Uppsala universitet
Inst. för informatik och media
Efterlevnad av informationssäkerhetspolicy
i en kommunal verksamhet
Fredrik Lindell & Karin Sydner
Kurs: Examensarbete Nivå: C
Termin: VT-19 Datum: 2019-05-24
Sammanfattning:
Många företag klarar sig inte i dagsläget utan någon form av IT-stöd. Stora mängder informat-ion används och lagras i organisatinformat-ioners dagliga arbete. Viss informatinformat-ion behöver skyddas från obehörig tillgång eller användning. Ett av de största hoten mot organisationers information som lätt förbises är dess egna anställda. Anställda i en organisation arbetar dagligen med information och är i mest kontakt med den. Något som uppmärksammats av MSB och andra tredje parter som undersökt svenska kommuners säkerhet är att det har visat sig att den är, om något, under-målig. En informationssäkerhetspolicy är en form av styrdokument som används för att an-ställda ska veta vad som förväntas av dem och hur dem ska skydda informationen. För att en informationssäkerhetspolicy ska vara effektiv så måste de anställda inom organisationen efter-leva den. Uppsatsen består av en undersökning av hur efterlevnaden av informationssäkerhets-policyn ser ut på en kommunal verksamhet. Utifrån theory of planned behavior undersökte vi hur attityd till beteendet, subjektiv norm och upplevd kontroll av det egna beteendet påverkar en individs intention att utföra ett visst beteende. Genom semistrukturerade intervjuer och doku-mentanalys drogs slutsatserna att trots att ingen av respondenterna blivit introducerade till in-formationssäkerhetspolicyn så efterlever de den bra.
Nyckelord:
Innehållsförteckning
1 Inledning ... 6 1.2 Bakgrund ... 6 1.3 Problemformulering ... 7 1.4 Syfte ... 7 1.5 Forskningsfråga ... 7 1.6 Avgränsning ... 8 1.7 Disposition ... 8 2 Teori ... 92.1 Theory of planned behavior ... 9
2.2 Tidigare forskning ... 10 2.3 Begrepp ... 11 2.3.1 Policy ... 11 2.3.2 Informationssäkerhet ... 11 2.3.3 Informationssäkerhetspolicy ... 12 2.3.4 Efterlevnad ... 12
3 Forskningsansats och Metod ... 13
3.1 Forskningsansats ... 13 3.2 Metod ... 13 3.2.1 Urval ... 13 3.2.2 Metodval ... 14 Intervjuer ... 14 Utformning av intervjuguiden ... 15 Dokumentanalys ... 15 3.3 Tillvägagångssätt ... 15 3.3.1 Metodik för dataanalys ... 16 4 Empiri ... 17 4.1 Policy ... 17
4.3 En skolverksamhet I Uppsala kommun ... 18
4.3 Respondenterna ... 19
4.4 Attityd till beteendet ... 19
4.5 Subjektiv norm ... 19
4.6 Upplevd kontroll av det egna beteendet ... 20
5 Analys ... 21
5.1 Dokument ... 21
5.2 Intervjuer ... 23
5.2.1 Attityd till beteendet ... 23
5.2.3 Upplevd kontroll av det egna beteendet ... 24
5.3 Intention ... 24
5.4 Efterlevnad ... 25
6 Avslutning ... 27
6.1 Slutsatser och diskussion ... 27
6.2 Övriga intressanta iakttagelser och vidare forskning ... 28
Källförteckning ... 29
1 Inledning
Många organisationer klarar i dagsläget inte sin dagliga verksamhet utan någon form av IT-stöd, samtidigt som dessa lagrar och använder stora mängder information. Information behöver skyddas från obehörig tillgång och i många av de stora IT-skandalerna är det inte maskinen som är hotet utan människan. Det spelar ingen roll hur väl ett IT-system är säkrat om en använ-dare av systemet öppnar ett e-mail med bifogade filer med skadligt innehåll. Informations- säkerhet kräver kontinuerligt arbete och har flyttats från att endast ligga på specialister till att vara en fråga för företagsledningen. Det är inte något som endast avgränsar sig till företag eller vinstdrivande organisationer utan all verksamhet som arbetar med information som måste skyd-das, inte minst svenska kommuner (Bakesgård, 2017). En undersökning som år 2015 genom-fördes av Myndigheten för samhällsskydd och beredskap visade att 7 av 10 kommuner saknar systematiskt arbete med informationssäkerhet (MSB, 2017).
1.2 Bakgrund
Moderna organisationer förlitar sig på informationssystem för sin överlevnad då systemen or-ganisationer använder innehåller de resurser organisationen behöver. Resurser kan bestå i form av information som är av värde för organisationen (Ifinedo, 2012). Alla organisationer har data och information som de är beroende av för dess dagliga funktion och beslutsfattande processer. En av organisationers största resurser är dess information och den informationen förvaras ofta som elektroniska filer i till exempel databaser, e-mail, webbsidor etc. Informationen kan i sin tur nås via ett flertal olika enheter, smartphones, surfplattor, laptops och andra mobila enheter (Budzak, 2016). För att skydda sina informationstillgångar spenderar många organisationer stora summor pengar på att installera tekniska skydd som brandväggar, mjukvara för virus-skydd, säkerhetskopiera filer och övervaka systemet (Ifinedo, 2012). Gartner (2018) uppskat-tade att det under 2018 spenderades 114 miljarder dollar på informationssäkerhetsprodukter. Organisationer i dag möter en mängd olika hot mot sin information och ett av hoten som ofta förbises men som är ett av de största är organisationers egna anställda (Ifinedo, 2012). Organi-sationers anställda använder informationen i sina dagliga aktiviteter för att utföra de processer som organisationen kräver och blir därför de som kommer i mest kontakt med informationen (Whitman & Mattord, 2016, s 71).
1.3 Problemformulering
PwC är ett företag som arbetar med revision och olika typer av rådgivning, bland utbudet av rådgivning finns cybersäkerhet (PwC, 2019). 2018 utförde PwC en granskning av Enköping kommuns intrångsskydd. En av de stora bristerna man fann under granskningen var att kom-munens lösenordspolicy hade stora brister och även att för många konton hade administratörs-rättigheter för domänen enkoping.se vilket ökar risker. PwC upptäckte även att kommunen hade svagheter när det kom till förebyggande arbete och dokument med riktlinjer för förebyggande arbete med IT-säkerhet (Lille, 2019).
Även i Göteborgs kommun har liknande problem uppdagats. I en utredning gjord av Stadsre-visionen i Göteborg så uppmärksammades det att kommunen har ett antal brister när det kom-mer till informationssäkerhet. Kunskapen kring styrande dokument om informationssäkerhet var låg, tre av de granskade nämnderna hade ingen dokumentation kring hur organisationen för säkerhet ser ut och säkerhetschefernas uppdrag och ansvar var otydligt definierade (Björk, 2017).
I en djupare analys av rapporten En bild av kommunernas informationssäkerhetsarbete 2015 genomförd av MSB (2017) för att belysa problematiken med informationssäkerhet och kunna ge svenska kommuner konkreta rekommendationer framkom att bland annat:
• 7 av 10 kommuner arbetar inte systematiskt med informationssäkerhet. • 4 av 10 kommuner saknar en utpekad funktion för informationssäkerhet.
• 6 av 10 kommuner anger att det inte finns kontinuitetsplaner framtagna för att hantera bortfall av information i kritiska verksamhetsprocesser inom kommunen.
• 4 av 10 kommuner gör ingen riskanalys avseende informationssäkerhet
Utifrån de egna erfarenheter vi har av anställning vid en kommunal verksamhet respektive pri-vat verksamhet inom offentlig sektor så ligger dessa i linje med MSB:s analys av informations-säkerhet. Den uppfattning som delas är att det möjligtvis fanns en informationssäkerhetspolicy men att det inte var något som lades stor vikt vid. Samtidigt så hanterar man information av känslig karaktär inom skolverksamhet som till exempel elever, deras personuppgifter, deras eventuella diagnoser och till viss del deras hemförhållanden. Efterlevnad är ett avgörande kri-terium för att en policy ska vara effektiv. Dessa erfarenheter och artiklar ledde till att en under-sökning i hur efterlevnaden av informationssäkerhetspolicy ser ut inom kommunal verksamhet är något som bör granskas.
1.4 Syfte
Syftet med uppsatsen är att undersöka hur efterlevnaden av informationssäkerhetspolicyn ser ut i en kommunal verksamhet. Uppsatsen ämnar med att bidra med förståelse för hur de anställ-das efterlevnad av informationssäkerhetspolicyn ser ut.
