INOM EXAMENSARBETE INDUSTRIELL EKONOMI,AVANCERAD NIVÅ, 30 HP

, STOCKHOLM SVERIGE 2017

Informationssäkerhet i fordonsindustrin- En fallstudie i tre företag

EMMA MATTOLA

DALIA SABRI SLEWA

KTHSKOLAN FÖR INDUSTRIELL TEKNIK OCH MANAGEMENT

Informationssäkerhet i fordonsindustrin – En fallstudie i tre företag

av

Emma Mattola Dalia Sabri Slewa

Examensarbete INDEK 2017:107 KTH Industriell teknik och management

Industriell ekonomi och organisation SE-100 44 STOCKHOLM

Information security in the automotive industry – A case study with three

companies

by

Emma Mattola Dalia Sabri Slewa

Master of Science Thesis INDEK 2017:107 KTH Industrial Engineering and Management

Industrial Management SE-100 44 STOCKHOLM

i

Examensarbete INDEK 2017:107

Informationssäkerhet i fordonsindustrin – En fallstudie i tre företag

Emma Mattola

Dalia Sabri Slewa

Godkänt

2016-06-08 Examinator

Monica Lindgren Handledare

Marianne Ekman Rising Uppdragsgivare

Kontaktperson

Sammanfattning Den tekniska utvecklingen går snabbt framåt och majoriteten av ett företags information finns idag lagrad digitalt. En organisations information är viktig och är ofta nyckeln till dess tillväxt och framgång. I informationen finns företagets kunskap och därför är det viktigt att hindra konkurrenter och andra personer att nå den. Därför behöver företag arbeta med informationssäkerhet som handlar om att skydda information från obehöriga. Informationssäkerhet består av teknisk säkerhet och administrativ säkerhet. Företag har idag en ökad tendens att enbart förlita sig på tekniken när det gäller att säkra sin information men studier visar dock att användarna ofta är den svaga länken i informationssäkerheten. Fordonsindustrin är en stor och högteknologisk bransch och högteknologiska företag är oftare utsatta för dataintrång och industrispionage än andra företag. Syftet med denna studie är att undersöka hur företag inom fordonsindustrin arbetar med informationssäkerhet och vilka inloggningsmetoder de använder för att se om det finns några likheter eller skillnader inom dessa områden mellan företag som arbetar inom samma industri och med liknande varor och tjänster. I denna studie studeras tre företag som är leverantörer och underleverantörer i fordonsindustrin. Totalt genomfördes 17 semistrukturerade intervjuer med både användare och IT-ansvariga. Resultatet visar att dessa företag arbetar med både teknisk säkerhet och administrativ säkerhet. De använder sig av användarnamn och lösenord som inloggningsmetod vilket användarna har svårt att hantera. Graden av hur hög informationssäkerhet ett företag behöver ha påverkas av vilken bransch det verkar i och vilka potentiella risker företaget har. Dessa företag behöver inte ha lika hög säkerhet som ett kärnkraftverk, som behöver ha en extremt hög informationssäkerhet men betydligt högre säkerhet än en vanlig matvaruaffär.

Nyckelord: Informationssäkerhet; Autentisering; CIA-triaden; PDCA-modellen; Organisation; Struktur; Kultur

ii

Master of Science Thesis INDEK 2017:107

Information security in the automotive industry – A case study with three companies

Emma Mattola

Dalia Sabri Slewa

Approved

2016-06-08 Examiner

Monica Lindgren Supervisor

Marianne Ekman Rising Commissioner

Contact person

Abstract The technological developments of our age are advancing ever further and today the majority of a company’s information is stored digitally. This is in no small due because an organization's information is the key to its very growth and success. What is more is that the accumulated technological knowledge and development is housed in servers and other forms of hardware, hardware that competitors often try to access. As a result, most companies are forced to invest resources it comes to the security of information. This information security consists of technical security and administrative security. The tendency most companies have today is to rely on technological hardware to protect their information, whilst other studies show that it is in fact the users that are the cause of a security breach in most cases. The automotive industry is a vast and a highly technological industry. As such, it is more often plagued by digital breach attempts and corporate espionage than most other industries. Which leads us to the purpose of this study, namely to investigate how companies in the automotive industry handle information security and what authentication methods the employ whilst also investigating if there are any similarities and discrepancies between how companies in the same industry relate to this issue. In addition, all three companies involved in this study work as suppliers and subcontractors for the automotive industry and in total 17 semi-structured interviews were conducted with their users and head of their respective IT department. Our results show that all three companies employ the principles of administrative and technological security by enforcing the use of usernames and passwords as an authentication method even though this has caused some discomfort with their employees. Yet, the issue remains as to what degree a company needs to invest in information security. Mainly, it comes down to what kind of industry the company is involved in and its inherited risks. The companies in question do not need to have a security system in place that mimics the level of a nuclear power plant, but it should exceed that of a local supermarket. Key-words: Information security; Authentication; CIA-triad; PDCA-model; Organisation; Structure; Culture

iii

Innehållsförteckning

1. INTRODUKTION  ...........................................................................................................................  1  

1.1  BAKGRUND  ........................................................................................................................................  1  1.2  PROBLEMFORMULERING  .......................................................................................................................  2  1.3  FRÅGESTÄLLNINGAR  ............................................................................................................................  3  1.4  SYFTE  ...............................................................................................................................................  3  1.5  BIDRAG  .............................................................................................................................................  3  1.6  AVGRÄNSNINGAR  OCH  BEGRÄNSNINGAR  ..................................................................................................  4  1.7  DISPOSITION  ......................................................................................................................................  4  

2. TEORETISKT RAMVERK  ............................................................................................................  6  

2.1  INFORMATION  ....................................................................................................................................  6  2.2  INFORMATIONSSÄKERHET  .....................................................................................................................  6  2.2.1 CIA-TRIADEN  ......................................................................................................................................  8  2.2.2 INFORMATIONSSÄKERHETSUTBILDNING  .............................................................................................  9  2.3  AUTENTISERING  ..................................................................................................................................  9  2.3.1 LÖSENORD  .........................................................................................................................................  10  2.3.2 SINGLE-SIGN-ON  ...............................................................................................................................  12  2.4  HOT  ...............................................................................................................................................  13  2.5  LEDNINGSSYSTEM  FÖR  INFORMATIONSSÄKERHET  .....................................................................................  13  2.6  PDCA-­‐MODELLEN  .............................................................................................................................  14  2.7  ORGANISATION  ................................................................................................................................  15  2.7.1 OMGIVNING  .......................................................................................................................................  16  2.7.2 KULTUR  .............................................................................................................................................  17  2.7.3 SOCIAL STRUKTUR  .............................................................................................................................  19  2.7.4 FYSISK STRUKTUR  .............................................................................................................................  19  2.7.5 TEKNOLOGI  .......................................................................................................................................  20  

3. METOD  .........................................................................................................................................  21  

3.1  VAL  AV  METOD  .................................................................................................................................  21  3.2  FALLSTUDIE  ......................................................................................................................................  21  3.3  URVAL  AV  FÖRETAG  ...........................................................................................................................  22  3.4  URVAL  AV  RESPONDENTER  ..................................................................................................................  22  3.5  INTERVJUER  .....................................................................................................................................  22  3.6  LITTERATURSÖKNING  .........................................................................................................................  23  3.7  ANALYS  AV  DATA  ..............................................................................................................................  24  3.8  KVALITÉ  AV  ANALYS  ...........................................................................................................................  24  3.8.1 RELIABILITET  ....................................................................................................................................  24  3.8.2 VALIDITET  .........................................................................................................................................  25  3.8.3 GENERALISERING  ..............................................................................................................................  25  3.9  ETISKA  ASPEKTER  ..............................................................................................................................  25  

4. RESULTAT OCH ANALYS  .........................................................................................................  27  

4.1  FÖRETAGEN  .....................................................................................................................................  27  4.2  IT-­‐AVDELNINGENS  ROLL  I  INFORMATIONSSÄKERHET  ..................................................................................  27  4.2.1 FYSISK STRUKTUR  .............................................................................................................................  28  4.2.2 BEHÖRIGHETER OCH RUTINER  ...........................................................................................................  29  4.3  UTBILDNING  ....................................................................................................................................  32  

iv

4.3.1 SÄKERHETSPOLICY  ............................................................................................................................  32  4.3.2 UTBILDNING I INFORMATIONSSÄKERHET  ..........................................................................................  35  4.3.3 STANDARD  .........................................................................................................................................  38  4.4  SÄKERHET  ........................................................................................................................................  40  4.4.1 INLOGGNINGSMETOD  ........................................................................................................................  40  4.4.2 INLOGGNING UTANFÖR FÖRETAGET  ..................................................................................................  42  4.4.3 ANTAL INLOGGNINGAR  .....................................................................................................................  43  4.4.4 SINGLE-SIGN-ON  ...............................................................................................................................  44  4.4.5 KONTROLL AV MOTTAGARE  ..............................................................................................................  45  4.4.6 KRYPTERING  ......................................................................................................................................  46  4.5  LÖSENORD  .......................................................................................................................................  47  4.5.1 ANTAL LÖSENORD  .............................................................................................................................  47  4.5.2 STRATEGI FÖR LÖSENORD  .................................................................................................................  48  4.5.3 BYTE AV LÖSENORD  ..........................................................................................................................  52  4.5.4 UTLÅNING AV INLOGGNINGSUPPGIFTER  ...........................................................................................  52  

5. SLUTSATS OCH DISKUSSION  ..................................................................................................  56  

5.1  HUVUDFRÅGESTÄLLNING  ....................................................................................................................  56  5.2  DELFRÅGA  1  ....................................................................................................................................  57  5.3  DELFRÅGA  2  ....................................................................................................................................  59  5.4  INVERKAN  PÅ  HÅLLBARHET  ..................................................................................................................  61  5.4.1 EKONOMISKT HÅLLBART  ...................................................................................................................  61  5.4.2 SOCIALT HÅLLBART  ..........................................................................................................................  62  5.4.3 EKOLOGISKT HÅLLBART  ...................................................................................................................  62  5.5  VIDARE  FORSKNING  ...........................................................................................................................  62  

6. KÄLLFÖRTECKNING  ................................................................................................................  63  

BILAGA A  ........................................................................................................................................  67  

BILAGA B  ........................................................................................................................................  69  

v

Figurförteckning Figur 1. Disposition av rapporten. .................................................................................................. 5  Figur 2. Illustration av informationssäkerhet (Informationssäkerhet i Sverige och internationellt,

2004). ....................................................................................................................................... 7  Figur 3. CIA-triaden, information skyddas med hjälp av konfidentialitet, integritet och

tillgänglighet (Panel, 2017). .................................................................................................... 8  Figur 4. Genom att lägga till en siffra till lösenordet förbättrar användaren säkerheten och

förlänger tiden det tar för ett system att knäcka det (AM System, 2017). ............................ 12  Figur 5. PDCA-metoden går ut på att kontinuerligt förbättra arbetsformen och

säkerhetslösningar (Creativesafetysupply, 2017). ................................................................. 14  Figur 6. Hur en organisation ser ut och vilka delar den består av (Hatch, 2002, s. 34). .............. 16  Figur 7. Scheins tre kulturella nivåer (Hatch, 2002, s. 242). ........................................................ 18  

vi

Tabellförteckning Tabell 1. Användarna har mellan två och 15 lösenord. ................................................................ 48  Tabell 2. I Tabell 2 framkommer det om användarna använder enkla eller svåra lösenord. ........ 48  Tabell 3. Sammanställning av hur många användare som brukar skriva ner sina lösenord. ........ 50  Tabell 4. En sammanställning över om användarna har lånat ut sina inloggningsuppgifter eller

inte. ........................................................................................................................................ 53  Tabell 5. En sammanställning över om användarna har lånat sina kollegors inloggningsuppgifter

eller inte. ................................................................................................................................ 53  

vii

Förord Denna examensrapport är skriven vid institutionen för industriell ekonomi och management vid KTH, Kungliga Tekniska Högskolan i Stockholm/ Sverige under våren 2017. Till att börja med vill vi uttrycka vår uppriktiga tacksamhet till vår handledare Marianne Ekman Rising vid institutionen Organisation och ledning vid KTH. Marianne Ekman Rising har guidat, uppmuntrat och gett oss konstruktiv kritik som har varit avgörande i ledningen för denna studie. Vi vill även tacka de tre företagen som deltagit i denna studie. Stort tack till de personer som varmt tagit emot oss när vi har varit på besök och stort tack till alla personer som ställt upp på att bli intervjuade och delat med sig av sina erfarenheter. Vi vill också tacka de två konsulter som hjälpt oss och kommit med lite tips och idéer om framför allt olika inloggningsmetoder. Sist men inte minst vill vi uttrycka vårt uppriktiga tack till våra familjer som har stöttat och uppmuntrat oss under hela processen. Vi är uppriktigt tacksamma för den hjälp vi har fått från alla personer som har varit involverade i arbetet med vår examensrapport! Emma Mattola & Dalia Sabri Slewa Stockholm, maj 2017

viii

Konceptuella förklaringar Informationssäkerhet består av teknisk säkerhet och administrativ säkerhet och finns för att

skydda information.

Användare en person/medarbetare som använder dator och system på jobbet.

Autentiseringsmetod även inloggningsmetod, den metod som används vid inloggning av system och datorer.

PDCA är en metod som delar in arbetet i fyra faser, planera (plan), göra (do), studera (check), agera (act), och används oftast för systematiskt förbättringsarbete.

CIA-triaden är en modell som består av konfidentialitet (confidentiality), integritet (integrity) och tillgänglighet (availability). Används för att uppnå säkerhet för information.

DISA Datorstödd informationssäkerhetsutbildning för användare som erbjuds kostnadsfritt av myndigheten för samhällsskydd och beredskap.

GDPR Data Protection Regulation, allmänna dataskyddsförordningen, en ny lag som börjar gälla 25 maj 2018. Syftet ät att stärka skyddet för fysiska personer vid behandling av personuppgifter inom EU.

KPI KTHB FKG

Key Performance Indicator, arbetskvalitetsundersökning. Kungliga tekniska högskolans bibliotek. Fordonskomponentgruppen, är branschorganisationen för de Skandinaviska underleverantörerna till fordonsindustrin.

1

1. Introduktion Det här kapitlet innehåller en genomgång av den pågående tekniska utvecklingen och hur detta påverkar informationssäkerheten. Utöver detta presenteras problemformulering, frågeställningar, syfte, avgränsningar och förväntat bidrag av denna forskning.

1.1 Bakgrund Under de senaste åren har den tekniska utvecklingen gått allt snabbare och snabbare. Digitaliseringen gör att företags hela affärskultur överförs till en virtuell digital verklighet. Den tekniska utvecklingen ritar om kartan för hur samhället fungerar, hur företag gör affärer och hur information sparas och används (Underlätta omställningen till ett digitaliserat samhälle, 2017). Digitaliseringen kan från de flesta perspektiv ses som något positivt och den bidrar till att allt fler applikationer och tjänster blir molnbaserade (Hwang & Sun, 2014). Den snabba utvecklingen för däremot med sig en del utmaningar som i vissa fall kan vara nackdelar för företag. Det främsta problemet är hantering av information och dess säkerhet. Information är grundläggande och nödvändig i en organisation, och är ofta nyckeln till organisationers tillväxt och framgång. I information finns kunskap och den är en tillgång för både individer och organisationer. Information kan kommuniceras, den kan sparas och det är möjligt att styra processer med hjälp av den. Den information som finns idag är viktig, till exempel information inom vården, där den till och med kan vara livsviktig för en patient. Om information försvinner eller blir manipulerad kan det göra en stor skada. Det kan handla om allt från att en patient dör till att ritningar och affärshemligheter kommer ut, därför är det viktigt att skydda information efter behov (Informationssakerhet, 2017). Det är även lika nödvändigt för en organisation att kontinuerligt utveckla säkerheten i processerna gällande informationshantering för att kunna öka kvaliteten och förtroendet i verksamheten. Informationssäkerhet består av både teknisk säkerhet och administrativ säkerhet (Informationssäkerhet i Sverige och internationellt, 2004). Inom vården och i företag som arbetar med konstruktion är informationssäkerhet en viktig aspekt (Informationssakerhet, 2017). I nuläget finns det flera studier om hur företag inom vården arbetar och utvecklar rutiner när det gäller informationssäkerhet (Uppföljning av informationssäkerhet i vården, 2015). En viktig del för att kunna upprätthålla informationssäkerheten är till exempel att företag har en säker autentiseringsmetod. Vid inloggning kopplas användare och teknik samman, vilket kan vara en utmaning om inloggningsmetoden är för svår eller för komplicerad för användaren. Detta kan leda till att användaren slarvar med lösenordshanteringen, vilket kan resultera i att obehöriga kommer åt inloggningsuppgifterna (Hwang & Sun, 2014).

2

1.2 Problemformulering Företag idag har en ökad tendens att enbart förlita sig på tekniken för att säkra sin informationssäkerhet. Därutöver fokuserar de flesta företag på externa hot (Thomson, 2002). Användarna har visat sig vara den svaga länken i informationssäkerheten och användarnas delaktighet i säkerhetsarbetet förbises lätt, liksom de interna hoten som också finns i en organisation (Gonzales & Sawicka, 2017; Informationssäkerhet - trender 2015, 2015; Applegate, 2009). Om användaren inte får tekniken presenterad på rätt sätt kan denne bli förvirrad vilket kan leda till att de avancerade säkerhetsmekanismerna inte används eller missbrukas på ett eller annat sätt (Applegate, 2009). Eftersom tekniken blir bättre och bättre blir det extra synligt när den mänskliga faktorn är involverad. Enligt Gonzales & Sawicka (2017) är den mänskliga faktorn involverad i 80-90 % av organisatoriska olyckor. Ett stort problem är användarnas kunskap om informationssäkerhet. De anställda hamnar i situationer där det kan vara svårt att uppskatta det abstrakta värdet som finns i skyddsvärd information, eftersom det skyddsvärda inte alltid är synligt. Utöver detta kan det vara svårt att bryta mönster på en arbetsplats. Tittar man på rutiner och arbetssätt är vanans makt mycket stor (Samhällets informationssäkerhet, 2008). Ett vanligt problem är att användarna inte kan hantera inloggningsuppgifterna på ett säkert sätt (Hwang & Sun, 2014). Vidare påverkar inloggningsmetoden användarna. När det blir för många lösenord att hålla reda på blir det svårare för användaren att komma ihåg dessa, vilket leder till att samtal till supporten angående bortglömda lösenord blir fler vilket leder till höga kostnader. Mängden lösenord som användaren måste hålla reda på leder också till att användaren väljer lättare lösenord. För att förhindra för lätta lösenord har företagen högre krav på lösenord som till exempel att ett bra lösenord ska innehålla sju till åtta tecken, stora och små bokstäver samt siffror. Tyvärr är det svårt för användarna att följa alla dessa regler. Därför slutar det ofta med att användaren skriver ner sina lösenord på lappar som ofta ligger på skrivbordet intill datorn (Gehringer, 2008). Företag måste ha en fungerande teknologi men för att teknologin skall gå att använda måste användaren hantera den på rätt sätt. Eftersom användaren anses som den svaga länken i IT-säkerheten bör organisationer fokusera på hur användarna kan bli bättre och vilka system som kan hjälpa användarna med säkerheten (Applegate, 2009). I denna studie fokuserar vi på fordonsindustrin. Fordonsindustrin i Sverige är stor, den omsätter totalt cirka 120 000 personer (Statistiska Centralbyrån, 2017). Den är en högteknologisk bransch med många stora leverantörer. Eftersom dessa är särskilt utsatta för industrispionage till exempel stöld av data och affärshemligheter, som till exempel idéer, teknik och processer, kunduppgifter och affärsstrategier etc., är krav på hög informationssäkerhet ett faktum (Bodelius, 2013). Även om det idag är fler och fler företag som inför rutiner om hur informationssäkerhet ska uppnås är steget från säkerhetsrutin till faktisk säkerhet väldigt långt (Informationssäkerhet - trender 2015, 2015). Därför är det viktigt att studera hur företag inom fordonsindustrin arbetar

3

idag, samt studera hur situationen är idag för att sedan kunna avgöra var de befinner sig och vad de vill uppnå i framtiden.

1.3 Frågeställningar För denna studie har en huvudfrågeställning formats och för att kunna besvara den har två delfrågor formats. Huvudfrågeställning: Hur arbetar företag inom fordonsindustrin med informationssäkerhet? Delfråga 1: Vilka är de viktiga aspekterna när företag arbetar med IT-säkerhet utifrån ett användarperspektiv? Delfråga 2: Vilka är de viktiga organisatoriska aspekterna när företag arbetar med administrativ säkerhet?

1.4 Syfte Syftet med denna studie är att undersöka hur företag arbetar med informationssäkerhet och vilka inloggningsmetoder de använder för att se om det finns några likheter/skillnader för företag som jobbar inom samma industri och med liknande varor/tjänster. Vidare är syftet att undersöka vilken roll IT-avdelningen på företagen har för att se vad som fungerar bra och dåligt.

1.5 Bidrag Enligt Blomkvist & Hallin (2015) måste man ta hänsyn till tre olika perspektiv när det görs en studie: individ- och organisationsnivå, funktionsnivå och industriell nivå. I individ och organisationsnivån studeras ledningens och medarbetarnas perspektiv. Anlägger man ur ett process- och produktionsperspektiv studerar man funktionsnivån. Den industriella nivån är den bredaste och sett ur ett branschperspektiv finns dimensioner som har att göra med bland annat regleringar och globalisering (Blomkvist & Hallin, 2015). Om en förändring görs i någon av de olika nivåerna påverkas även de andra nivåerna. Då vi inte funnit någon tidigare forskning inom denna studies forskning område är det akademiska bidraget således att studiens empiri är bidragande kunskap när det gäller att studera de organisatoriska aspekterna av informationssäkerhet särskilt inom fordonsindustrin, men även i andra liknande industrier med samma behov av säkerhet. Med andra ord, det här arbetet bidrar till en bättre förståelse om vilka organisatoriska aspekter som påverkar arbetet med informationssäkerhet specifikt när det gäller vilka tillgängliga metoder som finns när det kommer till att administrera en säkerhetspolicy.

4

Studien kan bidra till en ökad förståelse för hur väl medarbetarna är insatta i informationssäkerhet och hur stor kunskap medarbetarna har, det vill säga på individ- och organisationsnivå. Slutligen syftar studien till att ge en vägledning i hur frågor gällande informationssäkerhet hanteras och hur uppföljningar på företag kan göras. Detta kan kopplas direkt till studiens huvudfråga, “Hur arbetar företag inom fordonsindustrin med informationssäkerhet?”.

1.6 Avgränsningar och begränsningar Den här studien är avgränsad till att studera informationssäkerhet på individ- och organisationsnivå. Utöver detta har studien avgränsats till att undersöka informationssäkerhet i företag som har koppling till fordonsindustrin. Fordonsindustrin i Sverige är stor och många företag arbetar med hemlig konstruktion. Därför begränsas denna studie till fordonsindustrin för att få ett perspektiv i en bransch. Dessutom gäller begränsningen för företag som är belägna i Sverige och som har en svensk IT-avdelning. Den svenska delen av de företag som är med i studien begränsas till att ha maximalt 5000 anställda. Ännu en begränsning är att informationssäkerheten undersöks i organisationen och inte i dess produkter, exempelvis i ett fordon. Samtidigt avgränsas studien till att inte studera den fysiska säkerheten såsom brandskåp, murar etc.

1.7 Disposition Rapportens struktur visas i Figur 1. Efter det första kapitlets introduktion innehåller följande kapitel den teori som användes i studien. Därefter presenteras och motiveras den metod som använts under studien för att kunna besvara studiens frågeställningar. Vidare presenteras studiens resultat tillsammans med en analys. Rapporten avslutas med ett kapitel med slutsats och diskussion där studiens frågeställningar besvaras.

5

Figur 1. Disposition av rapporten.

6

2. Teoretiskt ramverk I det här kapitlet beskrivs de begrepp och teorier som rapporten omfattar. Till varje teori finns det en beskrivning, löpande i texten, om vad de valda teorierna har för koppling till rapportens huvudämne, informationssäkerhet, samt hur de kommer att kunna införas och användas.

