Examensarbete på kandidatnivå, 15 hp
Systemvetenskapliga programmet med inriktning mot design, interaktion och innovation
SPB 2021.21
Säkert distansarbete
En studie om informationssäkerhet vid distansarbete
Annika Salomonsson, Elin Andersson
Förord
Stort tack till alla personer som hjälpt oss i denna studie. Ett extra tack till våra kontaktpersoner inom organisationen vi undersökte och alla medarbetare som ställt upp på intervju. Vi vill även tacka vår handledare på Umeå Universitet som gett meningsfulla råd och motiverat oss genom arbetet.
Abstract
Information security is a crucial part of every organization. The abrupt transition to remote work caused by the pandemic Covid-19 forced organizations to adjust their routines and information systems so that work could continue at remote. This challenge affects the company in several ways: both technical and organizational.
The aim of this study is to identify which factors will create the transition easier as well as maintaining a high level of information security. To collect data, nine semi- structured interviews were conducted with employees at an IT organization which had a successful transition to remote work. The result of this study identified several factors that seem to be related to a successful transition to remote work and maintaining a high level of information security. These includes having technical solutions, building a high organizational culture, create security awareness among employees as well as leadership built on trust.
Keywords: Information security, information security culture, organizational culture, remote work, COVID-19
Innehåll
1. Introduktion ... 1
1.1 Bakgrund ... 1
1.2 Problemformulering ... 1
1.3 Syfte ... 2
1.4 Avgränsning ... 2
1.5 Kunskapsbidrag ... 2
2. Teoretisk Referensram ... 3
2.1 Tidigare forskning ... 3
2.2 Informationssäkerhet ... 6
2.2.1 CIA-triaden ... 6
2.3 Säkerhetsrelaterade åtgärder ... 8
2.3.1 Verktygsbaserade åtgärder ... 8
2.3.2 Manuella säkerhetsåtgärder ... 9
2.4 Säkerhetsstandard ... 9
2.4.1 CERT-2020 ... 9
2.5 Organisation ... 10
2.5.1 Organisationskultur ... 10
2.5.2 Socio-tekniskt synsätt ... 11
2.5.3 Maslows behovshierarki ... 12
3. Metod ... 14
3.1 Vetenskaplig ansats ... 14
3.2 Vetenskaplig forskningsstrategi ... 14
3.3 Utformning av intervjuguide ... 14
3.4 Genomförande av intervju ... 15
3.5 Urval ... 15
3.7 Hantering av data ... 16
3.7.1 Transkribering ... 16
3.7.2 Kodning ... 17
3.7.3 Tematisering ... 17
3.8 Datakvalitet ... 17
3.9 Metodreflektion ... 17
4. Distansarbete vid ett IT-företag ... 19
5. Resultat ... 20
5.1 Omställningen till distansarbete ... 20
5.2 Verktygsbaserade säkerhetsåtgärder och utrustning ... 20
5.3 Säkerhetsrelaterade åtgärder ... 22
5.3.1 Vad är största säkerhetsrisken? ... 22
5.3.2 Manuella säkerhetsåtgärder ... 23
5.4 Organisatoriska aspekter ... 26
5.5 Hur ser framtida arbetsplatsen ut? ... 27
5.6 Råd för att hantera distansarbete ... 28
6. Analys ... 30
7. Diskussion ... 34
8. Slutsats ... 35
8.1 Råd och rekommendationer ... 35
Referenser ... 36
Bilagor ... i
Bilaga 1 – Information till deltagare ... i
Bilaga 2 – Intervjuguide ... ii
Bilaga 3 – Transkriberingsmall ... iii
1
1. Introduktion
I detta avsnitt presenteras bakgrund till forskningsområdet, en problembeskrivning och därefter syfte samt avgränsning.
1.1 Bakgrund
Redan på 1970-talet diskuterades distansarbete som ett alternativt sätt att arbeta, under denna tid som ett sätt att genom telekommunikation minska pendlingen till följd av oljekrisen. Under 1980-talet skulle distansarbete i form av telekommunikation och grannskapscentraler leda till att man skulle kunna flytta arbete från städer till glesbygden (SOU 1998:115). Arbetslivscentrum definierar vid denna tidpunkt distansarbete som arbete som utförs utanför den huvudsakliga arbetsplatsen med hjälp av datorutrustning och telekommunikation (Elling, 1985). Under 90-talet började tillgången till datorer i hemmet att öka, en anledning till detta är Regeringens satsning för att öka IT mognaden i Sverige, hem-pc-reformen (SOU 1998:115). Framsteg i teknik möjliggjorde för annan lokalisering av sitt arbete, antingen till hemmet eller till grannskapscentraler, man såg distansarbete som möjlighet att ändra geografisk placering av arbete. Problem som identifierats i litteratur är att bygga förtroende bland anställda att teknologier inte används för att övervaka deras arbete, ohälsa bland anställda till följd av distansarbete samt saknad acceptans för förändring i organisationens struktur (Cascio, 2000; Townsend, et al., 1998).
När mobila lösningar lanserades skapades andra möjligheter – arbetet kunde bli mobilt.
Från att vara bundet till en viss geografisk punkt kunde nu arbetet ske på valfri plats. Man kunde nu sitta på en buss, ett fik eller på ett plan och arbeta. Att arbeta på valfri plats skapar utmaningar kring informationssäkerhet. Sitta på publika platser med en laptop gör att obehöriga kan se känslig information eller att uppkopplingen mot internet sker mot en osäker källa. Detta skapar den första vågen av distansarbete, organisationer behövde skapa förutsättningar för att möta den nya tekniken på ett säkert sätt.
Under 2020 lamslogs samhället av pandemin Covid-19 vilket skapat en ny våg av distansarbete. Folkhälsomyndigheten gick ut med uppmaningar att alla som kunde skulle jobba hemma och organisationer skulle, om möjligt, skapa förutsättningar för anställda att arbeta hemifrån (Folkhälsomyndigheten, 2020). Distansarbete har bland många organisationer varit ett komplement med begränsningar. Viss information har inte varit tillgängligt på annan plats än fysiska kontoret. Vidare har teknologin inte varit avsedd för att användas via distans. En studie genomförd under 2020 har undersökt hur sex företag i Norra Texas ser på hur informationssystemshantering (ISM) har förändrats till följd av den plötsliga lock-down som skedde i Texas. Studien visade att samtliga företag kunde ställa om sin verksamhet till distans på mellan tre och tjugo veckor. Den största utmaningen stod i att lära anställda kring tekniker som behövs för distansarbete såsom VPN-tunnlar och kommunikationsverktyg såsom Zoom och Skype (Conger, 2020).
1.2 Problemformulering
Informationssäkerhet är något som berör alla delar av en organisation och något som man konstant arbetar med inom en organisation. Övergången till distans skapar utmaningar för organisationer kring hur de ska bibehålla god informationssäkerhet. En studie där 2000
2
personer som jobbar i USA, UK, Frankrike och Tyskland blev tillfrågade kring deras distansarbete till följd av pandemin svarade 95 procent att de ville fortsätta jobba på distans efter pandemin. Vidare uppgav 67 procent att de ignorerar säkerhetspolicys för att vara mer produktiva (CyberArk, 2020).
Tidigare har distansarbete i många organisation fungerat som något man kunnat göra med begränsad åtkomst till system. Pandemin tvingade många verksamheter att ställa om sitt arbete till distans, vilket kräver andra typer av säkerhetsåtgärder än på ett fysiskt kontor, både gällande teknik och organisatoriska aspekter. Informationssäkerhet är något som organisationer arbetar med kontinuerligt. Den abrupta omställningen till distansarbete ställer höga krav på organisationer att ställa om sin verksamhet för att kunna fortgå på distans. Denna studie ämnar därför att undersöka om det finns några faktorer som påverkar en organisations övergång till distans framgångsrikt. Baserat på detta har dessa forskningsfrågor fastställts:
- Hur arbetar organisationer med att upprätthålla informationssäkerhet på distans?
- Vilka framgångsfaktorer kan man identifiera för en lyckad övergång till distansarbete?
