24)

De nio som uppgav att de har använt ett USB-minne någon annanstans fick följdfrågan Hur ofta använder du USB-minnet någon annanstans?

En eller flera gånger i månaden

22%

En eller flera gånger om året

67%

Aldrig 11%

Figur 9: Hur ofta använder du USB-minnet någon annanstans?

I figur 9 visar resultatet att USB-minnen utanför arbetsplatsen generellt används en eller flera gånger om året.

För att identifiera vart USB-minnet följde med fick de nio svara på frågan Vart tar du med dig USB-minnet? Här kunde de välja antingen en eller flera alternativ och även svara i fritext.

Hem Möten Resor Konferenser 2

4 6 8

Platser

Antal

Figur 10: Vart tar du med dig USB-minnet?

I figur 10 går det se att flest uppgav att USB-minnen följer med på möten. USB-minnen följer också med hem och på konferenser, ingen valde att svara i fritext.

(25)

För att kunna identifiera vad de använde USB-minnet till utanför arbetsplatsen fick de nio besvara frågan Vad använder du det till? Här kunde de välja för att kunna job- ba(A), hålla presentationer(B), flytta filer(C) eller ett eget fritext(D) svar. Presenteras inte alternativet i figuren så betyder det att ingen valde det alternativet.

A B C

2 4 6 8

Användning

Antal

Figur 11: Vad använder du det till?

I figur 11 går det se att det vanligaste användningsområdet var för att kunna hålla presentationer.

De fick också besvara vilka filer de tog med sig via att besvara frågan Vad för filer tar du med dig? Denna fråga gick att besvara med flera svar eller fritext.

Textdokument Presentationer Kalkyler 2

3 4 5 6

Filtyper

Antal

Figur 12: Vad för filer tar du med dig?

I figur 12 går det se att presentationer framförallt följer med ut från arbetsplatsen men även textdokument och kalkyler. Ingen valde att ge ett eget fritext svar.

(26)

En sammanfattning på denna del visar på att nio av 30 hade använt USB-minnet utan- för arbetsplatsen.Det skedde då generellt en eller flera gånger om året. USB-minnena togs primärt med på möten, resor och hem. Den primära funktionen var då för att kun- na hålla presentationer och den vanligaste filtypen som följde med var presentationer.

5.5 Bakgrundsfrågor

De som besvarade enkäten blev frågade vilken kommun som de var anställda på.

Kommun C 3%

Kommun D 3%

Kommun A 7%

Kommun F

23%

Kommun G 27%

Kommun B 13%

Kommun E 23%

Figur 13: Svarsfördelning mellan kommuner

I figur 13 går det att se att en stor mängd av svaren kom från tre kommuner kommun E,F och G. Med några få svar från resterande kommuner.

Som avslutande fråga fick de i fritext berätta vilken befattning de hade. Här valde 23 av de som utförde enkäten att besvara vilken befattning de hade.

Administratör 9%

Kommunikatör 9%

Personalkonsult

22%

Sekreterare 4%

Ekonom 13%

Chef 9%

Tekniker 13%

Nämndsekreterare 4%

Personaladministratör 4% Kommunutvecklare

4% HR-konsult

4%4% Kommunikationsstrateg

Figur 14: Befattningar

I figur 14 går det att se att befattningen på de som besvarade enkäten är blandad.

(27)

6 Analys

I denna del kommer svaren från enkätstudien att analyseras. Hur analysen gick till går att se i kapitel 4.5

6.1 Användning av USB-minnen

Analysen på denna del visar på att alla som har besvarat enkäten är medvetna om vad USB-minnen är och alla tillåts att använda dessa i sina respektive kommuner. Att alla tillåts använda USB-minnen visar på att det inte finns någon säkerhetspolicy som helt förbjuder USB-minnen på arbetsplatsen.

33% hade fått information i hur de skulle hantera USB-minnen medan 63% inte hade fått det samt en person valde att inte svara. Typvärdet för denna fråga är nej.

För att se om det fanns något sammanband mellan vilken kommun respondenten var ifrån och om de hade fått information om USB-minnen utfördes en korstabell mellan kommun och information om USB-minnen. Detta visade på en 0.052 likhetsratio vilket tyder på att det inte finns en statistisk skillnad på vilken kommun respondenten är ifrån.