2.1 Information Information är ett vanligt och oklart begrepp som är svårt att definiera med ord (Snickars, 2014). Information är en generell term för meningsfullt innehåll som överförs vid kommunikation på olika sätt. Det kan handla om fakta, upplysning eller underrättelse (Henriksson & Sjölin, 2017). Först när ett meddelande har uppfattats/tolkats skapas information, därför är information beroende av både sändare och mottagare. Det är även viktigt att tillägga att information brukar åtskiljas från data och kunskap. Därför anses information ligga i ett läge mellan data och kunskap eftersom den varken kan betraktas som data eller kunskap. Data behöver bearbetas för att det ska kunna betraktas som information (Snickars, 2014). Kunskap däremot ses som en relation mellan ett subjekt och ett objekt, mellan en människa och något den känner till, inte enbart ett objekt som informationen (Liedman et al., 2017). Sammanfattningsvis är information en resurs för människor och organisationer. Den uttrycker kunskap och budskap. Individer kan kommunicera information, lagra och styra processer med den och därför behövs den för mycket som människor utför. I vissa fall kan informationen vara livsviktig för oss människor, exempelvis när det handlar om information i patientjournaler eller styrsystemen i kärnkraftverk. Om den informationen är felaktig eller tappas bort kan det ge stora konsekvenser. Därför är det viktigt med informationssäkerhet vilket möjliggör att informationen hanteras och skyddas på rätt sätt (Kalmelid, 2015).

2.2 Informationssäkerhet Informationssäkerhet innehåller två termer. Information är den första termen och är en grundläggande byggsten i en organisation. Den andra är säkerhet och behandlar just säkerhet. Det är en term som kan delas upp i två delar, administrativ säkerhet och teknisk säkerhet (Informationssäkerhet i Sverige och internationellt, 2004). Den administrativa säkerheten omfattar administrativa rutiner med policyer och riktlinjer, övervakning och kontroll samt revision och uppföljning. Den tekniska säkerheten omfattar IT-säkerhet och fysisk säkerhet. Informationssäkerhet kopplas ofta felaktigt samman med IT-säkerhet. I Figur 2 visas relationen mellan de olika begreppen.

7

Figur 2. Illustration av informationssäkerhet (Informationssäkerhet i Sverige och

internationellt, 2004).

Den fysiska säkerheten omfattar det fysiska skyddet som skyddar informationen. Detta kan till exempel vara brandsäkra skåp, att datorer låses in och passerkort används för att förhindra att någon obehörig kan komma in på företaget. IT-säkerhet innebär säkerheten som berör kommunikationen av data och datasäkerhet. Detta kan vara säkra uppkopplingar och kryptering (Informationssäkerhet i Sverige och internationellt, 2004). Enligt Pfleeger & Pfleeger (2006) är en viktig del i en organisations säkerhetsplanering att ha en effektiv säkerhetspolicy för att kunna ha en hög informationssäkerhet i ett företag. En säkerhetspolicy är ett dokument där företagets begränsningar för att använda och sprida information finns beskrivet. Detta dokument skall användas för att bland annat informera de anställda om erkända informationstillgångar, klargöra ansvar för säkerheten, främja medvetenheten för befintliga medarbetare samt att vägleda nya medarbetare. I säkerhetspolicyn bör det finnas en tydlig representation av prioriteringar i hela organisationen och underliggande antaganden som driver säkerhetsarbetet bör framgå. Den bör vara formulerad så att ledningens beslut om säkerhet framgår och visa ledningens engagemang för säkerhet. För att policyn skall vara effektiv skall den vara lätt att läsa och förstås av alla som en produkt av en inflytelserik person i toppen av företaget (Pfleeger & Pfleeger, 2006). En säkerhetspolicy skall tillgodose tre olika grupper med olika förväntningar, användaren, ägaren och mottagaren. Enligt Pfleeger & Pfleeger (2006) förväntar sig användarna äkta grad av sekretess, integritet och kontinuerlig tillgänglighet i de datorresurser som tillhandahålls dem. Dessa principer ingår i CIA-triaden och förklaras i kapitel 2.2.1. Säkerhetspolicyn från ledningen bör bekräfta ett engagemang på detta krav av service. Säkerhetspolicyn måste definiera acceptabel

8

användning så att användarna vet om och förstår vad som anses som acceptabelt när de använder sina datorer, data och program (Pfleeger & Pfleeger, 2006). Ägaren är den som äger systemen och informationen och kan i ett företag ses som företagsledningen. Ägaren bidrar med utrustning till användaren för ett syfte till exempel att öka produktiviteten eller främja utbildning. Säkerhetspolicyn bör återspegla de förväntningar och behov som ägaren har (Pfleeger & Pfleeger, 2006). Mottagaren är företagets betalande kunder. Mottagaren förväntar sig sekretess och riktighet av den information som den är en del av. Därför måste mottagarens intressen involveras i företagets säkerhetspolicy (Pfleeger & Pfleeger, 2006).

2.2.1 CIA-triaden  CIA-triaden är en modell som används inom informationssäkerhet och består av tre principer, konfidentialitet (confidentiality), integritet (integrity) och tillgänglighet (availability), se Figur 3. De tre principerna tillsammans används för att uppnå säkerhet för information, inom organisationer och företag.

Figur 3. CIA-triaden, information skyddas med hjälp av konfidentialitet, integritet och

tillgänglighet (Panel, 2017).

Konfidentialitet handlar om sekretess och är principen om “minst privilegium”. Denna princip anger att tillgång till information, tillgångar, kunskap etc. endast bör beviljas vid behov och till personer som är behöriga till informationen. Principen “need-to-know” gäller för att begränsa information endast till personer som specifikt behöver ha tillgång till eller använda särskilda uppgifter. Konfidentialitet handlar alltså om organisationers förmåga att behålla sina data, information och kunskap så att den skyddas från obehöriga (de Oliveira Albuquerque et al., 2014). Enligt Harris (2007) skall konfidentialitetsprincipen upprätthållas när information befinner sig i systemet och när information överförs och anländer till den tänkta destinationen.

9

Genom att kryptera information när den lagras och skickas, ha strikta åtkomstregler, klassificering samt att utbilda personal och användare kan detta uppnås. Den andra principen, integritet, handlar om förmågan att garantera riktigheten av data och information under hela dess livscykel. Integritet måste garantera att informationen är korrekt, tillförlitlig och det viktigaste, att den inte har ändrats eller manipulerats av någon obehörig person, både när den ligger vilande och när den överförs från källan till destinationen (de Oliveira Albuquerque et al., 2014). För att integritet på information skall bevaras behöver den skyddas med strikta åtkomstregler, felhantering och krypteringar (Harris, 2007). Tillgänglighet är den tredje principen i CIA-triaden och handlar om att varje bit av informationen har ett specifikt värde eller användning beroende på specifikt slut. För att ett informationssystem skall fungera, måste informationen vara tillgänglig när den behövs. För att detta skall kunna ske måste alla informationssystem, nätverk, databaser, informationstillgångar och olika mekanismer för lagring vara tillgängliga för de som har beviljats tillgång att hantera dem vid behov. Om tillgång till information nekas eller fördröjs för en person som har rätt att komma åt den anses informationen som inte tillgänglig precis som om den försvinner eller förstörs. Tillgänglighet behandlar alltså de nödvändiga organisatoriska färdigheterna för att garantera att de som har access till informationen vid behov kan få tillgång till den (de Oliveira Albuquerque et al., 2014).

2.2.2 Informationssäkerhetsutbildning  Myndigheten för samhällsskydd och beredskap erbjuder en utbildning kallad för datorstödd informationssäkerhetsutbildning för användare (DISA). Utbildningen är gratis och finns tillgänglig på både webben och som fristående version om organisationer skulle önska sig att köra DISA exempelvis på det egna intranätet. DISAs syfte är att öka informationssäkerheten inom organisationer genom att se till att samtliga medarbetare förstår grunderna med informationssäkerhet (MSB, 2011). DISA behandlar tio olika delar som berör olika områden inom informationssäkerhet. De områden som behandlas är: säkert beteende, surfplattor, mobila enheter, smarta telefoner, sociala medier, lösenord, spårbarhet och loggning, säkerhetskopiering, skadlig kod och e-post (MSB, 2011).

2.3 Autentisering En viktig del i informationssäkerheten är autentisering. Autentisering innebär att en användare blir sammankopplad med användarkontot och blir kontrollerad om denne har rätt till detta konto genom att logga in på det. Enligt Sundström (2005) finns det flera olika autentiseringsmetoder och de brukar delas upp i tre olika grupper som bygger på:

1. Något användaren vet, vilket till exempel kan vara ett lösenord. 2. Något användaren har, vilket till exempel kan vara ett elektroniskt id-kort, en

mobiltelefon, en dator med certifikat.

10

3. Något användaren är, denna metod innebär biometri och bygger på fysiska saker hos användaren, vilket kan innebära ett fingeravtryck, iris eller mönstret av en persons röst (Sundström, 2005).

Olika autentiseringsmetoder, eller inloggningsmetoder, har olika hög säkerhet. När autentiseringsmetod väljs bör en noggrann avvägning göras mellan hur bekväm och smidig autentiseringen måste vara och hur säker man måste vara på att användaren verkligen är autentisk. Ingen metod för autentisering ger en hundraprocentig säkerhet. Precis som med allt annat måste man räkna med att det alltid finns sätt för personer att manipulera systemet ifall de vill (Sundström, 2005). Flerstegsautentisering är ett säkerhetssystem som kräver mer än en metod för autentisering. Metoden kräver oberoende källor av legitimationsuppgifter för att verifiera användarens identitet. Flerstegsautentisering innebär att en kombination av minst två av följande görs: Något användaren vet, något användaren har och något användaren är. Ett exempel på flerstegsautentisering är när man drar ett kort (något man har) och sedan slår en kod (något man vet) (SearchSecurity, 2017).

2.3.1 Lösenord  Den vanligaste metoden för autentisering idag är att en person har ett användarnamn och lösenord med bokstäver, siffror och andra tecken. Lösenord anses som ett bra skydd men den mänskliga faktorn försämrar ofta dess kvalitet (Pfleeger & Pfleeger, 2006). Det största problemet med lösenord idag är att det är lätt för personer att förlora kontrollen över dem (Schneier, 2005). Lösenord är ett ömsesidigt kodord som antas att endast vara känt för användaren och systemet det används till. Oftast är det användaren som väljer lösenordet men i vissa fall tilldelar systemet användaren lösenordet. Beroende på vilket system användaren använder varierar längden och formatet av lösenordet (Pfleeger & Pfleeger, 2006). Det är idag inte ovanligt att en person har 10-20 eller flera online-konton privat. Detta i kombination med konton på jobbet gör att en människa som arbetar ofta har över 20 lösenord att hålla reda på. Antal program och tjänster den anställde använder gör att det är mycket svårt för denne att komma ihåg eller till och med välja ett unikt lösenord till varje tjänst. För att göra det enkelt för sig själv väljer många att använda samma lösenord överallt och välja något som är lätt att komma ihåg såsom ett barns namn, makes namn eller något annat som har personlig koppling. Om lösenordet behöver uppdateras är en vanlig metod att återanvända lösenord, till exempel Calle1, Calle2, Calle3 osv. (Emm, 2010). Även fast lösenord används i stor utsträckning finns det enligt Pfleeger & Pfleeger (2006) vissa svårigheter vid användning som kan vara förlust, krångligt användande, avslöjande och återkallande.

11

• Förlust innebär att användaren tappar bort sitt lösenord. Detta kan i vissa fall innebära att ingen kan ersätta ett bortglömt lösenord. Ofta finns det dock en systemadministratör som kan hjälpa till. Denne kan däremot väldigt sällan ge tillbaka det glömda lösenordet utan ett nytt lösenord får skapas åt användaren.

• Krångligt användande innebär att det kan vara obekvämt och tidskrävande att vid varje tillgång till en fil behöva skriva lösenordet och ibland byta lösenord.

• Avslöjande innebär att lösenordet läcker ut till andra och information blir tillgänglig till andra. Om en fil med ett lösenord kan nås av flera behöver lösenordet uppdateras och alla användare behöver bli informerade om det nya lösenordet för att kunna använda filen.

• Återkallande. Om en användare inte längre har rätt till en fil måste filen återkallas. Om filen delar användare uppstår samma problem som vid avslöjande, filen måste få ett nytt lösenord och användarna måste bli informerade (Pfleeger & Pfleeger, 2006).

Sundström (2005) menar att det finns två anledningar till att ett lösenord blir avslöjat. Antingen att någon kommer åt det eller att någon gissar det. Att någon kommer åt lösenordet kan användaren undvika genom att låta bli att skriva ner lösenordet på lappar, på mobilen eller i ett dokument på datorn (Sundström, 2005). Det som händer ofta då är det som nämnts tidigare att personer väljer att använda lätta lösenord som de kan koppla till sig själva på något sätt (Emm, 2010). Genom att låta användaren välja lösenord själv och att användaren inte behöver hålla reda på så många lösenord underlättar det för användaren och bidrar till att förhindra att användare skriver ner sina lösenord. För att undvika att lösenordet går att gissa bör det innehålla både små och stora bokstäver, tecken och siffror. Företag bör inte låta sina anställda ha till exempel sitt husdjurs namn som lösenord (Sundström, 2005). Vad som anses som ett dåligt lösenord, är lösenord som går att gissa sig till. Bland de 25 vanligaste lösenorden människor använder finns bland annat: password, 12345678 och trustno1. Andra dåliga lösenord är namn på husdjur, gator, personer, telefonnummer och datum (AM System, 2017). Många system tillåter flera försök att gissa lösenordet, misslyckas inloggningen kan användaren i många fall försöka igen och igen och igen (Pfleeger & Pfleeger, 2006). Om användare använder sig av dåliga lösenord tar det därför inte lång tid för en person som vill komma åt data att göra det. Med hjälp av en dator kan en person som verkligen vill komma in i ett system knäcka ett lösenord som finns med i ordlistan på mindre än en sekund om användaren lägger till en siffra tar det istället 10 sekunder, se Figur 4. Ett lösenord som innehåller sex tecken och endast består av små bokstäver går att kombinera på 300 000 000 olika sätt och ökar användaren antalet tecken till åtta tecken är antalet kombinationer istället 21 000 000 000. Om användaren istället använder sig av åtta tecken men blandar både siffror, bokstäver och specialtecken blir antalet möjliga kombinationer 2 252 292 000 000 000 (AM System, 2017).

12

Figur 4. Genom att lägga till en siffra till lösenordet förbättrar användaren säkerheten och

förlänger tiden det tar för ett system att knäcka det (AM System, 2017).

Det är inte ovanligt att lösenord knäcks, det senaste året har vi kunnat läsa flera rubriker i tidningar som dessa:

“10 miljoner svenska konton hackade – så kollar du om ditt lösenord är säkert”

“Toppolitikernas konton hackade”

“Yahoo: 32 miljoner konton hackade”

Genom att ägna lite mer tid vid skapandet av lösenord kan användaren försöka göra sitt lösenord så säkert som möjligt. Utöver det Sundström (2005) nämner för att skapa ett säkert lösenord anser Pfleeger & Pfleeger (2006) att användaren skall använda långa lösenord, inte välja ett lösenord som finns i ordlistan, inte skriva ner det, byta lösenord i jämna intervall och hålla lösenordet för sig själv. För att komma ihåg sitt lösenord finns det flera knep. Ett knep är att användaren skapar en mening som denne sedan kommer ihåg. Från meningen plockar användaren bokstäver och byter vissa bokstäver till både siffror och tecken. Genom att göra detta får användaren ett lösenord som är säkert och lätt att komma ihåg (AM System, 2017).

2.3.2 Single-Sign-On  Single-Sign-On (SSO) är en metod som går ut på att användaren autentiserar sig endast en gång för att få tillgång till alla underliggande system och tjänster i ett företag som denne är behörig till. Denna metod löser problemet med lösenordshantering och höjer användarvänligheten. SSO-metoden går ut på att användaren bara har ett konto för inloggningen till de olika system eller tjänster i ett företag Användaren ska inte behöva autentisera sig på nytt när en ny tjänst ska användas. Autentiseringen kan ske på olika sätt, exempelvis med användarnamn och lösenord eller med hjälp av smartkort eller annan typ av inloggning (Hwang & Sun, 2014). SSO-metoden underlättar processen för användaren då den endast behöver komma ihåg en inloggning. Arbetet för administratörerna blir däremot inte så mycket enklare, eftersom de fortfarande kommer att behöva skapa konton till de olika användarna och ge behörighet. Metoden sänker däremot support- och administrativa kostnader markant när användarna bara har en inloggning som de kan glömma samtidigt som hela miljön i verksamheten kommer att

13

bli säkrare och post-it lappar, sparade lösenord och för enkla lösenord minskar (Loshin, 2001).

2.4 Hot För att förstå varför informationssäkerhet är viktigt är de viktigt att förstå vilka möjliga hot, risker och sårbarheter, både interna och externa, som kan påverka organisationer och informationen. Det är även viktigt att företag har kunskap om hur de förebygger och hanterar hoten. De kända externa hoten inom informationssäkerhet är virus, trojaner, cyberattacker och kapade datorer. De är hot som riskerar slå hårt mot företag. Hoten kan exempelvis vara ett datorprogram som utger sig vara nödvändigt eller till nytta som installeras på datorn och senare visar sig vara skadlig eller gör annat än beskrivet. Många av de hot som finns idag kan ge upphov till skador oberoende av om användaren öppnar ett mail i sin mobiltelefon eller på sin dator (Rydell, 2016). I dagsläget lägger företag ofta stor vikt på de externa hoten vilket gör att de lättare missar eller brister i uppföljning av de interna hoten (Wall, 2013). De interna hoten kan exempelvis handla om användarna/anställda som medvetet har i avsikt att skada företaget. Denna person jobbar antingen för egen vinning eller åt en tredje part. Det andra alternativet är användarna som oavsiktligt missar att följa policyer i organisationen. Det kan även vara att företaget har brist på rutiner och kommunikation vilket gör det svårt för medarbetarna att följa dessa policyer. Det är även viktigt att tillägga att även om företaget har bra säkerhetspolicyer missar det ofta att rapportera in de förändringar som sker över tid, exempelvis förändringar i form av information och data eller att de inte tar bort de personer som inte är del av organisationen längre från e-postlistor. Dessa åtgärder är viktiga eftersom överföring av data av den välmenande användaren kan bli missbrukad av andra (Wall, 2013). Personal som använder sig utav känslig information på felaktigt sätt är ett stort hot mot företagens säkerhet (Säkerhetspolisen, 2017).

2.5 Ledningssystem för informationssäkerhet Genom att använda ett ledningssystem i en organisation kan informationssäkerhet organiseras. Ledningssystem för informationssäkerhet (LIS) kan användas som hjälp för att kunna styra och hantera informationssäkerhetsarbetet inom organisationer på ett systematiskt sätt. LIS beteckningen kommer från standarder i ISO 27000 serien. Standarderna i denna serie är utgångspunkten för metodstöd för LIS (Kalmelid, 2013). För att kunna åstadkomma tillräcklig informationssäkerhet i en organisation kan standarder användas. ISO 27000-serien består av fem standarder som är framtagna av internationella grupper av experter inom ISO (Internationella standardiseringsorganisation) och IEC (Internationella elektrotekniska kommissionen). Denna standardserie består av administrativa

14

rutiner, ledningens ansvar och övergripande krav på IT-infrastruktur. Sverige deltar i det internationella arbetet genom Swedish Standards Institute (SIS) (Kalmelid, 2013).

2.6 PDCA-modellen Det krävs ett strukturerat arbetssätt och en fungerande metod för att ständigt arbeta framåt, utvecklas och få ett bra resultat i en verksamhet. PDCA är en metod som delar in arbetet i fyra faser och används oftast för systematiskt förbättringsarbete (Andersson et al., 2011). Denna metod blev känd genom Dr. W. Edwards Deming, som var bland de första som definierade de fyra cykliska stegen som han baserade och utvecklade utifrån Walter Shewharts arbete och idé som då bestod av tre steg som var: specification, production och inspection. Demings modell PDCA kallas för Plan-Do-Check-Act för att det innehåller de fyra stegen (plan, do, check och act), se Figur 5 (van Otterloo, 2017). Cykeln/metoden uppfanns för att i början förbättra tillverkningsprocesser, men som nu används för alla typer av processer, inklusive affärsprocesser såsom informationssäkerhet. Det var en obligatorisk metod i 2005 års version av ISO 27001. I den nuvarande 2013-versionen av ISO 27001 kan det väljas vilken förbättringsmetod som ska användas. PDCA är fortfarande den vanligaste metoden, detta kan antingen bero på metodens enkelhet eller för att det är lätt att mappas till befintliga kontinuerliga förbättringsarbeten i en organisation (van Otterloo, 2017). När det gäller informationssäkerhet går PDCA-metoden ut på att kontinuerligt förbättra säkerhetslösningar och arbetsform. Detta genomförs genom att alltid låta PDCA-cykeln rotera (Andersson et al., 2011).

Figur 5. PDCA-metoden går ut på att kontinuerligt förbättra arbetsformen och

säkerhetslösningar (Creativesafetysupply, 2017).

Enligt denna metod kommer förbättringskvalitéten att vara effektiv om förbättringarna börjar med en bra plan (P), som följs av genomförandet av de nödvändiga aktiviteterna för att uppnå planen (D). Därefter granskas resultaten (C) för att kunna förstå orsakerna till resultaten och

15

slutligen ska åtgärder (A) vidtas för att kunna förbättra processerna (Matsuo & Nakahara, 2013). Vad de olika stegen innebär förklaras lite mer utförligt nedan: Plan: I detta steg är det viktigt att förstå problemet samt att planera och bestämma vad som ska utvecklas och hur effekten av förändringen kommer att kunna mätas. Värdet av det som ska utvecklas bör iakttas före förändringen även målet eller förväntat värde bör bestämmas (Silva et al., 2017). Do: När målet och mätvärdet är bestämt, görs den planerade förändringen genom att genomföra planen (Silva et al., 2017). Det kan vara att installera nya brandväggar, ändra utbildningen, eller installera på ett nytt sätt (van Otterloo, 2017). Check: När ändringen har genomförts bör det vara möjligt att mäta effekten genom att titta på förändringar i mätvärden (Silva et al., 2017). Det kommer såklart förväntas en förbättring men det är viktigt att vara noga med att faktiskt mäta vad som har hänt. Många förbättringsåtgärder kan resultera i ingen förändring alls eller i vissa fall kanske till och med en försämring. Till exempel om det läggs till mer material till en utbildning kan det hända att utbildningen blir för svår för människor/användarna att följa och då kan det resultera i att de faktiskt lär sig mindre än förväntat (van Otterloo, 2017). Act: I det här steget implementeras den nya metoden om ändringen har lyckats genom att ge instruktioner till alla, uppdatera dokumentation eller ändra processbeskrivning. Om ändringen inte resulterar i en förbättring bör projektet överges och börja om från steg 1. Värdet av resultatet ska även noteras då det ska användas som en baslinje för framtida förbättringar (Silva et al., 2017).

2.7 Organisation Informationssäkerhet handlar till stor del om organisationers potential att forma en kultur med ett utvidgat säkerhetsmedvetande hos ledning och medarbetare (Hallberg, 2012). Därför anser vi att det är viktigt att förstå hur en organisation är uppbyggd, vad den påverkas av och vad den har för relation till omgivningen. Organisationer kan märkas som teknologier, sociala strukturer, kulturer och fysiska strukturer som går omlott och uppfyller varandra och skapar omgivningen som de även omges av. Figur 6 försöker visa på dessa relationer genom att göra en bild av teknologi, social struktur, fysisk struktur och kultur i form av överlappande cirklar, som omsluts och uppfylls av den omgivning som de tillsammans skapar (Hatch, 2002).

16

Figur 6. Hur en organisation ser ut och vilka delar den består av (Hatch, 2002, s. 34).

För att kunna förstå hur beslutsprocessen och beslutsfattandet i en organisation går till är det viktigt att först förstå själva organisationen. Därför är det viktigt att förstå att den påverkas av sin omgivning som är formad utifrån de tidigare nämnda faktorerna: teknologier, sociala strukturer, omgivning, kulturer och fysiska strukturer och att det är viktigt att ta hänsyn till alla dessa faktorer och försöka förstå dem (Hatch, 2002).