Utifrån dessa frågeställningar kommer vi även ta fram ett antal råd och rekommendationer för ett säkert distansarbete.
1.3 Syfte
Syftet med denna studie är att undersöka respondenternas erfarenheter och deras säkerhetsrutiner vid övergången till distansarbete för att undersöka om det finns några framgångsfaktorer som gör övergången smidigare.
1.4 Avgränsning
I denna studie har avgränsningar gjorts att enbart titta på hur en organisation har arbetat med omställning till distans, detta för att kunna skapa en så djup förståelse som möjligt i detta företag.
1.5 Kunskapsbidrag
Både inom informationssäkerhet och distansarbete finns mycket forskning sedan tidigare.
Däremot i skärningspunkten där dessa två ämnen möts, där arbete snabbt behöver ställas om till distans till följd av yttre påverkan och hur det påverkar informationssäkerheten är en ny fråga, vilket vår studie bidrar till att besvara.
3
2. Teoretisk Referensram
Under följande avsnitt presenteras först tidigare forskning. Därefter följer en genomgång av de teorier som använts för att svara på forskningsfrågan.
2.1 Tidigare forskning
Inom området för hantering av informationssäkerhet finns flertalet olika system. I artikeln Advanced Information Security Management Evaluation System undersöker Jo et al.
(2011) kring vilka Information security management systems (ISMS) som finns idag samt analyserar vilka problem som finns inom dessa. Jo et al. (2011) presenterar flertalet olika standarder vilka används i olika länder såsom BS7799, Common Criteria, DITSCAP, ITSEC och ISO 27000. System som är godkända enligt dessa standarder menar författarna är ansedd vara de mest framgångsrika gällande hantering av säkerhet med dess interna och externa kontroll. Vid en jämförelse av dessa system identifierar Jo et al. (2011) att de olika standarderna har olika brister vilka bland annat består av att vissa ISMS system inte inkluderar organisationens informationshantering, vissa saknar möjligheter för att i förväg utvärdera tillgångar samt vissa betonar den tekniska säkerheten snarare än ledningssäkerhet och vice versa. De föreslår sedan ett informationssäkerhetsystem där de som implementerar och underhåller systemet identifierar svagheter som sedan ska förbättras.
Whitman och Mattord (2010) undersöker vilka moderna hot som finns inom informationssäkerhet och tittar också vilka metoder och standarder som påverkar hur organisationer jobbar med sin säkerhet. Resultatet visade att de topp fyra största hoten var spionage och inkräktare, mjukvaruattacker, mänskliga misstag samt saknaden av policys och planering. Hot som var mindre vanliga var till exempel sabotage och naturkatastrofer.
För att kunna bedöma hotet i en organisation så var det vanligast förekommande svaret att man tittat på sannolikheten att hotet sker, och det som användes för att mäta säkerheten var till exempel brandväggar, antivirus och incidentrapporter. Den standard som användes var ISO 27 000. Författarna menar att genom att ha en förståelse för vilka hot som finns mot en organisations informationssäkerhet så kan man lättare skydda sin information.
En studie gjord av Nasir et al (2017) menar att något som är avgörande för att minska informationssäkerhetsriskerna i en organisation är att de anställda följer de säkerhetspolicys som finns. Vidare menar författarna att det finns bevis för att de anställda är den svagaste länken och därför rekommenderar många informationssäkerhetsforskare att den säkerhetskultur som odlas inom organisationen kan förbättra informationssäkerheten och att en implementering av en sådan säkerhetskultur kan styra de anställdas beteende i linje med organisationens säkerhetspolicys. Studien diskuterar hur man ska få anställda att efterfölja policys genom att adressera säkerhetskulturen som ett flerdimensionellt koncept med sju dimensioner, där ramverket är integrerat med teori inom beteendevetenskap. De sju dimensionerna består av Procedural countermeasures, Risk management, Security Education, training and awareness, Top management Commitment, Monitoring, Information security Knowledge och Information Knowledge sharing. Procedural countermeasures handlar om riktlinjer och policys som ska tas fram för att kartlägga informationssäkerhet i organisationen och Risk management om de tekniska aspekterna. Security Education, training and awareness menar författarna ses som det viktigaste elementet i tidigare studier inom säkerhetskultur och innebär att alla
4
anställda ska nå upp till den kunskapsnivå som behövs och ha både kompetens och medvetenhet om säkerhet. Top management är en nyckelfaktor för en fungerande säkerhetskultur där ledningen måste få de anställda att förstå och acceptera den.
Monitoring är dolda aktiviteter som används för att kontrollera och se till att säkerheten och de anställdas beteenden är korrekta. Information security knowledge och security knowledge sharing är enligt författarna en viktig del för att forma en säkerhetskultur. Dessa delar ger kunskap om informationssäkerhet genom att svara på frågorna vad, varför och hur. Den innefattar alla slags aktiviteter relaterade till att dela kunskaper både formellt och informellt från ledningen eller mellan anställda, men ledningen måste ta initiativ till detta i ett tidigt skede. Detta ramverk rekommenderar författarna att användas i studier som undersöker sambandet mellan ISP (Information security policy) och ISC (Information security culture) för att ta reda på hur säkerhetskulturen i en organisation påverkar hur medarbetarnas säkerhetsbeteende ser ut (Nasir, et al., 2017).
Även Gonzalez och Sawicka (2002) menar att det är människan som spelar en stor roll i majoriteten av de säkerhetsbrister som uppkommer i en organisation och att 80–90 procent av de säkerhetsproblem som uppstår beror på mänskliga faktorer.
Informationssäkerhet innefattar både teknik och människor och ett säkerhetssystem måste lita på människorna som använder det oavsett hur bra det är designat, för även om tekniken fungerar så kan den mänskliga faktorn leda till misslyckanden. Studien försöker att förstå människans roll inom informationssäkerhet genom att skapa en dynamisk modell som undersöker detta komplexa säkerhetsproblem. Studien reflekterar över samspelet mellan teknologi, arbetsmiljö och mänskligt beteende i samband med informationssäkerhet och man modellerar utifrån beteenden och risker.
En studie av Stanton et al (2005) undersöker användarens säkerhetsbeteende.
Resultatet visade exempelvis på att nästan 50 procent av användarna inte bytt lösenord på sex månader och 35 procent hade aldrig fått någon utbildning inom säkerhet. Vidare menar författarna att det är viktigt att analysera användarnas säkerhetsbeteende för att kunna avgöra om de är motiverade, följer de policys som finns samt har den kunskap som behövs.
Författarna rekommenderar att alla slags belöningar och motivatorer som får användaren att agera utifrån företagets intressen kommer förbättra organisationens säkerhet. Genom tydlig ledning samt tydliga roller och ansvarsområden inklusive utbildning och andra typer av kompetenshöjande åtgärder kan också organisationens informationssäkerhet förbättras.
En annan studie av Stanton et al (2004) beskriver hur teknik inte kommer att fungera önskvärt om inte användarna agerar korrekt. Denna studie fokuserar på det mänskliga beteendet som är kopplat till konfidentialitet, riktighet och tillgänglighet samt vilka motivationsfaktorer som gör att användaren har just det beteendet. Studien visade på att anställda som jobbar i större organisationer eller inom IT och finans hanterar lösenord bättre. Vidare såg man att de anställda som upplever att organisationen underlättar för medarbetaren respekterar informationssäkerheten mer. Författarna såg ett samband gällande att hängivenhet för sin organisation, högre teknisk kunskap och mer ansvar leder till mer positiva säkerhetsbeteenden.
De tre viktigaste åtgärderna för att kunna skydda information och data menar Hight (2005) är teknologi, agerande och medvetenhet samt utbildning. Vidare menar författaren att fokus ofta läggs på teknik trots att den svaga länken ofta är användarna av tekniken.
5
Genom att skapa mer medvetna användare kan man skapa ett ytterligare lager av säkerhet, ungefär som en mänsklig brandvägg. SETA är ett program för att öka säkerhetsmedvetenheten bland anställda och därigenom minska säkerhetsrisker som uppstår till följd av medarbetetare som saknar kunskap. Författaren menar att programmet skapar en standard kring vad som förväntas av anställda gällande säkerhet. Genom att inte bara visa policys, utan även förklara varför de finns, kommer medarbetarna få en högre medvetenhet vilket leder till högre motivation till att lära sig ytterligare om säkerhet samt aktivt arbeta med detta i sitt arbete.