Vissa respondenter verkar ha fått information och vissa har inte fått information. An- ledningen till detta skulle kunna vara att personalen har arbetat olika länge på kom- munkontoren. Personalen kanske fick information i hur de skulle hantera USB-minnen för tio år sedan. Sen dess har ny personal anställts och de har inte fått någon informa- tion.

Detta är något som skiljer sig från min ide om hur det skulle se ut. Jag trodde att USB- minnen skulle nämnas i kommunernas säkerhetspolicy.

Ingen uppgav att de dagligen använde sig av USB-minnen och enbart en person upp- gav att de använde USB-minnen en eller flera gånger i veckan.

30% Uppgav att de använde USB-minnen en eller flera gånger i månaden och 40%

använde USB-minnen en eller flera gånger om året. 20% uppgav att de aldrig använde USB-minnen. Vilket ger ett medelvärde på 2.75 och en standardavvikelse på 1.555.

6.2 Säkerhetskopior och lagring på USB-minnen

11 av 30 använder sig av USB-minnen för att lagra filer eller för att ta säkerhetskopior.

Typvärdet på denna fråga är nej.

Av dessa använder 9% USB-minnen en eller flera gånger i veckan och 36% USB-minnen en eller flera gånger i månaden. 55% Använder USB-minnen en eller flera gånger om året vilket ger ett medelvärde på 3.45 och en standardavvikelse på 0.688.

Respondenterna fick även en flervalsfråga där de kunde välja olika filtyper som de lagrade på USB-minnet. Hur svaren ser ut går att se i figur 5. Svaren gav ett medelvärde på 2.48 med en standardavvikelse på 1.327. Vilket visar på att de vanligaste filerna som de 11 respondenterna lagrar är textdokument, presentationer och PDF:er.

(28)

6.3 Förflyttning av USB-minnen på kontoret

11 av 30 använder USB-minnen för att förflytta filer på kontoret. Vilket ger typsvaret nej.

9% använde USB-minnen för att flytta filer en eller flera gånger i veckan. 36% använde dem en eller flera gånger i månaden och 55% gjorde detta en eller flera gånger om året.

Vilket ger ett medelvärde på 3.45 och en standardavvikelse på 0.688.

De elva respondenterna fick sedan besvara en flervalsfråga vars syfte var att ta reda på vart de flyttade USB-minnena. 77% av svaren var att USB-minnena togs med till ett annat rum resterande 33% av svaren var att de flyttades inom samma rum. Detta ger ett medelvärde på 1.77 och en standardavvikelse på 0.439. De fick även besvara vilka filtyper de flyttade. Vilket går att se i figur 8. Resultatet blev ett medelvärde på 2.27 med en standardavvikelse på 1.580.

Analysen på denna del visar att 37% av respondenterna använder USB-minnen för att flytta filer på kontoret. De som använder USB-minnen för att flytta filer flyttar då primärt presentationer till andra rum.

6.4 USB-minnen utanför arbetsplatsen

Analysen på denna del visar att det enbart är nio av de 30 som besvarade enkäten som faktiskt har använt USB-minnet utanför arbetsplatsen. För att se användarmönster fick de besvara hur ofta de använde USB-minnen utanför arbetsplatsen. 22% använder USB-minnen en eller flera gånger i månaden. 67% använder USB-minnen en eller flera gånger om året. 11% uppger att de aldrig använder USB-minnen utanför arbetsplatsen.

Vilket ger ett medelvärde på 3.75 och en standardavvikelse på 0.463.

Här har en respondent svarat att de aldrig använder USB-minnen utanför arbetsplat- sen. vilket skulle kunna tyda på att respondenten har använt USB-minnet utanför ar- betsplatsen, men inte under det senaste året.

USB-minnen följer med till olika platser som går att se i figur 10. Medelvärdet är 2.31 och Standardavvikelsen är 1.138. Vilket visar på att det vanligaste stället USB-minnen följer med till är möten. För att se vad det användes till då fick de även besvara en fråga om detta. Här blev medelvärdet 1.69 och standardavvikelsen 0.480.

De fick även svara på vilka filer de hade med sig vilket går att se i tabell 12. Där den vanligaste filtypen var presentationer på denna fråga blev medelvärdet 2.45 och stan- dardavvikelsen 1.809.