1.5 Forskningsfråga
1.6 Avgränsning
Uppsatsen kommer att fokusera på anställdas efterlevnad av informationssäkerhetspolicy. Fo-kuset är hur människor beter sig i ett informationssäkerhetsperspektiv. Vi avgränsar oss genom att titta på en verksamhet inom en svensk kommun. Genom avgränsningen till endast kommu-nala verksamheter utesluts alla organisationer i privat sektor. Vårt val av att utföra undersök-ningen på en kommunal verksamhet beror på att en kommun är en stor och komplex verksamhet som täcker många verksamhetsområden men som samtidigt har en gemensam informationssä-kerhetspolicy. En ytterligare avgränsning sker till en skolverksamhet i Uppsala kommun, Lun-dellska skolans resursenhet. Avgränsningen sker sedan ytterligare till att undersöka de anställda på enhetens egen uppfattning av sitt beteende kring informationssäkerhet. De anställdas egen uppfattning kommer endast jämföras med de delar i policyn som rör informationssäkerhet. Andra regler i policyn kommer inte analyseras och därför kommer ingen undersökning av de anställdas efterlevnad av dessa regler genomföras. De personer som kommer delta i undersök-ningen är främst lärare men även lärare som innehar en ytterligare befattning i verksamheten, som verksamhetsledare och arbetslagsledare.
1.7 Disposition
I kapitel 2 presenteras de teoretiska ramverk som ska användas, tidigare forskning och alla be-grepp som berörs i uppsatsen. Först kommer theory of planned behavior presenteras och moti-veras som teoretiskt ramverk. Sedan presenteras tidigare forskning på området efterlevnad av informationssäkerhetspolicy. Begreppen policy, informationssäkerhet, informationssäkerhets-policy och efterlevnad kommer definieras.
I kapitel 3 beskrivs forskningsansats, metoder som valts samt tillvägagångssätt. Även metod för dataanalys presenteras.
I kapitel 4 beskrivs och sammanställs materialet från dokumentanalysen och de intervjuer som genomförts.
I kapitel 5 analyseras resultaten från föregående kapitel med återkoppling till det teoretiska ramverket och de begrepp som presenterats i kapitel 2.
2 Teori
I detta avsnitt presenteras de teoretiska ramverk som kommer användas i uppsatsen, tidigare forskning på området samt definitioner av begrepp som är av relevans för uppsatsen.
2.1 Theory of planned behavior
Theory of planned behavior används som grund för uppsatsen då teorins syfte är att förklara och predicera mänskligt beteende. Ett av uppsatsens mål är förstå hur de anställda efterlever informationssäkerhetspolicyn, därför blir en teori som förklarar vad som påverkar intentionen att genomföra ett visst beteende passande. Theory of planned behavior har även använts av många andra studier för att undersöka anställdas efterlevnad av säkerhetspolicy bland annat av: Pahnila, Siponen & Mahmood, (2007), Bulgurcu, Cavusoglu & Benbasat, (2010), Ifinedo (2012) och Sommestad & Hallberg (2013) vilket ytterligare stärker motivationen att använda teorin som grund.
Icek Ajzen utvecklade år 1991 en teori med syftet att kunna förklara och förutse mänskligt beteende i ett visst sammanhang, teorin theory of planned behavior. Teorin är en förlängning av theory of reasoned action som inte hanterade beteenden där människor har ofullständig kon-troll vilket theory of planned behavior gör. En av de centrala aspekterna i båda teorierna är människans intention att utföra ett visst beteende. Intentioner antas fånga de motivationsfak-torer som påverkar ett visst beteende. Intentioner är indikationer på hur villig en person är att försöka och hur mycket ansträngning personen planerar att utöva för att utföra ett visst bete-ende. Den generella regeln är att desto starkare intention desto större sannolikhet att beteendet utförs. Det bör beaktas att för att en beteendemässig intention ska komma till uttryck i ett bete-ende så krävs det att viljekontroll över betebete-endet finns. Med viljekontroll menas att individen kan bestämma sig för att antingen utföra eller inte utföra beteendet. För att utföra vissa beteen-den ska det även tas i beaktande att vissa möjligheter och resurser måste vara tillgängliga för att beteendet ska lyckas utföras, så kallad upplevd kontroll av det egna beteendet. Upplevd kontroll av det egna beteendet avser uppfattning av enkelheten eller svårigheten att utföra ett beteende, hur stor chansen är att lyckas. Theory of planned behavior (ibid.) se figur 1 förutsätter tre oberoende bestämmande faktorer av intention:
• Den första är attityden mot beteendet och innebär i vilken grad en individ har en positiv respektive negativ utvärdering eller bedömning av beteendet.
• Den andra är en social faktor, subjektiv norm, denna faktor hänvisar till den upplevda sociala pressen att utföra respektive inte utföra beteendet.
• Den tredje faktorn är upplevd kontroll av det egna beteendet vilket som tidigare nämnts är enkelheten respektive svårigheten att utföra beteendet. Här förväntas även individen reflektera över tidigare erfarenheter och förväntade hinder.
Figur 1. Theory of planned behavior (Ajzen, 1991)
2.2 Tidigare forskning
Anställdas efterlevnad av informationssäkerhetspolicy är ett område som erhållit en hel del forskning men med olika perspektiv (se exempel: Sommestad & Hallberg (2013), Ifinedo (2012) och Mavetera, Dinah Moroke och Sebetlele (2015)). Litteraturen som presenteras är den forskning på området som genomförts i andra länder än Sverige och inte på kommuner. En artikel berör dock efterlevnad inom en kommun, i och med att alla staters uppbyggnad och organisationsstruktur av kommuner inte är densamma så ska även det tas i åtanke.
Bulgurcu, Cavusoglu och Benbasat (2010) genomförde en studie för att undersöka vilka ration-alitetsbaserade faktorer som driver anställda att följa informationssäkerhetspolicyn med hänsyn till att skydda organisationens teknologi- och informationsresurser. Studien baserar sig i theory of planned behavior och förutsätter att tillsammans med normativ föreställning och förmågan att utföra ett arbete så kommer en anställds attityd till efterlevnad avgöra dennes intention att efterleva informationssäkerhetspolicyn. Författarna undersöker även vilken inverkan informat-ionssäkerhetsmedvetande har på föreställningen och en anställds attityd mot efterlevnad av in-formationssäkerhetspolicy. Studien visar att tre klasser av föreställningar om bedömning av efterlevnads relaterade konsekvenser påverkar anställdas attityd till efterlevnad. Attityden att vilja efterleva informationssäkerhetspolicyn påverkar i sin tur på ett positivt sätt intentionen att efterleva densamma.
eskalering. Exempel på eskalering är en situation där en anställd måste besluta om denne ska fortsätta eller inte fortsätta med en icke lönsam uppgift. Med icke lönsam uppgift menas att anställda ofta spenderar pengar eller tid på en lönlös handling eller uppvisar ett medvetet risk-tagande beteende. Modellen författarna använder sig av för undersökningen är även komple-menterad med två teorier för att förstå attityden till efterlevnad, theory of planned behavior (Ajzen, 1991) och agency theory (Eisenhardt, 1989). Studien genomfördes på data som insam-lats från 376 respondenter inom bankindustrin. Resultatet författarna kom fram till var att den förmedlande faktorn informationsassymmetri har en signifikant negativ inverkan på attityd, re-surssäkerhet har en väsentlig positiv inverkan på attityd och arbetshinder hade ingen inverkan på attityd. Resultaten visar också att informationssäkerhetsmedvetande har en betydande inver-kan på de tre förmedlande faktorerna arbetshinder, informationsassymmetri och resurssäkerhet.
Tidigare nämnd forskning har fokuserat på anställdas efterlevnad av informationssäkerhetspo-licy inom organisationer som befinner sig inom privat sektor. Mavetera, Dinah Moroke och Sebetlele (2015) undersökte däremot anställdas efterlevnad av informationssäkerhetspolicy inom en Sydafrikansk kommun, en organisation inom offentlig sektor. Författarna använde sig av en enkät som distribuerades till 80 anställda inom olika delar av den Sydafrikanska kommu-nen. Resultatet av studien visade på att ett rimligt antal av de anställda var överens om att led-ningen säkerställt att de hålls uppdaterade om informationssäkerhetspolicyn inom organisat-ionen och vilka konsekvenserna blir för organisatorganisat-ionen om de anställda inte följer policyn. De anställda i de olika avdelningarna är även medvetna om vilket ansvar den egna avdelningen har gällande informationssäkerhet. Det noteras även att de flesta anställda medvetet tar hänsyn till säkerhet i viss mån.
2.3 Begrepp
I avsnittet presenteras de begrepp som är av relevans för uppsatsen och hur dessa kommer de-finieras.