Även Thomson, et al., (2006) nämner anställda som en säkerhetsrisk. Författarna menar att anställda som saknar kunskap och engagemang utgör ett av de största problemen gällande skyddande av information. Vidare menar författarna att varje organisation har en viss kultur och genom att nyttja denna kan man forma anställdas informationssäkerhetsbeteende. För att förändra en organisationskultur behöver man ändra anställdas värderingar, normer och attityder. Detta börjar med att ledning tar fram en vision för hur man vill att det ska se ut i organisationen, gällande informationssäkerhet kan detta göras genom informationssäkerhetspolicys. Thomson, et al., (2006) presenterar en modell för att uppnå informationssäkerhetslydnad, MISSTEV modellen. I korthet går modellen ut på att den anställde ska bli införstådd med säkerhetsvisionen samt den anställdes roll och ansvar gällande informationssäkerhet. Därefter ska anställda göras medvetna och bli utbildade med rätt färdigheter för att kunna skydda informationstillgångar och dessa färdigheter ska bli en del av det dagliga arbetet. Om alla anställda följer modellen menar författarna att säkerhetslydnad kommer att uppstå i organisationen, det vill säga, informationssäkerheten man önskat blir en del av organisationens kultur.
Gällande forskning kring distansarbete under COVID-19 pandemin så har Georgiadou et al. (2021) utfört en undersökning som tittar på vilka nyckelfaktorer som påverkar och skapar säkerhetskulturen i en organisation under tiden som distansarbete blev nödvändigt.
Med hjälp av ett ramverk inom cybersäkerhet så genomfördes undersökningen i flera olika länder och olika slags organisationer. Resultatet av undersökningen visade bland annat att det är ungefär 50 procent som inte har fått någon utbildning i säkerhet för distansarbete trots att det rekommenderas av experter. Ännu mer problematisk anser författarna är att över 40 procent av medarbetarna inte har jobbat hemifrån innan pandemin, vilket innebär att de inte har någon erfarenhet av det. Att misslyckas med att utbilda och råda sina medarbetare under krävande perioder som just pandemin är, visar att organisationens förändringsprocesser och säkerhetsmedvetenheten kan vara mindre bra. Man såg även att individer är mer medvetna om säkerhetsrisker och åtgärder än tidigare, men att man ändå behöver mer grundläggande säkerhetsprinciper och utbildning för att hålla nivån av säkerhet. Författarna menar att det behövs mer forskning kring säkerhet på distans när det gäller den individuella säkerheten såsom medvetenhet, attityd och beteenden för att kunna ha en kulturell syn på säkerhet, och att den mänskliga faktorn är nyckeln till utvecklingen inom informationssäkerhet i framtiden.
Malecki (2020) skriver att cyberattacker har ökat till följd av distansarbete. Därför menar författaren att organisationer nu måste ha rätt infrastruktur och policys för att skydda sig mot detta. För att öka säkerheten föreslår författaren att man måste genomgå ett antal steg: skydda företagsdata, säkra IT-system samt utbilda personal. Första steget är
6
att inom hela företaget implementera en policys för att försäkra sig om att företagsdata inte försvinner samt förblir tillgänglig. Förutom policys för att säkra data bör företag även ha mjukvara som säkrar företaget mot cyberattacker. Slutligen behöver företaget ta fram tydlig vägledning till anställda kring hur man skapar ett säkert distanskontor. Ordentligt utbildade och väl förberedda anställda kan visa sig vara avgörande i arbetet mot ransomware, som är en typ av skadlig kod.
Idag finns det inom informationssäkerhet forskning som både belyser de olika typer av standarder som används för hantering av informationssystem, vilka typer av hot som det finns inom informationssäkerhet samt vilka säkerhetsåtgärder som en organisation kan ta.
De hot som flera studier belyser som bland de största hoten är mänskliga misstag och säkerhetspolicys. Gällande säkerhetsåtgärder nämns teknik, utbildning och säkerhetspolicys. Studier kring distansarbete till följd av covid-19 tyder på att många medarbetare inte fått någon utbildning kring säkerhet på distansarbete trots att få har arbetat på distans sedan tidigare. Vidare har studier visat på att cyberattacker har ökat till följd av distansarbete. Inom forskningsområdet anser vi att det saknas studier kring hur en organisation ska agera för att kunna genomföra en lyckad övergång till distansarbete där informationssäkerheten förblir intakt.
2.2 Informationssäkerhet
Det alltmer digitaliserade samhället ställer högre krav på att kunna säkerställa att information hanteras på ett säkert sätt. Om information hanteras på ett sådant vis att det finns risk för att den kan bli manipulerad, blir otillgänglig eller sprids kan detta skada en organisation på flera olika vis. Informationssäkerhet innebär att skydda information utifrån dess krav på tillgänglighet, riktighet och konfidentialitet (Myndigheten för samhällsskydd och beredskap, 2019; Oscarsson, 2019). Kraven på tillgänglighet, riktighet och konfidentialitet är tre aspekter som kommer från de engelska orden Confidentiality, Integrity och Availability, vilket ofta benämns som CIA-triaden vilket kommer förklaras nedan (Oscarsson, 2019).
2.2.1 CIA-triaden
CIA-triaden är en teori inom informationssäkerhet som består av tre olika komponenter:
Confidentiality, Integrity och Availability. Dessa tre komponenter är grundstenarna för ett välfungerande säkerhetssystem och har inte bara format teoretiska kunskaper utan även praktiskt hur säkerhet ska utvecklas och implementeras i organisationer. Inom säkerhetsområdet så beskrivs ofta säkerhet som summan av de tre komponenterna (Solomon & Chapple, 2005). Rötterna kommer från det militäriska synsättet där fokus alltid har legat på att skydda information från yttre hot och flera av de första studierna som gjordes inom säkerhet utgick från den federala regeringen eller militäragenturer. Dessa studier innehöll principer för att skydda information vilket inkluderade elementen ur CIA- triaden, och då gick fokus över tid från att skydda hårdvara och mjukvara till att skydda själva informationen (Samonas & Coss, 2014).
7
Figur 1 - Illustration av CIA-triaden. CIA – triaden består av de tre komponenterna tillgänglighet, konfidentialitet och riktighet.
2.2.1.1 Confidentiality
Confidentiality (konfidentialitet) är det vanligaste målet med informationssäkerhetsprogram och innebär att information ska skyddas så att den inte kan nås av obehöriga personer samtidigt som behöriga personer ska ha tillgång till rätt information (Solomon & Chapple, 2005). Mycket tid och pengar läggs vanligtvis på att utveckla system som kan uppnå kravet på konfidentialitet och det kräver procedurer som kontrollerar fysisk och teknisk åtkomst åt information (Cabric, 2015). Exempel på sätt att uppnå konfidentialitet är datakryptering, tvåfaktorsauktorisering (Solomon & Chapple, 2005), säkra lösenord, att ha en Clean deskpolicy samt ha säkerhetsutbildning som lär medarbetarna att bli medvetna och motverka, upptäcka och stoppa säkerhetsrisker (Cabric, 2015).
2.2.1.2 Integrity
Integrity (riktighet) innebär att skydda riktigheten av data och se till att den är korrekt och pålitlig samt att den endast kan ändras och uppdateras av den som är behörig att göra detta.
Det innefattar att skydda data mot att obehöriga användare ändrar eller raderar data, att behöriga användare ändrar data på ett icke tillåtet sätt genom exempelvis misstag eller att data ändras genom otillåtna mekanismer. Många av de mekanismer som man använder för att upprätthålla konfidentialitet används också för att skydda integriteten och exempel på detta kan vara digitala signaturer, versionshantering och säkerhetsutbildning för att minska mänskliga fel (Solomon & Chapple, 2005).