(29)

7 Slutsats

Studiens undersökning hade som mål att analysera vad USB-minnen faktiskt användes till med hjälp av en enkätstudie. Detta för att kunna besvara forskningsfrågan:

Hur använder personal på kommunkontor i mindre kommuner inom Skaraborg USB-minnen?

Enkätsvaren visar att:

• Deltagarna var medvetna om vad USB-minnen var och tilläts att använda USB- minnen på sin arbetsplats. 73% av respondenterna uppgav att de använde sig av USB-minnen. Enbart en drygt tredjedel hade fått information om hur de skulle hantera USB-minnen. Någon koppling mellan kommun och hur vidare persona- len hade fått utbildning gick inte att se.

• En tredjedel av de som besvarade enkäten uppgav att de använde USB-minnet för att lagra filer. De som lagrade filer på USB-minnet lagrade antingen textdo- kument,presentationer eller PDF:er.

• En tredjedel av de som besvarade enkäten uppgav att de använde USB-minnet för att flytta filer på kontoret. De flesta flyttade då presentationer till en dator i ett annat rum.

• Nio av de 30 deltagarna uppgav att de hade tagit med sig USB-minnen från ar- betsplatsen. Syftet till att USB-minnet följde med var för att kunna hålla presen- tationer.

Resultatet av analysen visar på att USB-minnen är välkänt bland personalen på kom- munkontoren. Det är även tillåtet för personalen att använda dessa. USB-minnen an- vänds generellt mellan någon gång i månaden till ett par gånger om året av personalen.

Det finns inget klart svar på hur personalen på kommunkontoren använder USB- minnen. Vissa använder det till att lagra filer, andra för att flytta filer. Det som går att se är att presentationer är det som oftast finns på USB-minnet oberoende av om det ska lagras filer eller om det ska flyttas filer.

Anledningen till att presentationer återfinns på USB-minnen skulle kunna bero på att USB-minnen passar bra när personalen ska hålla en presentation. Personalen behöver bara lägga över presentationen på USB-minnet och sen koppla in det i den datorn som finns där presentationen ska hållas. Att andra filtyper inte är vanligare skulle kunna bero på att personalen har tillgång till andra verktyg för att exempelvis kunna arbeta tillsammans.

7.1 Framtida arbete

Syftet med denna studie har varit att undersöka hur USB-minnen används av personal på kommunkontor i mindre kommuner inom Skaraborg.

Som framtida arbete vore det intressant att kartlägga varför USB-minnen används.

Detta skulle gå att ta reda på via intervjuer med personal där de skulle kunna få ett scenario och sedan få välja vad för medium eller tjänst de skulle använda för att kunna

(30)

utföra scenariot. Exempelvis: Du ska ta med fyra olika textdokument till ett möte. Hur skulle du flytta filerna och varför på det sättet?

Det skulle även gå att undersöka USB-minnen som en attackvektor där ett experiment utförs med hjälp av att ge bort USB-minnen under exempelvis ett möte eller placera ut USB-minnen på strategiska platser. Detta för att se hur många som använder USB- minnet utan att tänka på innehållet eller säkerhetsrisken.

(31)

8 Diskussion

Denna del kommer fokusera på att diskutera olika aspekter av arbetet.

8.1 Metodval

För att kunna besvara forskningsfrågan användes en kvantitativ enkät. Enkäten var uppbyggd i delar och först fick respondenten en fråga om de hade använt exempelvis USB-minnen för att flytta filer. Svarade respondenten ja fortsatte den delen och fler frågor gick att besvara.

Enkätfrågorna var i de flesta fall strukturerade där enbart ett eller flera alternativ kun- de väljas. På vissa frågor fanns det även en möjlighet för de besvarande att svara i fritext om de inte tyckte att något alternativ passade.