2.3.1 Policy
En policy definieras av Nationalencyklopedin (2019) som grundprinciper för ett företags eller en organisations handlande allmänt eller i visst avseende. Policy definieras utav Whitman och Mattord (2016, s 158) som en uppsättning principer eller handlingsplaner från en organisations ledande befattningshavare som är avsedda att styra beslut, handlingar och uppdragsgivarens skyldigheter.
2.3.2 Informationssäkerhet
2.3.3 Informationssäkerhetspolicy
I uppsatsen kommer definitionen av informationssäkerhetspolicy utgå ifrån MSB:s styrdoku-mentshierarki (Andersson et al., 2011a; Andersson et al., 2011b). Hierarkin består av fem nivåer i följande ordning:
• Första nivån, den som befinner sig högst upp i hierarkin är policy som uttrycker led-ningens vilja i stort
• Andra nivån är interna föreskrifter som innehåller bindande så kallade “ska-regler” • Tredje nivån är riktlinjer för när det inte finns ett behov av bindande regler, så kallade
”bör-regler”
• Fjärde nivån är vägledningar för att ange hur man ska följa föreskrifter och riktlinjer på rätt sätt
• Femte nivån är rutinbeskrivningar som är till för att ge exakta instruktioner för hur ar-betet ska utföras på detaljnivå.
En informationssäkerhetspolicy är således en uppsättning principer eller handlingsplaner från organisationens ledning avsett att styra beslut och handlingar för att skydda en organisations informationstillgångar (Whitman & Mattord, 2016, s 158). Syftet med informationssäkerhets-policyn är att fungera som lagar inom en organisation och klargöra vad som är tillåtet respektive otillåtet och vad konsekvenserna vid överträdelse av dessa är (ibid., s 160).
2.3.4 Efterlevnad
3 Forskningsansats och Metod
I avsnittet presenteras den forskningsansats och metod för insamling som ligger till grund för uppsatsen samt metod för dataanalys.
3.1 Forskningsansats
En kvalitativ studie lämpar sig för det som ska undersökas då en detaljerad beskrivning i hur anställda efterlever informationssäkerhetspolicyn är det som uppsatsen ska besvara och inte hur många som efterlever policyn, fokuset ligger inte på mätbara antal utan på att beskriva ett fe-nomen (Oates, 2006, s 34).
Undersökningen kommer ske genom en kvalitativ enfallsstudie inom en av Uppsala kommuns verksamheter för att ge en detaljerad beskrivning i hur efterlevnaden av informationssäkerhets-policyn ser ut. Enfallsstudie lämpar sig enligt Oates (2006, s 141) för att det som ska undersökas är en instans av ett fenomen och målet är att få en detaljrik bild i fenomenets komplexitet. Oates (2006, s 141–142) konstaterar vidare att med andra ansatser, som undersökning eller experi-ment, förenklas den riktiga världens komplexitet medan en fallstudie fokuserar på de valda fallet i den verkliga världen. Studien kommer baseras på intervjuer med anställda vid verksam-heten och dokumentanalys av informationssäkerhetspolicyn. Fallstudier kan variera i sitt för-hållande till tid, studien kommer ske i ett nulägesperspektiv. Undersökningen kommer beröra hur efterlevnaden av informationssäkerhetspolicyn ser ut under den tiden då undersökningen sker (Oates, 2006, s 144). Valet att göra undersökningen i ett nulägesperspektiv är att vi är ute efter att få en detaljerad beskrivning av hur de anställda som kommer intervjuas efterlever in-formationssäkerhetspolicyn i dagsläget. Detta ska ge oss en djup kunskap i hur efterlevnaden ser ut hos den givna verksamheten. Anställdas efterlevnad av informationssäkerhetspolicy är ett fall från den verkliga världen som är fokus för uppsatsen. Genom beskrivningen av anställ-das efterlevnad är målet att studien ska kunna vara överförbar till andra liknande verksamheter.
3.2 Metod
Avsnittet presenterar hur urvalet av respondenter skett och vilka metoder som valts för uppsat-sens undersökning.
3.2.1 Urval
att framstå i dålig dager. Lundellska skolans resursenhet tackade ja. Efter diskussion med re-sursenheten kom vi gemensamt fram till att yrkesgruppen lärare var dem som enklast kunde göras tillgängliga. Gruppen lärare var även passande då dessa jobbar mycket med elevkontakt och har tillgång till mer information än till exempel elevassistenterna. Dock på grund av verk-samhetens tidsbrist så fick vi dock bara tillgång till fyra av de åtta lärarna som arbetar på en-heten.
3.2.2 Metodval
Undersökningen utgick från semistrukturerade intervjuer och dokumentanalys. Intervjuerna var till för att ge en beskrivning i hur den självupplevda efterlevnaden ser ut bland de lärare som var respondenter. Det som gjorde intervjuer till ett passande val för studien är för att intresset låg i att komma åt respondentens ståndpunkter, åsikter och tolkningar vilket Bryman (2011, s 413–415) beskriver som ett syfte med den kvalitativa intervjun. Intervjuerna kompletterades med en dokumentanalys för att undersöka vad det är som ska efterlevas. Dokumentanalysen är enligt Oates (2006, 233–234) för att få fram den data som organisationen producerat. Motivat-ionen till att använda dokumentanalys är för att kunna undersöka vilken data gällande inform-ationssäkerhet som kommunen producerat. De två metoderna tillsammans ger en bild av hur respondenterna upplever sin egen efterlevnad för att sedan koppla det till de regler som erhålls från dokumentanalysen av informationssäkerhetspolicyn.
Intervjuer
Valet av semistrukturerade intervjuer är för att kunna ha en standardiserad mall över vilka om-råden som ska beröras och eventuella frågor som skall ställas men samtidigt tillåta en öppnare diskussion och tillåta följdfrågor på svar som inte kan förutses (Oates, 2006, s 188).
Utformning av intervjuguiden
Inom en kvalitativ semistrukturerad intervju kan intervjuguiden se ut på olika sätt, vi valde att ha vår som en strukturerad lista över frågeställningar som ska täckas under intervjun (Bryman, 2011, s 419). Den semistrukturerade intervjun tillåter flexibilitet och att fokuset ligger på re-spondentens uppfattning och tolkning av skeenden och frågor (ibid., s 415). Intervjufrågorna som formulerades för intervjuguiden är utformade utifrån de frågeställningar vi har i förhål-lande till den teori vi använder som grund. Bryman (2011, 419–420) ger ett antal råd för förbe-redelsen och utformningen av intervjuguiden:
• Skapa en viss ordning av de teman som ska beröras så att de frågor som rör dessa teman följer varandra på ett bra sätt. Dock ska denna följd kunna ändras under intervjuns gång.
• Formulera frågor på ett sätt som underlättar svar på de frågeställningar som undersök-ningen berör. Undvik för specifika frågor.
• Använd ett språk som respondenten förstår.
• Ställ inte ledande frågor.
• Kom ihåg att fråga eller notera bakgrundsfakta, såsom ålder, kön, roll i organisationen och så vidare. Det är även viktigt att notera specifika bakgrundsfakta för att kunna sätta sig in i respondentens sammanhang.
Utifrån ovanstående punkter utformades intervjuguiden. Vi började med att formulera de olika teman vi ville beröra och vilka frågor vi vill ställa i samband med varje tema. För att ha i åtanke vilka teman som var av intresse och för att ha ett öppet perspektiv mot respondenten lät vi frågeställningen för undersökningen och de olika element från teorin vara antecknade högst upp i intervjuguiden, se bilaga 1. Temana som valdes med tillhörande frågor har grundat sig i den teori som valts för att förklara anställdas efterlevnad av informationssäkerhetspolicy och den frågeställning vår undersökning berör. För att inte missa bakgrundsfakta om respondenten be-stämdes de även att inleda med en fråga som rör respondentens befattning i organisationen för att kunna sätta oss in i respondentens perspektiv. Den följd vi valde på temana och frågorna var dels i den ordning olika begrepp presenterades men även i syfte att få ett bra flöde i intervjun. För att vara kontinuerliga kom vi överens om att ha en förklaring på begrepp som respondenten eventuellt inte kommit i kontakt med förut eller osäker på dess betydelse.
Dokumentanalys
Dokumentanalysen används som data för att ta reda på vad som ska efterlevas när det kommer till informationssäkerhet inom kommunen (Oates, 2006, s 234). Vi kontaktade kommunen via dess generella e-mail för frågor och blev vidarebefordrade till kommunens IT-strateg för att få tillgång till kommunens informationssäkerhetspolicy. Dock fanns inte ett dokument som samlat informationssäkerhetspolicyn, det var spritt på olika dokument. IT-strategen skickade de doku-ment som var relevanta för undersökningen och skärmdumpar från kommunens intranät. I och med att dokumenten rörande informationssäkerhet inte är konfidentiella fanns det inte några svå-righeter för oss att få tillgång till dem (ibid., s 236). Metoden dokumentanalys användes för att kunna etablera vad för riktlinjer och regler som de anställda har att förhålla sig till gällande informationssäkerhet när de arbetar inom den kommunala verksamheten.