8 2.2.1.3 Availability
Availability (tillgänglighet) handlar om att se till att alla behöriga användare av systemet ska garanteras tillgång till den data som de försöker att nå när helst som de behöver tillgång till den (Solomon & Chapple, 2005). Det innebär att det inte ska finnas något som hindrar att information nås på ett snabbt sätt. DoS (Denial of service) attacker är en vanlig typ av cyberattack som innebär att ett system eller hemsidan kraschar så att den inte går att nå för sina användare och andra faktorer som är ett hot mot tillgängligheten kan vara olyckor, exempelvis naturkatastrofer. Exempel på hur man uppnår tillgänglighet kan vara brandväggar, backup och ha en plan för om en katastrof sker (Cabric, 2015).
2.3 Säkerhetsrelaterade åtgärder
Grovt sett kan man dela in åtgärder för att upprätthålla informationssäkerhet i två kategorier: verktygsbaserade och manuella. Verktygsbaserade system är de åtgärder som består av IT-baserade skydd och fysiska skydd. Manuella åtgärder är skydd som är baserade på kunskap och administrativa skydd. Säkerhetsrelaterade åtgärder har som funktion att skydda information i aspekterna konfidentialitet, riktighet och tillgänglighet i olika grader (Oscarsson, 2019).
2.3.1 Verktygsbaserade åtgärder 2.3.1.1 IT-baserade säkerhetsåtgärder
IT-baserade säkerhetsåtgärder är de IT-produkter och system som har någon typ av skyddande funktion så som mjukvara, hårdvara eller en kombination av dessa båda (Oscarsson, 2019).
Att kunna styra vilka som har behörighet till olika delar av ett system är en fundamental del av ett organisationsarbete för att uppnå informationssäkerhet. Att styra åtkomst och behörigheter handlar om att styra så att enbart behöriga kommer åt och kan editera informationstillgångar. Behörighetskontroll syftar till att upprätthålla riktighet och konfidentialitet hos information. Olika typer av information och resurser har olika krav på konfidentialitet och riktighet. Beroende på krav så är det olika krav gällande behörighetshanteringen. System som styr användarens identitet och dess åtkomster kallas på svenska för behörighetskontrollsystem (BKS). BKS består av flera åtgärder som både består av administrativa rutiner och IT system som tillsammans verkar för att verksamhetens behörighetsregler följs. Krav så som autentisering, åtkomsträttigheter och loggning ska baseras på informationens känslighet vilket kan avgöras genom informationsklassning (Oscarsson, 2019).
Åtkomstkontroll sker genom identifiering och autentisering. Identifiering sker via en identitetsbeteckning som användaren blivit tilldelad som i sin tur autentiseras genom att användaren uppger något som är unikt för användaren, så som ett lösenord. Då informationen har högre känslighet används stark autentisering. Stark autentisering innebär att autentisering sker i kombination av lösenord, smartkort och/eller biometriskt avtryck. Då minst två av ovan delar är med kallas för multifaktorsautentisering eller flerfaktorsautentisering (Oscarsson, 2019).
Ett sätt att skydda utrustning från stöld eller förlust är genom kryptering av hårddiskar.
Två vanliga lösningar för detta BitLocker och FileVault. BitLocker kan använda sig av AES krypteringsalgoritm med 128 och 256 bitars nyckel medan FileVault använder AES med
9
256 bitars nyckel. AES, Advanced Encryption Standard, är en symmetrisk blockkrypteringsalgoritm som är den mest förekommande. FileVault används i macOS och BitLocker i Microsoft system (Oscarsson, 2019).
Säkerhetskopiering är en säkerhetsåtgärd som skyddar en organisation från flera olika hot så som datorhaveri och skadlig kod. Säkerhetskopiering benämns även som backup och innebär att information kopieras och lagras på en annan plats än den ordinarie lagringsplatsen. Denna åtgärd skyddar informationens tillgänglighet och riktighet (Oscarsson, 2019).
Då distansarbete kräver uppkoppling till internet krävs säkra sätt för medarbetare att kommunicera via internet. VPN används för anställda att skapa en säker förbindelse via internet (Oscarsson, 2019).
2.3.1.2 Fysiska skydd
Fysiska skydd är de typer av åtgärder som används för att skydda fysiska informationstillgångar. Detta kan vara åtgärder för att skydda utrustning, lokaler och elförsörjningen. När det gäller utrustning är detta de resurser som hanterar information så som datorer, servrar, hårddiskar, skrivare, telefoner och liknande. Generella riktlinjer är att utrustning ska förvaras och nyttjas på ett vis så att de skyddar både mot stöld samt miljörelaterade hot. Vilka skyddsåtgärder som behövs kopplat till lokaler beror på typ av organisation. Även skydd rörande elförsörjning beror på typen av organisation och typ av information (Oscarsson, 2019).
2.3.2 Manuella säkerhetsåtgärder
Administrativa åtgärder består av olika typer av rutiner och styrmedel som fungerar som riktlinjer, policys och vägledning. De administrativa åtgärderna kan vara skriftliga, muntliga eller underförstådda som en del av organisationens kultur. Då de kan finnas på olika vis innebär detta sedermera att de kan ha olika grader av formalisering (Oscarsson, 2019).
Kunskapsbaserade åtgärder är individers medvetenhet och kunskap som kan medföra ett skydd för organisationen. Genom god kunskap kring frågor relaterade till informationssäkerhet kan mer kvalificerade beslut tas (Oscarsson, 2019).
2.4 Säkerhetsstandard
2.4.1 CERT-2020
MSB (Myndigheten för samhällsskydd och beredskap) bedriver verksamheten CERT-SE som är Sveriges nationella CSIRT (Computer Security Incident Response Team) och som ska stötta samhället med att hantera och förebygga IT-incidenter genom att till exempel sprida information, samordna åtgärder, samverka med myndigheter inom informationssäkerhetsrådet och vara Sveriges kontakt mot andra länder inom samma funktion. CERT-SE 2020 innehåller en del som handlar om säkerhet och infrastruktur vid arbete hemifrån och som uppdaterades i mars 2020 under covid-19 pandemin. CERT-SE uppmanar till ökad försiktighet och medvetenhet samt att organisationen bör se till att ha en fungerande infrastruktur, utrustning och de förutsättningar som krävs för att medarbetare ska kunna jobba hemifrån (CERT-SE, 2020).
De tekniska förutsättningarna som bör finnas handlar om att komma åt organisationens nätverk på ett säkert sätt via VPN-anslutning som är krypterad, förslagsvis med
10
tvåfaktorsautentisering. Nätverket i hemmet är ofta inte säkra eller uppdaterade och har i snitt 20 olika anslutna enheter där angrepp kan ske och information kan stjälas.
Informationssäkerhet måste också tas i beaktande så att personen som jobbar hemifrån kan hantera känslig information utan att det uppstår några säkerhetsrisker (CERT-SE, 2020).
Några viktiga punkter för arbetsgivare enligt CERT-SE (2020):
• De anställda ska känna till vilka säkerhetsrutiner och policys som organisationen har för distansarbete i hemmet.
• De anställda ska komma åt de resurser de behöver på ett säkert sätt för att kunna göra sitt arbete, exempel via VPN.
• IT supporten ska vara tillräckligt bemannad för den ökade andelen frågor som eventuellt kommer att uppstå. Att inte få hjälp kan leda till att den anställda utgör en säkerhetsrisk genom att denne tar genvägar för att få jobbet gjort.
• Administratörsrättigheter bör ej innehas av slutanvändaren utan av IT- administration
• Se till att de anställda endast kör godkända applikationer och blocka programvara som inte är auktoriserad.
Några viktiga punkter för den anställde enligt CERT-SE (2020):
• Använd inte privat utrustning och privata molntjänster för arbete om inte arbetsgivaren godkänt detta.
• Se till att all utrustning och program du använder i hemmet är uppdaterade.
• Kommunikationen med organisationen ska ske på ett säkert sätt tillexempel via VPN.
• Se till att ha starka lösenord och använd helst även tvåfaktorsautentisering.
• Se till att vara extra medveten om hur information hanteras och att hanteringen är korrekt även när du arbetar hemma.