Vid själva enkätframställningen hade det gått att göra vissa förbättringar. Något som har uppkommit under enkätens gång är att flera uppger att de lagrar alternativt sä- kerhetskopierar presentationer på USB-minnet. Detta kan tyda på att de misstolkade frågan. Flera har uppgett att USB-minnet används för att lagra presentationer istället för att kunna hålla presentationer med hjälp av mediet. Denna del hade gått att för- tydliga för att slippa tolkningsmissar. Likaså hade det gått att ge de besvarande fler alternativ av filer. Nu förlitade jag mig på att deltagarna själva skulle svara i fritext om alternativen inte passade. Ett annat alternativ skulle kunna ha varit att ge respon- denterna öppna frågor och använt en kvalitativ enkät. Här kunde de exempelvis fått frågan: Vart tar du med dig USB-minnet?

Detta skulle kunna ge en annan bild av personalens användningsmönster, men det blir en övervägning då jag tror att få hade tagit sig tid att verkligen ge ett utförligt svar.

8.2 Urval

Ett problem med denna studie är att den är baserad på 30 svar från 7 kommuner, men mängden kommuner är i och för sig inget problem i och med att det bara finns 10 mind- re kommuner i Skaraborg. Problemet är svarsfrekvensen eftersom det kom in få svar från dessa 10 kommuner. Enkätstudier är beroende av att respondenterna både vill och kan svara, då det inte går att tvinga någon enligt de etiska reglerna (Vetenskapsrådet, 2002). En lösning på detta problem hade varit att enkäten kunde skickats med i de oli- ka kommunernas veckobrev och därmed fått en större spridning. Detta tilläts inte av kommunerna.

Ett annat alternativ för att höja svarsfrekvensen hade varit att kontakta fler kommuner, exempelvis inom hela väst Sverige. Ännu ett alternativ hade varit att ändra målgrupp och göra den större och därmed analysera all kommunpersonal. Men då kommunal verksamhet är så stor och med så pass utspridd personal, sågs inte det som ett möjligt alternativ.

Jag kan därför inte uttala mig om all personal i de mindre kommunerna inom Ska- raborg, utan enbart tjänstemän som arbetar på kommunkontoren. Tjänstemän är inte

(32)

representativa för alla anställda inom mindre kommuner då de är en mindre del av verksamheten. Exempelvis jobbar drygt 42% av alla kommunanställda inom skolverk- samhet (Personalen i diagram och siffor, 2016) och är då en större del. Lärare har förmodli- gen ett helt annat användningsmönster. Framförallt tror jag det är svårt att generalisera en väldigt bred verksamhet utan att ha varje del representerad.

Så här i efterhand när resultatet av studien framkommit, skulle den fokuserat på att undersöka varför USB-minnen används, istället för vad de används till. Detta hade i sådana fall skett med hjälp av en intervjustudie, där olika personer inom olika kom- munala verksamheter fått delta, vilket hade gett studien ett större djup och en bredare förståelse runt hanteringen av USB-minnen.

8.3 Vetenskapliga aspekter

Inom ämnet finns det ytterst lite gjort. Det finns flera studier som påpekar att använ- dandet av USB-minnen bör tas på allvar, då de är ett stort hot mot organisationen. Men ingen forskning som jag har hittat fokuserar på att visa vad USB-minnen egentligen används till. Sökningar efter relaterade forskningsarbeten har skett på GoogleScholar, IEEE och Sciencedirect. Några av sökorden som har använts är: USB-key, USB-Storage, USB-minne, USB & usage, UMS & usage . Detta utan några användbara resultat.

Tyvärr gör detta det svårt att koppla resultatet till ett större antal studier men det går att se en koppling mellan detta arbete och två relaterade studier:

I Beautement m. fl. (2009) studie presenterar de en modell av en en enskild individ med dess typiska användande av sitt USB-minne. Detta för att illustrera olika sårbar- heter som ett USB-minne råkar på under sin livstid. Kopplingen mellan denna studie och författarens studie är att båda undersöker hur USB-minnet följer med de anställda.

Medan Beautments studie har som syfte att presentera en ekonomiskt effektiv säker- hetspolicy, har denna studie som syfte att kartlägga vad USB-minnen används till, och därför också om USB-minnen följer med den anställde utanför kontoret.

I Molotsi och Tait (2013) studie presenteras ett ramverk för att garantera konfidenti- alitet, integritet och tillgänglighet. Eftersom denna studie ligger som grund för detta arbete går det att se stora likheter. Molotsi och Tait (2013) presenterar att de primära funktionerna för bärbar lagring är:

• Lagring

• Säkerhetskopior

• Förflyttning av filer

Därför är detta huvudkategorierna som undersöks i denna studie. I båda studierna tillåts personalen att använda sig av USB-minnen.