2.7.1 Omgivning  En organisation går att beskriva med flera termer och även definieras på olika sätt beroende på ens infallsvinkel. Omgivningen är en viktig aspekt, eftersom det är aktörerna i en organisation som utgör den. Detta leder oss till en fas där olika riskfaktorer inom organisationer framkommer. Exempelvis kan det röra sig om olika personliga intressen bland aktörerna, olika grader av utbildning och till och med olika nivåer av kunskap för hur sårbar teknologi är. Väv detta samman med att en organisation vill sekretessbelägga viss information så är fältet som skapas när begreppet omgivning påverkas av riskfaktorerna som nämndes ovan till ett arbetsområde kallat informationssäkerhet. Därför har vi valt att analysera våra data med begreppet omgivning. En omgivning består av ett antal olika delar som gör det möjligt för organisationen att exempelvis förskaffa råvaror, anställa personal, hyra eller köpa lokaler och utrustning. I omgivningen ingår det olika element och de tre vanligaste elementen är interorganisatoriskt nätverk, det omgivande samhället och den internationella eller globala omgivningen (Hatch, 2002). Kunder, leverantörer, konkurrenter, myndigheter, fackföreningar och andra parter utgör det interorganisatoriska nätverket. Enligt ovan påverkas omgivningen av de aktörer som är en del av organisationen men förutom dessa påverkas omgivningen även av en del allmänna krafter.

17

Det omgivande samhället består av krafter som är uppdelade i sektorer som exempelvis är sociala, kulturella, juridiska, politiska, ekonomiska, teknologiska eller fysiska (Hatch, 2002). Den internationella och globala omgivningen består av trender som påverkar till exempel miljö, ekonomi och politik. Den ökade miljömedvetenheten är ett exempel på en internationell trend då den ger effekt på de politiska, ekonomiska och juridiska delarna i många kontinenter av världen (Hatch, 2002). Den internationella omgivningen har blivit allt viktigare och fått större betydelse när det gäller den internationella arbetsdelningen för en organisation då allt fler företag blir multinationella. Detta orsakas av att till exempel människor, information, varor och kapital rör sig fort mellan länder. För att ett företag ska kunna förstå rörelser och konflikter i det globala och politiskt-ekonomiska systemet bör de analysera interkulturella och multinationella krav (Bakka et al., 2006).

2.7.2 Kultur  Kulturen har stort inflytande på bland annat uppfattningar, antaganden, värderingar osv. (Hatch, 2002; Bakka et al., 2006). Varför kulturen är en viktig aspekt när det gäller informationssäkerheten i en organisation är främst för att aktörer kan ha olika uppfattningar om vad som de individuellt förstår och tolkar som informationssäkerhet. För att kunna skapa säkerhetsmedvetenhet hos medarbetarna tycker vi att det är viktigt att studera och förstå kulturen i en organisation. Det första allmänna kulturbegreppet formulerades av Edward B. Taylor (Bakka et al., 2006). Han formulerade kultur enligt följande: “Den komplexa helhet, som omfattar kunskap, tro, konst, moral, lagar, seder och bruk, och alla andra former för förmåga och vanor som en människa tillägnar sig som samhällsmedborgare.” (Bakka et al., 2006, s. 124). Vidare har Edgar Schein i början av 1980-talet utvecklat vad som senare blev en inflytelserik teori om organisationskultur. I denna rapport har vi valt att presentera en organisationskultur utifrån denna modell. Scheins teori beskriver kulturen med tre olika nivåer, på den första och översta nivån finns artefakter, på den mellersta nivån finns värderingar och normer för beteendet och på den nedersta och sista nivån ligger en kärna av grundläggande uppfattningar, se Figur 7 (Hatch, 2002).

18

Figur 7. Scheins tre kulturella nivåer (Hatch, 2002, s. 242).

Schein menar även att grunden i en organisationskultur utgörs av uppfattningar och antaganden. Antaganden är det som medlemmarna tar för givet. Antaganden är vad medlemmarna anser vara realistiska och på så sätt påverkar de vad personerna tolkar och hur de tänker och känner. Det är inget genomtänkt utan det sker bara spontant och omedvetet (Hatch, 2002; Bakka et al., 2006). Värderingar anger det som individerna i en organisation bryr sig om, exempelvis tradition, lojalitet eller pengar. Det går även att se värderingar som sociala principer, mål så väl som standarder som i en viss kultur och de betraktas ha ett värde i sig. De utgör grunden när en handling bedöms och med hjälp av dem går det att fastställa vad som är rätt eller fel. Enligt Hatch (2002) och Bakka et al. (2006) uppstår värderingar genom en inlärningsprocess, med andra ord ifall en värderings grundprincip förhåller sig väl till verkligheten antas den till en individs inlärnings och utvecklingsprocess. Därefter blir värderingar till en del av huvudsakliga antaganden (Hatch, 2002; Bakka et al., 2006). På den översta nivån i Scheins modell ligger artefakter. Dessa ses som de synliga, påtagliga och hörbara resterna från organisationens kulturella normer, värderingar och antaganden. Datorer kan ses som artefakter eftersom information kan hanteras och skyddas med hjälp av IT och andra former samt att ITs syfte är att fungera som hjälp eller verktyg för att hantera information. Exempel på IT-artefakter är bland annat datorer, nätverk, operativsystem och applikationer. När det kommer till hur informationssäkerhet och artefakter korresponderar är det bland annat hur installation, konfigurationer, underhållning och användning av systemen utförs. Artefakter består av fysiska objekt, manifestationer och ritualer, ceremonier och andra manifestationer (Hatch, 2002).

19

2.7.3 Social struktur  En organisation består av aktörer och påverkas av sociala faktorer såsom positioner i organisationen samt grupper eller avdelningar som de tillhör (Hatch, 2002). Det som också är viktigt att ta hänsyn till är att organisationen drivs av människor och för människor (Bakka et al., 2006). Vidare, anser vi att det är viktigt att studera sociala strukturer för att förstå hur de påverkar kraven på informationssäkerhet inom en organisation. Ett exempel kan vara att grupper med makt och inflytande kan tvinga på andra medarbetare sina åsikter och värderingar. Det kan exempelvis handla om vilka sidor som är tillåtna och inte tillåtna att gå in på och vilken information som är tillåten och inte tillåten att dela med sig av. Om en ledningsgrupp till exempel skulle fatta ett beslut kring hur information ska lagras, exempelvis en billigare lagringsmetod som egentligen skulle innebära informationssäkerhetsrisk så måste individerna i organisation i vilket fall följa den. Social struktur är därför en viktig aspekt som bör studeras i en organisation eftersom som tidigare nämnt drivs en organisation av människor som svarar till en makthierarki. Forskare använder sig av tre begrepp för att förklara hur relationer mellan människor, positioner och enheter ser ut i den sociala strukturen. De är auktoritetssystem (hierarkier), arbetsfördelning mellan olika uppgiftsområden och kommunikationsmönster (samordning). Dessa tre termer är för att kunna bestämma vem som gör vad i organisationen och vem är beroende av vem. De hjälper även till med uppsättning av allt från formella regler och processer till spontat prat samt formella relationer exempelvis vad gäller rapportering (Hatch, 2002; Bakka et al., 2006).

2.7.4 Fysisk struktur  Den fysiska strukturen i en organisation är viktig när det gäller arbetet med informationssäkerhet. Ett exempel kan vara IT-avdelningen. Hur och var avdelningen ligger, nära eller långt ifrån andra avdelningar, bestämmer hur lätt eller svår kommunikation och samarbete mellan de anställda kan ske. Samarbete är en viktig aspekt när det gäller arbetet med informationssäkerhet. Att kunna få tag på den hjälp och material som behövs är viktigt för att klara av att utföra arbetet på ett säkert och smidigt sätt. En organisation är en fysisk enhet som består av en geografi och layout av arbetsplatser, utrustning och personal. Dessa fysiska delar av en organisation kan ha stora och viktiga konsekvenser för beteendet hos de människor som är en del av organisationen, exempelvis chefer, kunder och leverantörer. Den fysiska utformningen av en organisation är även viktig för de intryck och budskap den förmedlar (Hatch, 2002). En organisations fysiska struktur kan ge hint om organisationskulturen och hjälpa till att få en bild över organisationens identitet, exempelvis statussymboler, gruppgränser och företagets image (Hatch, 2002). Om den IT-ansvariges kontor befinner sig utanför byggnaden är detta en indikation på att organisation inte anser personen ha en viktig roll i organisationen eftersom personen inte är inkluderad i den vardagliga gruppen. Därför är det viktigt att studera hur de sociala relationerna, exempelvis nyanställningar och ombyggnad, påverkar de fysiska

20

strukturerna, och hur de fysiska strukturerna, exempelvis flyttning till en ny byggnad eller omplacering av en enhet/grupp, påverkar de sociala relationerna (Hatch, 2002).

2.7.5 Teknologi  Vi anser att aktörerna behöver en måttlig kunskap gällande teknologin, exempelvis hur ett program utvecklas och används eftersom en högre förståelse och säkerhetsmedvetande kring hur teknologin fungerar samt dess svagheter resulterar i att aktörerna utvecklar ett säkerhetsmedvetande när det gäller hur de lagrar och förmedlar information både internt och externt (Applegate, 2009) Hatch (2002) beskriver att teknologin är en resurs för en organisation att uppnå mål, resultat eller någon form av output som organisationen har arbetat för. Utifrån ett sådant synsätt definierar han teknologin i tre följande termer:

1. ”De fysiska objekt eller artefakter, inklusive produkter, redskap och utrustning som används i produktionen.

2. De aktiviteter och processer som utgör produktionsmetoderna. 3. Den kunskap som behövs för att utveckla och använda utrustning, verktyg och

metoder för att producera en speciell produkt (kunskap handlar om ”know-how”, till exempel hur en bil byggs, utvecklar ett datorprogram, hanterar ett robotsystem eller genomför en försäljning)” (Hatch, 2002, s. 155).

Teknologin ses som ett viktigt medel om den observeras utanför organisationen. Den är en väldigt viktig aspekt att ta hänsyn eftersom den ses som ett medel som används för att kunna förse samhället med de redskap och behov det har, som till exempel mat, hus, datorer, banklån, vård, utbildning och mycket mer (Hatch, 2002). Teknologier är en viktig aspekt för att det ska vara möjligt att strukturera och få en översikt över betydelsefulla delar av en organisation. Teknologin är ett av de fem mest aktuella problemområdena inom organisationsteori. Det handlar om att förskaffa, anpassa och utveckla de teknologier som kan hjälpa till att stärka organisationens konkurrenskraft. Kunskap, professionell kompetens och intellektuellt kapital blir mer och mer viktiga i dagens samhälle som är grundad på avancerad teknologi (Bakka et al., 2006).

21

3. Metod I det här kapitlet presenteras, diskuteras och motiveras den metod som har använts för datainsamling och analys. Kapitlet avslutas med en diskussion om validitet, reliabilitet och generaliserbarhet av undersökningen.

3.1 Val av metod Syftet med den här studien är att undersöka hur företag inom fordonsindustrin arbetar med informationssäkerhet och autentisering. För att kunna undersöka det och kunna besvara huvudfrågeställningen: “Hur arbetar företag inom fordonsindustrin med informationssäkerhet?” behöver både den administrativa säkerheten och den tekniska säkerheten undersökas. Inom forskningsmetodik finns det två typer av forskning kvalitativ och kvantitativ. Kvantitativ forskning utförs genom att använda statiska metoder, genom att samla in statistik data till exempel med hjälp av enkäter. I vissa fall kan den även utföras genom att analysera redan befintlig data från arkiv, databas eller andra källor. I de flesta fall är kvantitativa metoder dominerande inom naturvetenskap, samhällsvetenskap, teknik och medicin. Kvalitativ forskning innebär att samla in ny data och analysera med hjälp av tolkningsmetoder och är ofta kopplad till samhällsvetenskaplig forskning. Kvalitativa forskningsmetoder är vanliga bland forskning som syftar att skapa en förståelse av verkligheten utifrån empirin som grundar sig i en förståelse för inställningar och idéer som orsakar människors beteende, handlingar och beslutsfattande förmågor (Collis & Hussey, 2009). För att kunna undersöka människors beteende har vi i vår studie utfört en kvalitativ undersökning, vilket är lämplig för denna typ av studie (Bell, 1995). Det finns olika metoder som kan användas för att införskaffa kvalitativ data. För att kunna besvara huvudfrågan har kvalitativa intervjuer genomförts då de ansågs som bäst lämpade för denna typ av studie. Det finns även tre olika typer av intervjuer: strukturerade, semistrukturerade och ostrukturerade intervjuer (Dahlberg, 1997). Intervjuerna i denna studie har varit semistrukturerade intervjuer för att kunna få en bra överblick över organisationen.

3.2 Fallstudie En fallstudie innebär att en studie utförs i ett eller ett fåtal enskilda företag (Blomkvist & Hallin, 2015). I den här studien valdes en fallstudie på tre företag inom fordonsindustrin som forskningsmetod. Enligt Blomkvist & Hallin (2015) medför en fallstudie att det är möjligt att samla in tillräcklig mängd information om det valda ämnet för att kunna utforska, beskriva eller förklara ett fenomen. Fallstudien valdes eftersom det är möjligt att få en detaljerad empiri där verklighetens komplexitet bättre kan fångas (Blomkvist & Hallin, 2015). Då studiens huvudfråga är “hur arbetar företag inom fordonsindustrin med informationssäkerhet?” passar sig fallstudien bra då den öppnar upp för att upptäcka nya

22

dimensioner och när syftet är utforskande, förklarande eller beskrivande (Blomkvist & Hallin, 2015).

3.3 Urval av företag Det finns två sätt att göra ett urval på, slumpmässigt urval och icke-slumpmässigt urval. Ett slumpmässigt urval innebär att urvalet väljs ur hela populationen, antingen kan det vara obundet slumpmässigt urval eller systematiskt urval. Obundet slumpmässigt urval innebär att urvalet väljs helt utan systematik. Systematiskt urval innebär däremot att det redan finns en plan för hur företag väljs. Om det görs ett icke-slumpmässigt urval undersökningen sker i det som går att få tillgång till lättast (Blomkvist & Hallin, 2015). Företagen i den här studien har valts ut med ett slumpmässigt urval. Genom att studera företag som är medlemmar i FKG (fordonskomponentgruppen) kunde vi hitta företag som har mindre än 5000 anställda i den svenska delen av företagen. Ett mejl gick ut till 12 företag. De företag som valts ut till att delta i studien var de företag som ville delta och som svarade först på mejlet.

3.4 Urval av respondenter För urvalet av respondenterna gjordes ett icke-slumpmässigt urval (Blomkvist & Hallin, 2015). Till att börja med så efterfrågades en IT-ansvarig på varje företag för att avgöra om denne var villig att ställa upp, här är urvalet inte så stort då det inte finns så många att välja på. I två av fallen fixade IT-ansvarig en kontaktperson som styrde upp alla intervjuer och kontaktade användare som var villiga att ställa upp. Detta kan ses som ett så kallat snöbollsurval som innebär att vi använde oss av de personer som vi fick kontakt med initialt som stöd för att få kontakt med ytterligare personer som var villiga att ställa upp på intervjun (Blomkvist & Hallin, 2015). Dock skedde detta till en viss del systematiskt då vi efterfrågade respondenter från olika avdelningar, olika positioner osv. Enda kravet var att användaren använder företagets datorsystem. I varje företag har minst en IT-ansvarig intervjuats, det har även intervjuats användare i olika positioner, kön och ålder. Användarna arbetar bland annat som produktutvecklare, inköpare, HR-manager, säljtekniker, produktionsplanerare, konstruktörer, kvalitetshantering, contract manager och produktchef. Det som utmärker sig, både när det gäller användare och IT-ansvarig, är att majoriteten av respondenterna är män. Detta är dock inte oväntat då studien genomförs i fordonsindustrin och majoriteten av de som arbetar i fordonsindustrin är män. Av totalt 17 intervjuade var det endas tre kvinnor med i studien.

3.5 Intervjuer Enligt Blomkvist & Hallin (2015) är intervjuer en av de vanligaste metoderna att samla empiri. I denna studie kommer primärdata från intervjuer. Intervjuer ger möjlighet att göra oväntade resultat, vilket är en viktig dimension i en kvalitativ studie (Blomkvist & Hallin, 2015).

23

Totalt genomfördes 17 intervjuer, tre stycken var med personer som hade ansvar över IT och resterande 14 var med användare. På företag A och C genomfördes sex intervjuer och på företag B fem intervjuer. Respondenterna intervjuades under perioden 30:e mars 2017 till 24:e april 2017. Majoriteten av respondenterna intervjuades ansikte mot ansikte på plats på respektive företag. Tre intervjuer genomfördes på telefon eller Skype på grund av stort avstånd och att det vid besök på företagen inte fungerade för alla samtidigt. Fördelen med intervjuer som görs ansikte mot ansikte är att intervjuaren kan bedöma helhetsintrycket och dra fördel av sociala signaler. Sociala signaler, såsom röst, intonation, kroppsspråk etc. hos den intervjuade kan ge den som intervjuar mycket extra information som kan läggas till de verbala svaren från den intervjuade (Opdenakker, 2017). Att dokumentera intervjuerna är otroligt viktigt så att det är möjligt att gå tillbaka till vad som sades (Blomkvist & Hallin, 2015). Båda forskarna var delaktiga under alla intervjuer. Den ena fokuserade på att ta anteckningar på det som sades medan den andra förde intervjun framåt. För att garantera att all information blev dokumenterad spelades alla intervjuer in. Intervjuerna var semistrukturerade och behandlade ett antal områden såsom teknik, organisation och sekretess. Två intervjuguider användes, en till de IT-ansvariga och en till användarna. Med hjälp av intervjuguiden kunde intervjuerna styras. Däremot fanns ingen plan på hur frågorna skulle ställas utan frågorna ställdes efter vad som kändes mest naturligt i förhållande till vad respondenten svarade (Blomkvist & Hallin, 2015). I Bilaga B och Bilaga A finns intervjuguiden till användare och IT-ansvarig. Intervjuerna med användarna varade i cirka 30 minuter, intervjuerna varierade utifrån varje persons intresse och kunskap att fortsätta intervjun. Intervjuerna med de IT-ansvariga var lite mer omfattande och varade mellan 45 minuter och en timme.

3.6 Litteratursökning Under forskningsprocessen genomfördes en detaljerad litteraturundersökning. Detta för att få en djupare förståelse för ämnet och tidigare studier relaterade till det specificerade ämnet. En bild gavs av hur det är möjligt att strukturera forskningsdesignen på ett lämpligt sätt (Collis & Hussey, 2009). Databaser som användes vid litteraturinsamling var KTHB Primo och Google Scholar. Vid sökandet av relevant litteratur användes följande nyckelord: “Informationssäkerhet”, “IT-säkerhet”, “Administrativ säkerhet”, “Autentisering”, “Lösenord”, “IT-avdelning”, “Organisationskultur”, “Organisation”, “Organisationsstruktur”. Vid sökningen kombinerades även dessa ord till exempel “informationssäkerhet + IT-avdelning”. Sökning av orden har skett på både svenska och engelska. Vissa ord gav mer och bättre resultat på engelska. Collis & Hussey (2009) rekommenderar att en litteraturanalys utvärderas kritiskt med hjälp av olika teman. För att hålla litteraturöversikten organiserad har ovan nämnda sökord använts och uppgifterna har sorterats i olika grupper.

24

3.7 Analys av data När en dataanalys görs handlar det om att samla och organisera data som hjälper forskaren att göra en slutsats. Dataanalys är ett verktyg för att få svar på frågor, lösa problem och utveckla viktig information. Datainsamling kan göras på flera sätt och den metod som används beror på vad som anses vara det rätta och bästa sättet att svara på forskningsfrågorna (Blomkvist & Hallin, 2015). Analysen i den är här studien bygger på svaren från intervjuer och litteratur och teori. I den här studien har data som analyserats sorterats tematiskt. Teman valdes ut utifrån intervjuerna och vad vi fann som viktigt när vi studerade informationssäkerhet, ett exempel på tema är IT-avdelningen som anses vara mycket viktig när det gäller informationssäkerhet. Detta tillvägagångssätt är en mycket vanlig metod vid kvalitativa undersökningar (Blomkvist & Hallin, 2015). Alla intervjuer spelades in och transkriberades sedan. Anledningen till att intervjuerna transkriberades var för att lättare kunna kategorisera och identifiera viktig data utan att behöva lyssna på inspelningarna om och om igen. Transkriberingen gjorde det även lättare att kunna tematisera data och grundades på liknande tankar och koncept mellan respondenterna. När data var tematiserad kopplas den samman med teori och litteratur från litteraturöversikten.

3.8 Kvalité av analys Det finns tre viktiga kriterier för att utvärdera genomförandet av en kvalitativ forskning. Dessa kriterier är till för att utvärdera kvaliteten av analysen (Collis & Hussey, 2009). Nedan utvärderas därför reliabilitet och validitet av litteraturgenomgången och intervjuer och studiens generaliserbarhet diskuteras.

3.8.1 Reliabilitet  Reliabilitet är termen som är kopplad till tillförlitlighet och trovärdighet i studien. Det avser i vilken utsträckning en annan forskare skulle kunna göra om studien och få samma resultat som tidigare (Collis & Hussey, 2009). För att få en hög reliabilitet är det viktigt att frågorna som ställs vid intervjuer är lätta att förstås och förstås på samma sätt av de intervjuade (Blomkvist & Hallin, 2015). Dålig produktion av frågor kan leda till ett problem med tillförlitligheten. Frågorna som användes under intervjuer hade därför testats genom en pilotstudie vilket är en liten teststudie där det har intervjuats personer inom samma kategori/industri för att se att personerna uppfattade frågorna på samma sätt. Båda forskarna i denna studie var med på alla intervjuer för att inte missa viktig information och för att garantera varandras opartiskhet i studien. Alla intervjuer spelades in för att i efterhand kunna lyssnas på igen, intervjuerna transkriberades för att lättare kunna analysera materialet.

25

Även om intervjuerna är av hög kvalitet, tenderar kvalitativa studier med semi-strukturerade tillvägagångssätt att ha låg reliabilitet, detta eftersom tolkningar och observationer beror på hur forskaren förklarar och förstår verkligheten (Collis & Hussey, 2009).

3.8.2 Validitet  Validitet är termen som är kopplad till studiens giltighet och relevans. Kvalitativ data resulterar i information med hög validitet (Collis & Hussey, 2009). Giltigheten av litteraturgenomgången kan anses som hög. Den litteratur som använts är från etablerade tidskrifter i området inom informationssäkerhet och autentisering. För att få en hög validitet är det viktigt att de intervjuade vet om vad studien handlar om och vad syftet med studien är (Collis & Hussey, 2009). De intervjuade fick därför i början av varje intervju en förklaring av bakgrunden och syftet med studien. En färdig intervjuguide användes under intervjuerna så att respondenten inte hade någon möjlighet att styra intervjun mot irrelevant information, detta för att öka studiens validitet.

3.8.3 Generalisering  Syftet med intervjuerna var att få en bättre förståelse hur företag inom fordonsindustrin arbetar med informationssäkerhet och hur problemet kring lösenord och autentisering ser ut. Generalisering innebär vad som kan användas från studien och överföra till andra företag, organisationer och sammanhang (Blomkvist & Hallin, 2015). Studien genomförs på företag inom fordonsindustrin men problemet finns generellt inom alla företag och organisationer. Studien går att generalisera till företag som anses ha en normal informationssäkerhet. De företag som inte går att generalisera till är bland annat företag inom vården och företag som arbetar med mycket känslig information.