2.5 Organisation
2.5.1 Organisationskultur
Studier inom organisationskultur har funnits ända sedan 40-talet men blev stort under 80- talet och har sedan dess haft ett stort intresse från forskare inom området. Man kan se att intresset för kulturen inom en organisation är kopplat till vilken slags organisation det är.
I yngre mer innovativa och kunskapsbaserade organisationer finns ett starkare intresse än i mer mogna och rationaliserade organisationer. Många IT företag har till exempel ett större intresse av att skapa och bibehålla sin egen organisationskultur.
Organisationskulturen är något som är centralt i flera aspekter av en organisation. Även i organisationer som inte anser att kulturen har så stor betydelse så finns det alltid en sådan, hur människan agerar, tänker och känner utgår från idéer och delade meningar utifrån den sociala kontexten (Alvesson, 2013). De värderingar och normer som finns inom en organsation är dess organisationskultur (Bakka, et al., 1999). En organisationskultur formas av till exempel händelser, idéer och erfarenheter som skapas och påverkar varandra inom gruppen och kan ses som något som kan användas för att förstå organisationen ur ett större perspektiv. Kulturen är en viktig del för hur organisationen fungerar, den påverkar både strategiska beslut, ledarskap, och hur ledare och medarbetarna integrerar med varandra och utomstående, och det påverkar även hur kunskaper inom organisationen skapas och delas (Alvesson, 2013).
Kultur är något som är komplext och svårt att förstå och inget som är lätt att skapa i praktiken, men tanken är att med rätt vision, affärside och ledning så kan en organisation
11
bygga upp en kultur där medarbetarna känner ett engagemang i sin organisation och där det ökar produktiviteten och lönsamheten. Tanken då är att männsikor som är motiverade och kan vara flexibla och agerar utifrån vad de själva känner, kommer att agera på det sätt som anses vara det rätta för organisationen. Människan förväntas alltså jobba hårdare och prestera bättre helt frivilligt eftersom det ligger i kulturen och det engagemang de känner, vilket även minskar kostnaden av kontroll och övervakning för organisationen (Alvesson, 2013).
2.5.2 Socio-tekniskt synsätt
Det sociotekniska synsättet anser att varje organisation består av människor (det sociala systemet) som använder verktyg, kunskaper och tekniker (det tekniska systemet) för att producera värde för kunderna, vilket är en del av en organisations externa miljö. Hur bra de sociala och tekniska systemen är designade med respekt till varandra kommer avgöra hur effektiv en organisation kommer att vara (Pasmore, 1988). Det sociotekniska synsättet menar att en organisation verkar med optimal prestanda då man gemensamt optimerar både de tekniska och sociala system som används (Laudon & Laudon, 2016).
Organisationsdesign utifrån detta perspektiv innebär att om man investerar i teknologi utan betrakta dess effekter på anställda kan det leda till oavsiktliga konsekvenser (Smith, et al., 2012). Målet med den sociotekniska designen är en gemensam optimering av både de sociala och tekniska systemen, vilket är en viktig designprincip. Människors behov får inte glömmas när teknik introduceras. Vad som definieras som människors behov ska komma från anställda som påverkas av tekniken. Därmed innebär den sociotekniska synsättet att det behöver finnas demokrati och deltagande mellan medarbetare och beslutsfattare. Socioteknisk design beskrivs med nio principer vilka ska användas vid design av sociotekniska system (Mumford, 2006).
Figur 2 - Illustration av de nio designprinciperna som sociotekniska system bygger på (Mumford, 2006).
12
I figur 2 ses de nio designprinciper som sociotekniska system bygger på. Dessa är princip ett: compatibility, vilket innebär att designprocessen måste vara kompatibel med dess mål vilket innebär att om man har som mål att skapa demokratiska arbetsstrukturer behövs demokratiska processer användas för att skapa dessa. Princip två: Minimal Critical Specification innebär att enbart det väsentliga ska specificeras, detta innebär att anställda ska få veta vad som ska göras men inte hur man göra det. Hur man når målen ska vara upp till de anställda. Princip tre, The Socio-technical Criterion principen innebär att avvikelser som inte kan elimineras ska kontrolleras så nära dess utgångspunkt som möjligt, alltså den grupp som upplever problemen. Princip fyra, Multifunctionality Principle innebär att ett arbete behöver mer kunskap än det grundläggande som krävs för att utföra en uppgift, genom mer kunskap än grundläggande blir man mer flexibel då man kan hjälp till vid andra områden. Princip fem, Boundary location handlar om att hitta gränserna mellan de olika verksamheterna och princip sex handlar om att underlätta delning av information och kunskap mellan olika delar verksamheterna. Princip sju, Support Congruence handlar om att stödsystem behöver vara utformade på ett vis så att önskat beteende förstärks. Om man förväntar sig att medarbetare ska samarbeta behöver ledning visa på samarbetsbeteende.
Princip åtta, Design och Human Values nämner olika faktorer som behövs för att leverera hög kvalitet på arbetet. Faktorer som nämns är jobbet behöver vara rimligt krävande och vara motiverande samt det ska finnas möjlighet för att lära sig. Den slutliga principen, princip nio, Incompletion handlar om att man behöver vara medveten om att designen är en iterativ process som förändras då krav och förhållanden förändras (Mumford, 2006).
2.5.3 Maslows behovshierarki
En organisations medarbetare är en viktig del för dess produktivitet. Eriksson-Zetterquist et al (2011) menar att anställdas tillfredsställelse och motivation influerar organisations kultur, dess resultat samt effektiviteten i dess ledarskap. Maslows behovshierarki är en väletablerad teori gällande motivation. Den utvecklades av Abraham Maslow och den delar upp människors behov i fem olika delar vilka visas i figur 3.
13 Figur 3 - Illustration av Maslows behovshierarki
Dessa delar är grundläggande behov, trygghet, gemenskap, självkänsla samt självförverkligande. Enligt denna teori så kommer individer, som befinner sig i en gynnsam miljö, alltid sträva efter att nå en ny nivå om nivåerna under är uppfyllda (Eriksson- Zetterquist, et al., 2011). Grundläggande behov är sådant som en individ behöver som är relaterad till överlevnad så som mat, dryck, luft, värme och skydd. Trygghet och säkerhet handlar om skydd mot faror samt behovet av stabilitet i miljön. Gemenskap handlar om att känna en känsla av samhörighet till en viss grupp, så som en arbetsgrupp, en familj eller en organisation. Nivån självkänsla är behov kopplade till självkänsla, självrespekt, uppskattning och erkännande från både den berörda individen och den grupp som denne är del av. Slutligen är det självförverkligande vilket är behovet av personlig utveckling, prestation och liknande (Pettinger, 2010). Nivå fem är ett behov som inte kommer att försvinna om det uppfylls utan när behovet är tillfredsställt kommer individen vilja ha mer av det. Maslow beskriver att de som befinner sig på nivå fem, den självförverkligande människan, inte behöver fokusera på de nedre nivåerna och därmed kan fokusera på sitt självförverkligande. Vilket gör att de har möjlighet att lägga all fokus att nå deras fullaste potential (Hedegaard Hein, 2012).
14
3. Metod
Under detta avsnitt presenteras de metoder som använts för att genomföra arbetet.
3.1 Vetenskaplig ansats
Olsson och Sörensen (2021) skriver att forskning sker genom två olika linjer, den deduktiva eller den induktiva. Vid en deduktiv ansats ligger fokus på problemformulering och teoritestning medan en induktiv ansats har fokus på tolkning och teoriuppbyggnad.
Forskning inom områden där det finns mycket information passar deduktiv ansats bra medan induktiv ansats passar bättre då man ska undersöka fenomen som inte undersökts tidigare (Grønmo , 2006).
Syftet med denna studie är att undersöka hur en organisation lyckas med övergången till distansarbete med fokus på informationssäkerhet. För att göra detta antas det induktiva angreppssättet då vi vill hitta mönster i vilka faktorer som ger en lyckad övergång.
