Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Uppsala universitet Institutionen för informatik och media IS C/Examensarbete, 15hp HT17 Datum: 5/11-2018
Informationssäkerhet vs.
Affärsmål
Ett arbete om hur svenska startups hanterar sin informationssäkerhet
Författare: Petter Olsson & Gustav Eggers
Lärare: Fredrik Bengtsson
Sammanfattning
Att bedriva startups i ett informationsbaserat samhälle medför idag flera utmaningar. För att
nå framgång måste företagets resurser användas på rätt sätt. I en tid där informationssäkerhet
spelar en allt större roll ska det här till en avvägning mellan att uppnå en bra säkerhetsnivå,
samtidigt som de affärsmässiga aspekterna måste prioriteras. I arbetet undersöks hur svenska
startups hanterar sin informationssäkerhet. Arbetet syftar även till att undersöka hur utbredd
medvetenheten är inom sex svenska startups gällande informationssäkerhet samt hur mycket
det prioriteras. Arbetet resultat visar att medvetenheten kring informationssäkerheten är hög
men att det fortfarande är brister när det gäller att omsätta denna medvetenhet till praktisk
handling och att det är de affärsorienterade målen som prioriteras högst inom en svensk
startup.
Nyckelord:
Startups, informationssäkerhet, styrdokument, informationssäkerhetspolicy, standarder, ISO,
molntjänster, PuL, GDPR
Abstract
To run a startup in an information based society can cause a lot of challenges. To reach
success, the company’s resources must be used in a proper way. In a time where information
security has a big role, there must be a balance between keeping a high level of security
meanwhile the business orientated expectations must be prioritized. This thesis will examine
how a startup manages its information security. It does also focus on the awareness of
information security within six swedish startups considering information security and also it’s
priority. The results of the study shows that awareness of information security is high, but
there are still shortcomings in putting this awareness into practice. The study also shows that
the business-orientated goals are the highest priority within a swedish startup.
Key words:
Startups, information security, information security policy, standards, ISO, cloud services,
PuL, GDPR
Innehållsförteckning
1.Inledning 11.1Bakgrund 11.2Avgränsningar 21.3Syfteochfrågeställning 31.4Disposition 3
2.Teori 42.1Informationssäkerhetspolicy 52.2Standarder 52.2.1ISO-InternationalStandardOrganization 62.2.2ISO27001ochISO27002 62.2.3Certifikat 7
2.3PuLochGDPR 72.4Molntjänster 82.4.1SaaS(SoftwareasaService) 82.4.2IaaS(InfrastructureasaService) 92.4.3Riskermedmolntjänster 9
3.Analytisktverktyg 103.1CIA-triangeln(Confidentiality,Integrity,Availability) 103.1.1Konfidentialitet 113.1.2Integritet 113.1.3Tillgänglighet 11
4.Metod 124.1Forskningsstrategi 124.2Metodfördatainsamling 124.2.1Valavstartups 134.2.2Intervjuer 13
4.3Metodfördataanalys 154.4Kritiskgranskningavmetodfördatainsamling 16
5.Empiri 185.1Undersöktaföretag 185.2Presentationavintervjuer 195.2.1StartupA 195.2.2StartupB 215.2.3StartupC 235.2.4StartupD 245.2.5StartupE 265.2.6StartupF 28
6.Analys 316.1Informationssäkerhetspolicy(ISP) 316.1.1ISPiCIA-triangeln 32
6.2ISO-standarder 336.2.1ISO-standarderiCIA-triangeln 34
6.3PuLochGDPR 35
6.3.1PuLochGDPRiCIA-triangeln 356.4Molntjänster 366.4.1MolntjänsteriCIA-triangeln 37
6.5Prioritetgällandeinformationssäkerhet 37
7Avslutandedel 397.1Slutsats 397.2Diskussion 407.2.1Kontaktadestartups 407.2.2Analytisktramverk 417.2.4Summering 43
Referenser 45 Bilaga 1 47
1
1. Inledning I det här avsnittet redovisas en bakgrund till arbetet, syfte och frågeställning, avgränsningar
samt disposition. Avsnittet kommer sammantaget att redogöra för arbetets motiv och vilka
problem som ska lösas.
1.1 Bakgrund En startups primära och viktigaste resurs är de informationstillgångar som organisationen
besitter. Dessa informationstillgångar ska bidra till en framgångsrik verksamhet. Därför är det
viktigt att skydda dessa informationstillgångar, och att skydda dem på ett säkert sätt. Skyddas
inte dessa på ett korrekt sätt finns risken att företaget drabbas av incidenter. Incidenter som
kan påverka en startup negativt kan exempelvis vara: överbelastningsattacker, stulen
affärsinformation, insiderbrott, läckta IP-adresser, olika typer av bedrägerier samt stölder av
mjuk- och hårdvara. Detta kan resultera i informationsförluster och på så sätt skada företaget.
De här incidenterna visualiserar vissa av de risker som finns i att bedriva startups i ett
informationsbaserat samhälle. (Cowan, 2015)
Att bedriva startups innebär mer än de rent affärsorienterade målen som finns för ett företag
(Cowan, 2015). Mätbara aspekter som exempelvis att öka tillväxt eller reducera kostnader är
ofta de som hamnar i huvudfokus och således de man fäster extra vikt vid, särskilt för
startups som befinner sig i en expansionsfas. Parallellt med de mätbara aspekterna existerar
de omätbara aspekterna som inte kommer på tal i samma utsträckning. Informationssäkerhet
är ett typiskt exempel på denna typ av omätbar aspekt, och är på så sätt inte det som alltid
prioriteras högst av en startup. Därför måste en noggrann avvägning mellan dessa mätbara
aspekter och omätbara aspekter finnas med i beaktande för en startup. (James, 2013) En
annan viktig aspekt med att bedriva startups handlar om att vara attraktiv för investerare då
det ofta hänger på att få in kapital för att kunna växa som företag. För att en investering i en
startup ska bli gynnsam för både företaget och den som investerar, måste alla komponenter i
investeringsprocessen stämma. Med detta menas allt från affärsidé, investeringssumma och
en fungerande informationssäkerhet. (Cremades, 2016)
2
1.1.1 Problembeskrivning
Informationssäkerhet är ett område som det inte alltid läggs tillräckliga resurser kring
(Tsohou, Karyda, Kokolakis, Kiontouzis, 2015, s.38). Informationssäkerhet berör såväl
startups, större multinationella företag och olika statliga institutioner (Tsohou, et al. 2015,
s.39). Enligt James (2013) resonemang om hur man bedriver en startup som tar hänsyn till
informationssäkerheten, handlar det om en noggrann avvägning mellan att balansera
informationssäkerhet med de affärsorienterade målen som finns för företaget. Denna
avvägning kommer att tas upp i arbetet. Något som också kommer att behandlas i arbetet är
hur det skiljer sig mellan startups och större företag i hur man arbetar med
informationssäkerhet. Ofta måste en startup arbeta betydligt mer effektivt med mer
begränsade resurser. Ett exempel är att större företag ofta har mer tid på sig att testa och
säkerställa en tjänst eller produkt innan den når marknaden, medan en startup inte har den
tiden utan istället måste utveckla skyddet i omgångar. Även det faktum att det inte generellt
sett läggs tillräckligt resurser på informationssäkerhet är en del av detta arbete. (Tsohou, et al.
2015, s.39)
1.2 Avgränsningar Vi har i denna uppsats valt att avgränsa uppsatsens innehåll till svenska startups. Sverige och
Stockholm är ett erkänt centrum för innovation och startups inom framförallt techindustrin
(Davidson, 2015). Därför kändes det naturligt och spännande att avgränsa studien kring
Sverige och svenska statups. I uppsatsen kommer termen startup betyda ett ungt företag med
hög potential som befinner sig i en expansionsfas. Denna definition grundar sig i
Regeringskansliets förklaring: En startup är ett ungt företag som präglas av innovativa
lösningar, potential och hög tillväxt (Regeringskansliet, 2016). För att förtydliga vad en
expansionsfas har för innebörd i arbetet utgår vi ifrån förklaringen som The Hub har gjort: en
startup som befinner sig i en expansionsfas ska till en början ha en validerad affärsidé som
har blivit lanserad baserad på en hållbar affärsmodell med betalande kunder som förväntas bli
kontinuerliga kunder. Kostnaden per kund ska vara mindre än 35% av intäkterna per kund.
(The Hub, 2017) Samtliga startups som behandlas i arbetet faller inom ramen för denna
definition.