3.3 Tillvägagångssätt
3.3.1 Metodik för dataanalys
De intervjuer som genomförts analyserades med hjälp av transkribering och kodning av materi-alet (Oates, 2006, s 193–194). Detta för att utvinna en beskrivning av de intervjuades efterlev-nad av informationssäkerhetspolicyn. Vi analyserade materialet med en kvalitativ dataanalys enligt Oates (2006, s 268) modell. Vi började med att läsa igenom det insamlade materialet och identifiera segment i intervjuerna enligt tre teman:
• Segment som är irrelevant för vår studie.
• Segment som är relevant för att ge ett sammanhang för vår studie. I vårt fall skulle det kunna vara till exempel information/bakgrundsfakta om verksamheten vi undersöker.
• Segment som är relevant för vår frågeställning, sådana som berör efterlevnaden av in-formationssäkerhetspolicyn.
De segment som var irrelevanta för studien gjordes det ingen vidare analys på. De segment som var relevanta för att ge sammanhang gjordes till en sammanställning av information om respon-denterna och verksamheten. Nästa steg var att göra en djupare analys på det material som var relevant för vår frågeställning genom att koda och kategorisera segmenten. Det gjordes genom att ge varje segment ett nyckelord, kategori eller ett tema. Det var en iterativ process där det var nödvändigt att, efter en första omgång av kategoriseringar, titta på dem igen och bryta ner ka-tegorierna i smalare ämnen. Kodningen skedde utifrån den theory of planned behavior som användes vid undersökningen. Den teoretiska ramen består av tre faktorer som därför valts som kategorier, attityd till beteende, subjektiv norm och upplevd kontroll av det egna beteendet. Utöver dessa tre kategorierna relaterade till theory of planned behavior utgick vi även från frå-geställningen som rör efterlevnaden av informationssäkerhetspolicyn, där beteenden som är el-ler inte är i riktlinje med policyn identifierades. När de tre kategorierna identifierades i tran-skriberingarna genomfördes det genom att gå igenom varje transkribering och leta efter seg-ment för en kategori i taget. För att underlätta var olika segseg-ment tillhörande olika kategorier identifierats färgkodades varje transkribering. Första kategorin, attityd till beteende, identifie-rades genom att försöka hitta positiva eller negativa uttryck gentemot efterlevnad av informat-ionssäkerhet. Den andra kategorin, subjektiv norm, identifierades genom att hitta segment där ett tydligt uttryck ges för att det finns en viss förväntan på att ett visst beteende ska utföras, som till exempel förväntan från kollegor. Den tredje kategorin, upplevd kontroll av det egna bete-endet, identifierades genom att finna uttryck för hur lätt eller svårt respondenten upplever de att efterleva ett visst beteende. Resultaten från varje transkribering sammanställdes under de tre kategorierna för att ge en helhetsbild av vad som framkommit under respektive kategori. Sedan gjordes en bedömning av hur stark eller svag påverkan de olika kategorierna har på gruppens intention att efterleva informationssäkerhetspolicyn. Till sist utifrån intervjumaterialet analyse-rades huruvida respondenterna följer de regler och riktlinjer som erhållits från dokumentana-lysen.
4 Empiri
I avsnittet presenteras materialet som samlats in utifrån de dokument som erhållits och de in-tervjuer som genomförts. Först ges en sammanställning av dokumentanalysen för att redogöra vad för dokument som erhållits på området informationssäkerhet. Sedan presenteras de material som framkommit utifrån temat segment som är relevanta för sammanhang, information om verksamheten och respondenterna. Sedan presenteras andra temat segment som är relevanta för frågeställningen, det presenteras genom de kategorier som materialet delats upp i, attityd till beteende, subjektiv norm och upplevdkontroll av det egna beteendet.
4.1 Policy
Dokument Regler Uppmaningar Sammanfattning
Policy för trygghet och säkerhet (se bilaga 9)
Regler för förebyg-gande arbete.
Information om kommunens säkerhetsarbete.
Informationssäkerhet för dig som är chef el-ler verksamhetsansva-rig (se bilaga 2)
Information om hur din roll som chef ser ut i informations-säkerhetsperspektiv
Ditt ansvar för inform-ationssäkerhet (se bi-laga 3)
Hantering av lösenord, e-post, medvetenhet om lagring.
E-post, eget omdöme, länkar till MSB:s DISA-utbildning.
Regler för lösenord (se bilaga 4)
Hantering av lösen-ord, val av lösenord d.v.s. hur lösenordet ska se ut.
Hur lösenordet ska förva-ras om man skriver ner det. Hur lösenordet ska se ut.
Vad lösenordet är till för. Du kan inte använda samma lösen-ord flera gånger.
Phishing eller nätfiske (se bilaga 5)
Kontakta Teleteknik vid osäkerhet.
Vad är phishing. Vilka ber inte om uppgifter via t.ex. e-post. Exempel på phishing(bild).
Arbeta med informat-ionssäkerhet (se bilaga 6)
Lagar och förord-ningar.
Stöd för att beskriva verksamheten. Klassa in-formationen. systematik för ständiga förbättringar
Information om vilka verktyg som finns.
Systematik för ständiga för-bättringar
Regler och riktlinjer för användning av e-post (se bilaga 8)
Lagar och regler. Man får inte skicka sekretessbelagd in-formation via e-post.
Hot eller trakasserier. Om e-posthantering.
Regler för användandet av Internet och Uppsala kommuns intranät (se bilaga 7)
Olika sätt att använda internet på.
Information om reglerna.
Tabell 1. Sammanställning av dokument och dess innehåll.
4.3 En skolverksamhet I Uppsala kommun
verksamheten studerar cirka 40 elever, 7–10 i varje klass, varav de flesta har någon form av diagnos inom AST-spektret, som exempel Aspergers syndrom. Det gör att skolan har hand om en stor mängd känslig information om eleverna i större utsträckning än på andra enheter.
4.3 Respondenterna
Respondenterna är fyra personer som jobbar på Lundellska skolans resursenhet i Uppsala. De har jobbat som lärare i 10–30 år. En av lärarna är även utbildad specialpedagog. Alla respon-denterna utom en har även erfarenhet från att arbeta i andra kommuner.
4.4 Attityd till beteendet
Första kategorin som presenteras från segment som är relevanta för frågeställningen är attityd till beteendet, det presenteras med en sammanställning från vad som framkommit på temat un-der intervjuerna. Det kommer ge en övergripande bild av hur attityden till beteendet ser ut på avdelningen som varit objekt för uppsatsen.
Gemensamt för alla respondenter var att de alla nämner att mailen är offentlig handling och att man därför bör tänka på vad man skriver i e-mail. Som exempel nämner flera respondenter att känslig information inte får skrivas i ett e-mail på ett sådant sätt att det går för en utomstående att förstå vilken elev det kommuniceras om. En av respondenterna nämner att man kan betrakta att mailen är lika säker som en pappersalmanacka. En annan säger att ett e-mail är som vykort, det vill säga inte särskilt säkert. Majoriteten av respondenterna tar upp lösenordet till HR-sy-stemet som ett stort problem, det är långt och framförallt krångligt och leder därför till att det skrivs ner. Lösenordet måste dessutom bytas var tredje månad. Processen för att få ett nytt lösenord till HR-systemet beskrivs också som krånglig. En respondent nämner att hen är dålig på lösenord då hen använder samma lösenord till flera olika konton som är både privata och arbetsrelaterade. En annan respondent tar upp spärrar för att kunna installera program på ar-betsdatorn som ett irriterande moment men påstår även att det är färre spärrar på nuvarande arbetsplats än vid en tidigare anställning. Den av respondenterna som har en extra stark tyst-nadsplikt och bland annat har tillgång till mer information än övriga respondenter berättar att hen tar egna initiativ som att ta bort information om elever som inte längre ska vara sparad hos enheten. Två av respondenterna tar även upp att de brukar vara noga med att tänka på vem som behöver tillgång till vilken information, alla ska inte veta allt. En av respondenterna uttrycker att den inte har något privat intresse av informationssäkerhet. Hen säger att hen försöker göra som alla andra och anser att det är någon annans ansvar att informera hen om säkerheten behö-ver bli bättre. Övriga respondenter säger att de upplebehö-ver sig relativt bra på att tänka informat-ionssäkert.