3.2 Vetenskaplig forskningsstrategi
En forskning inom samhällsvetenskap kan ske genom en kvalitativ eller kvantitativ strategi. Beroende vad forskningen ämnar besvara är det som avgör vilken metod som man väljer (Grønmo , 2006; Olsson & Sörensen, 2021). Kvantitativa metoder behandlar data med statistiska metoder för att tolka. Kvalitativa metoder baseras på icke-numeriska värden, så som forskarens tolkning av den insamlade data (Holme & Solvang, 2012). Vad som karaktäriserar kvalitativ studie är att forskningen är subjektiv, forskaren är ofta delaktig i insamlandet av data och är sedan delaktig i att tolka och beskriva den insamlade data. Forskningen i sig är flexibel och kan ändras om fenomen upptäcks. Resultaten bygger oftast på ett litet antal individer. Vid en kvantitativ studie är syftet att förklara och beskriva insamlade data. Forskningen ska till största möjliga mån vara så objektivt som möjligt för att underlätta vid bearbetning och analys samt vid upprepning av undersökningen.
Resultaten bygger på ett stort antal individer (Olsson & Sörensen, 2021).
Denna studie bygger på en kvalitativ strategi då syftet är att undersöka respondenternas erfarenhet kring omställning till distansarbete.
3.3 Utformning av intervjuguide
Hur man strukturerar en intervju är ett viktigt förarbete inför själva intervjun. Har man för mycket strukturering finns en risk att man som forskare missförstår fenomen som kan vara av vikt medan ingen struktur alls kan leda till att man inte vet vad man letar efter (Ryen, 2004). Till detta arbete har en kvalitativ intervju genomförts som har varit av semistrukturerad typ. En semistrukturerad intervju fungerar som ett samtal kring ett specifikt ämne (Dalen, et al., 2008).
Strukturen på intervjuguiden bör vara att man inleder med mjuka frågor som får respondenten att känna sig avslappnad. Sedermera rör man sig mot att fokusera sig mot de områdesspecifika frågorna och sedan avsluta med generella frågor. Vid kvalitativ forskning är det av vikt hur man ställer frågorna. Beroende på hur frågan ställs kan olika data insamlas. När intervjufrågor tas fram ska ledande frågor undvikas till största möjliga mån då dessa oftast blir så pass korta så de saknar mening för forskningen. Frågorna ska vara utformade på ett sådant vis att respondenten öppnar upp och beskriver i egna ord (Dalen, et al., 2008; Ryen, 2004). Se bilaga 2 för intervjuguide.
15
3.4 Genomförande av intervju
Till följd av den rådande pandemin genomfördes alla intervjuer via videomöten. Miljön och användning av apparater för hur en intervju genomförs kan påverka hur utfallet blir (Holme & Solvang, 2012). För att få respondenterna så bekväma som möjligt med denna lösning har vi i förväg skickat ut information om upplägget på intervjun samt gett respondenten möjlighet att ta ställning till om vi får spela in intervjun eller ej.
Innan själva intervjun började så kontrollerades att respondenten kände sig bekväm med situationen, hade fått information kring intervjun samt om de hade några kommentarer eller önskemål innan intervjun började. Beroende på respondentens preferens så användes antingen både inspelning samt anteckningar eller enbart anteckningar vid själva intervjun. Vid genomförandet hade författarna bestämda roller, den ena skötte anteckningar och den andra genomförde själva intervjun.
Informationsguiden användes som stöd genom intervjuerna. För att lyckas med en intervju menar Ryen (2004) att respondenten ska kunna tala utan att styras till den guide som intervjuaren har tagit fram. Så genom intervjun har den som intervjuat aktivt arbetat med att inte ställa raka frågor utan försökt styra samtalet mot de frågor man söker att få svar kring
3.5 Urval
Totalt deltog nio respondenter i studien, se tabell 1 för information om deltagarna. Samtliga respondenter jobbar på ett företag som arbetar inom IT sektorn. Valet av respondenter har skett genom kontakt med en ledare inom organisationen som tillhandahållit kontaktuppgifter till olika personer inom organisationen med olika roller. Vi har genom detta använt oss av ett bekvämlighetsurval då vi haft begränsad tid och möjlighet att hitta respondenter och har utgått från de respondenter vi blivit rekommenderade. Bland respondenterna har spannet kring hur länge man jobbat inom organisationen varit lägst 4 år och som längst över 20 år. Både kvinnor och män har deltagit och intervjulängderna har varierat från 30 minuter till upp mot 60 minuter.
Tabell 1 - Presentation av respondenter som deltagit i studien.
Respondent Roll Intervjulängd
R1 Systemutvecklare och
scrum master 52:44
R2 IT-ledare 43:11
R3 Systemadministratör 47:00 R4 Säkerhetssamordnare
och it-förvaltare (Utan inspelning), cirka 30 min R5 Utvecklare och
lösningsarkitekt 46:06
R6 Testare (Utan
inspelning) cirka 30 min R7 Systemadministratör 01:01:29
R8 Områdeschef 29:22
R9 IT-ledare 49:09
16
3.6 Forskningsetik
Då denna studie är baserat på intervjuer så är det av stor vikt att visa respekt för deltagande respondenter. Gällande samhällsvetenskaplig forskning är det av stor vikt att visa respekt för alla medmänniskor (Holme & Solvang, 2012). Inom forskningsetik finns fyra huvudkrav som ska följas, dessa är krav gällande information, samtycke, konfidentialitet och nyttjande. Information ska lämnas både skriftligt och muntligt. Kravet gällande information innebär att deltagare i studien ska få information på ett begripligt vis för att sedan kunna lämna samtycke till deltagande. Samtyckeskravet handlar om deltagarens rätt att själv avgöra om de vill delta i studie eller ej. Konfidentialitet behandlar hur personer som deltar i studien ska skyddas. Personers uppgifter ska förvaras så att inga obehöriga kommer åt dem. Nyttjandekravet innebär att det insamlade materialet från deltagarna enbart får användas för forskningen (Olsson & Sörensen, 2021).
De fyra huvudkraven har varit i beaktande genom hela arbetet. Varje respondent fick innan intervjun ett informationsblad, se bilaga 1. Syftet med informationsbladet var att informera respondent om vad studien ämnade att undersöka samt informera respondent att man vid vilken tidpunkt som helst har rätt att avbryta sin medverkan. Vid själva intervjuerna så informerades respondenten om detta ytterligare en gång.
3.7 Hantering av data
Vid kvalitativ forskning finns ingen direkt ordning kring hur analys ska ske (Yin, 2011). Att välja rätt metod för sin forskning är något som utvecklas över tid genom flera forskningsprojekt. Något gemensamt för de flesta typer av analys av kvalitativa data är att den insamlade data struktureras, tematiseras och kategoriseras (Hjerm, et al., 2014). I detta arbete har vi valt att följa de grundprinciper för analys som Hjerm et al. (2014) beskriver. Tillvägagångssättet består av kodning och tematisering. För att kunna genomföra analysen behöver intervjuerna, som är vår datakälla, att transkriberas för att sedan kunna analyseras. Nedan beskrivs de olika stegen i analysprocessen.
3.7.1 Transkribering
Transkribering innebär att rådata skrivs ned ordagrant. Allt i en inspelning ska skrivas ned, så som pauser innan svar, harklingar, skratt och hummande. Transkribering görs för att underlätta analysera insamlade data (Olsson & Sörensen, 2021). Dalen (2008) menar att det är bra att genomföra transkribering i så nära anslutning som intervjun som möjligt. För att underlätta arbetet med transkriberingen skapades en mall för att underlätta arbetet, se bilaga 3. I mallen finns en kolumn för tid, text, kod och tema. Tid är vid vilken tidpunkt i inspelningen som en viss fråga ställdes, detta för att underlätta för oss att kunna gå tillbaka och lyssna på en specifik del av en intervju om detta skulle behövas.
17 3.7.2 Kodning
Syftet med kodning av data är att reducera innehållet till kategorier. Resterande analys utgår från de koder som skapas, vilket innebär att det är viktigt hur dessa skapas (Hjerm, et al., 2014). Kodning görs för att få en överblick av det insamlade materialet samt sammanfatta dess innehåll. Detta görs genom att man försöker hitta ett eller flera koder som karaktäriserar eller beskriver texten (Grønmo , 2006; Hjerm, et al., 2014). De koder som identifierade varierade men var oftast en mening som beskrev ett stycke, så som
”tillitsfullt ledarskap”.