3.9 Etiska aspekter I Sverige är den vanligaste kodexen inom samhällsvetenskaplig forskning “Vetenskapsrådets forskningsetiska principer inom humanistisk-samhällsvetenskaplig forskning” (Blomkvist & Hallin, 2015). Denna kodex består av fyra stycken krav, informationskravet, samtyckeskravet, konfidentialitetskravet samt nyttjandekravet. Dessa fyra krav följdes under hela studien. Informationskravet uppfylldes genom att alla företag och alla respondenter informerades om syftet med studien. De intervjuade fick en bakgrundsförklaring till studien och fick sedan välja om de ville delta eller inte, vilket uppfyller kravet på samtycke. Det var ingen av respondenterna som valde att tacka nej till att ställa upp, alla respondenter gav även samtycke till att intervjuerna spelades in. Konfidentialitetskravet uppfylldes genom att all information som samlades in till studien hanterades konfidentialitet. Eftersom mycket känslig data hanterades och som handlar om säkerhet för ett företags information valdes hela studien att göras anonym. Empirin i rapporten är skriven på ett sätt som gör att det inte går att identifiera vem som är vem. Det sista kravet är nyttjandekravet vilket innebär att materialet som samlas

26

in endast får användas i denna studie, detta informerades även respondenterna om. När rapporten var klar kasserades all användbar information.

27

4. Resultat och analys I det här kapitlet presenteras den empiri som samlats in under de semistrukturerade intervjuerna. Empirin analyseras med den teori som presenterades i kapitel 2 och utifrån empirin har vi valt våra teman som vi presenterar nedan tillsammans med en kort beskrivning om de tre företag som har undersökts.

4.1 Företagen De tre företagen vi har valt att studera är leverantörer och underleverantörer i fordonsindustrin och det är endast den svenska delen i företagen som studeras. Nedan kommer en kort beskrivning om varje företag. Företag A är en global leverantör av produkter till både lastbilar och bussar, samt den oberoende eftermarknaden. Företaget har två fabriker i Sverige som bedriver både utveckling och tillverkning. På företaget arbetar totalt ca 800 personer. På IT-avdelningen arbetar fyra personer som sitter i de olika fabrikerna. Företag B har två produktionsfabriker och tre andra anläggningar i Sverige. De bedriver både utveckling och tillverkning. De arbetar med både färdiga produkter, bearbetning ytbehandling etc. I Sverige arbetar runt 1100 personer. IT-avdelningen sitter vid huvudkontoret och ligger vid en av de fabriker vi har besökt. Utöver den lokala IT-avdelningen finns en outsourcad IT-funktion som finns i Mellaneuropa. På företag C arbetar drygt 900 personer. Företaget är ett svenskt grossistföretag inom fordonsindustrin och finns i hela Skandinavien. IT-avdelningen omstruktureras just nu och ska framöver ligga i den byggnad där resten av medarbetarna sitter. På IT-avdelningen jobbar cirka 30 personer. Alla användare behandlas lika och vi gör ingen skillnad på om en person jobbar som konstruktör, inköpare, produktutvecklare osv. Däremot gör vi skillnad på IT-ansvariga och användare. Användarna namnges som respondent A, B och C tillsammans med ett nummer, till exempel respondent A1. För IT-ansvariga lägger vi till “/IT” efter bokstaven och siffran, exempelvis C4/IT.

4.2 IT-avdelningens roll i informationssäkerhet IT-avdelningen har visat sig vara en viktig del i informationssäkerheten. De uppmanar användare att följa rutiner och informerar användarna om hur information skall hanteras. Utöver detta är det IT-avdelningen som ser till att alla system fungerar och att användarna når den information de behöver.

28

4.2.1 Fysisk struktur  På alla tre företagen finns det en lokal IT-avdelning. Företag A har en ganska liten IT-avdelning som sitter utspridd i de olika fabrikerna. Respondent A6/IT anser att de har fått en ledningsgrupp som har börjat inse att IT-avdelningen inte längre bara är en kostnad utan faktiskt kan tillföra något till organisationen. Företag B har utöver den lokala IT-avdelningen i Sverige även en IT-avdelning som sitter i Mellaneuropa och som är outsourcad till IBM. Den lokala IT-avdelningen finns vid en av de större fabrikerna i Sverige där huvudkontoret ligger. Respondent B5/IT håller med om att IT-avdelningar oftast bara ses som en kostnad.

“Vi är bara en kostnad men vi är också en vaktmästare som ser till att gräset är grönt och inte går och dör så att säga. Vi kan tala om när man skall gödsla och när man skall göra

någonting mera men vi måste stödja verksamheten och deras önskemål.” – Respondent B5/IT

På företag C är IT-avdelningen relativt ny. Den har endast funnits i drygt ett år och det händer en hel del inom den. Tidigare satt IT-personalen utspridd i företaget. Enligt respondent C4/IT fanns ett behov av att ha en specifik IT-avdelning då IT blir allt mer centralt i allt som görs. Respondent C4/IT säger vidare att IT-avdelningen nu skall vara med och utveckla verksamheten och affären. Innan denna omorganisation var IT-funktionen av en mer förvaltande karaktär och den har nu fått ett högre anseende efter omorganisationen och nya roller som är mer affärsnära har införts. Enligt Hatch (2002) och Bakka et al. (2006) är teknologin en viktig aspekt och kan användas som ett hjälpmedel för en organisations framgång till exempel med att uppnå mål och resultat. Detta visar sig tydligt i företag C som nu har insett hur viktigt det är med rätt teknologi och kompetens i företaget. Företaget har precis uppdaterat alla datorer så att arbetet bland annat skall gå snabbare. Genom att strukturera om IT-avdelningen har den fått en mer central roll och blivit mer involverade i affärsfrågor och utvecklingsfrågor kring deras verksamhet. På de fabriker vi har besökt och gjort intervjuer sitter IT-avdelningen lokalt och finns nära de dagliga användarna. Detta anser många användare är viktigt eftersom de anser att IT-avdelningen måste finnas nära till hands för att de ska kunna få den hjälp de behöver. Enligt Hatch (2002) är den fysiska strukturen i en organisation en viktig aspekt som kan påverka människors beteenden och handlingar. Detta bekräftas av både användare och IT-ansvariga som anser att IT-avdelningen måste finnas nära användarna för att kunna hjälpa dem när problem uppstår. Citatet nedan kommer från respondent A6/IT och visar på att de som arbetar på IT-avdelningarna anser att en väletablerad fysisk struktur är bra för användarna eftersom de vet vart de kan vända sig. “Vi har fått en annorlunda roll nu de senaste åren när vi fick en ny chef. Han är mer för det

här med promotion att vi ska synas annars finns vi inte och det är ju rätt.” – Respondent A6/IT

Samtidigt säger samma respondent:

29

“Här i X-stad sitter vi lite undangömt i en hörna av fabriken, de har till och med tagit ner skyltarna så man hittar knappt hit.” – Respondent A6/IT

Respondent A6/IT förklarar skillnaden mellan företagets olika fabriker och hur IT-avdelningarna ligger i fabrikerna. Chefen anser att IT-avdelningen måste synas för att finnas och övrig personal måste veta om vad IT-avdelningen arbetar med för att kunna uppskatta och förstå det arbete som IT-avdelningen faktiskt gör. I den ena fabriken sitter IT-avdelningen i ena hörnet av fabriken och skyltar för att hitta dit har till och med plockats bort. Det som visade sig i den andra fabriken där IT-avdelningen är mer central är att de är en del av organisationen, d.v.s. användarna vet vart de ska vända sig och IT-avdelningen blir därmed en del av den fysiska strukturen och en del i företaget och dess kultur. IT-avdelningen får större inblick i hur resten av företaget arbetar och kan lättare se vad som behöver göras i systemen för att hjälpa användarna. Dessutom skapas det en vana eller föreställning hos användarna då de vet vart de kan bege sig fysiskt för att få teknisk support och detta tankesätt i sig självt skapar en kultur bland användarna. Enligt respondent A6/IT finns det både för- och nackdelar att sitta mer centralt på plats i fabrikerna. När IT-avdelningen sitter mer centralt får de mer inblick i hur verksamheten fungerar samtidigt riskerar de att bli störda hela tiden. Kulturen på ett företag är viktig inom informationssäkerhet och påverkar användarnas medvetenhet. Den påverkar hur människorna känner, tänker och vad de bryr sig om (Hatch, 2002; Bakka et al., 2006). När alla får se och vara delaktiga i säkerhetsarbetet skapar det en bättre förståelse och medvetenhet hos medarbetarna. Företag C som tidigare inte hade någon egen IT-avdelning har nu infört en IT-avdelning som finns i byggnaden. Följande är ett citat från respondent C2 som tror på kultur, sunt förnuft och att den anställde anpassar sig till företagets kultur beroende på var denne arbetar.

“Jo men det är klart man blir påverkad, man tar ju seden dit man kommer, lite så är det ju. Så det är klart att man anpassar sig det gör man ju.” – Respondent C2

Det som intervjuerna och teorierna pekar på är att kultur är en viktig aspekt när det gäller informationssäkerhet. Kulturen påverkar användarnas säkerhetsmedvetenhet och skiljer sig på olika företag. Enligt Hatch (2002) och Bakka et.al. (2006) påverkar kulturen människors beteende, tankar och prioriteringar. Vilket i det här fallet bidrar till att användarna att använder sunt förnuft. Vad som kan bli problematiskt är att sunt förnuft endast fungerar om personen i fråga har tillräckligt med kunskap om ämnet. När det sunda förnuftet ligger utanför tidigare erfarenheter kan det sunda förnuftet istället leda till problem, då verkligheten kanske är något annat än det sunda förnuftet.

4.2.2 Behörigheter och rutiner  De anställda på företag A, B och C har inte så bra koll på vad IT-avdelningarna faktiskt gör. IT-avdelningen gör betydligt mer än vad användarna är insatta i. Alla användare anser att de

30

har en bra relation till IT-avdelningen. De vänder sig till IT-avdelningen när de behöver hjälp med behörighet, nya lösenord eller har problem med driftstörningar eller datorprogram etc.

“IT-avdelningen är problemlösare. De hjälper till när något inte fungerar med datorerna, man ser inte så mycket vad de gör. De finns som support så att man kan göra det man är

anställd för.” – Respondent A5

Konfidentialitetsprincipen i CIA-triaden handlar om att hindra obehöriga från att nå information och data (de Oliveira Albuquerque et al., 2014). Respondent A5 vänder sig till IT-avdelningen när hen behöver få ny behörighet till system för att kunna utföra sitt arbete, detta kan kopplas till principen konfidentialitet. Eftersom nästan all information som hanteras på företagen idag är digital, är det IT-avdelningen som automatiskt får det slutliga ansvaret att se till att användarna har den behörighet de behöver för att utföra sitt arbete. Rätt person ska ha rätt behörighet för sitt arbete. I företag A håller IT-avdelningen på att utvecklar en ny rutin tillsammans med HR hur processen skall gå till när en person slutar och inte längre har behörighet. IT-avdelningen skall få ett mejl från HR där de blir meddelade om vem som har slutat och sedan är det IT-avdelningens uppgift att inaktivera dennes konton. I företag B och C är det den lokala chefen som skickar ett meddelande till IT-avdelningen att då och då slutar den här personen. Enligt respondent C4/IT finns det bra rutiner när en person slutar och det finns en checklista för chefen att följa. Enligt respondenten har företaget dock en kvalitetsbrist då det inte alltid sker att cheferna sköter detta ordentligt. IT-avdelningen kan inte ta beslut att plocka bort användare om inte organisationen bestämt det. Både respondent C4/IT och B5/IT menar dock om en person lämnat tillbaka både mobil och dator kan de inte komma åt information som finns i intranätet. IT-avdelningarna har ett stort ansvar för att de tre principerna i CIA-triaden följs. Utöver att ha det yttersta ansvaret att rätt personer är behöriga till rätt system, ska det även se att systemen fungerar. Personer som fått behörighet tar för givet att systemen skall fungera och att informationen finns så att de kan nå den. Detta innebär alltså att IT-avdelningen bär det yttersta ansvaret för att se till att tillgänglighetsprincipen uppfylls genom att rätt person har information tillgänglig när behov finns. Detta kan innebära att nätverk måste fungera, att databaser finns tillgängliga etc. Samtidigt är det IT-avdelningens ansvar att se till att personer som inte har behörighet inte finns där. Obehöriga personer skall inte kunna ändra och manipulera information enligt CIA-triadens princip integritet. Enligt respondent A6/IT får användarna på företag A inga individuella behörigheter. Alla användare får projektgruppsbehörigheter som ofta är baserade på vilken avdelning de tillhör. Detta leder oss vidare till hur sociala faktorer som Hatch (2002) och Bakka et al. (2006) beskriver som exempelvis positioner i organisationen samt grupper eller avdelningar som de tillhör påverkar hur arbetet organiseras. Den sociala strukturen beskriver vem som gör vad i en organisation och vem som är beroende av vem. Det är den sociala strukturen i de organisationer som vi har studerat som styr vilka behörigheter användarna får. Exempelvis,

31

vilken position den anställde har styr vilka system denne kan ha tillgång till. En person som till exempel jobbar med konstruktion behöver ha tillgång till CAD, däremot behöver denne person inte ha tillgång till företagets affärssystem. Om en medarbetare på företag A behöver andra behörigheter än vad denne har ska den ansvarige chefen/ledaren kontaktas. Det är den sociala strukturen inom företag A som lett dem till att skapa tydliga rutiner för behörighet där aktörerna får fylla i ansökningar för behörighet. Nedan följer ett citat från respondent A1 angående behörighet:

“Då så får jag gå till min chef som skall fylla i ett dokument och det skall då skickas till IT-avdelningen. I det här fallet är det en hon, så hon skall godkänna att jag kommer åt den här

menyn.” – Respondent A1

När vi sedan frågar samma person om hur lång tid processen kan ta svarar hen så här: “Ja, vi brukar inte göra så. Jag går direkt in till IT-avdelningen. Men om man nu skulle göra det, ja det kanske tar beroende på vilken arbetsbelastning vi har, en dag. “- Respondent A1

Vad som framkommer är att medarbetarna ofta kringgår de väletablerade rutinerna inom sin sociala struktur och går till IT-avdelningarna istället för att få behörighet bekräftat av chefen. Detta kan enligt Wall (2013) ses som ett internt hot. Användarna väljer frivilligt att strunta i rutiner för att till exempel spara tid och göra det enklare för sig själva. När IT-avdelningen godkänner behörighet även då de inte fått order om att göra det från chefen bryter även IT-personalen mot rutiner och kan anses som ett internt hot. När användarna är i behov av tekniskt support så är första steget att kontakta IT-avdelningen via ett ärendehanteringssystem. Detta system har visat sig brukas av samtliga företag som vi har undersökt. De flesta respondenter nämner dock att de ofta kontaktar IT-avdelningen på andra sätt för att få en snabbare respons. “Tanken är att man skall använda ärendesystemet, men blir det akut springer man ner och vet

att de alltid är där och de är alltid gulliga och hjälper en.” – Respondent C2

Enligt respondent B1 och B2 bör medarbetarna i första hand använda sig av ärendehanteringssystemet som administreras av det outsourcade företaget och enligt respondent B2 erbjuder det outsourcade företaget en svensktalande support på dagtid mellan 7-16. På övriga tider erbjuder de hjälp av någon som pratar engelska. Den outsourcade IT-avdelningen skickar oftast ärendet vidare till den lokala IT-avdelningen. Det finns olika typer av problem och enligt respondent B1 avgör det också vilken IT-avdelning ärendet ska läggas fram till. Exempelvis, gäller det CAD kan användarna vända sig direkt till den lokala IT-avdelningen. Då behöver de inte lägga upp ett ärende i ärendehanteringssystemet. När företag B var mindre och allt var mer lokalt var det enligt respondent B1 smidigare och enklare. Den fysiska strukturen i företaget gör det möjligt för användarna att kommunicera ansikte mot ansikte med IT-avdelningen vilket också är säkrare då de inte behöver lämna ifrån sig datorn och information. Samtidigt gör teknologin det möjligt för de som sitter hemma till exempel

32

med ärendehanteringssystemet att få hjälp med de problem som de stöter på hemifrån. Hatch (2002) beskriver att det är viktigt att företag erbjuder både en trygg fysisk struktur och samtidigt en modern teknologi för att kunna uppnå mål och resultat i organisationen. Det nya systemet avviker dock från en fysisk struktur genom att outsourca en del av sin IT-avdelning, vilket enligt användarna var ett negativt beslut. Respondent B2 anser att det har blivit en försämring när delar av IT-avdelningen blev outsourcad. För användarna är det nu krångligare och tar längre tid även fast de i slutändan oftast får hjälp av den lokala IT-avdelningen. Respondent B1 håller med och menar att det idag tar längre tid att skicka ärendet till den outsourcade IT-avdelningen och att det är lättare att kontakta IT-avdelningen lokalt för att få respons snabbare. Dessutom anser användarna att det är tidskrävande att skapa ett ärende i ärendehanteringssystemet och väljer oftast att kontakta den lokala IT-avdelningen direkt, genom att antingen göra ett personligt besök, skicka ett mejl eller ringa. Enligt respondent B2 skulle det inte ha varit smidigt om IT-supporten enbart sköttes av det outsourcade företaget. Sammanfattningsvis kan vi se att företagen har rutiner för både hur användarna skall söka behörighet, hur de ska göra när en person slutar och hur användarna skall kontakta IT-avdelningen. Många användare väljer dock att skippa dessa rutiner då de går snabbare att söka upp IT-avdelningen själv, utan mellansteg av chefer och ärendehanteringssystem, detta visar sig tydligt i företag A. Vad som händer när detta sker är att det blir ett stort hål i informationssäkerheten. Dessa genvägar är tydliga exempel som bekräftar tidigare studier av bland annat Gonzales & Sawicka (2017) och Applegate (2009) att användaren ofta är den svaga länken i informationssäkerhet. Eftersom att det är chefen som skall bestämma om en person ska få behörighet till en fil eller system bryts den administrativa säkerheten när användaren går till IT-avdelningen och de godkänner behörighet utan chefens medgivande. Detta kan också kopplas till den kultur som finns i företag A, där alla känner alla. Användarna känner en trygghet i att på ett lätt sätt kunna kontakta IT-avdelningen och föredrar en personlig kontakt.

4.3 Utbildning I det här avsnittet presenteras och analyseras den empiri tillsammans med den teori som vi anser har koppling till utbildning, som var ett av de teman som vi fann viktigt när informationssäkerhet diskuteras.

4.3.1 Säkerhetspolicy  Enligt respondenterna A6/IT, B5/IT och C4/IT har de tre företagen någon form av säkerhetspolicy/IT-policy. I alla tre företag få de anställda när de börjar, skriva under anställningsavtal med regler och riktlinjer. De anställda får också någon form av välkomsthäfte med företagens alla policyer och ett sekretessavtal. Det finns inga krav i något av företagen på att de anställda måste hålla sig uppdaterade om vad som står i säkerhetspolicyn. Respondent A1 nämner dock att de någon gång har fått skriva på ett nytt avtal som handlar om just IT-säkerhet. Överlag har användarna väldigt olika

33

kunskaper angående företagens säkerhetspolicy. Ingen av användarna har antytt att de har full insyn i vad som står i företagets säkerhetspolicy. Enligt respondent C1 fokuserade företag C väldigt mycket på företagets säkerhetspolicy för några år sedan. De anställda blev uppmanade att läsa igenom den och respondent C1 tror även att säkerhetspolicyn skickades ut via mejl för att de anställda skulle ta till sig den informationen. C1 berättar också att företaget tidigare har haft en medarbetare som var mycket engagerad i företagets IT-policy och såg till att företaget fick en bra IT-policy som hen gick ut med till de anställda. Enligt litteraturen skall en policy vara lätt att läsa och förstås av alla som en produkt av en inflytelserik person. Den anställde på företag C var mycket engagerad i att skapa en bra säkerhetspolicy och han såg till att policyn även mejlades ut till alla anställda för att visa hur viktig den var. Allt detta jobb med en drivande person gjorde att medarbetarna blev mer engagerade. När personen slutade/bytte tjänst försvann en del av medarbetarnas förståelse för IT-policyn. Nedan kommer tre citat, ett från vart och ett av företagen där användarna får beskriva vilka kunskaper de har angående företagets säkerhetspolicy: “Det är väl sunt förnuft, företagshemligheter överlag angående personlig information... Det

står säkert i någon paragraf hur man ska hantera saker och ting.”– Respondent A5

“Den innehåller hur man ska tänka och agera angående spridning av information. Det gäller ju även egentligen sådant som finns på internet också det är ju egentligen inte öppen

information men det kan man inte sprida vidare. Det finns ju information, kan inte säga exakt vad som står men har susat förbi det” – Respondent B4

“Jag har ju läst igenom den och jag förstår ju, det är sunt förnuft i alla fall för mig. Jag har

som jag sa varit här på företaget väldigt länge, jag vet ju att känslig information ska man helt enkelt inte sprida utanför väggarna.” – Respondent C1

Det som citaten har gemensamt är att de var återkommande under intervjuerna. Någon enstaka användare visste lite mer om det som stod i företagets säkerhetspolicy och några visste inte ens om att företaget har en säkerhetspolicy. Vidare berättar användarna att de använder sig främst av sunt förnuft. Enligt Pfleeger & Pfleeger (2006) definierar säkerhetspolicyn en acceptabel användning av företagets information för att användaren ska förstå vad denne får och inte får göra. Policyn bör vara lättläst och tillgänglig för samtliga. Varför användarna i samtliga företag inte kan säkerhetspolicyn och inte använder sig av den kan bero på att den inte finns tillgänglig och att den inte uppdateras kontinuerligt för att se till att användarna förstår och lever efter den. Det som framkommer hos flera av respondenterna på företag C är att säkerhetspolicyn har kommit upp på intranätet flera gånger. Däremot berättade flera respondenter på samtliga företag att de inte har läst säkerhetspolicyn mer än en gång även ifall det är deras ansvar att läsa igenom den. Andersson et al. (2011) berättar att PDCA-metoden som innehåller fyra steg,

34

plan, do, check och act, går ut på att kontinuerligt förbättra arbetsmetod, vilket företag C verkar försöka göra när det gäller säkerhetspolicyn men det gäller att följa upp och låta cykeln rotera. Enligt Silva et al. (2017) räcker det därför inte med att bara utföra stegen i PDCA-metoden, i det här fallet att lägga ut säkerhetspolicyn, utan det måste följas upp och resultat bör antecknas oavsett om det är positivt eller negativt. När det gäller informationsöverföring är respondenterna på företag B och C medvetna om att IT-policyn ska innehålla information och rutiner kring spridning av känslig information. På företag A däremot är det ingen av respondenterna som tar upp något om säkerhetspolicyn när vi tar upp frågan om regler och rutiner kring informationsöverföring. Enligt Pfleeger & Pfleeger (2006) ska säkerhetspolicyn innehålla information om företagets begränsningar för att använda och sprida information. På företag B och C är det tydligt att användarna är medvetna om att rutiner och regler kring informationsöverföring finns i säkerhetspolicyn. Enligt respondent B5/IT har företaget tydliga rutiner kring informationsöverföring. Respondenten anser att det inte är speciellt mycket kritisk och konfidentiell information som företaget har. Hen är medveten om att kunddata är väldigt viktigt och att det är viktigt att de till exempel inte blandar ihop kundernas information. Ett exempel denne ger är att de är medvetna om att de inte ska ta Volkswagens produkter och ge de till BMW. Vid osäkerhet gällande informationsöverföring berättar respondent B2 att hen brukar i första hand ta det med sin chef och fråga om vad som bör göras och vad hen tycker. Respondenten berättar vidare att om det är något som angår det vardagliga arbetet som till exempel att skicka ut ritningar till kunderna då skickar hen ritningen direkt till kund utan att fråga. Detta bekräftas med citatet nedan:

“Om det är företag som jag känner mig väldigt osäker på då går jag till chefen och frågar hur han tycker att jag ska göra, så det är ju chefen jag tar upp det först och främst med. Om det är i mitt vardagliga arbete då jag skickar ut ritningar för att få de godkända då skickar

jag dem direkt till kund” - Respondent B2 Trots att användarna är medvetna om var de kan hitta information i säkerhetspolicyn bland annat om hur informationsöverföring ska gå till använder de ändå inte det dokumentet utan mer sunt förnuft. Ett annat begrepp inom organisationsteorin som gör det möjligt att förstå det här sättet att tänka på hos användarna är social struktur. Hatch (2012) beskriver social struktur som positioner, grupper eller avdelningar i en organisation. Den sociala strukturen innebär bland annat relationen mellan människor och grupper. I det här fallet följer inte användarna policyn och det är för att ledningen inte understryker policyn. En följd av detta är att användarna iakttar hur deras medarbetare förhåller sig till policyn och följer deras exempel. På detta sätt utvecklas användningen av sunt förnuft hos användarna på företag B och C i vår studie. Användarna i företag A använder sig också av sunt förnuft men det som skiljer dem åt från de andra är att företaget har brist på tydliga rutiner angående informationsöverföring.