3
1.3 Syfte och frågeställning
Eftersom startups befinner sig i en expansionsfas där resurser ofta är en bristvara så ska vi i
det här arbetet undersöka hur informationssäkerhet prioriteras inom företaget - om det har
hög prioritet eller om det är andra delar av verksamheten som prioriteras över
informationssäkerheten. Genom att undersöka hur utbredd medvetenheten är om
informationssäkerhet inom en startup så vill vi undersöka vilka praktiska åtgärder
medvetenheten har omsatts i, exempelvis genom att undersöka hur många svenska startups
som har implementerat styrdokument och standarder för informationssäkerhet och även vad
de har för syn på styrdokument och standarder. Arbetet har inte som primärt mål att
undersöka de tekniska aspekterna av informationssäkerhet, exempelvis hur företag krypterar
sin data och vad de har för brandväggar. Stundtals är det dock oundvikligt att nämna tekniska
komponenter, exempelvis molntjänster. Istället är det primära målet att undersöka vilken syn
företagen har på informationssäkerhet och även hur utbredd medvetenheten är.
Detta syfte ligger till grund för arbetets frågeställningar. Arbetets frågeställning är enligt
följande:
● Hur hanterar svenska startups sin informationssäkerhet?
● Hur ser medvetenheten ut hos svenska startups gällande informationssäkerhet?
1.4 Disposition
I avsnittet 1 redovisas en bakgrund till arbetet, syfte och frågeställning, avgränsningar,
kunskapsintressenter samt disposition. Efter det presenteras i avsnitt 2 den teori som
behandlas i uppsatsen för att ge läsaren en bakgrund. I avsnitt 3 presenteras det analytiska
verktyget som används i arbetet. Vidare i avsnitt 4 presenteras arbetets forskningsstrategi,
metod för datainsamling, metod för analys av data samt en kritisk reflektion av metod för
datainsamling. I avsnitt 5 presenteras det empiriska materialet som har insamlats. Sedan i
avsnitt 6 analyseras det empiriska materialet som presenteras i avsnitt 5. Avslutnings i avsnitt
7 presenteras svaren på arbetets frågeställning, reflektioner som har uppkommit under
arbetets gång samt förslag på framtida forskning.
4
2. Teori
Det här avsnittet är uppdelat i följande punkter: Informationssäkerhetspolicy, Standarder,
Personuppgiftslagen (PuL) och General Data Protection Regulation (GDPR) samt
Molntjänster. Dessa punkter kommer att användas för att strukturera det empiriska materialet
som presenteras i avsnitt 5.
Vid valet av lämplig teori att presentera i arbetet utgick vi ifrån arbetets syfte. En stor del av
arbetets syfte handlar om att undersöka hur utbredd medvetenheten om informationssäkerhet
är inom startups och även vilka praktiska åtgärder medvetenheten har omsatts i, exempelvis
när det gäller implementering av styrdokument och standarder. Därför presenteras en
teoretisk bakgrund till styrdokument och standarder senare i avsnittet. En
informationssäkerhetspolicy är ett styrdokument med syfte att strukturera
informationssäkerhetsarbetet inom ett företag eller organisation. För att undvika fallgropar
och risker inom informationssäkerhet kan regler och riktlinjer sammanställas i en
informationssäkerhetspolicy (Goodman, Straub, Baskerville, 2008, s. 46). ISO-standarder
utformas av International Organization for Standardization och syftar till att ge företag och
andra organisationer konkreta riktlinjer på hur man kan uppnå kvalitet gällande
informationssäkerhetsarbetet. Det finns ett antal fallgropar inom arbetet kring
informationssäkerhet. ISO-standarder ska bidra med lösningar för att undvika dessa
fallgropar. (ISO, 2017-2)
I det allt mer digitala samhället lagras mer och mer uppgifter innehållandes namn, adresser,
personnummer och bankuppgifter. Samtliga av dessa är känsliga uppgifter som går att
använda för att begå olika brott. Detta är en anledning till att dessa typer av uppgifter måste
lagras på ett säkert sätt. Detta är även viktigt med tanke på informationens integritet, om
informationen inte lagras på ett säkert sätt riskerar integriteten att brytas. Personuppgiftslagen
(PuL) och General Data Protection Regulation (GDPR) har som syfte att se till att företag och
organisationer, stora som små, lagrar personuppgifter på ett säkert sätt. På så sätt blir de även
en naturlig del av informationssäkerhet och därför kommer det även presenteras en teoretisk
bakgrund till PuL och GDPR senare i avsnittet. (Calder, 2016, s.4)
I arbetets syfte står det även att arbetet inte har som primärt mål att fokusera på de tekniska
aspekterna gällande informationssäkerhet, utan, som beskrivits ovan, istället är det primära
målet att undersöka vilken syn startups har på informationssäkerhet samt hur utbredd
5
medvetenheten är. Dock så menar Saran (Saran, 2011) att molntjänster spelar en stor roll i
framgångarna hos startups på grund av utbudet av molntjänster, flexibiliteten och att de är
kostnadseffektiva. På grund av fördelarna med att använda sig av molntjänster inom startups
kommer det även att presenteras en teoretisk bakgrund till molntjänster senare i avsnittet.
2.1 Informationssäkerhetspolicy
En Informationssäkerhetspolicy (ISP) är ett eller flera styrdokument innehållande riktlinjer
och regler gällande informationshantering inom ett företag riktat till företagets medarbetare.
En ISP bör vara skapad av företagets ledning och innehållet ska uttrycka ledningens
övergripande viljeinriktning gällande informationssäkerhet och informationshantering.
Utöver ledningens övergripande viljeinriktning bör en ISP innehålla en beskrivning av hur
företaget ska uppnå den efterfrågade viljeinriktningen samt ansvarsfördelningen inom
informationssäkerhet och informationshantering. Dessa punkter är viktiga för att hela
företaget ska förstå vad en ISP gör för nytta samt hur man ska följa den. (Myndigheten för
samhällsskydd och beredskap, 2011, s.7) En ISP har ett brett användningsområde för företag
och kan användas för att säkerhetsställa att företagets informationstillgångar håller en hög
konfidentialitet, integritet och tillgänglighet (Goodman, Straub, Baskerville, 2008, s. 124).
För att omvandla innehållet i ett styrdokument till direkta säkerhetsåtgärder kan man
exempelvis använda sig av ISO 27002 (Disterer, 2013, s.98).
2.2 Standarder
Standarder kan användas som allmängiltiga riktlinjer för att lösa en serie upprepade problem
eller utmaningar som en organisation står inför. Standarder implementeras och baseras ofta
på de aktuella styrdokument, policys, som kan finnas inom en organisation. (Whitman och
Mattord, 2014, s.160) Idag består en av organisationers allra främsta riskkapital av
information. För att reglera och kontrollera hanteringen av information finns det en rad
standarder att tillgå. Det finns idag flertalet organisationer som utvecklar och levererar
standarder. Internationella standardiseringsorganisationen (ISO) är den organisation som ger
ut flest standarder i Europa. (Charlet, 2015) I det här arbetet behandlas därför endast ISO. En
standard kan definieras: “Dokument, upprättat i konsensus och fastställt av ett erkänt organ,
som för allmän och upprepad användning ger regler, riktlinjer eller kännetecken för
6
aktiviteter och deras resultat, i syfte att nå största möjliga reda i ett visst sammanhang”.
(Swedish Standards Institute, 2011)
2.2.1 ISO - International Standard Organization
Internationella standardiseringsorganisationen (ISO) är en världsomfattande icke-statlig
organisation vars syfte är att utveckla kvalitativa standarder. ISO utvecklar standarder inom
praktiskt taget alla branscher, med allt från IT till sjukvård. (ISO 2017-1) Alla länder som är
medlemmar i ISO har ett eget nationellt organ. I Sveriges fall är det Swedish Standards
Institute (SIS) som utformar standarder utifrån svenska kriterier och svensk
verksamhetsmiljö. (SIS, 2017) Standarder är tillämpbara på många olika
verksamhetsprocesser. De standarder som främst involveras inom arbetet med
informationssäkerhet är ISO 27001 och ISO 27002. Dessa är en del av ISO 27000-serien som
är en uppsättning av standarder som tillsammans utgör en vedertagen grund inför en
organisations arbetssätt kring säker informationshantering. (ISO, 2017-2) Dessa två i
kombination utgör en grund för en organisations arbetssätt kring säker hantering av
informationstillgångar (Disterer, 2013, s.92).
2.2.2 ISO 27001 och ISO 27002
ISO 27001 ägnar sig allra främst åt att definiera ledningssystem. Ett ledningssystem är
grunden för att bedriva ett systematiskt informationssäkerhetsarbete i en organisation. ISO
27001 hjälper på så sätt till med att utforma de krav som finns för ett fungerande
säkerhetsarbete. Genom att vara certifierad av ISO 27001 tar man del av ett systematiskt
arbetssätt inom riskhantering vid namn Information Security Management System (ISMS).