4.5 Subjektiv norm
Alla respondenterna säger att det är okej att använda arbetsdatorn till privata ändamål så länge det inte går ut över arbetsuppgifterna. Två av respondenterna tar dock upp att mycket av det privata surfandet har förflyttat sig från arbetsdatorn till mobiltelefonen. Alla respondenterna pratar om att det finns en förväntan på att dem att kunna hantera känslig information, bland annat nämns hur känslig information ska kommuniceras via e-mail och hur mycket information som får stå med i åtgärdsprogram. Majoriteten av respondenterna benämner personalen som en grupp, där det finns förväntningar på hur dem ska agera. En av respondenterna säger att man ska kunna säga till en kollega om hen gör något på arbetsdatorn som den inte borde, men säger också “Det går inte att skriva folk på näsan om allting”. En annan respondent säger att denne anser sina kollegor bättre på informationssäkerhet än personen själv men att om direktiv gäl-lande informationssäkerhet kommer uppifrån ska det följas av alla. Något som en annan re-spondent säger om sina kollegor är att de ”är synnerligen trovärdiga och moraliska”. Ingen av kollegorna håller på med konstigheter, det är respondenten helt säker på.
4.6 Upplevd kontroll av det egna beteendet
Den tredje kategorin som presenteras från segment som är relevanta för frågeställningen är den upplevda kontrollen av det egna beteendet, presentationen kommer vara en sammanställning av respondenternas upplevda enkelhet respektive svårighet att efterleva informationssäkerhets-policyn.
5 Analys
I detta avsnitt analyseras dokumenten utifrån MSB:s styrdokumentshierarki och intervjumateri-alet utifrån theory of planned behavior. Utifrån varje kategori analyseras hur stark eller svag påverkan de har på gruppens intention att efterleva informationssäkerhetspolicyn. I slutet sam-manställs gruppens intention till efterlevnad.
5.1 Dokument
Som tidigare konstaterats utgår uppsatsen från MSB:s hierarki för styrdokument och det är ut-ifrån den en analys av de dokument som presenterats i empirin har gjorts. Flera av de dokument som vi fått tillgång till befinner sig på flera nivåer inom styrdokumentshierarkin, det kan dock ses som nödvändigt då dokumenten är ämnesspecifika.
Policy för trygghet och säkerhet (bilaga 9)
Dokumentets syfte är att beskriva hur kommunen förhåller sig till begreppen säkerhet och trygghet men även principer för planering och långsiktigt trygghets- och säkerhetsarbete. Det beskriver på ett väldigt övergripande sätt hur kommunen ska agera kring säkerhetsfrågor. Ex-empel på detta är på det sätt hur arbetet med informationssäkerhet ska ske:
“Informationssäkerhet ska
• förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
• förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.” (Andersson et al., 2011a)
Detta går att beskrivas som ledningens vilja i stort hur informationssäkerhetsarbetet ska bedri-vas. Därför befinner sig detta dokument på den första nivån, policy, i styrdokumentshierarkin (Andersson et al., 2011a) då detta är ett policydokument.
Informationssäkerhet för dig som är chef eller verksamhetsansvarig (bilaga 2)
Dokumentet riktar sig till den som är verksamhetschef eller objektägare och om vilket ansvar de har för informationssäkerhet. Det finns information i dokumentet hur arbetet med informat-ionssäkerhet underlättas genom att besvara vissa frågor genom en processbeskrivning av samheten. Dokumentet innehåller även några exempel på verktyg och stöd för den som är verk-samhetsansvarig. I och med att dokumentet innehåller tillvägagångssätt, alltså praxis, och ex-empel på bra arbetssätt så är detta på fjärde nivån, vägledning, i hierarkin (Andersson et al., 2011a).
Ditt ansvar för informationssäkerhet (bilaga 3)
Regler för lösenord (bilaga 4)
Dokumentet innehåller information om vad lösenordet är till för och regler som gäller för han-tering och val av lösenord. Det gör att dokumentet befinner sig på andra nivån, interna före-skrifter, då det innehåller bindande regler, så kallade ska-regler (Andersson et al., 2011b). Ex-empel från dokumentet som hämtats från kommunens intranät Insidan:
“· Ditt lösenord är personligt och får inte lämnas över till annan person. · Skriv inte ner lösenordet om du inte kan förvara det säkert.
· Ändra lösenord direkt om du tror att lösenordssäkerheten äventyrats.” (Bilaga 4) Phishing och nätfiske (bilaga 5)
Dokumentet innehåller information om vad phishing och nätfiske är för något och vilka var-ningsflaggor som finns för att ett e-mail eller samtal kan vara ett bedrägeriförsök. Det finns även ett bildexempel på ett phishing e-mail med en tillhörande bör-regel att om avsändaradres-sen ser ut som i exemplet ska man inte klicka på länkar eller svara på mailet, och ta bort e-mailet. I och med att dokumentet innehåller en bör-regel så kan den placeras under tredje nivån, riktlinjer, men eftersom dokumentet innehåller handlingsregler för praxis kan det även ses som att det befinner sig på fjärde nivån, vägledning (Andersson et al., 2011b).
Arbeta med informationssäkerhet (bilaga 6)
Dokumentet innehåller dels information om vilka verktyg och metoder som finns tillgängliga för arbete med informationssäkerhet, dels systematik och rutiner för förbättringar. Det nämns även att ISO27001:2017 standarden är vedertagen inom offentlig verksamhet i Sverige. Lagar och förordningar hänvisar till standarden där krav ställs på systematiskt informationssäkerhets-arbete. Eftersom de hänvisas till den vedertagna ISO27001:2017 standarden i de lagar och för-ordningar de måste följa så kan dokumentet kategoriseras under andra nivån, interna föreskrif-ter, då dessa är regler. Dock består större delen av dokumentet av praxis och exempel på råd och rekommendationer (Andersson et al., 2011b).
Regler och riktlinjer för användning av e-post (bilaga 8)
Dokumentet innehåller dels vad för regler och lagar som gäller för kommunanställdas e-mail, men även att information om till exempel e-postsignaturer finns att tillgå genom att klicka på en extern länk. Det finns även riktlinjer för hur till exempel virus och hot och trakasserier ska hanteras. Som framgår tydligt av dokumentets innehåll så finns både ska- och bör-regler, do-kumentet befinner sig på både på andra nivån, interna föreskrifter, vilket är ska-regler och tredje nivån, riktlinjer, som är bör-regler (Andersson et al., 2011b).
Regler för användandet av Internet och Uppsala kommuns intranät (bilaga 7)
Dokumentet innehåller enbart regler kring hur anställda får agera när de använder kommunens datorer, nätverk och på kommunens intranät. I och med att dokumentet endast innehåller ska-regler så befinner sig dokumentet på andra nivån, interna föreskrifter (Andersson et al., 2011a). Exempel på dessa regler är:
“Det är förbjudet att:
• försöka få tillgång till information som man inte har behörighet till
• försöka manipulera eller förstöra information “(Bilaga 7)
5.2 Intervjuer
Under denna rubrik kommer de olika temana från theory of planned behavior analyseras på de material som erhållits via intervjuer. Först kommer det redogöras för vad som erhållits från varje kategori. Utifrån de tre temana kan dess positiva eller negativa effekter påverka styrkan av individens intention att utföra ett visst beteende (Ajzen, 1991). En analys av respondenternas intention kommer redovisas efter kategorierna. Till sist kommer en analys av efterlevnaden utifrån de regler och riktlinjer som erhållits från dokumenten presenteras.
5.2.1 Attityd till beteendet Positiva attityder
Generellt uppvisar alla respondenterna positiva attityder mot ett informationssäkert handlande. Alla respondenterna uttrycker att det är viktigt att tänka på att vad man skriver i e-mail och att känslig information ska endast förekomma på ett sådant vis att ingen utom de som kommuni-cerar kan förstå vem det handlar om. Det kan tolkas som en positiv attityd då det är något alla respondenterna eftersträvar och något som förväntas av dem i sin yrkesroll. Några av respon-denterna har även löst problem dem har stött på rörande informationssäkerhet, som exempel respondenten som använt sig av fingeravtrycksläsaren, vilket även det kan tyda på att de är lösningsorienterade. En respondent nämner att om nya direktiv kommer uppifrån så ska dessa följas. Flera av respondenterna visar även på en förstående attityd mot vissa säkerhetsaspekter som kan upplevas som krångliga, som exempel svåra lösenord eller spärrar för vissa hemsidor. Alla respondenterna tar upp att genom sunt förnuft kan man följa ett informationssäkert hand-lande vilket tyder på en stark positiv attityd.