35

Respondent B1 berättar att utöver de policyer medarbetarna undertecknar vid anställning använder sig kunderna ofta av non disclosure agreement (NDA), ett sekretessavtal där de anställda på företag B inte får prata om vad företaget och kunden arbetar med. Detta avtal är på kundens begäran. Enligt Pfleeger & Pfleeger (2006) ska ett företags säkerhetspolicy spegla tre synvinklar, användaren, ägaren och mottagaren. Mottagaren i det här fallet är företag Bs kund. Om företag B har en säkerhetspolicy som involverar kundens intressen och företaget har låtit mottagaren ta del av den skulle företaget kunna minska antalet NDA:s de behöver skriva gentemot kunder. Det är tydligt att inget av företagen uppdaterar, kontinuerligt följer upp och ser till att säkerhetspolicyn och de nedskrivna rutinerna är efterlevda. Pfleeger & Pfleeger (2006) berättar att syftet med informationssäkerhetspolicyn (IS-policy) är att bidra till en trygg informationssäkerhetsmiljö för att bland annat förhindra datastöld, intrång och att skadlig kod tar sig in i IT-systemet. Det handlar vidare om att sätta upp mål, processer och rutiner som är relevanta för riskhantering samt att undersöka deras effektivitet. Detta är i linje med PDCA-modellen som oftast används för systematiskt förbättringsarbete och som anses vara en metod för framgångsrik utveckling (Andersson et al., 2011). IS-policyn ska fungera som en grund när det gäller mål och inriktning för ledningens informationssäkerhetsarbete. Det är även viktigt att kraven i IS-policyn förenklas och anpassas efter användarens behov och användning för att kunna bevara informationssäkerheten (Pfleeger & Pfleeger, 2006). Det krävs även engagemang och kontinuitet i arbetet med ledningssystem för informationssäkerhet (LIS) för att bevara säkerheten (Kalmelid, 2013). Därför är det extra viktigt att det görs med hjälp av PDCA-metoden då cykeln alltid ska rotera. På så sätt kan policyn och rutinerna kontinuerligt uppdateras till exempel en gång per. Ytterligare en aspekt att ta hänsyn till är den sociala strukturen som Hatch (2012) beskriver som positioner, grupper eller avdelningar i en organisation som påverkar arbetet. Den sociala strukturen innebär bland annat relationen mellan människor och grupper. Ledningen i det här fallet har också ett ansvar för att se till att medarbetarna är motiverade genom att kontinuerligt arbeta med IS och genom det vara en bra förebild.

4.3.2 Utbildning i informationssäkerhet  Företag A erbjuder inte sina anställda någon form av utbildning inom informationssäkerhet eller lösenordshantering. Exempel på sådan utbildning är datorstödd informationssäkerhetsutbildning för användare (DISA) som myndigheten för samhällsskydd och beredskap erbjuder kostnadsfritt. Utbildningen går ut på att höja nivån på informationssäkerheten inom organisationer genom att se till att samtliga medarbetare förstår grunderna med informationssäkerhet (MSB, 2011). Respondent A6/IT berättar att företag A är skickliga på personlig säkerhet och personskydd. Exempel på detta är skyddsrockar, skyddsskor etc. Däremot tar de inte informationssäkerhet i samma beaktning. Respondent A6/IT tror även att det hade varit givande att vara med i något utbildningsprogram angående informationssäkerhet.

36

En annan användare på företag A, respondent A1, nämner att hen kanske har fått utbildning i informationssäkerhet för cirka 20 år sedan. På företag A är det endast respondent A5 som nyligen har fått utbildning i informationssäkerhet. Denna utbildning har respondenten fått vid anställning i försvarsmakten innan den nuvarande anställningen på företag A. Enligt respondent A2 brukar användarna få mejl från IT-avdelningen när någon i företaget fått mejl som innehåller virus. Detta bekräftas av respondent A6/IT som säger följande: “Vi skickar ut lite skrämselmejl när det är något som är på gång. Det har varit väldigt många

konstiga fakturamejl den senaste tiden, då skickar vi ut ett skrämselmejl: klicka inte nu på något från någon du inte känner igen” - Respondent A6/IT

Respondent A5 berättar däremot att företaget fokuserar mer på IT-säkerhet än administrativ säkerhet. Intervjuerna har även bekräftat att företag A har varit utsatta för en del dataintrång. Respondenten berättar också att när företaget blir drabbat av någon form av dataintrång är rutinen att skicka ut skrämselmejl. Ett exempel som respondent A5 lyfter fram är att ett av företag As underleverantörer i utlandet blev utsatta för dataintrång när deras mejlsystem blev kapat, vilket ledde till att användarnamn och lösenord läckte ut. Det som då skulle vara underleverantören skickade mejl till företag A om att denne hade bytt bank och att de behövde företag As bankuppgifter igen. Enligt respondent A5 var det trovärdiga och professionella mejl. Det tog ett tag innan företag A upptäckte att det var falska mejl men det hann inte gå så långt att företaget tog skada av händelsen. Efter detta har företaget ändrat rutiner angående mejlhantering in och ut i företaget. Vid incidenter som i exemplet ovan sänder IT-avdelningen ut mejl för att varna användarna så att de kan vara extra uppmärksamma på konstiga mejl. Likt företag A har företag B inte heller någon form av utbildningsprogram för informationssäkerhet och lösenordshantering. Företag B har dock gjort enkätstudier för att kartlägga användarnas kunskap kring informationssäkerhet. Enkätens frågor berör hur de anställda beter sig i olika situationer. De får bland annat svara på frågor vad de skall göra om de till exempel glömt en dator på tåget eller hittat ett USB-minne på parkeringen. Respondent B4 berättar att samtliga anställda som får ta del av företagets information och använda datorer blir ombedda att fylla i enkäten. Därefter blir de bedömda utifrån deras svar och får återkoppling. Respondent B4 är dock inte säker på om all personal får ta del av enkäten men det är det som är grundtanken. Om en anställd skulle ha svarat fel på för många enkätfrågor får användaren i första hand göra om enkäten och är det för många fel blir denne inkallad till en diskussion. Detta görs för att kontinuerligt se till att användarna har tillräckliga kunskaper. Utöver enkäter försöker IT-avdelningen, enligt respondent B5/IT, kontinuerligt informera de anställda på intranätet om det är något som inträffar eller om det finns något som måste göras. Bland användarna på företag B är det två av fyra som pratar om enkäterna som sänds ut som utbildning. En av användarna har varit på företaget kortare tid än ett år och har kanske aldrig fått fylla i någon enkät. Citaten nedan kommer från respondent B4, där hen berättar angående utbildning inom informationssäkerhet i företag B:

37

”Ja det har vi fått, det går ju via webben om man säger så.“ – Respondent B4

Det är viktigt att ha kontinuerlig uppdatering och uppföljning så att säkerhetsrutinerna följs. Likväl är det lika viktigt att informera om syftet med arbetet som görs, vilket enkäterna i företag B är ett exempel på. Dessa enkäter används enligt respondenterna i företag B till att studera och kontinuerligt förbättra deras säkerhetsrutiner. Ett sådant förbättringsarbete är i enlighet med de som PDCA-cykelns teoretiska steg innebär. Företag C har tidigare haft utbildning i form av e-Learning, som företaget internt kallade för “datakörkortet”. Enligt respondent C2 var denna utbildning riktad till nyanställda. Respondent C4/IT berättar också att denna utbildning fanns för att bekanta de anställda med företagets IT-miljö, eftersom olika företagsmiljöer oftast ser olika ut. Användarna fick bland annat lära sig hur de kunde spara ner olika filer i den gemensamma mappen och på sina egna datorer, de fick även en genomgång om var de kunde söka efter filer och så vidare. Respondent C2 berättar att denna utbildning blev inaktuell för att det krävde för mycket resurser att uppdatera den. Det som framkommer hos samtliga respondenter i företag C är att de upplever att utbildningen har varit givande men företaget ansåg att den var för kostsam. Valet att lägga ner utbildning går emot PDCA-modellens funktion som Andersson et al. (2011) berättar att det går ut på att skapa en kontinuerligt utvecklande verksamhet. Följderna företag C kan få på grund av att de har avskaffat utbildningen har ännu inte visat sig. I ett långsiktigt perspektiv kan denna avveckling skapa risker för intrång då användarna är mindre informerade. Användarna ansåg att utbildningarna var bra och hade en positiv effekt. Men enligt PDCA-modellen är detta inte rätt sätt att bedriva förbättringsarbete. Om företag C hela tiden hade arbetat utifrån PDCA-modellen hade de kontinuerligt behövt göra små uppdateringar i utbildningen då hade inga drastiska ändringar behövt göras på en gång. Detta hade kunnat ske i det dagliga arbetet. Företag C har nyligen uppdaterat alla datorer med Windows 10 och företaget har då enligt respondent C2 erbjudit de anställda ett seminarium om själva uppdateringen, bland annat om hur lösenordsbyte skall gå till. Respondent C4/IT berättar att IT-avdelningen utöver att ha seminarium kontinuerligt förklarar och får användarna att förstå hur information bör hanteras.

“Det finns ju sådana möjligheter i många Microsoft produkter, till exempel OneDrive. Där har vi försökt att fokusera på att förtydliga vad det innebär att spara ett dokument eller

information där. Man har ett eget ansvar oavsett om man går omkring med pappersdokument med känslig information eller en fil. Det är eget ansvar att bedöma hur känslig informationen

är, ska jag spara min pärm i bilen över natten eller kan jag lägga filen på OneDrive.” – Respondent C4/IT

Respondent C4/IT menar att de anställda bör ha ett visst säkerhetstänk oavsett om information lagras i en mapp på servern eller lokalt på datorn och berättar vidare att IT-avdelningen inte har några uppföljningar i form av KPI (Key Performance Indicator) eller liknande arbetskvalitetsundersökningar för att mäta hur användarna tar till sig kunskapen. KPIer är

38

mätbara nyckeltal som visar utvecklingen av företagets mål och anger om organisationen har uppnått sina mål inom en viss tidsram (Weber & Thomas, 2005). Däremot får IT-avdelningen en klar uppfattning om hur bra rutinerna blir efterlevda eftersom helpdesk finns i huset och har en bra överblick över vilka frågor som ställs och vilka problem användarna har. Företag C anser att den fysiska strukturen är viktigare än KPI och andra former av undersökningar eftersom de anser att den fysiska strukturen förenklar arbetet med uppföljning av hur användarna tar till sig kunskap och efterföljer den. Även teorin om organisation bekräftar att den fysiska strukturen påverkar de sociala relationerna enligt Hatch (2002). Det som går att utläsa av ovanstående är att IT-avdelningen sköter uppföljningsarbetet eftersom de finns nära till hands för användarna. Sammanfattningsvis kan vi se att företagen inte arbetar aktivt med att utbilda sina anställda i informationssäkerhet. Företag B utbildar inte sina anställda men kontrollerar ungefär en gång per år vad de anställda kan. IT-avdelningarna arbetar mer med att informera användarna om potentiella risker och hur de bör bete sig. För att höja säkerhetsmedvetenheten på företagen kan företagen låta sina anställda gå utbildningar i informationssäkerhet till exempel DISA, den kostnadsfria utbildningen som myndigheten för samhällsskydd och beredskap erbjuder. Företagen kan även använda sig av PDCA-modellen för att kontinuerligt uppdatera de utbildningar som införs.

4.3.3 Standard Företag A och C är ungefär lika stora när det gäller antal anställda. Företag A arbetar mer med konstruktion och tillverkning medan företag C arbetar mer med försäljning av produkter. Företag A skulle kunna vara en möjlig kund för företag C. Som vi tidigare har nämnt har företag A varit utsatt för dataintrång medan företag C har varit ganska förskonade. Respondent C4/IT berättar att företag C förväntar sig att anställda efterlever den IT-policy som finns på företaget och att de lägger stort ansvar på användarna. IT-avdelningen försöker hjälpa till genom att skapa en medvetenhet hos användarna samt att skapa möjligheter för att tillgodose företagets behov av informationssäkerhet och leva upp till den nivå av säkerhet företaget har. Respondent C4/IT menar att det finns många fördelar ur ett informationssäkerhetsperspektiv att företaget inte är börsnoterat. Det finns flera orsaker till varför dataintrång eller säkerhetsintrång sker. I de ovanstående fallen verkar det dock som att företag C inte har blivit lika utsatt. Intrång på företagen går att härleda till begreppet kultur som enligt Hatch (2002) och Bakka et al. (2006) har stor påverkan på bland annat uppfattningar, antaganden och värderingar hos medarbetarna. Företag A har blivit utsatta för dataintrång och deras säkerhetspolicy har blivit översedd regelbundet. Problemet som återstår är att de inte utbildar sina användare inom informationssäkerhet, exempelvis DISA. Det är på så vis begreppet kultur blir relevant, eftersom det användarna lär sig är via observation av andras uppfattningar, hur de värderar informationssäkerhet till att göra ett antagande om hur de ska förhålla sig. Företaget C förväntar sig att medarbetarna ska förstå och leva upp till de förväntningar företaget har på

39

dem. Deras IT-avdelning bidrar med stöd för att se till att deras information förblir säker. Däremot, med hjälp av begreppet kultur (Hatch, 2002) är det som i företags As fall så att företag C löper samma risk. Eftersom även användarna lär sig hur de ska förhålla sig till informationssäkerhet via att observera IT avdelningen, visar begreppet kultur oss att användare som följer en grupp med makt, i det här fallet IT-avdelningen, och också delar lärdomar med dem. Respondent B5/IT håller med om att företagets IT-säkerhet måste sättas på en rimlig nivå som är anpassad efter företagets verksamhet. “Vi producerar inte matvaror och vi är inte något kärnkraftverk, då kan vi avgränsa oss lite

grann och hitta en rimlig nivå” – Respondent B5/IT Respondent C4/IT anser precis som respondent B5/IT att de inte heller har några externa regulatoriska krav på sig. Detta gör att företaget enligt respondent C4/IT kan använda sig mer av sunt förnuft snarare än standardiserade regler. Kalmelid (2013) berättar att med stöd av ett ledningssystem i en organisation kan informationssäkerhet organiseras. Standardserien ISO 27000 består av administrativa rutiner, ledningens ansvar och övergripande krav på IT-infrastruktur (Kalmelid, 2013). Ett företag behöver inte ha några regulatoriska krav på sig för att använda sig dessa standarder. Standarderna är gjorda för att stödja arbetet med informationssäkerhet inom organisationer oberoende av bransch och typ. När vi ställer frågan om företag B följer några standarder för informationssäkerhet berättar respondent B5/IT att de försöker att alltid följa de olika standarder som de har och att de försöker anpassa sig till dem så mycket som möjligt. Företag A är en underleverantör inom fordonsindustrin och enligt respondent A6/IT behöver de följa flera standarder som berör deras tillverkning samt miljösäkerhet. Respondent A6/IT förklarar att det finns diskussioner kring IT standarder men att inga beslut är tagna än, men att den nya GDPR-lagstiftningen (Data Protection Regulation) gör att företaget kommer att bli tvunget att se över hur de hanterar information, specifikt personuppgifter. Enligt Datainspektionen (2017) kommer GDPR som på svenska kallas för allmänna dataskyddsförordningen börja gälla 25 maj 2018 och har i syfte att stärka skyddet för fysiska personer vid behandling av personuppgifter inom EU. Respondenter från både företag A och B nämner att det finns standarder eller sunt förnuft som de måste ta hänsyn till i sitt arbete. En sådan rationalisering går att koppla till en social struktur, eftersom standarderna eller sunda förnuftet oftast är tagna från lagstiftning eller arbetslivserfarenhet. Detta förklarar dock inte den nya lagstiftningen GDPR, som är ett Europeiskt försök till att standardisera hur personuppgifter lagras. Denna nya lagstiftning är en stor ändring men det finns en koppling mellan dess verkställande och en tidigare befintlig teori inom informationssäkerhet, nämligen CIA-triaden som, enligt de Oliveira Albuquerque et al. (2014), bland annat är avsedd att säkerställa vem som har tillgång till vad.

40

4.4 Säkerhet I det här kapitlet presenteras analys och resultat gällande säkerhet i form av inloggningsmetod, inloggning utanför företaget, antal inloggningar, Single-Sign-On, kontroll av mottagare och kryptering.

4.4.1 Inloggningsmetod  Inloggningsmetoden är en viktig del i informationssäkerhet och är en del av den tekniska säkerheten. Inloggningen kan ses som huvudnyckeln för att komma in och nå den information man behöver och för att följa konfidentialitetsprincipen, i Harris (2007) CIA-modell skall endast personer med behörighet få tillgång till nyckeln och information. Det kan jämföras med ens eget hem, där vi själva väljer att ge nyckeln till personer vi vill ska kunna komma in i våra hem. När vi sedan är inne i hemmet kan vi välja att låsa in saker i hemmets rum och nyckeln dit kanske inte alla får. Alla tre företag använder enligt IT-respondenterna Windows Active Directory som inloggningsmetod med lösenord och användarnamn. Företagen har inte helt oväntat ett lås för att komma in i systemen. Respondent A6/IT anser att företag A skulle kunna ha en säkrare inloggningsmetod eftersom deras nuvarande metod är lätt att gå förbi om det verkligen görs ett försök. Respondenten kompletterar detta med att även om det är lätt komma in, är frågan hur mycket som är tillgängligt när personen väl är inne. Det vi ser i företag A är att kommer användaren in med huvudnyckeln behöver denne sedan andra nycklar, lösenord, för att nå övrig information till exempel CAD-ritningar. Respondent A6/IT påstår vidare att det är viktigt med en avvägning mellan säkerhet och enkelhet men att de har en del data och system som behöver kräva högre säkerhet än vad de har idag och att det pågår en diskussion angående det. Enligt Sundström (2005) finns det flera olika inloggningsmetoder och i de här företagen bygger den på något användarna vet, lösenord. Lösenord erbjuder ett bra skydd men enligt Pfleeger & Pfleeger (2006) försämrar användarna ofta dess kvalitet. Majoriteten av respondenterna på företag A anser inte att inloggningsmetoden hindrar dem i deras arbete. Respondent A1 däremot, har många lösenord och tycker att det kan bli krångligt vid inloggning. Respondent A2 anser dock inte att inloggningsmetoden är ett hinder i arbetet, men tycker däremot att en metod som kan ge full tillgång till hela systemet med endast en inloggning skulle underlätta arbetet, vilket beskrivs i citatet nedan.

“En metod som innebär att jag bara behöver logga in en gång skulle absolut underlätta för mig. Det tar bara fem sekunder, men fem sekunder varje gång. Om man trycker fel får man

skriva igen och det tar lång tid.” – Respondent A2

Användarna på företag A är vana vid den inloggningsmetod de har idag men är medvetna om att det kan finnas säkrare metoder. De resonerar även kring ifall företaget är i behov av en säkrare metod. Respondent A3 berättar att alla anställda har en tagg för att komma in på företaget och att en sådan funktion kanske skulle kunna användas för inloggning på datorn. Å andra sidan menar respondenten att ifall taggen tappas bort kan den som hittar taggen nå allt

41

på datorn. Respondent A3 menar vidare att en annan inloggningsmetod troligen inte skulle påverka dennes arbete men att det kanske skulle underlätta för IT-avdelningen. Respondent A1 håller med respondent A3 om att en annan inloggningsmetod skulle spara tid för IT-avdelningen och att det även skulle spara tid för användarna för om något oväntat händer med lösenordet blir det många personer att ringa för att försöka fixa det. Respondent A1 berättar vidare att systemet låser sig för användaren efter tre upprepade inmatningsfel. Det är ett stressmoment, vilket illustreras nedan med respondent A1s ord: “Jag börjar tidigt på morgonen, så ska jag vänta på IT som kommer in vid 9, då kan det vara

stressigt.” – Respondent A1

Ingen av respondenterna på företag B anser att inloggningsmetoden hindrar dem i deras arbete. De lyfter däremot fram att andra metoder kanske skulle gå snabbare och vara smidigare. En av användarna, respondent B1, nämner att det skulle vara tidsbesparande om inloggningen skedde tillsammans med start av datorn och föreslår att det skulle vara möjligt att kunna låsa upp datorn med finger som det görs med mobilerna nu för tiden, ungefär som alkolås i bilen. Inloggningsmetoden hindrar inte heller respondenterna på företag C i deras arbete. Respondenterna C1, C2 och C3 anser att inloggningen sker på rutin och av vana. Inloggningsprocessen ses som en del av arbetet i företag C. Respondent C1 menar att det är en naturlig process och att det idag finns en pinkod på allt som görs, exempelvis när betalningar utförs med ett bankkort etc. Vi kan tydligt se att användarna i den här studien är vana och har rutiner när det gäller inloggningsmetoden. Det är ingenting som är konstigt utan det är enligt användarna själva så det fungerar i dessa företag. Det är något ledningen har bestämt och de anställda följer detta. Användarna litar på IT-avdelningen och ledningen om att inloggningsmetoden de har är bra. De förväntar sig precis som Pfleeger & Pfleeger (2006) nämner äkta grad av sekretess, integritet och kontinuerlig tillgänglighet. Även om inloggningsmetoden anses som enkel och säker öppnar vissa respondenter för andra tekniska lösningar som enligt respondenterna själva skulle vara säkrare. Många av användarna skulle även uppskatta en metod som gjorde arbetet kring lösenord smidigare och lättare även om inloggningsmetoden inte hindrar dem i deras arbete. En metod som SSO (Single-Sign-On) där användaren endast behöver logga in en gång och få tillgång till alla system skulle underlätta för många, både för användarna och för IT-avdelningen. En lösning som innehåller SSO och där inloggningsmetoden endast är lösenord och användarnamn ser vi som osäker då det finns stora svårigheter med användarnamn och lösenord, se kapitel 4.5. Om en inloggning skall ge åtkomst till all information behövs en säkrare metod. Genom att använda sig av flerstegsautentisering, där verifieringen sker med två oberoende källor, kan graden av säkerhet höjas. Enligt respondent A6/IT behöver vissa system högre säkerhet på inloggningsmetoden. Genom att införa en tvåfaktorsautentisering som inte innehåller användarnamn och lösenord blir säkerheten högre och användarnas problem med lösenord skulle försvinna.

42

4.4.2 Inloggning utanför företaget  De tre företagen har olika rutiner när det gäller att logga in på intranätet från en dator hemifrån. Första exemplet är från respondenterna från företag A, som har bärbara datorer. Respondent A2 berättar att den enda skillnaden när det gäller att logga in hemifrån är att de måste logga in via en VPN-klient men att den använder samma lösenord som Windows log-in. De har alltså en två stegs log-in, först loggar de in på Windows och sedan behöver de logga in en gång till via en VPN-klient. Enligt respondent A2 är användarnamnet samma som på Windows men lösenorden skiljer sig. Enligt respondent A1 är lösenordet samma. Detta innebär att användarna själva får välja vilket lösenord de vill ha, de kan ha samma som de har på Windows men om de vill kan de ha olika. På företag B fungerar det likadant. När användarna vill logga in hemifrån behöver de också logga in på en VPN-klient. Enligt respondent B5/IT påverkas inte tillgången till information vare sig de är på företaget eller hemma. De har full tillgång till alla filer och program de behöver för att utföra sitt arbete. Företag C använder också en VPN-klient för att logga in på intranätet hemifrån. Vad som skiljer företag C från A och B är att företag C använder tvåfaktorsautentisering för den som arbetar hemifrån. Företag C har betydligt högre nivå på säkerhet och de förlitar sig inte på endast lösenord vid inloggning hemifrån. Detta bekräftar respondent C4/IT med citatet nedan: “Sen har vi tvåfaktorsautentisering om man sitter hemma och jobbar till exempel. Då har vi

vridit upp så att vi har lite tuffare krav, så då är det med en kombination av certifikat och engångslösenord.” – Respondent C4/IT

Vid inloggning hemifrån eller från ett nätverk utanför företag C måste användarna använda en applikation i mobilen, VIP access, berättar respondent C1 och anger att applikationen slumpar siffror som de behöver för att kunna logga in. Användarna behöver alltså först använda sitt lösenord för att komma in i Windows och sedan behöver de applikationen för VIP-access. Respondent C1 anser att det är bra för säkerheten så att obehöriga inte kan ta in sig i systemet. Enligt Hatch (2002) är teknologin ett hjälpmedel för att en organisation skall kunna nå sina uppsatta mål och resultat. Dagens teknologi erbjuder de anställda möjlighet att arbeta hemifrån med hjälp av bärbara datorer, mobiler och så vidare. Det är något som flera av de anställda utnyttjar. Standard är däremot att medarbetarna är på arbetsplatsen en vanlig arbetsdag. Den fysiska strukturen har enligt Hatch (2002) stora konsekvenser för hur människor beter sig. Genom att de anställda är på plats på företagen kan de ta hjälp av kollegor gällande hemlig information om de behöver. Sitter en person hemma kan det hända att personen tar för hastiga beslut då denne påverkas av andra faktorer hemma än på arbetet. Med hjälp av teknologin kan företagen implementera policyn i systemen, exempelvis genom att spärra sidor som företagen anser är olämpliga på arbetsplatsen. Några respondenter berättar att en sådan pop-up varning kommer upp när de till exempel besöker aftonbladet. Dock kan respondenterna komma förbi denna spärr genom att stänga ner sidan, aftonbladet,

43

och försöka besöka den igen. Det vi ser är att användarna hittar vägar för att ta sig förbi de spärrar som finns.