ISMS innefattar företagets medarbetare, arbetsrutiner och IT-system. Dessa komponenter ska
fungera i enlighet med varandra. Genom att använda sig av ISMS får företaget förutsättningar
för att bibehålla konfidentialitet, integritet och tillgänglighet hos företagets information. (ISO,
2017-1) Det innebär att specificera krav gällande upprättandet, införandet, underhåll och det
kontinuerliga förbättringsarbetet som krävs för att ledningssystem ska vara välfungerande.
Dessa krav som utformas bör tolkas som obligatoriska om standarden ska få det önskade
genomslaget inom en organisation. (Disterer, 2013, s.95)
7
IS0 27002 är tilltänkt att bidra med riktlinjer för att kunna utforma
informationssäkerhetsåtgärder. Utifrån den aktuella organisationens styrdokument ger ISO
27002 riktlinjer för urval av åtgärder, implementation samt hur organisationen ska nyttja
dessa åtgärder på bästa sätt. Det kan röra sig om hur anställda ska hantera sina mobila enheter
eller hur arbete på distans bör fungera, och om hur säkerhetsaspekterna hela tiden finns med i
det man gör. (Disterer, 2013, s.98)
2.2.3 Certifikat
De organisationer som efterlever en ISO-standard eller serie kan ansöka om att bli
certifierade för detta. ISO är den organisation som ger ut flest certifikat i hela Europa med
sina drygt 1.6 miljoner certifikat årligen. (Charlet, 2015) Primärt är det tre dimensioner som
mäts inom informationssäkerhet. Dessa är konfidentialitet, integritet och tillgänglighet.
Standarder ser till så att dessa tre dimensioner bibehålls genom en rad praktiska åtgärder och
det är mot de här åtgärderna som organisationer kan certifiera sig, för att mot omvärlden visa
att man tar säkerhetsarbetet på allvar. (Svensk certifiering, 2017)
2.3 PuL och GDPR
Idag lagras det enorma mängder information om allt från privatpersoner till multinationella
företag. Exempelvis lagrar stora e-handelsbolag kunduppgifter, personnummer och
användarkonton - listan kan göras lång. Personuppgiftslagen (PuL) syftar till att skydda
människors personliga integritet vid lagring av deras personuppgifter. I april 2016 tog EU ett
beslut om ett nytt regelverk som ska träda i kraft i maj 2018. (Datainspektionen, 2017) Det
nya regelverket heter General Data Protection Regulation och förkortas (GDPR).
Grundtanken med GDPR är att övervaka stora multinationella bolags datalagring och på så
vis tillgodose individens intressen. Bolag och organisationer behöver tydligt redovisa varför
man lagrar den data man gör och det ska finnas ett samtycke från de berörda individernas
håll. GDPR syftar även till att få bort aktörer som lagrar persondata utan att tydligt redogöra
varför man har viss data lagrad och vad man avser att ha den till ur ett
verksamhetsperspektiv. (EU GDPR, 2017) GDPR kommer gälla inom alla EU medlemsstater
och blir på så vis en mer komplett ersättare till PuL (Datainspektionen, 2017). Med tanke på
8
att PuL och GDPR till stor del handlar om lagring av personuppgifter berörs de av inte bara
av integritet utan även konfidentialitet (Calder, 2016).
2.4 Molntjänster
Molntjänster kan på ett kort sätt förklaras som att utföra processer på en dator utan att
information och applikationer lagras på datorn, som är fallet inom fysisk lagring. Enligt The
National Institute of Standards and Technology (NIST) kan en molntjänst definieras som
följande:
“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access
to a shared pool of configurable computing resources (e.g., networks, servers, storage,
applications, and services) that can be rapidly provisioned and released with minimal
management effort or service provider interaction”. (NIST, 2011, s.2)
Molntjänster nyttjar lagringskapacitet hos externa servrar istället för att lagra lokalt på
enheten (Fernando, Loke, Rahayu, 2012). Fördelarna med molntjänster är många där de flesta
grundar sig i tillgången av information. Molntjänsters tillgänglighet handlar om att
informationen ska vara tillgänglig när behovet av informationen finns. På så sätt måste alltid
alla typer av molntjänster vara välfungerande så att användaren konstant kommer åt sina
informationstillgångar. (Halabi, Bellaiche, 2017) Tid och plats är oväsentligt om
informationen är lagrad i “molnet”. Dock så kommer dessa bekvämligheter på bekostnaden
av att användaren alltid måste ha en fungerande och aktiv internetanslutning. (Andriole och
Khorosani, 2010, s.1)
2.4.1 SaaS (Software as a Service)
SaaS är den typ av molntjänst där slutanvändaren är en person eller ett företag som
prenumererar på en tjänst erbjuden av en leverantör. Kostnaden för att få tillgång till
molntjänster varierar, i vissa fall betalar användaren en avgift för att få tillgång till tjänsten
medan i andra fall är det kostnadsfritt. I de flesta fallen är tjänsten någon typ av applikation
som antingen går att tillgå via en webbläsare eller applikationens egna gränssnitt.
Slutanvändaren behöver inte installera programvaran på sin fysiska enhet och sparar på så
9
sätt prestanda och lagringskapacitet. Leverantören har fullt ansvar för att tjänsten uppfyller
sitt syfte, vilket betyder att användaren inte har tillgång till underliggande kod, servrar och
lagring. (NIST, 2011, s.2) Detta betyder att användaren inte behöver hantera uppdateringar
och säkerhet då ansvaret ligger hos leverantören. I vissa fall så har dock användaren rätt att
modifiera inställningar för att applikationen ska passa användarens preferenser. (Zissis,
Lekkas, 2010)
2.4.2 IaaS (Infrastructure as a Service)
IaaS är den typ av molntjänst där användaren får tillgång till IT-infrastruktur över internet.
Detta betyder att användaren kan bygga sitt eget datacenter utan att behöva underhålla och
investera i hårdvara. Användaren har rätt att lagra och bearbeta data och mjukvara.
Leverantören av tjänsten tar endast betalt för den kapacitet som används av användaren,
vilket betyder att lagringskapaciteten är flexibel. Fysisk IT-infrastruktur har däremot en
statisk kapacitet vilket betyder att användaren måste mer kapacitet än vad som faktiskt
behövs för att lagringskapaciteten inte ska ta slut. IaaS kan på så sätt minska kostnader för
underhåll och lagring. (NIST, 2011, s.3)
2.4.3 Risker med molntjänster
Riskerna med molntjänster är många, och de varierar beroende på vilken typ av molntjänst
det handlar om. Gällande molntjänster som klassificeras som SaaS handlar riskerna mycket
om att användarens data blir stulen, avlyssnad eller modifierad under en pågående session.
Gällande IaaS handlar riskerna mer om förändringar i lagrad data och
överbelastningsattacker. (Zissis, Lekkas, 2010, s.587) En annan aspekt av riskerna med
molntjänster är förtroendet mellan användare och leverantör. Det är leverantörens ansvar att
ta hand om kundens lagrade och behandlade data. Oavsett hur säker tjänsten är har
leverantören tillgång till en stor del av datan som tjänsten behandlar och lagrar. (Zissis,
Lekkas, 2010, s.585)
10
3. Analytiskt verktyg
I det här avsnittet presenteras det analytiska verktyget som används i arbetet. Det används för
att analysera det empiriska materialet som presenteras i avsnitt 5. Analysen presenteras i
avsnitt 6.
3.1 CIA-triangeln (Confidentiality, Integrity, Availability)
C.I.A- triangeln har varit en industristandard gällande informationssäkerhet sedan dess
utformning. Ramverket kan användas inom organisationer för att utvärdera eller utveckla
informationssäkerheten. Den är baserad på de tre huvudkomponenterna av information som
ger ett företag eller en organisation värde (se figur 1). Dessa tre huvudkomponenter är
konfidentialitet, integritet och tillgänglighet. (Whitman och Mattord, 2014, s.12)
Figur 1, CIA-triangeln (Anthony Hendersson, 2017)
11
3.1.1 Konfidentialitet
Konfidentialitet handlar om behovet att säkerhetsställa informationens säkerhet. Information
håller hög konfidentialitet när den är skyddad från exponering av obehöriga individer eller
system. Konfidentialiteten ser till att bara de med tillräcklig åtkomstnivå har tillgång till
informationen. I de fallen där obehöriga individer eller system får tillgång till informationen
bryts konfidentialiteten. Lösningarna på detta problem är att alltid ha fungerande
åtkomstkontroller eller att ha implementerade styrdokument som behandlar
lösenordshantering och säker användning av tekniska enheter. Konfidentialiteten kan brytas
på många olika sätt, allt från felskickade e-mail till att en hackare tar sig in i en databas.