Negativa attityder
Alla respondenterna uttryckte sig negativt om de svåra lösenord de får till HR-systemet och där processen för att få ett nytt lösenord är krånglig. Majoriteten av respondenterna tycker även att det är irriterande att lösenordet till arbetsdatorn inte går att byta. En respondent laddar ner gra-tisprogram trots att hen vet att det finns en risk att det kan tillkomma skadlig programvara vilket kan ses som en negativ attityd.
5.2.2 Subjektiv norm
finns en tydlig förväntan på att inte skriva ut information som blir lätt att tolka. Det finns alltså en gemensam förståelse av hur information i e-mail ska kommuniceras vilket tyder på en social press att följa det. Endast en av respondenterna nämner att man som kollegor ska kunna säga till varandra om någon gör något som kan äventyra informationssäkerheten. Det kan tolkas som att en social press finns på att göra på ett visst sätt och att kollegornas åsikter om individen är viktiga. Några av respondenterna nämner även att de förväntningar som finns på dem själva är sådant som dem förväntar sig av sina kollegor. Det stärker ytterligare att en social press inte bara är något som upplevs av individerna själva utan att dem även lägger samma press på sina kollegor.
5.2.3 Upplevd kontroll av det egna beteendet
Respondenterna upplever olika svårigheter respektive enkelheter när det gäller informationssä-kerhet. Det som alla respondenterna upplever som en svårighet är att inte ha blivit introducerade till informationssäkerhetspolicyn, vilket resulterar i att de inte vet vad de ska efterleva och vem som är ansvarig för informationssäkerheten. Två av respondenterna tar upp att det finns en svårighet i att hitta informationssäkerhetspolicyn på grund av sökmotorn på kommunens intra-nät. Samtliga respondenter utom en uttryckte att lösenordet till HR-systemet är krångligt och att byta det lösenordet är en krånglig process. Ytterligare problem föreligger eftersom lösenor-det ska bytas var tredje månad och respondenterna sällan använder HR-systemet. En respondent pratar om IT-avdelningen och hur kommunikationen med dessa kan vara svår vilket förhindrar möjlighet till hjälp. Det finns flera hinder för respondenterna att ha kontroll över sitt eget bete-ende vilket resulterar i att det finns en upplevd svårighet med att efterleva ett informationssäkert beteende.
Allt upplevs dock inte som svårt för respondenterna. Samtliga respondenter upplever att följa sunt förnuft är något man kan komma långt på och också gör det lätt att följa ett informations-säkert beteende. Som tidigare nämnts så är alla respondenterna medvetna om att deras e-mail är offentlig handling och att informationen dem kommunicerar genom den därför behöver skri-vas på ett sådant sätt att ingen känslig information kan kopplas till en specifik individ. Det kan tolkas som att försiktigheten med information i offentliga handlingar är något som dem inte upplever svårt att följa. Två respondenter tar bland annat upp phishing, dem upplever ingen svårighet att veta vilka e-mail som kan klassas som okända och att inte klicka på länkar eller öppna bifogade filer är vedertaget, alla bör veta det. Här återkommer de sunda förnuftet som verkar vara en övergripande faktor i hur respondenterna förhåller sig till informationssäkerhet.
5.3 Intention
Den sammantagna bilden av respondenternas attityd till efterlevnad är övervägande positiv, det ska dock tas hänsyn till att några av respondenterna uttrycker sig negativt mot vissa aspekter som berör informationssäkerhet. Lösenordet till HR-systemet är den aspekt till informationssä-kerhet som majoriteten av respondenterna uttrycker sig negativt om. Det är dock en tämligen liten aspekt i förhållande till informationssäkerhet då respondenterna visar positiva attityder gällande hur känslig information delas mellan lärarna och hur okända e-mail hanteras. De flesta aspekter som individerna visade negativa attityder mot var dock individuella, det var endast en respondent som nämnde att hen upplevde spärrar till nedladdning av gratisprogram som irrite-rande. Därav blir det svårare att tala för huruvida vissa negativa attityder påverkar hela gruppens attityd. I och med att målet med undersökningen är att titta på verksamhetens efterlevnad utifrån en yrkesgrupp så kan individuella attityder som inte delas av flera i gruppen bli svåra att avgöra hur pass stor påverkan de har på gruppens intention. Med utgångspunkt i det material som er-hållits som är gemensamt för respondenterna är attityden övervägande positiv och därför kan tyda på en stark påverkan på intentionen.
En motivationsfaktor som visade sig vara stark för alla respondenterna var den subjektiva nor-men, alla uttryckte på olika sätt att kollegornas åsikter var av stor vikt. Alla respondenterna uttryckte att kollegorna var pålitliga människor och att det upplevdes som viktigt att göra så som kollegorna gör. Det kan tyda på att en social press, subjektiv norm, finns att agera på ett visst sätt för det som yrkesrollen som lärare innebär. Som exempel skulle att skriva information som tydligt kan kopplas till en elev av utomstående vara något som inte accepteras i arbets-gruppen. Utifrån att alla respondenter verkar bry sig om sitt anseende i gruppen och visar en medvetenhet om att det de kommunicerar i e-mail är offentliga handlingar så är subjektiv norm en stark faktor som påverkar gruppens intention.
Den sista motivationsfaktorn, upplevd kontroll av det egna beteendet, var den faktor som var mest blandad bland respondenterna. Alla respondenter upplevde vissa svårigheter med att följa informationssäkerheten. Den som var gemensam för alla respondenter och som har stor bety-delse är att de inte blivit introducerad till informationssäkerhetspolicyn. Respondenterna ut-trycker emellertid vissa enkelheter med efterlevnaden av informationssäkerhet, bland annat att man kommer långt på sunt förnuft som att inte öppna bifogade filer i okända e-mail. Utifrån intervjumaterialet är det sunda förnuftet något som positivt påverkar respondenternas intention. Trots att de inte blivit introducerade till informationssäkerhetspolicyn verkar respondenterna ändå uppleva att dem har kontroll över det egna beteendet. Därför har faktorn upplevd kontroll av det egna beteendet en medelstark påverkan på gruppens intention.
5.4 Efterlevnad
6 Avslutning
I det avslutande avsnittet presenteras de slutsatser som dragits utifrån analysen samt en diskuss-ion kring slutsatserna. Förslag för framtida forskning och andra intressanta observatdiskuss-ioner pre-senteras även.
6.1 Slutsatser och diskussion
Baserat på de svar vi erhållit från gruppen respondenter och den analys av policydokument vi gjort har vi kommit fram till följande:
• Intentionen att efterleva informationssäkerhetspolicyn är ganska stark i gruppen.
• Utifrån de riktlinjer, bör- och ska-regler rörande informationssäkerhet som finns, följs dessa av gruppen.
• Gruppen har inte blivit introducerad till informationssäkerhetspolicyn.
Utifrån ovanstående punkter kan tillslut forskningsfrågan ”Hur ser efterlevnaden av informat-ionssäkerhetspolicy ut i en kommunal verksamhet?” besvaras. Då respondenterna tillhörande gruppen lärare efterlever de regler och riktlinjer som finns kring informationssäkerhet utan att blivit introducerade till dessa dokument så är efterlevnaden bra. I och med att gruppen lärare utgör större delen av verksamheten och är den grupp som har tillgång till mer känslig inform-ation än andra yrkesroller på enheten kan slutsatsen dras att efterlevnaden av informinform-ationssä- informationssä-kerhetspolicyn på verksamheten ser bra ut.
Resultatet av den här uppsatsen bör gå att applicera på andra arbetslag inom skolan, men även inom många andra kommunala verksamheter. Det eftersom kommunen har samma gemen-samma informationssäkerhetspolicy men också för att det i kommunen i stort är ungefär gemen-samma mängd och nivå på de system som används av de anställda. I och med de uttalanden som re-spondenterna har gjort i intervjuerna om att de kommer långt på sunt förnuft, både vid nuva-rande anställning och vid tidigare anställningar i andra kommuner, så har vi svårt att se att verksamheten vi tittat på skulle skilja sig avsevärt mot någon annan verksamhet när det kommer till efterlevnad av informationssäkerhet.
Det som är intressant med efterlevnaden av informationssäkerhetspolicyn är det faktum att ingen av respondenterna vet hur den ser ut eller vad en sådan innebär. Ändå så är det så att samtliga av dem följer den. Detta kan förstås bero på att den verksamhet de jobbar inom inte har ett behov av en mer avancerad informationssäkerhetspolicy än att man i princip klarar att efterleva den genom sunt förnuft. Det skulle också kunna förklara varför arbetsgivaren lägger så pass liten vikt vid att underrätta de anställda hur informationssäkerhetspolicyn ser ut eller var de kan få tillgång till den. Samtidigt så är vetskap om policyn något som samtliga respon-denter efterfrågat under intervjuerna. Att då ha dokumenten utspridda på intranätet gör det inte enklare för de anställda att hitta vilka regler det är som gäller.
antagande att det skulle vara attityden tillsammans med upplevd kontroll av det egna beteendet som skulle vara dem faktorer med starkast påverkan. Utifrån det som kommit fram under inter-vjuerna kan vi endast spekulera i varför den subjektiva normen påverkar intention mer än attityd och upplevd kontroll av det egna beteendet. Två förklaringar som vi diskuterat är att det kan bero på att:
• Yrkesgruppen i sina arbetsuppgifter endast använder sig av en mindre mängd teknik och system och därför inte upplever en större mängd hinder.