3.7.3 Tematisering
Efter att arbetet med kodning var klart började dessa koder att delas in i olika kategorier/teman. Tematisering görs för att hitta de mönster som är betydelsefulla för studien (Hjerm, et al., 2014). De teman vi identifierade återfinns under avsnittet resultat.
3.8 Datakvalitet
Vid kvalitativa studier finns det inget generellt sätt att bedöma datas kvalitet. Inom samhällsvetenskapliga studier brukar datakvalitet hos en studie bedömas genom validitet och reliabilitet. Reliabilitet är ett mått på hur tillförlitligt datamaterialet är. Generellt sätt brukar man säga att hög reliabilitet innebär att resultatet blir detsamma vid flera mätningar. I kvalitativa studier kan man sällan mäta reliabiliteten, detta har lett till att vissa forskare föredrar att använda begreppet trovärdighet. Oberoende av benämning så är det samma bedömning som man gör, man bedömer om den insamlade resultatet är trovärdig i det avseende att data bygger på faktiska omständigheter och att den inte speglar personliga åsikter. Validitet avser datas giltighet till det studien ska belysa (Grønmo , 2006).
För att få en så hög reliabilitet och validitet som möjligt har vi försökt ha liknande miljöer för alla intervjuer, nämligen via videmöte i respondentens distanskontor och vi har utgått från samma intervjuguide för samtliga intervjuer samt att respondenter har olika roller i organisationen. Däremot så svarade inte alla respondenter på alla frågor i intervjuguiden, vilket skulle kunna begränsa reliabiliteten. Detta beror på att vi använde oss av semi-strukturerade intervjuer där guiden enbart skulle fungera som ett stöd.
Beroende på vad respondenten svarade så ställdes olika följdfrågor och vi kom in på olika ämnen vilket har gett oss insiktsfull information som vi inte hade kunnat få om dessa ämnen inte diskuterades på djupet.
3.9 Metodreflektion
Till denna studie har valet gjorts att genomföra videointervjuer via Zoom. Problem som kan uppstå via intervjuer är samspelet mellan respondenten och den som intervjuar. Om samspelet är dåligt kan informationsutbytet begränsas vilket leder till att kvalitén på data försämras. Vidare så kan den som intervjuar påverka svaren som respondenten ger om denne ställer ledande frågor eller ger ett uttryck som respondenten tolkar som att ett visst svar förväntas. Respondenten kan dessutom påverka datainsamlingen genom att denne ger en felaktig information. Denna felaktiga information kan bero på att minnesfel eller att denne vill uppfattas på ett visst sätt (Grønmo , 2006). För att motverka risk för att frågor skulle kunna tolkas fel så skapades en intervjuguide som använts som stöd vid intervjuer.
18
Innan själva intervjuerna skulle genomföras testades dessa i flera omgångar på personer för att utvärdera dessa. Miljön och användningen av apparater påverkar hur utfallet av en intervju blir (Holme & Solvang, 2012). Genom att alla intervjuer skett via videointervjuer begränsas möjligheten att kunna läsa av kroppsspråk. Däremot var vårt forskningsområde centrerat till distansarbete vilket gör att intervju på distans är passande metod.
Då vi undersöker hur man arbetar skulle man kunna tänka sig att en observation hade varit av intresse för att kunna se hur personer arbetar kring informationssäkerhet. Däremot så avser vår studie distansarbete vilket gör det omöjligt att genomföra en observation.
Urvalet i studien har varit bekvämlighetsurval. Ett bekvämlighetsurval menar Holme och Solvang (2012) vanligen inte är respresentativ. Detta gör att vi inte kan generalisera resultatet över organisationen. Däremot tycker vi att det urval av respondenter som gjordes ger en tydlig bild av organisationen eftersom den innehåller personer som jobbar inom olika avdelningar och har olika befattningar.
19
4. Distansarbete vid ett IT-företag
Fokus för vår genomförda studie är en organisation som är verksam inom IT-sektorn i Sverige. Vi har valt att anonymisera organisationen i vår studie och därför kommer vi heller inte att nämna namn eller annat som kan vara identifierbart. Organisationen har runt 200 anställda och jobbar bland annat med systemutveckling, drift och support. Mycket av arbetet sker agilt och i team där det finns ett flertal olika roller såsom systemutvecklare, IT- systemadministratör och IT-ledare. Organisationen erbjuder även flera tjänster och lösningar inom till exempel e-handel, upphandling och systemutveckling och där hela processen av lösningen innefattar förstudie, utveckling, drift och förvaltning.
Organisationen samarbetar även med andra organisationer både i Sverige och internationellt, vilket innebär att vissa kontakter skett via distans och organisationen är därav av sådan karaktär att det gick att ställa om fort till distansarbete under våren 2020.
I nuläget jobbar organisationen hemifrån och kommer att göra det under obestämd tid beroende på hur pandemin utvecklar sig inför sommaren 2021.
För att kunna ställa om till distans så upprättade man hemmakontor hos medarbetarna där man fick ta hem sin utrustning från arbetet, det inkluderar till exempel bärbar eller stationär dator, skärmar, headset och liknande hårdvara. Detta för att medarbetarna skulle kunna göra samma jobb på distans som på arbetet. För att koppla upp sig mot företaget på ett säkert sätt så användes bland annat VPN, något som flera medarbetare redan är vana att använda. För att fortsätta kunna kommunicera med varandra i det dagliga arbetet och hålla möten så används flera olika kommunikationskanaler, till exempel Teams och Zoom.
Vi har valt att undersöka denna organisation eftersom det är en organisation som snabbt ställde om sin verksamhet till distans efter Folkhälsomyndighetens rekommendationer och som har uppvisat gott resultat på sin omställning. Genom denna organisation vill vi undersöka vilka faktorer som har varit avgörande för att övergången har fungerat så bra.
20
5. Resultat
Under detta kapitel så kommer resultatet från intervjuerna att presenteras. För att säkerställa respondenternas anonymitet så kommer de att benämnas R1, R2 fram till R9.
Vid bearbetning av den insamlade data kunde några teman identifieras vilka kommer att presenteras nedan. Namnet på organisationen kommer inte nämnas, utan då respondenter nämner organisationen benämns detta med [Organisationen].
5.1 Omställningen till distansarbete
Alla respondenter uppgav att omställningen har gått bra. Tekniska förutsättningar och rutiner fanns på plats, det är snarare en mer mental omställning. Vissa av respondenterna har redan innan pandemin arbetat på distans då organisationen jobbar med andra organisationer. “Många av våra medarbetare har varit produktägare på distans sedan tidigare så distansarbete är inte helt nytt” - R8. För dem som inte tidigare arbetat på distans upplevdes det inte som några svårigheter att ordna rutiner för detta då organisationen redan hade förutsättningarna. R2 uppger att det snarare har varit en form av mental omställning. “Största problemen är inte teknik, det är mer sociala arbetssätt”
- R2. Avsaknaden av kollegor, både att man saknar småpratet och att man missar information - man hör inte kollegor som diskuterar vid bordet bredvid samt att det blir svårare att ställa frågor till varandra. “Tröskeln är högre att ringa och snacka med någon än att säga ‘du’ till någon som sitter i samma rum” - R5.
Flera respondenter belyser problemen vid nyanställning, då det är svårare att introducera personer i verksamheten via distans. Att man inte träffar sina medarbetare är något som ledare i organisationen belyser som en utmaning då man inte rent fysiskt kan se hur personen mår. Detta har man försökt lösa genom att sätta av tid till att ringa runt och prata med sina medarbetare. Flera respondenter pratade också om svårigheten att inte kunna snabbt rita något på en tavla då man ska förklara. Det finns teknikstöd för detta men det upplevs inte som lika effektivt som att bara rita på en whiteboard. Vidare så är ytterligare problem via möten att man inte kan se känslor lika bra, se vilka som inte hänger med samt att vid större möten är det svårare att interaktionen mellan medarbetare att fungera.