Konfidentialiteten är extra relevant när det handlar om information som behandlar
personuppgifter, såsom namn, adresser, personnummer och bankuppgifter. Detta är uppgifter
som företag ofta har i form av kunddatabaser. (Whitman och Mattord, 2014, s.12)
3.1.2 Integritet
Information har integritet när den är komplett i sin grundform och inte på något sätt är
justerad, skadad eller påverkad av obehöriga. Informationen innehåller en riktighet som
stämmer överens med grundsyftet till att den finns. Situationer där integriteten äventyras kan
exempelvis vara vid olagliga dataintrång, spridning av virus eller sabotage. Då riskerar
informationens grundformat att ändras och på så vis tar integriteten skada. Lösningarna på
detta problem är att alltid ha fungerande åtkomstkontroller eller att ha implementerade
styrdokument som behandlar lösenordshantering och säker användning av tekniska enheter.
(Whitman och Mattord, 2014, s.15)
3.1.3 Tillgänglighet
Tillgänglighet handlar om att information är tillgänglig för åtkomst när det behövs. För att
tillgängligheten ska vara uppfylld måste alla system som behandlar informationen samt alla
åtkomstkontroller fungera på ett korrekt sätt. Hög tillgänglighet handlar om att informationen
alltid ska vara tillgänglig genom att systemen ska fungera trots att systemen uppdateras,
mjukvara slutar att fungera eller att hårdvara kraschar. En lösning på dessa problem är att
hela tiden har en bra plan för backup. (Whitman och Mattord, 2014, s.15
12
4. Metod
I det här avsnittet presenteras den valda forskningsstrategin, metod för datainsamling, metod
för analys av data samt en kritisk reflektion av metod för datainsamling.
4.1 Forskningsstrategi
Syftet med uppsatsen är att undersöka hur svenska startups hanterar sin informationssäkerhet.
För att uppfylla det här syftet så krävs det en djupgående kunskap om hur startups pratar om
och arbetar med informationssäkerhet på daglig basis. Därför har vi gjort en fallstudie
eftersom fallstudier handlar om att undersöka ett specifikt område eller fall djupgående för att
utveckla detaljerade kunskaper inom det valda fallet eller området (Oates, 2006, s.141).
Vi har valt att göra en deskriptiv fallstudie eftersom vi anser att det passar bäst för arbetets
syfte. En deskriptiv fallstudie går ut på att utföra en detaljerad analys av ett specifikt fenomen
och dess sammanhang(Yin, 1994). Vi har valt att undersöka hur olika startups som befinner
sig i en expansionsfas hanterar sin informationssäkerhet. På så sätt undersöker vi ett specifikt
fenomen och dess sammanhang.
4.2 Metod för datainsamling
Vi valde att göra en kvalitativ analys med syftet att samla in data som bidrar till ökad
förståelse inom informationssäkerhet hos svenska startups. Utifrån det insamlade materialet
skedde vidare bearbetning och analys för att på ett så bra sätt som möjligt skapa objektiva och
sakkunniga slutsatser, som i det långa loppet kan bidra till kunskap och på så vis bli givande
för den som läser (Oates, 2006, s.266).
Den kvalitativa analysen skedde i form av intervjuer med personer som har olika roller inom
startups. De olika rollerna var VD, grundare av företaget, marknadsföringschef och
försäljningschef. Vi har valt att göra intervjuer eftersom vi ansåg att det är det bästa sättet att
komma nära företagen i det praktiska arbetet, i det här fallet genom att träffa personer som
13
arbetar inom svenska startups. På så vis etableras en närhet till den aktuella
problembeskrivningen (Rubin, 2012).
4.2.1 Val av startups
För att hitta lämpliga startups för undersökningen utgick vi i första hand från plattformen The
Hub1. Här introduceras många startups som är verksamma i Sverige och i Norden. Syftet
med plattformen är att sammanföra startups med varandra och med andra intressenter.
Anledningen till att The Hub har varit en utgångspunkt i detta arbete är att många startups
ingår i nätverket. De presenterade företagen är även verksamma inom olika branscher, vilket
vi strävade efter vid valet av startups att undersöka eftersom vi inte valde att vara
branschspecifika. En förhoppning var att hitta startups som jobbar under liknande
förutsättningar, för att sedan studera informationssäkerheten inom dessa. Att The Hub
redogör tydligt för vilket stadie som de olika företagen befinner sig i förenklade vår
målsättning att undersöka startups i en expansionsfas. Allt detta gjorde The Hub till ett
väldigt bra verktyg för oss under det här arbetet.
Totalt kontaktade vi 30 startups. Företagen blev kontaktade via mail där vi presenterade oss
själva kortfattat och sedan bakgrund till den studie som vi planerade att göra. För att hitta
dessa startups sorterade vi på företag som befinner sig i en expansionsfas. Efter vi hade fått
sökresultaten kontaktade vi de 30 första företagen som presenterades. Av de kontaktade
företagen svarade 16. Detta motsvarar en svarsfrekvens på 53,3%. Av dessa fick vi totalt till
intervjuer med 6 startups. Detta betyder att 20% av de kontaktade företagen ställde upp på en
intervju. Dessa är verksamma inom finansiell teknologi, e-handel, kommunikativa lösningar,
IT-utveckling och sociala medier.
4.2.2 Intervjuer
Arbetets empiriska material utgörs av intervjuer. För att uppfylla arbetets syfte behövde vi
djupgående kunskap om hur man rent praktiskt arbetar med informationssäkerhet inom
startups. Därför valde vi att kombinera strukturerade intervjuer med semistrukturerade
1 The Hub. https://thehub.se
14
intervjuer eftersom kombinationen av dessa två tillvägagångssätt kan ge ett djup i samtalet,
detta är svårare att uppnå om man endast använder sig av strukturerade intervjuer (Oates,
2006, s.187). Detta gjordes genom att kombinera raka frågor med öppna frågor som på så vis
kan leda till diskussion. Vi delade in frågorna i sex olika områden för att få en tydligare
struktur. Dessa sex områden är: bakgrund till företaget, informationssäkerhetspolicy,
standarder, PuL och GDPR, molntjänster och prioritet gällande informationssäkerhet.
Området bakgrund till företaget adderades även för att för att ge ett sammanhang i
respondenternas svar. Fördelningen av strukturerade och icke-strukturerade frågor gjordes på
så sätt att de strukturerade frågorna inledde varje ”område”. Exempelvis inom området
Standarder var den första frågan: ”Är företaget certifierade inom någon ISO-standard?”.
Detta kan liknas vid en strukturerad fråga. Den sista frågan inom området Standarder var:
”Tror du att standarder främst riktar sig åt större bolag?”. Detta kan istället liknas vid en icke-
strukturerad fråga. På så sätt är tanken att intervjuerna ska mynna ut i att bli ett flytande
samtal.
Strukturerade intervjuer är ett tillvägagångssätt där respondenten svarar på många specifika
frågor i en förbestämd ordning. Om flera intervjuer utförs är strukturerade intervjuer är bra
för att kunna generalisera och dra samband ur respondenternas svar. Semistrukturerade
intervjuer är ett tillvägagångssätt där personen som intervjuar har förberett ett antal frågor
och områden som ska täckas under intervjuens gång. Till skillnad från strukturerade
intervjuer kan dock ordningen på frågorna variera och frågor kan läggas till beroende på vad
respondenten ger för svar. Semistrukturerade intervjuer kan på så sätt användas för att få
djupgående svar där man kan se ett sammanhang i svaret. Dock så lämpar sig inte
semistrukturerade intervjuer att använda om undersökningen går ut på att kunna generalisera
svaren då olika respondenter kan få olika frågor och på så sätt ger svar som lämpar sig för
stunden och sammanhanget. Denna kombination leder till att man både kan generalisera men
även kunna skapa en djupgående kunskap av det insamlade materialet och på så sätt undviker
dessa fallgropar. (Oates, 2006, s.187-188)
För att utforma intervjufrågor började vi med att läsa Whitman och Mattords (2014) bok
Principles of Information Security. Den tar upp teoretiska ramverk och allmän terminologi
inom informationssäkerhet. Detta gav oss en bredare kunskap om informationssäkerhet. I
David Cowans (2015) artikel “The Affordable Ten-Step plan for Survival in Cyberspace”
visualiserar skribenten olika risker som finns i att bedriva mindre typer av verksamheter i ett
15
informationsbaserat samhälle. Michael B. James (2013) artikel “Security In Startups”
beskriver utmaningarna i att värdera affärsmål samtidigt som hanteringen av
informationstillgångar är viktigt. I kombination med varandra bidrar dessa till en ökad
förståelse och på så vis har vi kunnat utforma frågor som berör samtliga punkter i teorin. När
vi hade fått respons från företagen och på så sätt visste vilka startups som vi skulle undersöka
läste vi på om varje startup på plattformen The Hub för att få en bättre förståelse för den
verksamhet som de olika företagen bedriver. Efter detta kunde vi skapa både allmänna frågor
om informationssäkerhet, men även ha nog med kunskap för att kunna leda intervjun åt
branschspecifika områden.