4.4.3 Antal inloggningar  Hur många gånger användarna behöver logga in i de tre olika företagen och var för sig skiljer enormt och är väldigt individuellt. Det beror dels på hur många gånger användarna behöver gå ifrån datorn, hur många olika system de använder i sitt arbete och om företaget använder sig av någon form av SSO. Användarna loggar in mellan 5 och 50 gånger per dag och majoriteten av inloggningarna görs när användarna har lämnat datorn en stund och kommer tillbaka till den lite senare. Majoriteten av användarna loggar in cirka 20 gånger per dag. Alla tre företag har som rutin att användarna måste logga ut från Windows eller låsa datorn när de går ifrån den. När datorn låses förblir många av systemen inloggade och användaren behöver då endast logga in i Windows för att komma åt dem igen. Respondent B3 känner inte till regeln företaget har om att de skall logga ut eller låsa datorn när de lämnar den. Respondenten har förtroende för sina kollegor och brukar låta datorn vara inloggad när den lämnas obemannad. Respondent B1 låser alltid datorn då det finns vissa kollegor som skojar lite med varandra och hittar på dumheter när datorn lämnas olåst. Om respondent A3 skall lämna sin arbetsplats för en stund och städaren är i närheten så låser hen sin dator. Respondenten gör det för att städaren kanske dammar av tangentbordet och om A3 har något viktigt program igång kan det gå illa. Finns inte städaren i närheten lämnar respondenten datorn igång men den har oftast låst sig när denne kommer tillbaka till exempel om frånvaron har varit mer än 10-15 minuter. Att vissa användare väljer att inte logga ut från datorn när de lämnar den beror bland annat på att de har tillit till sina kollegor. Alla dessa företag har en kultur som är väldigt familjär. Enligt Hatch (2002) och Bakka et al. (2006) har kulturen på ett företag stor inverkan på uppfattningar, antaganden och värderingar. Att användare då väljer att lämna datorn inloggad är inget konstigt då de anställda har uppfattningen att ingen kollega skulle göra något farligt med datorn även om användarna väljer att skoja med varandra och kanske ändrar bakgrundsbild. Enligt Hallberg (2012) handlar informationssäkerhet bland annat om att forma en kultur med ett utvidgat säkerhetsmedvetande hos medarbetare. Det användarna inte tänker på när de lämnar datorn inloggad är vilka potentiella hot som finns i organisationer. Även om majoriteten av kollegorna är tillförlitliga finns det alltid både interna och externa hot. När användarna själva väljer att undgå rutiner är användaren själv enligt Wall (2013) ett internt hot. Genom att låta datorn vara inloggad öppnas det flera dörrar för andra interna hot som till exempel kan vara personer som vill nå information de själva inte är behöriga till för egen vinning eller åt tredje part. Grundkraven i informationssäkerhet är de tre principerna i CIA-triaden, konfidentialitet, integritet och tillgänglighet. Att lämna datorn olåst kan jämföras med att systemen inte behöver ha nycklar. En person som går förbi och inte är behörig kan både hämta och ändra i informationen. Företag idag fokuserar oftast på de externa hoten då dessa anses som de största och farligaste, men detta gör att de missar vilka brister som finns angående interna hot (Wall, 2013). Även om det i alla företag i studien behövs någon form av

44

passerkort för att komma in på företaget har företag A och B varit utsatta för stöld av datorer under dagtid. Obehöriga personer har kommit in och tagit med datorer från företaget. Om det finns någon som vill åt en dator och informationen i den och den är inloggad kan det få stora konsekvenser för företagen. Användarna måste få en medvetenhet angående potentiella hot för att en organisation skall kunna uppnå hög informationssäkerhet. De interna hoten i företagen kan lätt följas upp med hjälp av PDCA-cykeln (Matsuo & Nakahara, 2013). Företagen måste först förstå vilka interna hot de har att göra med. När de känner till dem kan de med till exempel utbildning försöka få bort en del av hoten. Efter utbildningen skall företagen studera resultaten och se om någon förändring finns. Finns en positiv förändring kan de till exempel införa utbildningar kontinuerligt, uppdatera policyer och få personal att läsa igenom dessa och förstå innebörden av materialet.

4.4.4 Single-Sign-On  Enligt respondent B5/IT försöker företaget använda sig av SSO, Single-Sign-On i alla system som stödjer det. Alla nya system de sätter upp försöker de implementera i befintliga system med SSO. Respondenten menar att alla system idag inte stödjer SSO och ett system som denne gärna skulle vilja ha kopplat till SSO är PDM, ett dokumenthanteringssystem. Hen ser bara fördelar med SSO när det väl är implementerat eftersom det går att använda manuell inloggning vid behov. Överlag är respondent B5/IT nöjd med företagets inloggningsmetod, då de försöker använda SSO så mycket som möjligt där det går. Att använda företagets passerkort skulle fungera men respondent B5/IT ser inte att företaget skulle vinna någonting på att göra det. Eftersom det idag finns många molntjänster är det krångligt och bökigt då allt inte stöds av SSO. Respondent B5/IT hoppas att tekniken följer med dem sakta men säkert så att fler system kan bli kopplade till SSO. Respondent A6/IT håller med om att det finns en jättestor besparing i SSO, men att den måste klara av alla system. Respondent C4/IT berättar att företaget strävar efter att ha Windows Active directory integrerad i de system som den tillåter. Hittills är erfarenheten att en SSO-lösning blir ganska dyr. Därför använder de endast Windows egna system eftersom de är gratis. Respondent C4/IT tar också upp problemet kring molntjänster och att desto fler molntjänster det blir med federering ju större utmaning blir det. Vad som framkommer från de tre IT-ansvariga är att de ser att det finns en stor besparing och många fördelar med SSO. De har idag inte hört om något system som gör att användarna endast behöver logga in en enda gång. Många av systemen de arbetar i är inte kompatibla med den typen av tjänst ännu. De ser däremot ljust på framtiden och hoppas att tekniken går framåt och att det kommer ett system som skulle klara detta. Kostnaden kommer dock alltid att vara en fråga och respondenterna tycker precis som Sundström (2005) att en avvägning mellan säkerhet och enkelhet måste göras. Om företagen implementerar en helhetslösning för SSO som faktiskt fungerar kommer de behöva arbeta mycket med den administrativa säkerheten. Även om flerstegsautentisering används måste användarna förstå hur värdefulla deras inloggningsuppgifter är. Om användarna nu förlorar kontrollen över lösenordet kommer ett potentiellt hot inte åt all data men med en SSO-metod kommer hotet åt allt.

45

4.4.5 Kontroll av mottagare  Respondent C6 berättar att de inte alltid gör kontroller över vem individen är som de skickar information till. Ibland kan det vara en individ som de inte har kommunicerat med via telefon, ansikte mot ansikte eller ens haft någon form av kontakt med överhuvudtaget. Vissa leverantörer har de haft kontakt med i flera år berättar respondent C6 men hen anser inte att de nya leverantörerna utgör en informationssäkerhetsrisk eftersom det alltid finns ett kontrakt innan information får spridas. “Njaa, det beror ju på vad det är för något… ehh som man behöver lösa från fall till fall, men

jag försöker vara restriktiv med vad jag skickar. Så att man inte skickar någon information som kan hamna fel.”– Respondent C6

Leverantörer och kunder är enligt Hatch (2002) en del av en organisations omgivning. Hatch (2002) berättar vidare att omgivningen påverkas av en del allmänna krafter. Dessa allmänna krafter är uppdelade i sektorer i samhället exempelvis sociala, kulturella, juridiska, politiska, ekonomiska, teknologiska och fysiska (Hatch, 2002). Företag C i det här fallet är medveten om att omgivningen kan vara en riskfaktor och därför har de sekretessavtal med leverantörer/kunder för att kunna skydda en del av sin information från omgivningen. På företag B berättar respondent B5/IT att de inte har någon fungerande rutin för att verifiera att information som de sänder ut inte sprids. I teorin om CIA-triadens principer berättar Harris (2007) att konfidentialitetsprincipen ska upprätthållas när information befinner sig i systemet och när information skickas och när den anländer till den tänkta platsen. Detta innebär en risk för företag B då det är viktigt att ha en fungerande rutin för att kunna se över vilken information som skickas till vem. Däremot berättar respondent B3 att företaget har sekretessavtal och hänvisar till det när vi frågar om rutiner kring informationsöverföring. “Som sagt jag har skrivit på ett sekretessavtal men jag har mer lusläst det. Det borde stå lite

mer vad som är sekretessbelagt osv.” – Respondent B3 Företag A ser till att kontrollera mottagaren när det gäller bankuppgifter och överföringar med hjälp av pass eller legitimation berättar respondent A6/IT som är osäker på hur mottagaren kontrolleras när det gäller utskick av ritningar. Även respondent A2 bekräftar att det är brist på rutiner och regler kring informationsöverföring och menar att det handlar mer om att ta eget ansvar när man ska föra över information exempelvis via mail. Respondent A3 berättar vidare att företaget ska ha ett sekretessavtal med leverantören när det gäller överföring av ritningar. Respondenten kan däremot inte besvara ifall det alltid skrivs ett avtal, eftersom vissa överföringar är beordrade och måste utföras. Även företag C har avtal med leverantörerna för att kunna skydda information från obehöriga. Respondent C6 tror inte att avtalet innehåller något om vad de får säga och inte får säga gentemot varandra om det är hemliga saker men berättar att hen är restriktiv med informationen som hen lämnar ut om företaget.

46

När det gäller spridning av information är det konfidentialitetsprincipen inom CIA-triaden som bör följas. De Oliveira Albuquerque et al. (2014) berättar att konfidentialitet handlar om att kunna bevara och skydda data, information och kunskap från obehöriga. På alla tre företagen finns det någon form av sekretessavtal som undertecknas av företag och kund/leverantör för att skydda informationen som utväxlas mellan dem. Däremot är det tydligt att alla tre företag har brist på kontroll av mottagare exempelvis vid mejlutskick vilket är en risk.

4.4.6 Kryptering  Respondent C4/IT berättar att de för många år sedan testade att kryptera det som fördes över via mailen med hjälp av en plugin för krypteringar men det visade sig vara för krångligt för användarna och de klarade inte av att hantera det. En teori som Harris (2007) bidrar med beskriver att när det gäller att skydda information vid överföringar kan det uppnås genom att exempelvis kryptera information när den lagras och skickas. Harris (2007) förtydligar att det behövs strikta åtkomstregler och att de som använder kryptering behöver bli utbildade i hur de ska göra det. Det som framkommer är att det som teorin lyfter fram inte riktigt följs i företag C och att det har lämnat företag C sårbart. Detta är något som respondent C4/IT är medveten om och anser att riskerna med informationsöverföring utan kryptering är ett relativt sårbart system och berättar vidare att det är alldeles för mycket information som överförs, exempelvis via mejl, och att det egentligen är för känslig information som överförs. Nedan kommer ett citat hur hen tänker och uppmärksammar andra om den information som skickas: “Jag brukar säga så här, det du skickar i mailen det kan betrakta som vem som helst kan du

läsa, det är naivt och tro något annat. ” – Respondent C4/IT I hopp om att förebygga liknande oförutsedda händelser har företag C försökt sprida information och uppmärksamma användarna på att inte skicka ut känslig information via exempelvis mejl eftersom det som skickas via mejl kan läsas av vem som helst. Enligt respondent C4/IT ses alla som jobbar med IT och IT-säkerhet på företaget som ambassadörer, de representerar hur informationssäkerhet ska hanteras och hur dess policy skall efterlevas. De som anses som ambassadörer kan förstås med hjälp av begreppet kultur och mer specifikt av Scheins teori (Hatch, 2002). Det som visar sig här är att ambassadörerna agerar som artefakter, de inspirerar och är det synliga som användarna observerar. Dessutom inser de att det finns ett specifikt sätt att förhålla sig till informationssäkerhet och när användarna anpassar sig till detta så knyts det vidare till Scheins andra steg, nämligen värderingar (Hatch, 2002). Slutligen finner vi att användarna gör antaganden om hur de ska förhålla sig till informationssäkerhet. Detta i sig skapar en cykel, dock är problemet att viktig information kan tappas bort eftersom användarna inte är utbildade utan plockar del för del inom området. Det är de på IT-avdelningen som ser till att göra användarna uppmärksamma om riskerna och i det här fallet genom utskick av information via mejl.

47

När det kommer till företag B berättar respondent B5/IT att mycket beror på kontakten i andra änden och att företaget kan implementera något själva på företaget men att de har sett att det blir komplicerat för den andra parten att hantera det. Respondenten tycker att det är tråkigt att det inte finns någon bra branschstandard och är inte nöjd med det. Vidare anser hen att det är väldigt mycket information som skickas över mejl på olika sätt och vis och det gäller både känslig och vanlig information. Hen kan inte påstå att de har haft några problem eller störningar med informationsöverföring. Respondenten är däremot medveten om att konsekvenserna kan bli stora men hen påstår att risken sällan övergår till skada. Utöver detta nämner respondenten att anställda på företag B skall klassificera dokument efter klasserna konfidentiellt, internt eller publikt för att hjälpa anställda att veta hur de skall hantera informationen. I företag As fall har vi funnit i intervjuerna att de inte använder sig av krypteringar. Respondent A4 anser att kryptering inte är nödvändig då hen inte har några känsliga/hemliga filer att överföra. Även respondent A5 berättar att den information hen överför i 99 % av fallen är intern och att hen oftast skickar länkar till internetsystem. Detta innebär att om mottagaren inte har tillgång till systemet kan hen inte komma åt informationen. Det är tydligt att företagen i den här studien försöker att förmedla och uppmärksamma användarna på krav och rutiner kring informationsöverföring och informationssäkerhet. Däremot verkar inte företagen nå användarna helt. Enligt Harris (2007) är det viktigt att upprätthålla konfidentialitetsprincipen när information överförs. Genom att exempelvis kryptera information när den lagras och skickas, ha strikta åtkomstregler, klassificering samt att utbilda personal och användare kan detta uppnås. För att kunna förbättra arbetet kring informationsöverföring krävs det ett strukturerat arbetssätt och en fungerande metod vilket bekräftas av PDCA-metoden.

4.5 Lösenord Lösenord är ett av de teman som vi fann viktigt baserat intervjuerna när man diskuterar informationssäkerhet. Nedan följer resultat och analys gällande lösenord som är baserad på vår empiri och teori.

4.5.1 Antal lösenord  Totalt intervjuades 17 respondenter på företag A, B och C, varav 14 är användare. Användarna har mellan två och 15 lösenord vardera. I Tabell 1 framkommer fördelningen av antal lösenord.

48

Tabell 1. Användarna har mellan två och 15 lösenord.

Antal lösenord 2-4 5-10 11-15

Företag A 1 3 1

Företag B 0 4 0

Företag C 3 2

Totalt 4 9 1

Det som framkommer i studien är att antalet lösenord varierar väldigt mycket beroende på vilken tjänst användaren har. Respondent A1 som arbetar i flera olika tjänster har cirka 15 olika lösenord att hålla reda på för att få tillgång till flera olika system. Respondent A5 som bara arbetar i en tjänst har mellan 3 och 4 lösenord. På företag C har användarna generellt sett färre lösenord än på företag A och B. Den som har flest lösenord på företag C är respondent C2 som har 7-8 lösenord. Under intervjun med respondent B5/IT framkom det att den personen har ca 400 lösenord och för att hålla reda på dessa använder hen ett stödprogram, en lösenordsbok. Utan en sådan bok skulle det inte gå att hålla reda på alla lösenord. Enligt Emm (2010) är det idag inte alls ovanligt att en användare har över 20 lösenord totalt både i arbetet och på privata konton. I den här studien bekräftas det att användarna har många lösenord och majoriteten av användarna har mellan fem och 10 lösenord endast i arbetet.

4.5.2 Strategi för lösenord  Enligt Sundström (2005) är ett bra lösenord något som inte går att gissa och som innehåller både stora och små bokstäver, tecken och siffror. Ett dåligt lösenord är ett lösenord som går att gissa, vilket kan innehålla namn på djur, städer och ord som finns med i ordboken. Ett ord tillsammans med en siffra anses som ett dåligt lösenord. I Tabell 2 finns en sammanställning på om användarna använder enkla eller svåra lösenord efter Sundströms kriterier.

Tabell 2. I Tabell 2 framkommer det om användarna använder enkla eller svåra lösenord.

Enkla lösenord Svåra lösenord

Företag A 4 1

Företag B 3 1

Företag C 4 1

Totalt 11 3

49

Respondent A4 försöker använda svåra lösenord men oftast blir det enkla för att komma ihåg dem och efter en sammanställning av enkla och svåra lösenord ser vi att 11 av 14 användare har som strategi att använda enkla lösenord. Till exempel använder tre av användarna sig av namn på närstående personer tillsammans med en sifferkombination. Systemen kräver att användarna använder både siffror och bokstäver i sina lösenord och användarna väljer därför något som kan kopplas till sig själva och adderar sedan en siffra. Användarna har inte förstått eller fått det förklarat för sig att de inte bör använda ord i ordboken ensamt eller tillsammans med siffror för att göra ett säkert lösenord. Att knäcka ett lösenord som finns i ordboken tillsammans med en siffra tar 10 sekunder (AM System, 2017). Några användare anser däremot att de använder krångliga lösenord när de blandar siffror och bokstäver. Vissa respondenter anser sig till exempel använda krångliga lösenord med både siffror och bokstäver till exempel Stockholm1 och efter byte av lösenord är det Stockholm2. Detta kan ses som en okunskap hos användarna. Den IT-policy företagen har om att systemen kräver både siffror och bokstäver gör att användarna blir lurade och tror att de har ett säkert lösenord genom att endast följa detta. Utöver policyn som finns i systemen hur ett lösenord måste vara uppbyggt, bör företagen ha det skriftligt i sina IT-policyer. Genom att plocka bokstäver ur meningar och byta vissa bokstäver till siffror och andra tecken kan användarna skapa säkra lösenord som är lätta att memorera (AM System, 2017). Respondent B1 anser att bygga upp lösenord med hjälp av meningar låter som “spionnivå” och inte något för en vanlig användare. Genom att utbilda användarna i lösenordsbildning och säkra lösenord kan företagen enkelt höja säkerheten på deras lösenord. Ett enkelt och gratis sätt att göra detta på är att låta användarna ta del av del DISA:s utbildning, där en del berör just lösenord och hur man kan bilda säkra lösenord och hur de bör hanteras. Enligt Emm (2010) är det en vanlig strategi att användarna använder samma lösenord till flera olika system. Mer än hälften av användarna nämner att de använder sig av strategin att ha samma lösenord i flera system och tjänster. Respondent A1 berättar att hen försöker göra det så lätt som möjligt för sig och gör så men är medveten om att det inte är bra men ser det som det enda alternativet för att inte behöva skriva upp lösenord på lappar. Eftersom respondent A1 inte skriver ned sina lösenord händer det att de glöms bort vilket leder till att hen måste vända sig till IT-avdelningen för att få hjälp eftersom det endast är kollegorna på IT-avdelningen som kan hjälpa till att fixa ett nytt lösenord. Detta måste ske via telefon eller personlig kontakt. Respondent A1 berättar vidare att lösenorden måste bytas med olika intervall och därför blir det svårt att försöka ha samma på alla system. Mailen däremot har respondent A1 aldrig behövt byta lösenord på, på sina 35 år i företaget. Detta bekräftas även av respondent A4 som heller aldrig behövt byta lösenord på sina snart 20 år i företaget. Att glömma bort sina lösenord är enligt Pfleeger & Pfleeger (2006) en av svårigheterna med lösenord och anses som förlust. I företagen kan användarna vända sig till IT-avdelningen för att få hjälp med att återställa sina lösenord. Respondent B5/IT berättar att om en användare förlorat sitt lösenord skall IT-avdelningen alltid ringa tillbaka till användaren för att få bekräftat att det är rätt person.

50

Både i företag A där användarna måste kontakta IT-avdelningen via telefon eller personligen och på företag B där IT-avdelningen ringer tillbaka till användaren ser vi, som även nämnts tidigare att IT-avdelningarna tar ett stort ansvar över principerna konfidentialitet och integritet i CIA-triaden. De låter inte vem som helst uppdatera lösenordet utan vill alltid verifiera användaren. De ser till att det är rätt person som blir beviljad att komma in i systemet och ger inte ett nytt lösenord till vem som helst. Att skriva ner lösenord på lappar, i mobilen eller i datorn är enligt Sundström (2005), Pfleeger & Pfleeger (2006) och Emm (2010) ett vanligt beteende hos användarna. I Tabell 3 framkommer det att majoriteten, 8 av 14 användare brukar skriva ner sina lösenord.

Tabell 3. Sammanställning av hur många användare som brukar skriva ner sina lösenord.

Skrivit ner lösenord i mobil, på lappar eller i datorn Ja Nej

Företag A 3 2

Företag B 2 2

Företag C 3 2

Totalt 8 6

Respondent A4 berättar att de enda gånger denne skrivit ner lösenord på lappar är efter semestern, men påpekar att hen då tar med sig lappen och aldrig lämnar kvar den på företaget. Respondent A5 berättar att det är sällan hen glömmer bort sina lösenord men att det var en period där ett av lösenorden var svårt att memorera. Respondent A3 har inte mer än fem lösenord som används dagligen och berättar att det inte är någon som förklarat hur de skall hantera lösenord men hanterar dem själv i sitt eget huvud.

“Jag hanterar dem själv lokalt och försöker komma ihåg dem. Det finns en säker säkerhetsbarriär där.” – Respondent A3

Respondent A3 skriver ner sina lösenord första veckan när det är nytt men berättar att de sedan sitter i huvudet. Respondent A2 skriver ner sina lösenord i mobilen för att inte glömma bort dem. Anledningen är för att A2 försöker använda så svåra lösenord som möjligt och de består av både siffror och bokstäver. Respondent C4/IT berättar att företag C länge har haft en ganska dålig lösenordspolicy och att de anställda har haft samma lösenord hur länge som helst. Företaget har för cirka fyra månader sedan uppdaterat detta och nu behöver de anställda byta lösenord en gång var 90:e dag. Detta ställer till lite problem för användarna som inte är vana att byta lösenord och respondent C2 skriver nu ner sina lösenord för att komma ihåg dem och lapparna förvaras i väskan. Respondent C1 berättar att hen aldrig glömmer lösenorden som används i jobbet men att lösenorden hemma oftare glöms bort och berättar vidare att hen tyvärr spar lösenord på

51

lappar lite här och var för att komma ihåg dem men kommer ihåg de flesta utan att skriva ner dem. Ett annat alternativ C1 använder är att skriva ner lösenord i ett dokument i datorn. C1 glömmer aldrig lösenordet till inloggningen i datorn och säkrar därmed bra mot att andra personer ska komma in i datorn. Respondent C1 anser att det är säkert att spara lösenordet i ett dokument i datorn. Enligt Sundström (2005) bör inte lösenord skrivas ner på varken lappar, i mobilen eller i datorn. Blir företaget utsatt för någon som vill in i systemet är det lätt att scanna av dokument. Det som händer då är att den som vill in får tillgång till lösenord i flera olika system. Genom att utbilda personal i hur lösenorden skall hanteras kan detta förhindras. Respondent B1 skriver aldrig ned de viktigaste lösenorden till Microsoft och DOS. Däremot skriver B1 upp lösenord till system som endast används några gånger per kvartal. Allt som används dagligen har respondent B1 sparat i huvudet och om ett lösenord glöms bort vet B1 att det alltid bara är att kontakta IT-avdelningen. Respondent B2 berättar att de lösenord som inte används dagligen är nedskrivna på en lapp, som ligger i en låda bredvid datorn. När respondent B2 byter lösenord ändrar hen endast en siffra. Respondent B3 berättar att hen alltid spar sina lösenord i huvudet och kommer ihåg den första delen av lösenordet som alltid är detsamma och sedan testar olika siffror tills det fungerar.