Olikheterna som går att se mellan de två studierna är att i Molotsi och Tait (2013) studie visas att 83% använder dessa enheter för att lagra filer och 73% för att flytta filer. Detta skiljer sig från min studie där enbart 37% använder USB-minnet för att lagra filer och lika många för att flytta filer. Deras studie är utförd i Sydafrika och min i Sverige vilket skulle kunna ha en påverkan. En annan faktor som kan ha påverkat är att det är tre års

(33)

skillnad mellan studierna. Hade min studie utförts samtidigt hade resultatet kanske liknat deras.

Denna studie har gett en första bild på hur USB-minnen används inom mindre kom- muner och arbetet skulle exempelvis kunna användas till framtida studier där syftet är att identifiera hur kommunpersonal använder sig av IT-utrustning.

8.4 Samhälleliga aspekter

Studien har fokuserat på att undersöka kommunanställdas hantering av USB-minnen.

Anledningen till att mindre kommuner undersöktes är att kommunerna, och då inte bara mindre, är viktiga samhällsorgan som hanterar e-tjänster och mycket information.

Ur ett samhälleligt perspektiv kan studien tyda på att USB-minnen primärt används av respondenterna för att visa presentationer och inte för att lagra kritisk information på. Även om de anställda skulle spara personuppgifter i de textdokument som flyttas med USB-minnen dikterar PUL att lagen inte behöver beaktas då, Detta i och med att det är skrivet i löpande text (Datainspektionen, 2007). Slutsatsen blir att USB-minnen inte verkar vara ett större säkerhetshot för de mindre kommunerna.

8.5 Etiska aspekter

De kommuner som har deltagit i studien har varit väl medvetna om studiens syfte.

Det som skulle gå att se som negativt för kommunerna är hur vidare de har gett sina anställda information om USB-minnen eller inte. Då ingen kommun har gett alla sina anställda information och ingen kommun har namngetts anser jag att detta inte är ett problem.

Den stora etiska aspekten blir att studien är baserad på en enkätstudie och de som svarar på enkäten kan därmed få konsekvenser av sitt deltagande. Exempelvis kan det finnas restriktioner för att kalkyler aldrig får lämna arbetsplatsen då dessa skulle kunna försvinna eller någon annan får tag i dem. Ingen skulle därför säga att de sparar kalkyler på USB-minnet när de tar med sig det hem från jobbet, eftersom detta skulle kunna kopplas till personen, och det skulle kunna få konsekvenser för denna. Detta problem går inte att göra något åt mer än att garantera respondenterna anonymitet.

Men trots anonymiteten har ingen valt att ge ett eget fritextsvar och jag ser tre tre an- ledningar till detta. Anledning ett är att jag gav alla svarsalternativ som behövdes för att respondenterna skulle kunna utföra enkäten och detta gjorde egna fritextsvar onö- diga. Anledning två är att respondenterna har haft mycket att göra och därför stressat igenom enkäten och inte tagit sig tid att ge egna svar. Den sista anledningen är att respondenterna har undvikit att ge egna svar då de var oroliga att detta skulle kun- na återkopplas till dem. Både anledning två och tre tror jag hade störst påverkan på resultatet.

(34)

8.6 Bidrag

Denna studie har bidragit till att ge en bättre bild av vad USB-minnen faktiskt används till och det ger en större förståelse runt USB-minnen och dess användande. Resultatet hjälper förhoppningsvis mindre kommuner att identifiera deras anställdas användan- de av USB-minnen så att de kan se över sin säkerhet eller sin policy om det anses behövligt.

Resultatet kan även vara intressant för andra företag då denna studie visar på USB- minnens användningsmönster bland tjänstemän.

(35)

Referenser

Abu-Libdeh, H., Princehouse, L. & Weatherspoon, H. (2010). Racs: a case for cloud storage diversity. I Proceedings of the 1st acm symposium on cloud computing (s.

229–240).

Anderson, B. (2010). Seven deadliest usb attacks. Burlington, MA: Syngress.

Axelson, J. (2006). Usb mass storage designing and programming devices and embedded hosts. Madison, WI: Lakeview Research LLC.