Vid intervjutillfällena träffade vi en till två personer från varje startup, som alla har en
betydande roll inom företaget, särskilt gällande företagsledning men även
informationssäkerhet. Med tanke på att vi gjorde en kombination av strukturerade och
semistrukturerade intervjuer började vi intervjuerna med att ställa raka frågor för att kunna
göra den insamlade datan generaliserbar. Sedan övergick vi till öppna frågor för att på så sätt
kunna skapa en djupare kunskap från den insamlade datan. Innan intervjuerna var vi
medvetna om de olika alternativen gällande hur vi skulle agera under intervjuerna. Antingen
skulle intervjuerna spelas in eller så skulle vi anteckna respondenternas svar under intervjuns
gång. Samtliga respondenter var negativt inställda till att spela in intervjuerna och därför
gjorde vi inte det, varken med hjälp av video - eller röstinspelning. Istället antecknades
respondenternas svar under intervjuns gång. Efter intervjuerna skedde en noggrannare
sammanställning. Möjligheten fanns för företagen att vara anonyma i presentationen av
intervjuerna, och detta var någonting som samtliga respondeter önskade att vara eftersom de
var alla överens om att informationssäkerhet kan vara känsligt och för att skydda företaget de
arbeter för så blev det lämpligast.
4.3 Metod för dataanalys
Utifrån de sista fem punkterna, som redogjordes för ovan (informationssäkerhetspolicy,
standarder, PuL och GDPR, molntjänster och prioritet gällande informationssäkerhet)
analyserade vi det insamlade materialet från intervjuerna och gjorde en sammanställning.
Detta presenteras i avsnitt 6. Därefter analyseras punkterna informationssäkerhetspolicy,
standarder, PuL och GDPR samt molntjänster utifrån CIA-triangeln. Respektive komponent i
CIA-triangeln innehåller en beskrivning av komponentens innebörd, vilka risker som finns
16
inom komponenten samt en uppsättning åtgärder man kan ta till vara på i sitt
informationssäkerhetsarbete för att motverka dessa risker. Analysen som sker utifrån CIA-
triangeln har som syfte att koppla samman komponenternas risker och åtgärder med de
undersökta företagens informationssäkerhetsarbete, det vill säga det empiriska materialet.
Tanken är att denna analys ska leda fram till en bild av företagens
informationssäkerhetsarbete utifrån CIA-triangeln.
Validitet är viktigt när man analyserar den insamlade datan. Kvale och Brinkmann (2009)
menar att validitet är en kritisk punkt vid utförandet av kvalitativa analyser. Anledningen till
detta är att den som blir intervjuad kan reagera och svara olika beroende på vem som
intervjuar. Detta i kombination med att strukturen på intervjuerna till viss del är
semistrukturerad betyder att den insamlade datan kan variera i varje intervju. (Kvale,
Brinkmann, 2009) I vårt fall validerar vi underlaget från intervjuerna genom att en stor del av
intervjuerna var strukturerade för att kunna få svar som går att generalisera. Efter att ha fått
de här strukturerade svaren så gick vi sedan över till att hålla mer semistrukturerade frågor.
Innan publicering så godkände var och en av respondenterna att innehållet stämmer överens
med verkligheten.
4.4 Kritisk granskning av metod för datainsamling
Under arbetets datainsamling insåg vi de utmaningar som finns med att använda sig av
intervjuer som metod för datainsamling. Respondentens subjektivitet och företagens aktuella
arbetssituationer var något vi var tvungna att bemöta medan vi genomförde intervjuerna.
Detta är genomgående en viktig aspekt hos oss som skribenter för att arbetet ska bibehålla
objektivitet genom att svaren riktiga och verklighetsförankrade (Kvale, Brinkmann, 2009).
Ännu en utmaning var att respondenterna inte var så förtjusta i tanken på att spela in
intervjuerna, varken med video- eller röstinspelning. Vi valde därför att inte spela in
intervjuerna. Inspelningar kan bidra till att dels kunna återvända till viktiga moment i
efterhand om det skulle uppkomma frågetecken, det är även bra med inspelning då det under
själva intervjutillfället kan bidra till att man kan fokusera mer på intervjun och repondenten
än att behöva stödanteckna. Detta val, att inte spela in, ledde dock till något positivt eftersom
personer tenderar att bli obekväma och ge begränsade svar om intervjun spelas in. (Oates,
2006, s.191) Istället valde vi att anteckna svaren under intervjuns gång för att få en bra
17
överblick av respondenternas svar. Vi ansåg inte heller att det var ett störande moment att
stödanteckna under intervjuns gång. Efter intervjuerna strukturerade vi det insamlade
materialet för att underlätta vidare analys. På så sätt blev det ett tydligt och strukturerat
material att sedan arbeta vidare med.
I detta arbete beskrivs en startup som ett ungt företag med hög potential som befinner sig i en
expansionsfas. Vid urvalet av startups spelade inte den direkta branschen någon större roll.
Snarare var det primära att hitta startups som arbetar under liknande förhållanden och
förutsättningar, för att utifrån det studera informationssäkerheten inom dessa. I efterhand ser
vi både för - och nackdelar men det här valet. Fördelarna är att vi kan se tydliga mönster
inom de startups som arbetar under likartade förutsättningar. Detta är i linje med vår
frågeställning som syftar till att undersöka hur svenska startups hanterar sin
informationssäkerhet. Däremot kan vi också mena att det eventuellt är en nackdel att
branscherna skiljer sig åt. Möjligtvis hade man kunnat se mer tydliga gemensamma nämnare
ifall samtliga startups verkade i samma bransch för att på så vis kunna knyta det till
verksamhetspraxis.
18
5. Empiri
I det här avsnittet presenteras det insamlade empiriska materialet. Avsnittet är uppdelat i sex
olika intervjuer där varje intervju behandlar följande punkter: Bakgrund till företaget,
informationssäkerhetspolicy, standarder, PuL och GDPR, datalagring samt hur pass
prioriterat informationssäkerheten är. För att en investering i en startup ska bli gynnsam för
de båda parterna måste alla moment i investeringsprocessen fungera med allt från affärsidé,
belopp och informationssäkerhet (Alejandro Cremades, 2016). Därför presenteras även i den
sista punkten respondenternas synsätt på informationssäkerhetens roll i en
investeringsprocess.
5.1 Undersökta företag
Företagsnamn Respondentens roll Antal anställda Bransch ISP Standarder Molntjänster
Startup A Grundare/VD +
CFO (chief
financial officer)
20 Finansiell
teknologi
Ja Nej Ja
Startup B Grundare/VD 3 Dataprogr
ammering
Nej Nej Ja
Startup C Grundare/Försäljni
ngschef
5 Digital
kommuni
kation
Nej Nej Ja
Startup D CMO (chief
marketing officer)
15 Finansiell
teknologi
Nej Nej Ja
19
Startup E Grundare/VD 8 Sociala
medier
Nej Nej Ja
Startup F Grundare/VD 12 E-handel Nej Nej Ja
5.2 Presentation av intervjuer
5.2.1 Startup A
Bakgrund till företaget
Startup A verkar inom finansiell teknologi. Företagets produkt är en tjänst för långivning av
pengar till andra företag. Tjänsten fungerar på så sätt att de företag som nyttjar tjänsten
betalar en månadskostnad beroende på hur mycket pengar man lånar. Startup A grundades
2015 och var då först på den svenska marknaden med denna produkt och är i dagsläget störst
på den svenska marknaden inom detta. Startup A har idag 20 anställda. På intervjun träffade
vi företagets VD och företagets CFO. Företagets VD var med och grundade företaget och har
tidigare arbetat både på mindre företag men även på större företag. Företagets CFO började
på företaget ett år efter att företaget grundades och har tidigare framförallt arbetat på mindre
företag.
Informationssäkerhetspolicy (ISP)
Startup A har en ISP som används vid anställning av ny personal där personen som ska bli
anställd tar del av företagets ISP, samt godkänner att man har tagit del av informationen.
Företagets ISP är kort och handlar om hur anställda på företaget ska tänka angående säkra
lösenord på tjänster, mobiltelefoner och datorer. Respondenterna menar att företagets ISP är
ganska generell i dagsläget och att den skulle kunna bli mer specifik och med mer konkreta
säkerhetsaspekter. Hur stor andel av de anställda som följer företagets ISP är svårt att veta då
20
något exakt antal inte kontrolleras. Respondenterna menar dock att införandet av sådana
kontroller är något som förmodligen hade haft en positiv inverkan.
ISO-Standarder
Startup A är inte certifierade av någon ISO-standard. Respondenterna menar att i företagets
nuvarande situation skulle inte en ISO-standard tillföra något affärsvärde utan istället bli en
extra resurskrävande och dyr process som företaget i dagsläget inte är i ett akut behov av.