“Jag skriver inte ned mina lösenord på lappar utan jag spar den första delen i huvudet sen lägger jag alltid till någon siffra så till slut fungerar det.” – Respondent B2

Respondent B5/IT är medveten om att företaget har användare som tillämpar samma lösenord på flera olika system för att det skall bli så enkelt som möjligt. När ett system höjer kraven på lösenord och till exempel kräver ett specialtecken så blir inte användaren glad för att tvingas byta lösenord i tre, fyra andra system. Problemet kan då vara att ett av de andra systemen inte stödjer specialtecken. Respondent B5/IT tycker att lösenord är ett stort problem och gissel och att det inte är roligt och berättar vidare att det blir ett problem om användarna måste ha för stora och komplexa lösenord som måste bytas och att de då tvingas ha post-it lappen på bildskärmen. B5/IT vet att företaget måste hitta en rimlig nivå på lösenord för att inte få detta problem. Den här studien bekräftar vad Sundström (2005), Pfleeger & Pfleeger (2006) och Emm (2010) säger om lösenord. Användarna använder sig av strategier som förenklar arbetet kring lösenord. De har många lösenord och genom att använda samma lösenord i flera system kan de dra ned på antalet lösenord som behöver memoreras. Användarna blir lurade av systemets policyer och tror att de har säkra lösenord så länge de följer kraven. En kort utbildning om lösenordshantering skulle kunna förhindra detta. Det framkommer tydligt i den här studien att den mänskliga faktorn precis som Pfleeger & Pfleeger, 2006 säger försämrar lösenordets kvalitet. Majoriteten av användarna skriver ner sina lösenord på lappar, vilket ökar risken för avslöjande och att information hamnar i orätta händer.

52

4.5.3 Byte av lösenord  En av svårigheterna med att använda lösenord är enligt Pfleeger & Pfleeger (2006) krångligt användande vilket kan vara obekvämt och tidskrävande. Detta bekräftas av flera användare i den här studien. Respondent B3 tycker bland annat att det är lite halvjobbigt att behöva byta lösenord och om det gick att undvika skulle B3 gärna göra det. Respondent C2 har haft sitt lösenord i cirka 30 år och tycker det ska bli spännande att se hur hen ska lösa de nya lösenordsbytena som nu krävs på företaget och funderar på att komma på någon bra lösning som är lätt att komma ihåg. Genom att endast ändra en siffra vid byte av lösenord minskar det antalet gånger C1 behöver skriva ner lösenordet på lappar. Respondent C3 anser sig använda svåra lösenord med både siffror och stora och små bokstäver och har som strategi att bygga lösenorden kring saker som är kopplade till sig själv. Respondent A5 använder olika komplicerade lösenord beroende på vad systemet kräver och anser att det är jobbigt att lösenordsbyten sker vid olika tillfällen i olika system. Nästan alla användare i företag A och B nämner att de endast byter en siffra eller lägger till en siffra i sina lösenord när de måste byta lösenord. Anledningen till detta är enligt användarna att de gör det enkelt för sig själv. Respondent A5 berättar att systemen kräver att de inte får använda de senaste tre lösenorden. Alltså behöver användarna ha fyra olika varianter. I den här studien kan vi tydligt bekräfta vad Emm (2010) säger om att användarna väljer att återanvända lösenord genom att endast addera en siffra. Detta kan vi helt enkelt se som en kunskapsbrist och brist på strategi i hur säkra lösenord byggs upp. Inget av företagen har gett något tips till de anställda hur de kan bygga upp konstiga lösenord av meningar. Respondent A6/IT berättar att företaget inte har några sådana tekniker men att det är ett bra förslag som de ska ta till sig. Eftersom det finns många knep på hur säkra lösenord kan byggas upp, borde företagen använda sig av dessa och informera sina anställda hur de bör göra. Ett av förslagen som diskuteras i litteraturen är att man bygger upp lösenord med hjälp utav meningar (AM System, 2017). Genom att sända ut ett mejl till de anställda med tips och idéer kommer troligen flera av de anställda ta till sig av detta då de i nuläget inte ens vet om att dessa knep finns. Genom att göra detta kan företagen minska antalet användare som använder Stockholm1 som lösenord och vid ett lösenordsbyte Stockholm2. När företagen sedan arbetar med att uppdatera sina policyer bör ett stycke om hur de anställda skapar säkra lösenord finnas med. Som litteraturen nämner bör företagen uppmana de anställda att inte använda sina barns eller husdjurs namn och ord som finns i ordlistan.

4.5.4 Utlåning av inloggningsuppgifter  Enligt Pfleeger & Pfleeger (2006) är ett lösenord ett ömsesidigt kodord som antas vara känt av endast systemet och användaren. I alla företag framkommer det att användarna har lånat ut

53

sina lösenord och användarnamn. I Tabell 4 ges en överblick över hur många användare som lånat ut sina inloggningsuppgifter och i Tabell 5 hur många användare som har lånat kollegors inloggningsuppgifter.

Tabell 4. En sammanställning över om användarna har lånat ut sina inloggningsuppgifter eller inte.

Lånat ut sina inloggningsuppgifter till kollegor Ja Nej

Företag A 2 3

Företag B 2 2

Företag C 3 2

Totalt 7 7

Tabell 5. En sammanställning över om användarna har lånat sina kollegors inloggningsuppgifter eller inte.

Lånat kollegors inloggningsuppgifter Ja Nej

Företag A 3 2

Företag B 2 2

Företag C 0 5

Totalt 5 9

Det vi ser i denna studie är att lösenordet inte endast är känt av användaren och systemet utan även av användarens kollegor. Genom att låna ut lösenordet till någon annan förlorar användaren kontrollen över lösenordet. Detta är enligt Pfleeger & Pfleeger (2006) det som kallas för avslöjande och anses vara en av svårigheterna med lösenord. Respondent C4/IT berättar att det står i företagets policy att de anställda inte får låna ut sitt lösenord till andra, men menar att har en person haft sitt lösenord i 30 år så vet nog de flesta kollegor det. I företag B och C handlar det oftast om att IT-avdelningen behöver uppgifterna. Respondent B4 har ibland gett sina inloggningsuppgifter till IT-avdelningen och har i dessa fall gett uppgifterna via telefon. “Jag måste ju lita på IT-avdelningen och det är ungefär som att lita på polisen höll jag på att säga. Det är ju de som får systemet och snurra, kan jag inte lita på dem vet jag inte vem jag

ska lita på.” – Respondent B4

54

Även respondent B1 berättar att hen aldrig använt någon annans lösenord men att IT-avdelningen ibland vill ha lösenordet för att till exempel ge ut en ny version av CAD. “De begär mitt lösenord för att kunna gå in i min profil och göra saker. De brukar fjärrstyra

därför ber de om mitt lösenord.” – Respondent B1 På företag C bekräftar flera användare att de lämnat in datorn till IT-avdelningen tillsammans med en lapp med sitt lösenord. Respondent C1 ändrar aldrig sitt lösenord efter att datorn har varit på IT-avdelningen. Hen har precis som respondent B4 tillit till IT-avdelningen. “Jag ändrar inte mitt lösenord efter att datorn har varit inlämnad. Jag menar, jag vet inte hur många datorer som de hanterar och inte sjutton finns det någon anledning för dem att spara

det i ett dokument för att veta det. Nej det tror jag inte om dem, det finns inte på min världskarta.” – Respondent C1

Respondent C1 vet att det är flera som har reagerat på att företaget har strikta regler om att inte lämna ut lösenordet men att det går bra att göra det till IT-avdelningen. Det vi ser här är att användarna i alla de tre företagen tar för givet och antar att IT-avdelningen aldrig skulle göra något dumt med deras uppgifter. Vi ser även att i alla företag finns värderingar som är grunden för att kunna ta ett beslut om vad som är rätt och fel. Användarna värderar IT-avdelningarna högt när det gäller säkerhet och vågar därför ge sina lösenord till dem. Om de istället ändrar lösenord när de får tillbaka sin dator behåller dem kontrollen över lösenordet och lösenordet är inte avslöjat. Enklast gör de det genom att byta till ett tillfälligt lösenord när datorn lämnas in och sedan ändrar tillbaka till ordinarie lösenord. På företag A och B har fem av nio användare lånat kollegors inloggningsuppgifter. När respondent B3 var ny och företaget inte hunnit fixa någon inloggning i något system använde B3 en kollegas inloggning innan hen själv fick behörighet till alla system. Om respondent B3 minns rätt loggade den kollegan in åt B3. Respondent A2 har i början av sin anställning, precis som respondent B3, använt andra personers inloggning för att kunna utföra sitt arbete. Efter att respondent A2 fått tillgång till alla system som behövs har hen dock aldrig gjort det igen. När A2 lånade inloggningsuppgifter blev det både lösenord och användarnamn. Dessa uppgifter var inte till företag A:s egna system utan till en av företagets leverantörer. När det gäller företag A:s egna program som respondent A2 behövde ha tillgång till och saknade inloggning till kom chefen och loggade in så att hen sedan kunde utföra sitt arbete fullt ut. Respondent A2 fick aldrig ta del av chefens lösenord. I början av sin anställning behövde A2 låna sin chefs inloggningsuppgifter flera gånger för att komma åt information från ett projekt hen var delaktig i. A2 har även behövt låna ut sina användaruppgifter till en kollega då denne saknar behörighet och gör då precis som sin chef, loggar in åt kollegan utan att dela med sig av sina inloggningsuppgifter. Enligt respondent A2 handlar det om att lita på sina kollegor. Respondent A4 har också lånat ut sina inloggningsuppgifter.

55

“Det händer att vi lånar ut inloggningsuppgifter när folk går på semester, för kundkontakter osv. Man kan gå in och titta på mail eftersom kunderna oftast vänder sig till den ordinarie kontakten. Det är något man kommer överens om innan och med chefens godkännande.” –

Respondent A4

På både Företag A och B lånar användarna även ut sina inloggningsuppgifter till sina vanliga kollegor som inte arbetar på IT-avdelningen. Det vi ser är att användarna är mer försiktig när de lämnar ut inloggningsuppgifter till kollegor än när de lämnar ut dem till IT-avdelningen. Företag A värderar användarna annorlunda och väljer att prata med chefen innan för att få godkänt att låna ut uppgifterna. Användarna väljer oftast också att inte dela med sig av inloggningsuppgifterna utan loggar in själv till kollegan, detta gör att användarna fortfarande har ensam kontroll över lösenordet och att det inte är avslöjat. När användarna däremot lånar ut sina uppgifter till kollegor som inte är behöriga i ett visst system går de emot principerna i CIA-triaden. Konfidentialitetsprincipen bryts genom att släppa in personer som inte är behöriga, vilket leder till att principen integritet också bryts då obehöriga personer kan komma in i systemen och ändra information. Respondent B5/IT tycker inte att man ska se det svart och vitt när det gäller att användare lånar ut sina inloggningsuppgifter. Är det ett kritiskt läge och det handlar om till exempel en viktig affär, då får de anställda enligt respondent B5/IT göra vad de vill och denne menar att användaren inte är dummare än att denne byter lösenord efter att kollegan har lånat det. Vidare menar respondent B5/IT att man måste vara praktisk och att man inte kan falla på grund av en för tung byråkrati. Enligt respondent B5/IT behöver IT-avdelningen ibland låna användarens inloggningsuppgifter för att fixa med nya system osv. “Jag brukar säga att användarna ska ha så fula, äckliga och perversa lösenord som möjligt

för då kommer de inte att uppge dem för någon annan.” – Respondent B5/IT

Om lösenordet är pinsamt kommer den anställde inte att vilja ge ut det och tanken är att användaren byter lösenord innan IT-avdelningen får det. Om användaren byter lösenord till, till exempel kalle-anka så kan IT-avdelningen logga in, göra sitt jobb och användaren kan sedan byta tillbaka till sitt gamla lösenord. Enligt respondent B5/IT blir problemet då att användaren har en mobil som är synkroniserad och kanske någon annan pryl som de måste byta lösenord på och undviker därför detta av ren lathet. Enligt Hatch (2002) påverkas organisationer av sociala faktorer såsom positioner och vilken avdelning individen tillhör. Vi kan se att när det kommer till den sociala strukturen i företagen har IT-avdelningen en hög position när det gäller saker som är kopplade till IT och säkerhet, bland annat lösenord. Användarna värderar olika om de ger ut inloggningsuppgifter till kollegor eller till IT-avdelningen. Ges uppgifter till kollegor kopplas chefen ofta in och ger tillåtelse. Ur ett säkerhetsperspektiv och sett ur CIA-triaden är detta bra. Chefen får tycka till om personen som behöver låna uppgifter är behörig eller inte till att se information.

56

5. Slutsats och diskussion I det här kapitlet besvaras våra forskningsfrågor och konsekvenserna för hållbarhet diskuteras. Kapitlet avslutas med förslag på vidare forskning.

Syftet med den här studien är att undersöka hur företag arbetar med informationssäkerhet och vilka inloggningsmetoder de använder för att se om det finns några likheter/skillnader mellan företag som jobbar inom samma industri och med liknande varor/tjänster. Syftet är också att undersöka vilken roll IT-avdelningen på företagen har för att se vad som fungerar bra och dåligt. Vi har inte funnit några tidigare studier om informationssäkerhet i fordonsindustrin. Vi har gjort sökning på Google, Google-scholar, KTHB och diva-portalen. Vi har även försökt kontakta FKG (Fordonskomponentgruppen) för att höra deras åsikt och ifall de vet om det finns tidigare studier men inte fått tag på dem. Det har varit ett svårt område och ämne att forska i då vi har fått uppfattningen att det handlar mycket om sunt förnuft. Det är även viktigt att tillägga att informationssäkerhet är ett väldigt stort område och att det är svårt att undersöka hela området. Nedan följer en slutsats och diskussion angående studiens frågeställningar.

5.1 Huvudfrågeställning Hur arbetar företag inom fordonsindustrin med informationssäkerhet? Företagen i denna studie arbetar med både IT-säkerhet och administrativ säkerhet. IT-säkerheten anpassas efter företagens potentiella hot och risker och vilken nivå av säkerhet de anser sig behöva. Den administrativa säkerheten anser vi är på en rimligt förväntad nivå men den kan bli betydligt högre. Företagen måste få upp användarnas medvetenhet kring säkerhet och varför det är viktigt att agera och handla på vissa sätt. De bör kontinuerligt arbeta med att uppdatera policyer och låta användarna ta del av dessa och signera att de har tagit del av dem. Det framkommer även att IT-avdelningarna i företagen har ett stort ansvar i informationssäkerhetsarbetet. De tre viktiga aspekterna i informationssäkerhet är enligt Harris (2007), konfidentialitet, integritet och tillgänglighet som tillsammans bildar CIA-triaden. Resultatet visar att IT-avdelningarna har det yttersta ansvaret för att de tre delarna uppfylls genom att rätt personer har rätt behörigheter och att systemen är uppdaterade och fungerar som de ska. Om företagen inte skulle ha en IT-avdelning som skötte detta skulle de istället behöva ha någon annan ansvarig person som kan se till att dessa tre principer uppfylls. Samtidigt som IT-avdelningen arbetar med att se till att principerna i CIA-triaden blir efterlevda använder många av användarna sunt förnuft, vilket visat sig vara en stor del i företagens arbete kring den administrativa säkerheten. Istället för att förstå företagens säkerhetspolicyer arbetar de anställda efter sunt förnuft, vilket vi ser som ett problem eftersom det ger utrymme att fatta egna beslut som inte stämmer överens med företagets

57

säkerhetspolicy. Säkerhetsmedvetenhet och kunskap om hur information ska skyddas är istället avgörande i dagens och morgondagens informationshantering och sådan kunskap går inte att ersätta med vars och ens egna regler. Det vi ser i denna studie är att det finns ett kunskapsgap mellan IT-avdelningarna och användarna. Säkerhetspolicyerna når inte fram till användarna och den information som finns beskrivet i dem tas inte upp av användarna fullt ut. Fordonsindustrin är med sin högteknologi särskilt utsatt för bland annat industrispionage och stöld av data (Bodelius, 2013). Företagen i vår studie är underleverantörer och återförsäljare i fordonsindustrin. Företagen är relativt små i fråga om antal anställda vilket de själva anser är positivt för dem. Företagen menar att ett företag som är mindre och inte syns lika mycket har fördelar när de gäller informationssäkerhet. Vi kan se att graden av hur hög informationssäkerhet ett företag behöver ha påverkas av vilken typ av bransch det verkar i. Dessa företag behöver inte ha lika hög säkerhet som ett kärnkraftverk, som behöver ha en extremt hög informationssäkerhet. Samtidigt behöver de ha bättre säkerhet än en vanlig matvaruaffär. Det vi också ser är att underleverantörerna inte är lika utsatta och inte sitter på lika känslig information som de stora huvudaktörerna i fordonsindustrin såsom Scania och Volvo. Nya hot och risker dyker ständigt upp och därför uppmanar vi företagen att kontinuerligt arbeta med informationssäkerhet och hela tiden se över hur de kan bli bättre både när det gäller IT-säkerhet och administrativ säkerhet. Vi rekommenderar företagen att oavsett storlek ta hjälp av de standarder som finns inom informationssäkerhet för att bli bättre. Den senaste veckan har vi kunnat läsa om en stor IT-attack där mer än 200 000 personer drabbats i över 150 länder (DN, 2017). Användaren utsätts för ett utpressningsvirus och måste betala en lösensumma för att komma åt sina filer som har blivit låsta. Det är både privatpersoner, företag och myndigheter som har drabbats, bland annat Sandvik och Timrå kommun (Dagens industri, 2017). Dataintrången i framtiden kommer inte att minska utan det kommer hela tiden att vara en tävling mellan de som vill in i systemen och de som skall skydda dem.

5.2 Delfråga 1 Vilka är de viktiga aspekterna när företag arbetar med IT-säkerhet utifrån ett användarperspektiv? IT-säkerhet består av både datasäkerhet och kommunikationssäkerhet, vilket innebär hur företag skyddar data när den ligger lagrad och hur de skyddar information när den överförs från ett ställe till ett annat (Informationssäkerhet i Sverige och internationellt, 2004). Vi har undersökt utifrån ett användarperspektiv. Detta innebär att vi inte har studerat vilka metoder företagen använder såsom virusskydd och brandväggar för att hindra virus, trojaner etc. utan fokuserat på den IT-säkerhet som är kopplad till användarna. Vi har kommit fram till att följande tre aspekter är viktiga när företag arbetar med IT-säkerhet:

1. Inloggningsmetod 2. Kryptering

58

3. Tekniken Att ha en inloggningsmetod anses som att ha ett lås på ytterdörren och är en självklarhet. Det finns en medvetenhet hos företagen om att det finns flera olika inloggningsmetoder och att olika metoder har olika hög säkerhet och användarbarhet. Oavsett vilken inloggningsmetod företaget har är det en viktig del för att skydda information från obehöriga. Vid inloggningsmetoden kopplas människor och teknik samman och därför måste en avvägning göras mellan en säker och enkel metod. Alla företag i denna studie använder sig av användarnamn och lösenord som inloggningsmetod. Vi ser att inloggningsmetoden även är en kostnadsfråga och att företagen väljer denna metod då den är billig och relativt säker. Enligt Applegate (2009) måste teknik presenteras på ett sådant sätt så att användarna inte blir förvirrade och struntar i säkerhetsmekanismer. Det som uppkommer i studien är att användarna har problem med att hålla lösenord för sig själva och många användare väljer även att skriva ner lösenord på lappar. Användarna har dålig kunskap och metodkännedom hur de skall gå tillväga för att hantera lösenorden på ett säkert sätt och idag är säkerheten kring lösenord i dessa företag låg. Detta problem anser vi kan lösas på flera olika sätt:

1. Om företagen vill ha kvar användarnamn och lösenord behöver användarna få bättre kunskap i hur säkra lösenord byggs upp och hur dessa skall hanteras. Denna kunskap kan användarna bland annat få med hjälp av den utbildning som Myndigheten för samhällsskydd och beredskap erbjuder helt kostnadsfritt, där lösenord är en del av utbildningen.

2. Genom att använda sig av en Single-Sign-On-metod (SSO) kan antalet lösenord minimeras, vilket förenklar för användarna. Denna lösning kräver dock att användarna kan skapa säkra lösenord och att de hanterar dem varsamt eftersom ett lösenord ger tillgång till många system och filer.

3. Företagen kan välja att byta inloggningsmetod för att få bort användarnamn och lösenord. Istället för att använda sig av en metod som går ut på något användaren vet kan de använda en metod som går ut på något användaren har eller användaren är.

4. Förslag två och tre ovan kan också kombineras på flera olika sätt. Företagen kan använda sig av en SSO-metod som tillsammans med en flerstegsautentisering (kombinering av något användaren vet, något användaren har, något användaren är). Detta alternativ skulle höja både säkerheten och förenkla arbetet för många användare.

Som det ser ut idag är företagen inte riktigt villiga att byta inloggningsmetod. Detta ser vi beror mycket på att det kan bli en relativt stor kostnad. Samtidigt måste företagen räkna på vad supporten kring användarnamn och lösenord kostar. Vi rekommenderar företagen att se över inloggningsmetoden kontinuerligt då det som är optimalt idag kanske inte är den bästa lösningen om ett år. Anledningen till att företagen har denna metod beror dels på säkerhet och enkelhet, men som tidigare nämnts också på kostnaden. Tekniken går framåt och lösningarna blir billigare så om fem år kanske en annan lösning som är säkrare blir kostnadseffektiv jämfört med dagens metod.

59

Den andra viktiga aspekten när det gäller IT-säkerhet är kryptering. Inget av företagen använder sig av kryptering när de skickar e-post, vilket vi anser är oacceptabelt. Majoriteten av den information som skickas inom företagen sker med hjälp av e-post. I intervjuerna framkommer det att två av de IT-ansvariga är mycket medvetna om att all information som skickas via e-post kan läsas av vem som helst. Att skicka en e-post kan jämföras med att skicka ett vykort. Detta är dock inte användarna medvetna om och de berättar även att de skickar mycket känslig information via e-post. Det kan även hända att en användare råkar skicka en e-post med känslig information till fel person eller att en mottagare får helt fel information. Om företagen använder sig av kryptering kan detta undvikas då mottagaren av mejlet ändå inte kan läsa det. Företag B har tidigare testat kryptering men då det blev för svårt för användarna togs det bort. Här handlar det återigen om att presentera tekniken på ett sätt som användarna förstår och att användarna får den kunskap som behövs för att lyckas. Tekniken i sig är den tredje viktiga aspekten när det gäller IT-säkerhet. Med hjälp av den teknik som finns idag kan företagen implementera sina policyer i tekniken vilket kan stoppa användarna från att göra fel. Till exempel kan de genom tekniken spärra sidor som är olämpliga och att pop-up fönster kommer upp och varnar användarna när de går in på känsliga sidor. Studien visar dock att användarna hittar kryphål hur de kan kringgå dessa spärrar och tar egna beslut över sidor de själva inte anser är farliga. Därför behöver de återigen bli informerade om varför dessa spärrar finns.