• Lärargruppen är på endast 8 personer och den subjektiva normen därför ökar påverkan på intentionen då det kan bli mer uppenbart om någon i gruppen brutit mot någon av de regler som finns.
Dessa förklaringar är endast spekulationer och skulle kräva vidare undersökning för att kunna klargöra varför den subjektiva normen har störst påverkan.
En annan intressant aspekt som skulle kunna tala för generaliserbarheten i resultatet är det fak-tum att Miljöförvaltningen som tackade nej till att delta eftersom de misstänkte i förväg att de anställda inte skulle känna till policyn och att det därför skulle ge ett för förvaltningen negativt resultat. Samma tankar hade Resursenheten på Lundellska men istället med inställningen att “är det så att vi är dåliga på informationssäkerhet så är det ju bra att vi får reda på det”. Det tyder på en samarbetsvilja och en önskan om att få veta hur efterlevnaden av informationssä-kerhet ser ut på enheten. Flera av respondenterna upplevde även ämnet som spännande och ville gärna ta del av de dokument vi använt oss av. Då vi endast kunde täcka in hälften av de anställda lärarna på enheten är det något som går att kritisera eftersom vi klart hade fått ett starkare re-sultat för generaliserbarheten om vi hade kunnat visa hela populationen av lärares efterlevnad och inte bara hälften.
6.2 Övriga intressanta iakttagelser och vidare forskning
Källförteckning
Ajzen, I. (1991). The theory of planned behavior. Organizational Behavior and Human Decis-ion Processes, 50(2), pp.179-211.
Andersson, Helena., Andersson, Jan-Olof., Björck, Fredrik., Eriksson, Martin., Eriksson, Re-becca., Lundberg, Robert., Patrickson, Michael., Starkerud, Kristina. 2011a. https://www.in- formationssakerhet.se/siteassets/gamla-metodstodet-for-lis/3.-utforma/utforma-policy-och-styrdokument.pdf (hämtad 2019-04-12)
Andersson, Helena., Andersson, Jan-Olof., Björck, Fredrik., Eriksson, Martin., Eriksson, Re-becca., Lundberg, Robert., Patrickson, Michael., Starkerud, Kristina. 2011b. https://www.in- formationssakerhet.se/siteassets/gamla-metodstodet-for-lis/1.-forbereda/introduktion-till-me-todstodet.pdf (hämtad 2019-05-03)
Bakesgård, Jörgen. 2017.
http://www.xn--fretagsverksamhet-zzb.se/kvalitetssakring/informationssakerhet-en-fraga-for-ledningen (hämtad 2019-05-02)
Björk, Evalis. 2017. Brister i informationssäkerheten hos Göteborg stad: “Det är dålig ordning och reda”. 14 december.
http://www.gp.se/nyheter/g%C3%B6teborg/brister-i-informationss%C3%A4kerheten-hos-g%C3%B6teborg-stad-det-%C3%A4r-d%C3%A5lig-ordning-och-reda-1.4929124 (hämtad 2019-02-05)
Bryman, A. (2011). Samhällsvetenskapliga metoder. Johanneshov: TPB
Budzak, D. (2016) ‘Information security – The people issue’, Business Information Review, 33(2), pp. 85–89. doi: 10.1177/0266382116650792.
Bulgurcu, B., Cavusoglu, H. and Benbasat, I. (2010). Information Security Policy Compliance: An Empirical Study of Rationality-Based Beliefs and Information Security Awareness. MIS Quarterly, 34(3), p.523.
Curtis W. Dukes. 2015. Committee on National Security Systems (CNSS) Glossary. CNSS https://rmf.org/wp-content/uploads/2017/10/CNSSI-4009.pdf (hämtad 2019-02-05)
Eisenhardt, K. M. (1989) Agency Theory: An Assessment and Review, The Academy of Ma-nagement Review, 14, 1, 57-74.
Gartner Inc. 2018
Kajtazi, M., Bulgurcu, B. (2013). Information Security Policy Compliance: An Empirical Study on Escalation of Commitment. Proceedings of the Nineteenth Americas Conference on Inform-ation Systems, Chicago, Illinois, August 15-17, 2013.
Lille, Lotta. 2019. Svidande kritik av kommunal IT-säkerhet. Femte februari.
https://www.unt.se/nyheter/enkoping/svidande-kritik-av-kommunal-it-sakerhet-5207261.aspx (hämtad 2019-02-05)
Mavetera, N., Dinah Moroke, N. and Sebetlele, A. (2015). AN EMPIRICAL STUDY OF STAFF COMPLIANCE TO INFORMATION SECURITY POLICY IN A SOUTH AFRICAN MUNICIPALITY. Corporate Ownership and Control, 13(1).
MSB, 2015 https://www.informationssakerhet.se/Om-informationssakerhet-kon/vad_ar_in-formationssakerhet/ (hämtad 2019-04-01) MSB, 2017 https://www.msb.se/nya-rekommendationer-till-kommuners-arbete-med-informationssakerhet (hämtad 2019-04-12) Nationalencyklopedin,policy. http://www.ne.se.ezproxy.its.uu.se/uppslagsverk/ord-bok/svensk/policy (hämtad 2019-02-15)
Oates, Briony J., Researching information systems and computing, SAGE, London, 2006 Pahnila, S., Siponen, M. and Mahmood, A. (2007). Employees' Behavior towards IS Security Policy Compliance. 2007 40th Annual Hawaii International Conference on System Sciences (HICSS'07).
PwC (2019) https://www.pwc.se/sv/cyber-security.html (hämtad 2019-05-02)
Sohrabi Safa, N., Von Solms, R. and Furnell, S. (2016). Information security policy compliance model in organizations. Computers & Security, 56, pp.70-82.
Sommestad, T. and Hallberg, J. (2013). A Review of the Theory of Planned Behaviour in the Context of Information Security Policy Compliance. Security and Privacy Protection in In-formation Processing Systems, pp.257-271.
Bilagor
Bilaga 1
Intervjuguide Forskningsfrågor
• Hur efterlevs informationssäkerhetspolicyn inom kommunal verksamhet?
• Hur kommer anställda i kontakt med informationssäkerhetspolicydokumentet och hur motiveras de att följa dem?
Teori
• Attityden mot beteendet, innebär i vilken grad en individ har en gynnsam respektive
ogynnsam utvärdering eller bedömning av beteendet.
• Subjektiv norm, denna faktor hänvisar till den uppfattade sociala pressen att utföra
respektive inte utföra beteendet.
• Upplevda kontrollen av det egna beteendet, vilket som tidigare nämnt är enkelheten
respektive svårigheten att utföra beteendet.
Intervjufrågor
Beskriv din befattning inom organisationen?
Har du en personlig arbetsdator?
Om ja: hur använder du datorn i dina arbetsuppgifter? Använder du din arbetsdator till privata ärenden under arbetsdagen?
Vad är enligt dig den generella uppfattningen att man får använda datorn till privata ändamål?
Kan du beskriva vad en informationssäkerhetspolicy är?
Kan du beskriva vad som ingår i en informationssäkerhetspolicy?
Om ja: hur blev du introducerad till den? I vilken form?
Om nej: fick du på något annat sätt information om hur hanteringen av information ska ske och vad som är tillåtet respektive inte tillåtet?
Vilken typ av information hanterar du i ditt dagliga arbete?
Funderar du någonsin på hur känslig informationen är när du arbetar med den?
Erhåller ni som personal någon form av utbildning i informationssäkerhet?
Om ja: vad för utbildning? Beskriv gärna.
Vet du vem som är ansvarig för informationssäkerhetspolicyn?
Finns det någon uppföljning av hur informationssäkerhetspolicyn efterlevs?
Hur motiveras ni att följa informationssäkerhetspolicyn?
Kan du beskriva hur du och dina kollegor arbetar för att följa informationssäkerhetspolicyn?
Hur tycker du att du själv efterlever den policyn?
Finns det något med informationssäkerheten du upplever som svårt att efterleva?
Bilaga 2
Informationssäkerhet för dig som är chef eller verksamhetsansvarig
Du som är chef eller har en roll som verksamhetsansvarig eller objektägare har ett sär-skilt ansvar för informationssäkerhet i din verksamhet.