Respondenterna menar även att standarder generellt sett leder till begränsningar gällande
arbete och expansion. Så fort en del av verksamheten ska förändras måste detta ske i enlighet
med vad ISO-standarden säger. Respondenterna menar att detta inte går hand i hand med
företagets nuvarande arbetssätt där förändringen är ständig. Gällande möjliga
samarbetspartners så menar respondenterna även här att ISO-standarder inte har någon direkt
avgörande betydelse. De menar istället att ett bra rykte och bra arbetsrutiner hos andra ger
förtroende för framtida samarbete. Respondenterna menar dock att om en affärsmöjlighet i
form av inträde inom en ny “bransch” eller potentiella affärsavtal med andra bolag kräver
certifikat, så skulle det kunna bli tal om att bli certifierade.
PuL och GDPR
Respondenterna menar att företaget i dagsläget är berörda av PuL då företaget lagrar
personuppgifter till kunder och samarbetspartners. Eftersom att GDPR kommer att införas i
maj 2018 så pågår förberedande arbete för fullt inför anpassningen till detta.
Molntjänster
Startup A använder flertalet molntjänster i olika former. Startup A outsourcar all typ av
lagring med hjälp av IaaS-tjänster. Respondenterna har bilden av att det är högre säkerhet hos
molntjänster av välkända leverantörer än att använda sig av egen fysisk lagring. Även
flexibiliteten har en inverkan här då respondenterna ogillar den statiska lagringskapaciteten
som erbjuds med fysisk lagring, där istället molntjänster erbjuder mer flexibilitet. Gällande
SaaS-tjänster använder företaget flera olika tjänster för att underlätta det dagliga arbetet med
allt från digitala signeringar till intern och extern kommunikation. Respondenterna har även
här bilden av att SaaS-tjänster som erbjuds av välkända leverantörer håller en högre
säkerhetsnivå än att utveckla egna system. Inte nog med detta så menar de även att kunder
och samarbetspartners har mer förtroende för dessa tjänster än okända egenutvecklade
21
system. De menar även att resurserna, i form av pengar och personal, som krävs för att
utveckla egna system inte finns i företagets nuvarande situation.
Prioritet gällande informationssäkerhet
Respondenterna menar att det redan från början är det primära målet att få produkten att rulla
och göra kunderna nöjda. Deras resonemang är att det först ska finnas något att skydda före
man implementerar skyddsåtgärder. Som ett exempel på detta menar repsondenterna att det är
dumt att skaffa ett stort lås till en lada utan innehåll. När företaget sedan har expanderat, och
på så sätt har mer att förlora betyder det att implementation av ytterligare säkerhet kommer
naturligt. Företaget blev för en tid sedan finansiellt stöttade, och då kommer
säkerhetsaspekter in i bilden från investerarens sida. Om det finns brister i
informationssäkerheten kan det leda till att investerare inte väljer att stötta företaget
finansiellt. Med det sagt är denna prioritering inte lika med att säkerheten är obefintlig i ett
tidigt stadie, det handlar snarare om att ha en grund så tidigt som möjligt som sedan går att
förbättra allteftersom.
5.2.2 Startup B
Bakgrund till företaget
Startup B verkar inom dataprogrammering. Det är ett utvecklingsbolag som har arbetat med
att utveckla tjänster inom finansiell teknologi, men som just nu utvecklar tjänster inom
medicinsk teknologi. Den medicinska tjänsten är ett digital mötesplats för att hitta andra
personer med liknande hälsotillstånd, se journaler och recept, och förenkla medicinering med
hjälp av att skapa påminnelser. Intervjun är med företagets VD och grundare som sedan
tidigare är utbildad jurist, och som inom näringslivet har en finansiell bakgrund. Innan han
grundade företaget så har denne jobbat inom en stor svensk bank som chef för mobila
banktjänster i drygt ett decennium.
Informationssäkerhetspolicy (ISP)
Startup B har inget specifikt styrdokument som skulle kunna liknas vid en ISP. Det finns
ingenting nedskrivet om säkerhetsarbetet som görs inom företaget. Detta görs istället muntligt
mellan de anställda, och på grund av att teamet jobbar nära varandra och inte är så många
anställda så har det hittills fungerat bra. Generellt gällande ISP så ser denne inga brister och
22
felaktigheter att ha en, utan tvärtom är det bra. Men sett till företagets storlek, kompetens och
vardagliga rutiner så är det i dagsläget ingen nödvändighet.
ISO-Standarder
Startup B är inte certifierade inom någon specifik ISO-standard eller ISO-standardserie, och
anledningen till det är att behovet av att certifiera sig inte hittills har funnits. Det är möjligt att
det förändras allt eftersom det just nu pågår projekt inom medicinsk teknologi, som är ett
reglerat område att verka inom. Dock menar respondenten att ISO-standarder allra främst är
produkter som riktar sig åt större bolag som verkar inom ytterligare reglerade branscher.
PuL och GDPR
Respondenten menar att startup B till viss del berörs av både PuL och på så vis också det som
ska bli GDPR, från och med maj 2018. Generellt har annars företaget visionen att lagra så lite
personuppgifter som möjligt, för att på så vis slippa att i hög grad vara föremål för
lagstiftning gällande lagring av personuppgifter.
Molntjänster
Respondenten är positiv till molntjänster. Generellt sett är det praktiska verktyg för en startup
som inte har egna utvecklade system som det ofta är mycket reglering och jobb kring. Det
finns många tjänster som tillför värde och som är enkla och flexibla att använda sig av. När
det gäller intern kommunikation så används en SaaS-tjänst som heter Slack, som är en
kommunikationstjänst med ett högt säkerhetstänk. När det gäller datalagring så lagras all data
i olika IaaS-tjänster, förutom när det gäller krypteringsnycklar. Krypteringsnycklarna lagras
istället i bärbara datorer. De molntjänster som företaget använder sig av är molntjänster
levererade av stora aktörer som har erkänt högt förtroende och därav är det också många som
använder sig av molntjänsterna och på så vis blir förtroendeingivande.
Prioritet gällande informationssäkerhet
Den tjänst som startup B sedan ett par år tillbaka jobbade med inom finansiell teknologi och
sen sålde av blev uppköpta av en stor aktör. I nuläget är företaget inte finansiellt stöttade av
någon utomstående investerare. Respondenten har som synsätt att grundläggande säkerhet är
något som finns med hos en potentiell investerare. Om man ska tala om den balansgång som
finns genom att vilja gå framåt mot uttalade affärsmål framför att se över att all säkerhet
23
finns, så menar respondenten att informationssäkerhetsarbetet är en delvis störande process.
Riskerna finns alltid där men samtidigt är det affärsmålen som man har ambitionen att nå.
Informationssäkerhetsarbete kan i värsta fall bli till en motvikt i den här processen.
Informationssäkerhetsarbetet blir sekundärt.
5.2.3 Startup C
Bakgrund till företaget
Startup C är en startup som är verksam inom digital kommunikation och som ägs av ett större
företag. Företagets huvudprodukt är en säker kommunikationstjänst för företag där mottagare
av ett meddelande kan ge enkel feedback till meddelandets avsändare. Feedbacken lagras och
sammanställs på ett tydligt sätt som meddelandets avsändare kan ta del av. Startup C
grundades 2015 och har idag fem anställda. Vi intervjuade företagets medgrundare som idag
har ansvar för försäljning och kundrelationer. Respondenten har sedan tidigare arbetat på
större företag.
Informationssäkerhetspolicy (ISP)
Startup C har inget implementerad styrdokument som skulle kunna liknas vid en ISP.
Däremot så menar respondenten att medvetenheten gällande informationssäkerhet finns inom
företaget. Respondenten menar att kombinationen av en kommunikation mellan de anställda
inom företaget och rutin hos de anställda gällande informationssäkerhet leder till en hög
säkerhetsnivå. Respondenten menar dock att en ISP gällande exempelvis lösenordshantering
inte är en dålig idé men i att det inte är nödvändigt i företagets nuvarande situation.
ISO-Standarder
Startup C är i dagsläget inte certifierade av någon ISO-standard. Anledningen till detta är att
det i dagsläget inte finns någon affärsmässig fördel att bli certifierade. Däremot så menar
respondenten att certifiering skulle kunna vara aktuellt om en möjlig samarbetspartner eller
lagstiftning kräver detta. Respondenten har bilden av att behovet av standarder är något som
varierar mycket mellan olika branscher, men där digital kommunikation inte är speciellt
reglerat. Gällande möjliga samarbetspartners så menar respondenten att standarder inte har
någon avgörande betydelse. Ett bra rykte och fungerande rutiner är mer förtroendeingivande.