5.3 Delfråga 2 Vilka är de viktiga organisatoriska aspekterna när företag arbetar med administrativ säkerhet? Som vi tidigare har nämnt omfattar den administrativa säkerheten administrativa rutiner med policyer och riktlinjer, övervakning och kontroll samt revision och uppföljning (Informationssäkerhet i Sverige och internationellt, 2004). Baserat på resultatet från den empiriska undersökningen och den teoretiska studien har vi kommit fram till följande organisatoriska aspekter som är viktiga när ett företag arbetar med administrativ säkerhet:

1. Säkerhetspolicy 2. Utbildning 3. Sekretessavtal eller NDA 4. Rutiner kring in-och utloggning samt hantering av lösenord

Den första aspekten som våra resultat visar angående administrativ säkerhet är säkerhetspolicy. Resultatet visar även att om företaget har en tydlig säkerhetspolicy behöver de fortfarande se till att användarna är medvetna om att den finns, samt att användarna har läst den minst en gång och undertecknat den. Alla dessa rutiner är inte tillräckliga för att användarna ska kunna det som står i policyn leva upp till den. Resultatet visar att säkerhetspolicyn inte efterlevs i företagen utan det är mycket sunt förnuft som används

60

istället. Det är upp till ledningen att se till att användarna läser och lever upp till policyns stadga. Därför anser vi att policyn bör uppdateras kontinuerligt och att ledningen bör utveckla en metod för att se till att användarna följer den. Teorin som vi använder oss av i den här studien beskriver att säkerhetspolicyn ska innehålla information om företagets begränsningar för att använda och sprida information. Den ska dessutom vara lättläst och lättillgänglig (Pfleeger & Pfleeger, 2006). För att företagen ska kunna se till att nödvändig information finns i policyn och att den efterlevs tycker vi att är det viktigt att företagen även tar hänsyn till kultur och struktur. Detta för att kulturen har stor påverkan på anställdas uppfattningar, antaganden och värderingar (Hatch, 2002; Bakka et al., 2006). Kulturen är viktig när det gäller informationssäkerhet. Den har även en inverkan på användarnas säkerhetsmedvetenhet. Det är kulturen som får användarna att använda sunt förnuft. När det gäller struktur är det viktigt att företag erbjuder en trygg fysisk struktur för att kunna uppnå mål och resultat i organisationen (Hatch, 2002). Närhet och struktur bestämmer hur medarbetarna kan kommunicera. Den fysiska strukturen i ett företag bestämmer hur kommunikationen mellan IT-avdelning/ledningen och användarna kan ske. I en organisation är det även viktigt att medarbetare samt ledningen förstår och inser varför IT-avdelningen är viktig, inte minst när det gäller informationssäkerhet och vad den bidrar med då den gör en stor del av säkerhetsarbetet. Vi anser att företagen bör se över den fysiska strukturen för att se till att medarbetarna tar till sig den kunskap IT-avdelningen erbjuder. Vi anser att PDCA-metoden bör användas i samband när information ska uppdateras i en säkerhetspolicy. Detta eftersom de fyra stegen i PDCA- metoden är strukturerade på ett sådant sätt att de att de skapar ett kontinuerligt förbättringsarbete. Ifall företagen förhåller sig till sin säkerhetspolicy kan de på detta vis utveckla den vidare (Andersson et al., 2011). Utbildning är den andra viktiga organisatoriska aspekten gällande administrativ säkerhet som vi har fått fram i den här studien. Resultatet visar att inget av företagen erbjuder sina medarbetare någon form av informationssäkerhetsutbildning. Vi har även fått fram att myndigheten för samhällsskydd och beredskap erbjuder en informationssäkerhetsutbildning helt kostnadsfritt för organisationer. Utbildningen heter datorstödd informationssäkerhetsutbildning för användare (DISA). Denna utbildning är webbaserad och går ut på att höja nivån på informationssäkerheten inom organisationer genom att se till att samtliga medarbetare förstår grunderna med informationssäkerhet (MSB, 2011). Vi föreslår därför att företagen använder sig av denna utbildning och ser till att alla användare har gått den. Eftersom utbildningen är webbaserad kan användarna utföra den på företaget eller till och med hemifrån. Resultatet visar att den tredje viktiga organisatoriska aspekten när det gäller administrativ säkerhet är sekretessavtal. Även fastän företagen har någon form av sekretessavtal eller NDA med kunder och leverantörer för att skydda informationen som utväxlas mellan dem, har företagen bristande kontroll på mottagare. Det som företagen gör i det här fallet när vi tittar på teorin om organisation är att de försöker skydda sig från omgivningen med hjälp av ett

61

sekretessavtal. Enligt teorin är leverantörer och kunder en del av en organisations omgivning och omgivningen påverkas av en del allmänna krafter. Dessa allmänna krafter är uppdelade i sektorer i samhället exempelvis sociala, kulturella, juridiska, politiska, ekonomiska, teknologiska och fysiska (Hatch, 2002). Företagen i vår studie skyddar sig från omgivningen med hjälp av ett sekretessavtal. Däremot är rutiner kring sekretessavtal otydliga speciellt på ett av företagen. Vi anser därför att det är viktigt att företagen tar hänsyn till sin omgivning och har rutiner kring hur mottagaren ska kontrolleras för att på så vis kunna undvika att sprida information och affärshemligheter till obehöriga. För att utföra det tycker vi att konfidentialitetsprincipen inom CIA-triaden bör följas när det gäller spridning av information. Det som Oliveira Albuquerque et al. (2017) berättar är att konfidentialitet innebär att behålla och skydda data, information och kunskap från obehöriga. Företagen har brist på kontroll av mottagare, exempelvis vid mejlutskick, vilket är en risk. Det finns inga rutiner kring hur mottagaren vid mejlutskick ska kontrolleras i företagen och de förlitar sig endast på sekretessavtalen. Den fjärde aspekten vi har kommit fram till är rutiner kring lösenordshantering och in- och utloggning av datorer. Företagen har rutiner kring hur hanteringen av datorer och system samt lösenord ska ske. Däremot fullföljer inte användarna dessa rutiner, några lämnar datorerna inloggade när de går ifrån datorn och många av användarna har lösenorden skrivna på post-it-lappar. Det som företagen inte är bra på är rutiner kring hur lösenord skapas och det är här DISA utbildningen kommer in igen. I utbildningsprogrammet DISA får användarna lära sig hur de ska skapa säkra lösenord samt hur de ska hantera dem. Med hjälp av tydliga rutiner och rätt kunskaper inom hur ett säkert lösenord skapas samt skyddas kan post-it-lappar inom företagen minskas markant. In- och utloggningar av datorer sker inte heller alltid enligt rutinerna. Däremot har företagen en tidsgräns för när datorerna själva låser sig efter en stunds inaktivitet, vilket är bra i det här fallet. Vi anser att det är viktigt med tydliga och organiserade rutiner kring lösenord och in- och utloggning för att informationssäkerhet ska uppnås. För att skapa dessa rutiner kan företagen använda sig av standardserien ISO-27000 som organiserar informationssäkerheten och består av administrativa rutiner, ledningens ansvar och övergripande krav på IT-infrastruktur (Kalmelid, 2013). För att följa informationssäkerhetsstandarder behöver inte ett företag ha regulatoriska krav på sig eller ha en stor organisation. Ledningssystem för informationssäkerhet (LIS), som kommer från standarder i ISO 27000 serien, kan användas som hjälp för att styra och hantera informationssäkerhetsarbetet inom organisationer på ett systematiskt sätt (Kalmelid, 2013).

5.4 Inverkan på hållbarhet I denna del av diskussionen presenterar vi studiens inverkan på hållbarhet. Vi diskuterar ekonomisk, social och ekologisk hållbarhet.

5.4.1 Ekonomiskt hållbart  Genom att implementera en ny inloggningsmetod kan företagen få bort problem med lösenord. Idag lägger IT-avdelningen stora resurser på att hjälpa användare med bland annat

62

bortglömda lösenord. En ny inloggningsmetod kan vara dyr i början men är ekonomisk hållbar i längden, den bidrar även till en säkrare miljö där det är mindre risk för att företagets affärshemligheter sprids ut vilket i vissa fall kan leda till stor skada. Med stöd av en ny inloggningsmetod kan IT-avdelningen fokusera på andra viktiga rutiner, utbildningar och arbeten än lösenord.

5.4.2 Socialt hållbart  Inom informationssäkerhet kan nya metoder och rutiner för att skydda en organisations information bland annat personuppgifter bidra till ett socialt hållbart samhälle. Informationssäkerheten bidrar till en trygghet hos både medarbetare och kunder/ leverantörer. Den nya lagen GDPR har i syfte att stärka skyddet för fysiska personer vid behandling av personuppgifter. Genom att företagen ser över hur det blir med den nya lagen GDPR och följer den kan de medverka i social hållbarhet.

5.4.3 Ekologiskt hållbart  Genom att digitalisera rutiner och regler, exempelvis säkerhetspolicyn, sekretessavtal, NDA, utbildning och så vidare, sparar företagen både tid och bidrar till bättre ekologisk hållbarhet. Genom användning av exempelvis molntjänster sparas på både papper och hårdvara exempelvis hårddiskar. Rutiner kring utloggning, avstängning av och viloläge för datorer när de inte används eller när ingen sitter vid dem är viktiga för informationssäkerheten och de bidrar även till ett ekologiskt hållbart samhälle.

5.5 Vidare forskning Vårt förslag på vidare forskning grundar sig på studien som har utförts i denna rapport. För att få en bättre bild över strukturen på företagen, och för att kunna se för- och nackdelar med att ha IT-avdelningen lokalt eller externt samt för att kunna avgöra hur det påverkar beslutsfattande i en organisation, krävs det ytterligare en forskning. Ett alternativ skulle kunna vara att samla in ytterligare empiriskt data om den fysiska strukturen i en organisation och speciellt IT-avdelningens struktur. Ett annat förslag på vidare forskning är att undersöka företagens säkerhetspolicyer djupare. I den här studien har vi gjort en överskådlig undersökning av säkerhetspolicyn. Vi har inte studerat säkerhetspolicyn på en detaljerad nivå. Då resultatet i denna studie visar att medarbetare arbetar mycket efter sunt förnuft skulle det vara spännande att studera hur väl det sunda förnuftet stämmer överens med företagens säkerhetspolicyer och hur långt det sunda förnuftet egentligen räcker.

63

6. Källförteckning AM System. (2017). Så väljer du ett säkert lösenord. [online] Tillgänglig på https://www.amsystem.com/sv/2015/09/hur-valja-sakert-losenord-policy/ [Hämtad 20 april 2017]. Andersson, H., Andersson, J., Björck, F., Eriksson, M., Eriksson, R., Lundberg, R., Patrickson, M. och Starkerud, K. (2011). Introduktion till metodstödet. Myndigheten för samhällsskydd och beredskap. [online] Tillgänglig på: https://www.informationssakerhet.se/siteassets/metodstod-for-lis/1.-forbereda/introduktion-till-metodstodet.pdf [Hämtad 14 april 2017]. Applegate, S. (2009). Social Engineering: Hacking the Wetware!. Information Security Journal: A Global Perspective, 18(1), s. 40-46. Bakka, J., Fivelsdal, E. och Lindkvist, L. (2006). Organisationsteori. Uppl. 1. Malmö: Liber. Bell, J. (1995). Introduktion till forskningsmetodik. Uppl. 2. Lund: Studentlitteratur Blomkvist, P. och Hallin, A. (2015). Metod för teknologer. Uppl. 1.2. Johanneshov: MTM. Bodelius, V. (2013). Industrispionage ökande hot mot svenska företag. Veckans Affärer. [online] Tillgänglig på: http://www.va.se/nyheter/2013/01/14/industrispionage-okande-hot-mot-svenska-foretag/ [Hämtad 9 februari 2017]. Collis, J. och Hussey, R. (2009) Business Research: a practical guide for undergraduate and postgraduate students. Uppl. 3. Palgrave Macmillan, Basingstoke. Creativesafetysupply. (2017). PDCA Cycle: Plan, Do, Check, Act – Creative Safety Supply. [online] Tillgänglig på: https://www.creativesafetysupply.com/glossary/pdca-cycle/ [Hämtad 18 maj 2017]. Dagens industri. (2017). Virus bakom it-attack kopplas till NSA. [online] Tillgänglig på: http://www.di.se/nyheter/virus-bakom-it-attack-kopplas-till-nsa/ [Hämtad 15 maj 2017]. Dahlberg, K. (1997). Kvalitativa metoder för vårdvetare. Uppl. 2. Lund: Studentlitteratur. Datainspektionen. (2017). Dataskyddsreformen. [online] Tillgänglig på: http://www.datainspektionen.se/dataskyddsreformen/ [Hämtad 13 maj 2017]. de Oliveira Albuquerque, R., Villalba, L., Orozco, A., Buiati, F. och Kim, T. (2014). A Layered Trust Information Security Architecture. Sensors, 14(12), s. 22754-22772.

64

DN.SE. (2017). Svensk polis varnar: It-attacken kan ta ny fart - DN.SE. [online] Tillgänglig på: http://www.dn.se/ekonomi/svensk-polis-varnar-it-attacken-kan-ta-ny-fart/ [Hämtad 15 maj 2017]. Emm, D. (2010). Creating secure passwords. Infosecurity, 7(6), s. 36. Gehringer, E. (2008) Choosing passwords: security and human factors. Citeseer. Gonzalez, J. och Sawicka, A. (2017). A Framework for Human Factors in Information Security. [online] Tillgänglig på: http://www.wseas.us/e-library/conferences/brazil2002/papers/448-187.pdf [Hämtad 19 april 2017]. Hallberg, J. (2012). Säkerhetskultur och informationssäkerhet. [online] Tillgänglig på: http://www.urbsec.se/digitalAssets/1502/1502889_securit-research-program-faktablad--swedish-.pdf [Hämtad 27 april 2017]. Hatch, M. (2002). Organisationsteori. Uppl. 1. Studentlitteratur. Harris, S. (2007). CISSP All-in-One Exam Guide, Uppl. 4. New York: McGraw- Hill. Henriksson, S. och Sjölin, M. (2017). Nationalencyklopedin, information [online]. Tillgänglig på: http://www.ne.se/uppslagsverk/encyklopedi/lång/information [Hämtad 1 maj 2017]. Hwang, M. och Sun, T. (2014). Using Smart Card to Achieve a Single Sign-on for Multiple Cloud Services. IETE Technical Review, (30:5), s. 410-416. Informationssäkerhet i Sverige och internationellt. (2004), Uppl. 1. Stockholm. Fritzes offentliga publikationer. Informationssakerhet. (2017). Ledningssystem för informationssäkerhet. [online] Tillgänglig på: https://www.informationssakerhet.se/vagledningar/standarder/ [Hämtad 22 april 2017]. Informationssäkerhet - trender 2015. (2015). Uppl. 1. Karlstad: Myndigheten för samhällsskydd och beredskap (MSB). Tillgänglig på: https://www.msb.se/RibData/Filer/pdf/27494.pdf [Hämtad 1 maj 2017]. Kalmelid, K. (2013). Ledningssystem för informationssäkerhet. [online]. Tillgänglig på: https://www.informationssakerhet.se/vagledningar/standarder/ [Hämtad 18 april 2017]. Kalmelid, K. (2015). Vad är informationssäkerhet?. [online] Tillgänglig på: https://www.informationssakerhet.se/Om-informationssakerhet-kon/vad_ar_informationssakerhet/ [Hämtad 2 maj 2017].

65

Liedman, S. et al. (2017). Evolutionen. [online] Tillgänglig på: http://www.regeringen.se/contentassets/18dc2497f62a40909717c378227a87f9/vad-ar-kunskap [Hämtad 2 maj 2017]. Loshin, P. (2001). Single sign-on. Computerworld, 6, s. 64-65 Matsuo, M. och Nakahara, J. (2013). The effects of the PDCA cycle and OJT on workplace learning. The International Journal of Human Resource Management, 24(1), s.195-207. MSB, (2011). Datorstödd informationssäkerhetsutbildning för användare (DISA). [online] tillgänglig på: https://www.msb.se/sv/Forebyggande/Informationssakerhet/Stod-inom-informationssakerhet/DISA--utbildning-informationssakerhet/ [Hämtad 12 maj 2017]. Opdenakker, R. (2017). Advantages and Disadvantages of Four Interview Techniques in Qualitative Research. [online] Qualitative-research.net. Tillgänglig på: http://www.qualitative-research.net/index.php/fqs/article/viewArticle/175/391&sa=U&ei=FdsJTdDCGYOnrAer0YjVDg&ved=0CP4BEBYwXg&usg=AFQjCNEsC2J0wILvNuH7LEhQaA2znBkKvw [Hämtad 17 april 2017]. Panel, I. (2017). CIA Triad and New Emerging Technologies: Big Data and IoT. [online] Information Security Buzz. Tillgänglig på: http://www.informationsecuritybuzz.com/isbuzz-expert-panel/cia-triad-and-new-emerging-technologies-big-data-and-iot/ [Hämtad 21 maj 2017]. Pfleeger, C och Pfleeger, S. H. (2006) Security in computing, Uppl. 4. Upper Saddle River: Prentice Hall. Rydell, S. (2016). Informationssäkerhet – dags att agera mot risker och hot. [online] Tillgänglig på: http://www.sis.se/Nyheter-och-press/Nyheter/Informationssakerhet_dags_att_agera_mot_risker_och_hot/ [Hämtad 2 maj 2017]. Samhällets informationssäkerhet, 2008. Tillgänglig på: https://www.msb.se/Upload/Produkter_tjanster/Publikationer/KBM/Samhällets%20informationssäkerhet%20Lägesbedömning%202008.pdf [Hämtad 2 maj 2017]. Schneier, B. (2005). Two-factor authentication. Communications of the ACM, [online] 48(4), s.136. Tillgänglig på: http://delivery.acm.org.focus.lib.kth.se/10.1145/1060000/1053327/p136-schneier.pdf?ip=130.237.29.138&id=1053327&acc=ACTIVE%20SERVICE&key=74F7687761D7AE37%2EE53E9A92DC589BF3%2E4D4702B0C3E38B35%2E4D4702B0C3E38B35&CFID=931862466&CFTOKEN=39770433&__acm__=1493835447_63bcdf47525bf50b80131a51fc7e5471 [Hämtad 1 maj 2017].

66

SearchSecurity. (2017). What is multifactor authentication (MFA)? - Definition from WhatIs.com. [online] Tillgänglig på: http://searchsecurity.techtarget.com/definition/multifactor-authentication-MFA [Hämtad 1 maj 2017]. Silva, A., Medeiros, C. och Vieira, R. (2017). Cleaner Production and PDCA cycle: Practical application for reducing the Cans Loss Index in a beverage company. Journal of Cleaner Production, 150, s. 324-338. Snickars, P. (2014). Digitalism: När allting är internet. Uppl. 1. Stockholm: Volante. Sundström, T. (2005). Användbarhetsboken. Uppl 1. Lund: Studentlitteratur. Statistiska Centralbyrån. (2017). Fordonsindustrin har stor betydelse för Sveriges ekonomi. [online] Tillgänglig på: http://www.scb.se/sv_/Hitta-statistik/Artiklar/Fordonsindustrin-har-stor-betydelse-for-Sveriges-ekonomi/ [Hämtad 3 maj 2017]. Säkerhetspolisen. (2017). Företagsspionage. [online] Tillgänglig på: http://www.sakerhetspolisen.se/download/18.635d23c2141933256ea17d3/1381154797874/foretagsspionage22004.pdf [Hämtad 15 maj 2017]. Thomson, M. (2002) Protecting from Within. Computer Fraud and Security. Underlätta omställningen till ett digitaliserat samhälle. (2017). [online] Svenskt Näringsliv. Tillgänglig på: https://www.svensktnaringsliv.se/fragor/digitalisering/ [Hämtad 20 februari 2017]. Uppföljning av informationssäkerhet i vården. (2015). Myndigheten för samhällsskydd och beredskap (MSB). Tillgänglig på: https://www.msb.se/RibData/Filer/pdf/27547.pdf [Hämtad 1 maj 2017]. van Otterloo, S. (2017). Information security and PDCA (Plan-Do-Check-Act) - ICT Institute. [online] ICT Institute. Tillgänglig på: https://ictinstitute.nl/pdca-plan-do-check-act/ [Hämtad 14 april 2017]. Wall, D. S. (2013). Enemies within: Redefining the insider threat in organizational security policy. Security Journal, 26(2), s. 107-116. Weber, A. och Thomas, R. (2005). KEY PERFORMANCE INDICATORS. [online] Ivara. Tillgänglig på: http://www.computerised-maintenance-management-systems.com/articles/KPIs.pdf [Hämtad 13 maj 2017].

67

Bilaga A Detta är intervjuguiden för intervjuerna med de IT-ansvarig. IT-ansvarig Inledande frågor

• Kan du börja med att berätta kort vad ditt arbete går ut på? • Informationssäkerhet omfattar IT-säkerhet såväl som administrativa processer och

rutiner, vad anser du är fokus hos er? • Vilka strategier finns för att försäkra att informationssäkerheten efterföljs?

Tekniska frågor

• Vilka system använder ni? Var lagrar ni er data? • Vilken typ av autentisering/inloggning använder ni? • Hur är access och kontroll av behörighet utformade i era nuvarande system? • Hur går processen till vid lösenordsbyte? • Hur ser processen ut om du loggar in på din dator när du inte befinner dig på

företagets nät? • Hur många gånger måste du logga in dagligen för att utföra dina arbetsuppgifter? • Har ni jämfört ert nuvarande system och rutiner för autentisering/inloggning med

andra system? • Vad känner du till om Single-Sign-On? Ser du några för- och nackdelar med det?

Organisatoriska frågor

• Vad har IT-avdelningen för roll på företaget? • Hur ser rutinerna ut för att säkerställa att inloggningsuppgifterna används på ett säkert

sätt? • Hur skulle du beskriva företagets arbete kring säkerhet? • Finns det något existerande utbildningsprogram i organisationen för att utbilda

personal i informationssäkerhet? • Vad är din åsikt om er autentiseringsmetod för in- och utloggning?

Sekretess

• Vilka rutiner finns när en anställd slutar? • Är rutinerna eller reglerna kring säkerhet vid informationsöverföring, inom respektive

ut ur organisationen/ företaget tydliga? • Hur brukar mottagaren kontrolleras att den är behörig att få tillgång till information

som överförs till sig? Övrigt

• Hur ser processen ut när det gäller inloggning och aktivt konto? • Hur ser ni till att era system är skyddade och uppdaterade?

68

Avslut

• Har vi missat något eller känner du att det finns något intressant som vi bör tänka på som du vill dela med dig av?

69

Bilaga B

Detta är intervjuguiden för intervjuerna med användarna. Användare Inledande frågor

• Kan du börja med att berätta kort vad ditt arbete går ut på? Organisatoriska frågor

• Hur ser du på er IT-avdelning? Vad har du för relation till IT-avdelningen? • Känner du att du har tillgång till allt du behöver för att kunna utföra ditt arbete?

Informationssäkerhet

• Informationssäkerhet omfattar IT-säkerhet såväl som administrativa processer och rutiner, vad anser du är fokus hos er?

• Har du några kunskaper angående företagets säkerhetspolicy? • Vilka rutiner eller regler kring säkerhet vid informationsöverföring känner du till?

Tekniska frågor

• Är det många lösenord att hålla reda på och hur gör du om du glömt bort ett lösenord? • Hur hanterar du dina lösenord? Och vet du vilka krav som finns när det gäller

lösenordshantering? • Hur många gånger måste du logga in dagligen för att utföra dina arbetsuppgifter? • Har du någon gång diskuterat med en arbetskollega angående dina lösenord och har du

skrivit/ brukar du skriva ned dina lösenord? • Vilka är rutinerna ifall något oväntat skulle hända med lösenord och

informationsbortfall? • Har du fått någon utbildning i informationssäkerhet (lösenordshantering/

datorhantering) från företaget? • Hindrar autentiseringsmetoden dig i ditt arbete? • Hur upplever du som användare att det är att byta lösenord och hur ofta måste du göra

det? • Vad är din åsikt om er autentiseringsmetod för in- och utloggning? • Hur ser processen ut om du loggar in på din dator när du inte befinner dig på

företagets nät?

Avslut

• Har vi missat något eller känner du att det finns något intressant som vi bör tänka på som du vill dela med dig av?