Ban, A., Moran, D. & Ogdan, O. (2000, november 14). Architecture for a universal serial bus-based pc flash disk. Google Patents. Hämtad från http://www.google.com/

patents/US6148354 (US Patent 6,148,354)

Beautement, A., Coles, R., Griffin, J., Ioannidis, C., Monahan, B., Pym, D., . . . Wonham, M. (2009). Modelling the human and technological costs and benefits of usb memory stick security. I Managing information risk and the economics of security (s. 141–

163). Springer.

Berndtsson, M., Hansson, J., Olsson, B. & Lundell, B. (2008). Thesis Projects – A Guide for Students in Computer Science and Information Systems (Andra utgåvan).

Springer.

Cisco. (2008). Common risks and mistakes employees make.

Class, U. S. B. M. S. (1999). Bulk-only transport, revision 1.0. I Usb implementers forum.

Creswell, J. W. (2013). Research design: Qualitative, quantitative, and mixed methods approaches. Sage publications.

Crider, M. (2016). Usb 3.1 have you confused? Digital trends. Hämtad 2016-2-19, från http://www.digitaltrends.com/computing/what-is-usb-3-1-when-will-it -be-released-and-what-will-it-do-for-pcs/

Datainspektionen. (2007). Personuppgifter och e-förvaltning. Hämtad 2016-2-12, från

https://www.datainspektionen.se/Documents/vagledning-eforvaltning.pdf

Datainspektionen. (2008). Säkerhet för personuppgifter. Hämtad 2016-2-24, från https://www.datainspektionen.se/Documents/faktabroschyr-allmannarad -sakerhet.pdfF

Datatermgruppen.se. (u. å.). Ordlista. Hämtad 2016-2-27, från http://www .datatermgruppen.se/ordlista.html

Datatilsynet. (2012). Hämtad 2016-6-3, från https://www.datatilsynet.no/English/

Publications/Considers-use-of-Google-Analytics-to-be-illegal/

Deb, S. B. & Chetry, A. (2015). Usb device forensics: Insertion and removal timestamps of usb devices in windows 8. I Advanced computing and communication (isacc), 2015 international symposium on (s. 364–371).

Erlingsson, G. Ó., Syssner, J. & Ödalen, J. (2015). Strategier för att möta småkommu- nernas utmaningar.

Fowler Jr, Floyd J. (2013). Survey research methods. Sage publications.

Gorge, M. (2005). Usb & other portable storage device usage: Be aware of the risks to your corporate data in order to take pre-emptive and/or corrective action. Computer Fraud & Security, 2005 (8).

Ha, P. (2010). All-time 100 gadgets - time. Hämtad 2016-2-15, från

http://content.time.com/time/specials/packages/article/0,28804,2023689 _2023703_2023613,00.html

He, D., Kumar, N., Lee, J.-H. & Sherratt, R. (2014). Enhanced three-factor securi- ty protocol for consumer usb mass storage devices. Consumer Electronics, IEEE

(36)

Transactions on, 60 (1), 30–37.

Heikkila, F. M. (2007). Encryption: Security considerations for portable media devices.

IEEE Security & Privacy(4), 22–27. doi: 10.1109/MSP.2007.80

Hewlett-packard. (2012). Usb 3.0 technology. Hämtad 2016-2-16, från http://h20195 .www2.hp.com/v2/GetPDF.aspx%2F4AA4-2724ENW.pdf

ISO/IEC. (2014). ISO/IEC 27000 information technology – security techniques – infor- mation security management systems – overview and vocabulary. ISO/IEC.

Justitiedepartementet. (2011). Hämtad 2016-2-25, från https://www.riksdagen.se/

sv/Dokument-Lagar/Lagar/Svenskforfattningssamling/Personuppgiftslag -1998204_sfs-1998-204/

McCracken, G. (1988). The long interview (vol. 13). Sage.

McDowell, S. & Seyer, M. D. (1998). Usb explained. Pearson Education.