24
PuL och GDPR
Startup C hanterar personuppgifter och berörs på så sätt i dagsläget av PuL där respondenten
menar att detta i stort sett är oundvikligt inom de flesta tekniska branscherna. Införandet av
GDPR i maj 2018 kommer innebära vissa förändringar, speciellt gällande avtal mellan kund
och startup C gällande lagring av personuppgifter. Förberedelser inför GDPR har inte börjat
ännu men är planerat att inledas snart.
Molntjänster
Respondenten har en positiv bild av molntjänster så länge det är välkända namn som
levererar tjänsten. Respondenten menar även att det i stort sett är oundvikligt att använda sig
av molntjänster om man är ett mindre företag, då flexibilitet och kostnadsfrågor är ytterst
relevanta frågor. Dock så har företaget valt att endast lagra utvecklingsuppgifter via
molntjänster där SaaS-tjänsten Github används. För resterande datalagring används fysisk
lagring med hjälp av en datahall som går att tillgå via moderföretaget till startup C, samt
egenutvecklade system som också går att tillgå via moderföretaget. All intern kommunikation
sker genom företagets egna produkt samt moderföretagets kommunikationssystem.
Prioritet gällande informationssäkerhet
Respondenten menar att det generellt för startups handlar om att så fort som möjligt komma
på benen, göra kunder intresserade av det man har att erbjuda och börja tjäna pengar. För
startup C så är säkerhet en stor del av företagets produkt, vilket betyder att
informationssäkerhet var naturligt från dag ett. Startup C har inte blivit finansiellt stöttade.
Respondenten menar att många produkter till viss del innefattar informationssäkerhet vilket
betyder att det faller sig naturligt för en investerare att kontrollera informationssäkerheten
innan en investering genomförs. Generellt menar respondenten att informationssäkerheten
inte bör ta fokus från affärsmålen i ett tidigt stadie men att alla startups bör ha en grundlig
säkerhet redan inledningsvis.
5.2.4 Startup D
Bakgrund till företaget
Startup D är verksamma inom finansiell teknologi. De utvecklar betallösningar som med
hjälp av modern teknik ska kunna reducera transaktionskostnader. Huvudsakligen arbetar de
25
med en produkt som syftar till att på ett säkert och kostnadseffektivt sätt skicka pengar
utomlands med hjälp av kortbetalning. Företaget har 16 anställda varav elva arbetar med
utveckling av mjukvara. Vi intervjuade företagets CMO (chief marketing officer) som
tidigare har arbetat inom ett stort multinationellt IT-bolag i Sverige. Dessförinnan har även
respondenten arbetat inom ett par mindre bolag.
Informationssäkerhetspolicy (ISP)
Gällande informationssäkerhetspolicy så finns det inget konkret styrdokument mer än att det
vid anställning i form av ett anställningsavtal tas upp vilka säkerhetsrutiner som gäller.
Eftersom det är finansiell teknologi som företaget är verksamma inom, så finns det mycket
regleringar. Respondenten tror att det är av yttersta vikt att man gör de anställda medvetna
om detta. Här finns det en uppenbar skillnad mellan att vara startup och ett större företag. Det
finns ett betydligt större behov av att ha styrdokument på en arbetsplats där fler människor
ska fungera som en enhet och dra åt samma håll. Respondenten menar också att det är viktigt
för större företags varumärke att hålla en hög säkerhetsnivå. Eftersom startup D inte har så
många anställda och hela tiden arbetar nära varandra så är istället den interna
kommunikationen viktig. Hittills finns det inga tecken eller incidenter som tyder på att
anställda inte följer policyn.
ISO-Standarder
Startup D ingår inte i någon ISO-serie eller standard, respondenten menar att det inte finns
något uppenbart behov av det i dagsläget och att ISO-standarder främst är riktade mot större
bolag. Som aktör inom finansiell teknologi finns det krav på att man följer
Finansinspektionens riktlinjer, och dessa fungerar ungefär som standarder gör. Om man inte
följer dessa så får man inte tillstånd till att bedriva verksamheten. Generellt menar
respondenten vidare att han ur finansinspektionens perspektiv ser många och svåra problem
med hur de ska kunna hänga med i takt med utvecklingen. Smarta betallösningar och annan
finansiell teknologi springer ifrån lagstiftning och blir på så vis svårare att reglera.
PuL och GDPR
Startup D berörs en del av PuL, och berörs även GDPR som träder i kraft i maj 2018.
Företaget har däremot som mål att lagra så lite data i form av personuppgifter som möjligt för
att på så vis beröras så lite som möjligt av denna lagstiftning. Inför GDPR är det många
26
företag som måste se över sin lagrade data för att på så vis anpassa sig efter den nya
lagstiftningen, och där är även startup D, men mycket av det är redan gjort.
Molntjänster
Gällande molntjänster så använder sig startup D av flera olika, och ser inte några större
problem med det. Lagring av data sker med hjälp av IaaS-tjänster levererade av Amazon och
på flera av Googles verktyg, och då allra främst för internt arbete. För att hålla en bra
säkerhetsnivå gentemot kunden så krypteras all kunddata med en godkänd
krypteringsstandard. Generellt finns det en tanke hos startup D med att använda sig av
molntjänster för datalagring för att det dels är flexibelt men också att det håller en hög
säkerhetsnivå. Detta är världsomfattande tjänster från stora aktörer, och de har det massiva
användarantalet eftersom det är säkert.
Pioritet gällande informationssäkerhet
Startup D har tagit in kapital både från privatpersoner och av myndigheter. Respondenten
menar att inför en stundande investering så får informationssäkerheten en stor roll. Det är
alltid viktigt att redogöra för investerare vad investeringen går till, både gällande de uttalade
affärsmålen men också ur ett säkerhetsperspektiv. I regel görs det en teknisk inspektion av
systemen för att på så vis få garantier om att systemen gör vad de ska och att det uppfyller
alla säkerhetskriterier som finns. Det här görs både av privata investerare men kanske
speciellt noggrant från myndighetshåll. Den här inspektionen ligger sedan till grund för om
det blir en investering eller inte. Ifall säkerheten brister så brister ofta också hela affären.
Sedan för att översiktligt väga informationssäkerhet gentemot att eftersträva uttalade
affärsmål så är det ju primärt att först ha någonting att skydda, en produkt som väcker
intresse. Sen kommer säkerhet allteftersom.
5.2.5 Startup E
Bakgrund till företaget
Startup E är en startup vars produkt har som huvudsyfte att samla information från olika
sociala medier, för att sedan presentera informationen på samma plattform med syftet att
skapa en enkelhet på internet. Företaget grundades 2016 och har i dagsläget 8 anställda samt
ett fåtal konsulter som hjälper till vid behov. Respondenten är företagets grundare och VD
27
och har som huvuduppgifter att arbeta med långsiktiga mål, kommunikation samt viss
programmering. Respondenten har sedan tidigare varit verksam inom både medelstora
företag och startups.
Informationssäkerhetspolicy (ISP)
Startup E har inget implementerad styrdokument som skulle kunna liknas vid en ISP.
Respondenten menar att det i dagsläget inte finns något behov av något styrdokument då
medvetenheten gällande informationssäkerhet redan finns bland de anställda. Respondenten
menar att nyckeln till att hålla en hög säkerhetsnivå snarare handlar om ett inbyggt tänk hos
medarbetarna än att ha fastställda regler. Respondenten menar att lösningen på problemet är
att alltid kommunicera gällande informationssäkerhet. Respondenten menar även att så fort
någon typ av expansion sker anpassar utvecklarna arbetet efter branschens allmänna riktlinjer
gällande säkerhetsarbete vilket leder till en hög säkerhetsnivå.
ISO-standarder
Startup E är i dagsläget inte certifierade av någon ISO-standard. Företaget följer istället
kostnadsfria riktlinjer som riktar sig mot branschen. Respondenten har bilden av att det i
dagsläget är mer gynnsamt för företaget att ha fungerande säkerhetsrutiner än att följa någon
ISO-standard. Däremot så menar respondenten att det inte skulle skada att vara certifierade
men att det i dagens situation inte är aktuellt. Gällande möjliga samarbetspartners menar
respondenten att det är mer förtroendeingivande att ett företag har fungerande rutiner och ett
bra rykte än att ett företag är certifierade.
PuL och GDPR
Med tanke på att startup E hanterar personuppgifter till användare berörs företaget i dagsläget
av PuL och från maj 2018 även av GDPR. Företaget har ännu inte inlett arbetet inför GDPR
men respondenten har bilden av att införandet av den nya lagstiftningen inte kommer straffa
företaget så mycket. Respondenten har bilden av att GDPR snarare kommer straffa större
företag som lagrar större mängder information. Respondenten menar även att man inte är i
farozonen så länge man har respekt för sina användare och inte lagrar information i onödan.