Informationssäkerhet handlar om ett systematiskt arbete med att minimera risker för att lyckas med genomförandet av uppdraget.
Arbetet med informationssäkerhet underlättas om det går att svara på frågor som syfte, varför, vem, med vad, på vilket sätt och hur. Det kan göras genom att det finns processbeskrivningar för verksamheten.
Ett annat perspektiv är att kunna svara på om det blev som vi tänkte, genom att följa upp och identifiera avvikelser och incidenter.
Exempel på stöd och verktyg för dig som verksamhetsansvarig: - Processbeskrivningar
- Informationshanteringsplaner
- Förteckning över personuppgiftsbehandling
Bilaga 3
Ditt ansvar för informationssäkerhet
Du är viktig. Även om vi har infört många skyddsåtgärder för informationen så är det till sist ditt handlande och ansvarstagande som avgör.
Du bör till exempel tänka på hur du hanterar dina lösenord, att du är försiktig med vilka länkar du klickar på och hur du använder datorn eller din mobiltelefon i tjänsten.
Det handlar också om att du är medveten om vilken information du skickar på e-post, lagrar på G:\ eller pratar om när du är bland okända.
Du bör vara restriktiv med hur du använder din e-postadress du fått genom anställningen. E-postadressen kan användas för att skicka skadliga meddelanden till dig (SPAM, phishing etc.) samtidigt som posten kan begäras ut som allmän handling. Skaffa därför gärna en privat e-postadress för privata syften.
Mer information
På MSB:s webbplats finns en e-utbildning där du kan lära dig mer om informationssäkerhet och testa dina kunskaper:
Datorstödd informationssäkerhetsutbildning för användare (DISA) Läs mer på MSB:s webbplats för privatpersoner om risker och säkerhet
På Insidan, under ämnet IT, telefoni och digitalisering, finns information om vad som gäller inom kommunen:
Bilaga 4
Regler för lösenord
Lösenordet är en metod för att verifiera att användaren är behörig att använda system och få tillgång till information.
Hantera ditt lösenord
· Ditt lösenord är personligt och får inte lämnas över till annan person. · Skriv inte ner lösenordet om du inte kan förvara det säkert.
· Ändra lösenord direkt om du tror att lösenordssäkerheten äventyrats. Välja lösenord
· Välj lösenord som du lätt kommer ihåg.
· Välj lösenord som inte har samband med dig eller som andra lätt kan gissa sig till. · Historiken för ditt lösenord sparas i 11 generationer. Det innebär att du inte kan återan-vända de 11 senaste lösenorden.
Lösenordets längd och sammansättning
Det finns regler i kommunen för lösenordets längd och sammansättning.
Ditt lösenord måsta vara minst 8 tecken långt och uppfylla minst tre av de fyra kraven: 1. Minst en liten bokstav (a till z) å, ä och ö är ej godkända.
2. Minst en stor bokstav (A till Z) Å, Ä och Ö är ej godkända. 3. Minst en siffra (0 till 9)
4. Minst ett specialtecken (t.ex !, $, #, %)
Bilaga 5
Phishing eller nätfiske
Phishing eller nätfiske är namn på ett bedrägeri som går ut på att "fiska" efter konto- eller kort-information genom att man säger sig mejla/ringa eller SMS:a från ett företag, myndighet eller en bank. Meddelandet innehåller ofta ett brådskande budskap om återbetalning av pengar, fel på tjänsten eller att man måste verifiera sina kunduppgifter.
Uppsala kommun eller företag som Microsoft, Apple, Telia, PostNord eller banker ber aldrig om kortuppgifter genom att mejla, skicka SMS eller ringa upp.
Om du skulle få ett mejl, SMS eller blir uppringd:
där man hänvisar till en återbetalning eller verifiering av dina annonser eller ditt konto där man bifogat en klickbar länk till sida där du uppmanas lämna ifrån dig kontouppgifter, kortnummer, CCV kod och andra kortuppgifter så är detta ett bedrägeriförsök.
Kontakta Teleteknik på 018-726 00 30, Val 1 om du är osäker.
Bilaga 6
Arbeta med informationssäkerhet
Arbetet med informationssäkerhet behöver så långt som möjligt ta sig uttryck och ske integrerat i de dagliga rutinerna inom såväl kärnprocesserna som i lednings- och stödprocesser.
Det är när vi får stöd i att göra rätt i vardagen som möjligheterna till säker informationshantering blir som bäst. Informationssäkerhet behöver från första början ingå som en del i all verksam-hetsutveckling. Det blir mest kostnadseffektivt och minskar risken för oförutsedda problem. Ett exempel är i GDPR där uttrycket "privacy-by-design" används för att inkludera frågan om in-tegritet vid behandling av personuppgifter.
Nedan följer några länkar till metoder, verktyg och områden som på ett eller annat sätt påverkar eller hjälper oss att utforma informationssäkerheten i vår verksamhet.
Stöd för att beskriva verksamheten
Följande verktyg och metoder kan du använda för att beskriva verksamheten och därigenom kunna identifiera risker och åtgärder:
· Processbeskrivningar
Är ett stöd för att beskriva vilken information som hanteras och därigenom identifiera till ex-empel rättslig grund för behandlingen av personuppgifter enligt GDPR och krav från andra interna och externa regelverk.
· Informationshanteringsplaner
Kopplar ihop bland annat verksamhetsprocessen, handlingar och var informationen lagras. · Förteckning över personuppgiftsbehandling
Förteckningen utgör grunden för att kartlägga och bedöma behov av skyddsåtgärder. · KLASSA
SKL:s verktyg för att ta fram krav som bör uppfyllas av det IT-stöd som behandlar informat-ionen, utifrån värderingen av informationens skyddsbehov.
· Riskhantering
Metodik som är kommungemensam.
Systematik och rutiner för ständiga förbättringar · Förvaltningsobjekt
I förvaltningsmodellen pm3 ingår ett systematiskt arbete med IT-stöden. Till exempel att hålla registerförteckningar uppdaterade, utvärdera risker och ta fram förbättringsåtgärder.
· Verksamhetsplanering och uppföljning
Identifiera risker som kan påverka uppdraget och aktiviteter för att hantera riskerna. · Avvikelser/incidenter PU-incidenter
Stöd för att hantera incidenter när de uppstår, för lärande och ständiga förbättringar.
Anmäla personuppgiftsincident
· Verksamhetsutveckling
Inom projekt behöver risker både med avseende på själva genomförandet av projektet och pro-jektets resultat hanteras. Informationssäkerheten berör såväl det IT-stöd som ska levereras som det arbetssätt som ska införas i verksamheten.
· Upphandling
Viktigt att få med informationssäkerhetskrav när vi upphandlar. Behov av personbiträdesavtal behöver identifieras tidigt i upphandlingsprocessen.
Bilaga 7
Regler för användande av Internet och Uppsala kommuns intranät
Syftet med kommungemensamma regler för användande av Internet och kommunens intranät är att användandet ska ske på ett säkert och effektivt sätt. Reglerna gäller för alla som använder kommunens datorer och nätverk. Internet är ett arbetsverktyg som får användas för privat bruk endast om det inte inkräktar på arbetet eller medför kostnader för arbetsgivaren.
Det är förbjudet att:
• förolämpa, förtala eller på annat sätt orsaka problem för personer, verksamheter/organisationer eller företag via Internet
• försöka få tillgång till information som man inte har behörighet till • göra massutskick som belastar nätverket
• medverka till att sprida virus
• försöka manipulera eller förstöra information
• försöka dölja sin användaridentitet (utom när det är tillåtet)
• ladda ner upphovsrättsskyddat material, till exempel musik, bilder och film.
Det är heller inte tillåtet att, om det inte har direkt anknytning till arbetsuppgifterna eller har givits
tillstånd av lägst avdelningschef, via kommunens arbetsstationer och nät ta fram eller söka efter sidor med pornografi, våld, droger, rasism eller spel och dobbel.
Bilaga 8
Regler och riktlinjer för användning av
e-post
Postadress: Uppsala kommun, kommunledningskontoret, 753 75 Uppsala Telefon: 018-727 00 00 (växel)
2 (6)
Innehållsförteckning
Allmänt ... 3
Känsliga uppgifter ... 4
Allmän handling och diarieföring ... 4
Handlingar som ska registreras ... 4
Postöppning vid semester eller annan längre frånvaro ... 5
Vidarebefordran ... 5
E-postsignatur ... 5
Massutskick och kopior ... 5
E-postbegränsningar ... 5
Falska mejl - virus ... 6
Skräppost ... 6
Hot eller trakasserier via e-post ... 6
E-postloggar och raderade mail ... 6