Molotsi, K. & Tait, B. L. (2013). Ums-dev-sec: a proposed framework to address security concerns of ums devices. I Proceedings of the south african institute for computer scientists and information technologists conference (s. 72–76). doi: 10.1145/2513456 .2513487

MSB. (2012). Kommunens informationssäkerhet - en vägledning. Hämtad 2016-2-12, från

https://www.msb.se/RibData/Filer/pdf/26420.pdf

Offentlighets- och sekretesslag (2009:400). (2009). Hämtad 2016-3-12, från https://

www.riksdagen.se/sv/Dokument-Lagar/Lagar/Svenskforfattningssamling/

Offentlighets--och-sekretessla_sfs-2009-400/

Offentlighetsprincipen och sekretess. (2013). Justitiedepartementet, Regeringskansliet.

Peer, E. & Gamliel, E. (2011). Too reliable to be true? response bias as a potential sour- ce of inflation in paper-and-pencil questionnaire reliability. Practical Assessment, Research & Evaluation, 16 (9).

Personalen i diagram och siffor. (2016). Hämtad 2016-6-5, från

http://skl.se/ekonomijuridikstatistik/statistik/personalstatistik/

personalenidiagramochsiffror.850.html

Regeringskansliet. (u. å.). Kommuner och landsting – organisation, verksamhet och eko- nomi.

Samrådsgruppen för kommunala arkivfrågor. (2011). Allmänna handlingar.

SCB. (2016). Hämtad 2016-6-3, från http://www.scb.se/sv_/Hitta-statistik/

Statistik-efter-amne/Befolkning/Befolkningens-sammansattning/

Befolkningsstatistik/25788/25795/Kvartals--och-halvarsstatistik-- -Kommun-lan-och-riket/403072/

Schmitz, C. (2016). Limesurvey - the most popular foss survey tool on the web. Hämtad 2016-6-4, från https://www.limesurvey.org

Sundström, B. & Tingvall, L. (2006). Färre kommuner? om små kommuners problem och utmaningar (1:a utgåvan). Regeringskansliet. Hämtad 2016-6- 3, från http://www.nll.se/upload/IB/lg/regio/Regional%20demokrati%20och%

20-organisation/Smakommuner20060216.pdf

Trost, J. (2012). Enkätboken. Studentlitteratur.

USB-IF. (1998). Universal serial bus specification revision 1.1. Hämtad 2016-2-19, från

http://www.scaramanga.co.uk/stuff/qemu-usb/usb11.pdf

USB-IF. (2000). A technical introduction to usb 2.0. I Usb implementers forum.

Vetenskapsrådet. (2002). Forskningsetiska principer inom humanistisk- samhällsvetenskaplig forskning. Författare.

Wahlin, K. (2011). Tillämpad statistik. Bonnier utbildning.

(37)

Wohlin, C., Runeson, P., Höst, M., Ohlsson, M. C., Regnell, B. & Wesslén, A. (2012).

Experimentation in software engineering. Springer Science & Business Media.

References

Outline

Related documents

Med stöd för USB PD 3.0 (upp till 60 W), ger USB Type-C-multiportadaptern dig möjligheten att strömförse och ladda din bärbara dator, samt strömförse din kringutrustning, när du

Genom att använda två värdkontroller-chipset fördelade över två portar istället för fyra dedikerar detta 4-ports PCIe till USB 3.1-kort upp till 10 Gbps för varje uppsättning

tillverkade för att användas som leksaker har inte lika hårda kemikaliekrav som riktiga leksaker och kan därför innehålla mer farliga ämnen, bland annat tungmetaller

• If you use an audio source/ hifi system which lacks a connection for a record player (RIAA), set the [ PHONO EQ / THRU ON ] switch (15) to PHONO EQ. The record player connection

Vi kan även konstatera att kostnaderna för rutavdraget efter den studerade perioden ökar från 3,4 miljarder kronor år 2015 till 5,4 miljarder kronor år 2019.. 43

Utöka anslutningen till din USB-C bärbara dator med den nya generationen USB-C 3.1 Gen 2 hubb med 10 Gbit/s stöd för ökad bus-bandbredd till anslutna enheter och

arbetsplatser som inte är anpassade, misstänkliggörande bemötande från myndigheter och en allmänt utbredd okunskap i både skola, vård och hos myndigheter. Diagnoskriterierna

Det är fyra adaptrar i en, med HDMI- eller VGA-anslutningar, en Gigabit Ethernet-port och en USB 3.0-port, allt via en enda anslutning till din bärbara dators USB-C-port..