Flera respondenter identifierar personliga fördelar vid arbete på distans, så som mindre restid, mer tid hemma samt enklare att få ihop livspusslet. Vidare uppger flera att man är mer produktiva, både gällande arbetet hemma samt vid möten. Vid möten uppgav flera att man är mer effektiv då småpratet försvinner. Man kan även boka in möten mer tätt då det inte är en fysisk sträcka man behöver förflytta sig. Gällande det individuella arbetet uppgav R1 att även detta sker mer produktivt då man tar mindre naturliga pauser, man hämtar inte kaffe och står och pratar i kaffe kön. Vidare nämner respondenter att man har en högre närvaro, vilket man tror kan bero på att då man redan är hemma så är det många som inte vabbar.
De flesta respondenter ansåg att det inte fanns större skillnader gällande rutiner på distans kontra på kontor. Många har redan haft etablerade lösningar med VPN, de som inte haft det ser det som enda skillnaden.
5.2 Verktygsbaserade säkerhetsåtgärder och utrustning
21
Samtliga respondenter uppgav att de använde sig av företagets utrustning vid hemkontoret. Några respondenter uppgav att man förväntar sig att alla medarbetare använder sig av företagets utrustning men det sker ingen aktiv kontroll att detta följs. ” Det går ju, men vi har sagt att vi ska köra på arbetets datorer men det finns ingen hård koll på att det är företagets grejer som vi sitter på. Vi har mer sagt att det ska vara. ” – R3.
Även R2 säger att man inte får eller bör använda sin egen dator. Hen nämner vidare att genom privat utrustning finns risken att man inte har nog uppdaterad utrustning. ” Dessutom är det så för att vi ska ha så säkra och uppdaterade datorer som möjligt bygger vår datoranvändning på att man från [Organisationen]s på centralt håll trycker ut uppdateringar (...) Om jag kör på privat dator finns inget sätt att garantera uppdateringar. På en privat dator finns en risk att man inte hänger med med uppdateringarna. För de privata datorerna kommer inte [Organisationen] åt ” – R2.
Majoriteten av respondenterna uppger att de har en laptop vid hemkontoret tillsammans med skärmar. Laptops har BitLocker och uppkoppling mot arbetet sker via VPN. Internetuppkoppling sker via hemmets router eller via 4G router. Vissa arbetsuppgifter kräver att man remotear med VPN in till en stationär dator som står i låsta lokaler. Organisationen har redan innan övergången till distansarbete arbetat med nätverkssegmentering vilket gör att man inte kommer åt specifika system om man inte sitter på korrekt nät. Korrekt är när man antingen sitter på plats på kontoret via nätverkskabel eller när man styrt det via VPN grupper. Vissa system har den säkerhetsklassificering så att man inte når dem via distans, så vissa uppgifter kräver fysisk närvaro för att kunna genomföra. Även vissa typer av system kräver YubiKey för att kunna nå.
En fråga ställdes kring om man fick ha företagets mejl på sin privata telefon. På detta svarade flera att man får ha sin mejl på sin privata telefon. ” Ja det får man, de finns till och med guider på [Organisationen] som kommer från [Organisationen] hur man installerar mejl på telefonen. Det får man.” – R2. R3 och R2 berättar att en telefon, oavsett om det är privat eller företagets, räknas som en osäker enhet vilket då finns föreskrifter kring som säger att man inte får logga in och utföra uppgifter som kräver högre behörighet.
” Vi erbjuder ju jobbtelefon men vi har alltid sagt att telefon, oavsett om de är privata eller jobbtelefon räknas som osäkra enheter. Så enligt föreskrifter får jag inte logga in och utföra uppgifter via min telefon. Där jag använder tjänster som har högre behörighet. Mejl är undantaget. Vi har teams på telefon, den biten är fine. Men saker med högre behörighet är AJABAJA” – R3.
Gällande delning av information uppgav flera att det fungerade bra. Vad man använder för samarbetsytor beror på vilket team man jobbar inom. Verktyg som nämns för samarbete och kommunikation är Zoom, Skype for business, Slack, Teams, E-post och Microsoft Visual Studios. Några av respondenterna belyser att det ibland är svårt att veta hur man ska kommunicera mellan olika avdelningar/teams då olika verktyg används. ”Det som har varit rörigt för oss på [Organisationen] det har väl varit att enas vilka som är våra informationskanaler. Inom ja, team eller grupper så har man löst det där, i min grupp har man valt, eller vi har valt att vi sköter kommunikationen i epost och Teams.
Vill vi ringa varandra så är det Skype. Då är det inga problem, men sen kan det finnas andra grupperingar runt om i verksamheten på [Organisationen] som säger – men vi använder Slack”- R2. Att olika kanaler används menar en respondent vidare kan leda till
22
säkerhetsrisk i följd av att information kommer på villovägar. ”En del teamgrupper använder slack, en del använder någon annat. Ibland kan det hända att information faller bort. Man vet inte vart jag skrivit det här eller den informationen kom aldrig fram för jag inte använder slack.” – R8
Lagring av data uppger samtliga respondenter är olika beroende på vad det är för typ av data. Olika typer av lagring innefattar lagring på centralserver, OneDrive och arbetsytor i teams. För extremt känsliga data finns även en tjänst som är extremt nedlåst och kräver multifaktor. ” Där är största problemen. Det är inte så lätt att veta vart man ska lagra filer.” – R3. Problem som nämns gällande lagring handlar hur data ska lagras beroende på vilken typ av data det är. För att underlätta detta har organisationen tagit fram ett dokument med riktlinjer för anställda vart de olika typer av data, så som personliga dokument, kod och arbetsgemensamma dokument ska lagras.
Då mycket arbete i organisationen är teambaserat så menar många av respondenterna att trycket på samarbetsverktyg har ökat i och med distansarbete. Medarbetare kommer då med önskemål om specifika tjänster vilka ofta är någon typ av molntjänst. Flera av respondenterna nämner svårigheterna som kommer gällande molntjänster eftersom man inte alltid vet vart data lagras via dessa. ” Vilka tjänster, vilken data gör man tillgängligt för dem och vad händer med den? Man vill både skörda frukterna av den tekniken men heller inte på något vis heller riskera sin egen eller andras integritet” – R1. Det ökade trycket leder till att organisationen behöver en bedömning av verktygen göras innan de köps in. Detta sköts av en avdelning som granskar tjänsten genom en Risk – och Sårbarhetsanalys. I detta arbete säger R3 att användaren som beställt tjänsten uppmuntras vara med och utvärdera verktyget. ” Men det är ju oftast användaren som använder så vi vill ju att användaren själv ska vara med och kolla så att om du gör så här kommer de och de och de att hända. Så de är medvetna om riskerna” – R3.
5.3 Säkerhetsrelaterade åtgärder
5.3.1 Vad är största säkerhetsrisken?
På frågan om vad som anses vara den största säkerhetsrisken allmänt i en organisation så kunde vi se flera olika svar men där människan själv pekas ut av flera respondenter som den största säkerhetsrisken i olika situationer. R3 nämner slarv, oaktsamhet och bekvämlighet som en riskfaktor och R6 att man inte följer de rutiner som finns, att man skickar känsliga data och inte tänker sig för. R7 menar att den största säkerhetsrisken är att användaren gör en massa antaganden och då lever i en slags falsk trygghet. Slarv kan göra att man inte har den säkerhet man tror och det gäller att hålla sig uppdaterad kring vilka hot som finns. Respondenten pratar även om den blinda fläcken, att man inte vet man har missat.
R1 säger att användaren själv som den största säkerhetsrisken är standardsvaret men att denne uppfattar att användarna i organisationen är säkerhetsmedvetna. Respondenten nämner vidare att en risk i stället kan vara oreflekterad användning av molntjänster.
Organisationen använder sig av ett software center där program kan installeras ifrån och som är kontrollerade och säkra, men om den enskilda individen vill hitta egna lösningar så är det ingen som står över axeln och kontrollerar. När man jobbar hemma och behöver fler hjälpmedel finns en risk att man hoppas på lösningar utan att vara helt säker på om de är säkra eller inte. ”Det bygger på förtroende och framför allt omdöme. Att jag inte använder