Molntjänster
Startup E använder sig av många olika molntjänster och respondenten menar att det är
28
oundvikligt att använda dessa tjänster. Företaget använder Iaas-tjänster för lagring levererade
av Amazon samt olika SaaS-tjänster för kommunikation och utveckling. Respondenten gillar
flexibiliteten med molntjänster, både för internt arbete men även vid outsourcing.
Respondenten menar även att så länge man använder molntjänster levererade av välkända
leverantörer så slipper företaget lägga fokus på informationssäkerhet och kan istället fokusera
på sådant som tar företaget framåt affärsmässigt.
Prioritet gällande informationssäkerhet
Respondenten menar att en startup i ett tidigt stadie måste få sin produkt att fungera, dock
med en grundläggande säkerhet från dag ett. Vid expansion måste företaget se till att
informationssäkerheten ligger i fas jämfört med vilken utveckling som sker. Respondenten
menar att det handlar om att ha en naturlig säkerhetsnivå. Startup E har blivit finansiellt
stöttade av fem olika aktörer, både privatpersoner och företag. Respondenten menar att
medvetenheten gällande informationssäkerhet varierar mycket mellan olika investerare.
Respondenten menar dock att för att inte ett företag ska gå miste om en möjlig investering är
det viktigt att i alla fall ha en grundläggande säkerhet redan från dag ett.
5.2.6 Startup F
Bakgrund till företaget
Startup F är en startup som samarbetar med ett stort antal e-butiker. Genom att leda kunden
till e-butikerna, och om kunden köper någonting, så får företaget provision av e-butiken som
tack för att man guidade kunden till e-butiken och för det köp som gjordes. Den här
provisionen delas sedan mellan företaget och kunden som har genomfört köpet. Det är alltså
en återbäring på köp hos e-butiker, och de finns inom en rad butikskedjor och varumärken.
En andel av företaget är ägt av ett annat större bolag. Personen vi sitter med är grundare av
företaget och även VD. Företaget har totalt tolv anställda. Innan respondenten blev verksam
inom företaget har denne ett par års erfarenhet inom större bolag, ett inom media och ett inom
finans. Bortsett från startup F har respondenten inga större erfarenheter inom startups.
Informationssäkerhetspolicy (ISP)
Startup F har i dagsläget inget styrdokument som skulle kunna jämföras med en ISP.
Respondenten menar att behovet att ha ett sådant dokument ännu inte finns. Respondenten
29
menar att så länge inte antalet medarbetare växer kraftigt fungerar det bra att förmedla
riktlinjer gällande informationssäkerhet med hjälp av intern kommunikation. Respondenten
har bilden av de anställda har stor rutin gällande informationssäkerhetsarbete från tidigare
arbetsplatser, vilket leder till att behovet av ett sådant styrdokument inte finns.
Standarder
Startup F är i dagsläget inte certifierade av någon ISO-standard eller ISO-serie. Respondenten
menar att ISO-standarder är förtroendeingivande produkter men att det inte är nödvändigt i
företagets nuvarande situation, det blir snarare både en stor kostnad men även en process som
snor fokus från andra processer. Respondenten har bilden av att ISO-standarder snarare är
mer lämpade för större företag, främst beroende på att det är en stor kostnad. Gällande
avvägningar av möjliga samarbetspartners menar respondenten att företag certifierade med
ISO-standarder inte blir mer attraktiva än andra. Däremot så finns det ett certifikat anpassat
specifikt mot e-handelsbranscher som ges ut av Svensk Handel. Respondenten menar att ett
sådant certifikat är bra, men att det inte är ett måste.
PuL och GDPR
PuL och GDPR är relevanta för startup F på så sätt att de lagrar personuppgifter till
användare. Eftersom GDPR träder i kraft i maj 2018 så är det en hel del förberedande
åtgärder som ska göras, och detta är mestadels redan genomfört. Det handlar specifikt om att
se över den kunddata som företaget lagrar. Datan som lagras gör det för att den behövs och
tillför värde för företaget. Ingen onödig data lagras. Denna data behöver anpassas utifrån den
nya lagstiftningen. Eftersom företaget delvis är ägda av ett annat större företag så underlättar
det processen. Moderföretaget har tillgång till en rad konsulttjänster som ser över
datalagringen, och det får startup F ta del av.
Molntjänster
Startup F har en positiv bild av molntjänster där flexibiliteten är något som värderas högt.
Företaget använder IaaS-tjänster för lagring av data utifrån moderföretagets direktiv och
riktlinjer. Företaget använder SaaS-tjänster för intern- och extern kommunikation.
Respondenten menar att det inte finns ekonomiska resurser för att utveckla exempelvis
egendesignade system för intern kommunikation, därav används molntjänster.
30
Prioritet gällande informationssäkerhet
Startup F har blivit finansiellt stöttade. Dels av moderbolaget som äger en andel av startup F,
och även av en annan investerare som fokuserar mycket på teknologibranschen i norden.
Inför en investering menar respondenten att informationssäkerheten har en stor roll att spela.
Ofta tar den potentiella investeraren in utomstående konsultbolag som granskar företagets
system, samt att säkerheten och lagstiftning efterlevs. Detta görs för att kontrollera att
datalagring sker på ett säkert sätt, för att reducera redundant data och även se till så att
systemen håller sig uppdaterade. Det finns tydliga säkerhetsbrister i system som inte är
uppdaterade. Det är också viktigt att all dokumentationen kring produkten dels är tillgänglig
men också stämmer överens med produktens utformning. Det görs genom en DD-process
(Due Diligence) som är en sorts företagsbesiktning. Känns inte allting okej med företagets
produkt, ambitioner och informationssäkerhet så genomförs inte affären. Detta görs enligt
respondenten i de allra flesta upphandlingar, säkerhetsaspekter finns alltid med. Generellt
menar respondenten att det först ska finnas en produkt med affärspotential, sedan i takt med
ökat behov så adderas säkerhet kontinuerligt.
31
6. Analys
I det här avsnittet analyseras det empiriska materialet som presenteras i avsnitt 5. Analysen
sker utifrån följande punkter: Informationssäkerhetspolicy, standarder, PuL och GDPR,
molntjänster samt prioritet gällande informationssäkerhet. Efter varje analyserad punkt sker
en vidare analys utifrån CIA-triangeln. Respektive komponent i CIA-triangeln innehåller en
beskrivning, vilka risker som finns samt hur man kan motverka dessa risker (Whitman och
Mattord, 2014, s.12-15). Analysen som sker utifrån CIA-triangeln har som syfte att koppla
samman komponenternas risker och åtgärder med de undersökta företagens
informationssäkerhetsarbete, det vill säga det empiriska materialet. Tanken är att denna
analys ska leda fram till en bild av företagens informationssäkerhetsarbete utifrån CIA-
triangeln.
Den sista delen av analysen heter prioritet gällande informationssäkerhet och bygger på
reflekterande svar från respondentens sida över hur pass prioriterad informationssäkerheten är
eller om huvudfokus ligger på att uppnå affärsmässiga mål. För att en investering i en startup
ska bli gynnsam för både företaget och den som investerar, måste alla moment i
investeringsprocessen fungera. Med detta menas allt från affärsidé, investeringssumma och
en fungerande informationssäkerhet (Alejandro Cremades, 2016). Därför analyseras även
respondenternas synsätt på informationssäkerhetens roll i en investeringsprocess.
6.1 Informationssäkerhetspolicy (ISP)
Av de sex tillfrågade företagen hade en startup ett konkret styrdokument som innehåller
regler och riktlinjer gällande informationshantering. Respondenterna menar dock att det finns
tydliga brister i företagets ISP då den inte innehåller så många praktiska åtgärder kring
informationssäkerhetsarbetet. Det sker inte heller några kontroller och uppföljning av att
företagets ISP efterlevs.
De resterande respondenterna är eniga om behovet av en ISP. Respondenterna menar att det
finns en utbredd medvetenhet om informationssäkerhet på respektive arbetsplats. Många av
medarbetarna har varit verksamma under en lång tid och har på så vis rutin, som
respondenterna menar väger tyngre än uttalade regler. Eftersom alla företagen är små sett till
32
antalet anställda, och de arbetar nära varandra, är den interna kommunikationen viktig i
informationssäkerhetsarbetet. Intern kommunikation bland de anställda är själva nyckeln till
att bibehålla en hög nivå på informationssäkerheten menar respondenterna. Ifall företagen
skulle expandera kan behovet av konkreta styrdokument förändras. Ingen av respondenterna
tycker att ISP är dåligt. Företagen är olika gamla, men gemensamt är att det hittills inte har
skett någon stor incident gällande informationssäkerheten, vilket i sin tur har gjort att behovet
av en konkret ISP inte ännu har aktualiserats.
6.1.1 ISP i CIA-triangeln
En ISP har ett brett användningsområde och kan, beroende på dess utformning beröra
samtliga komponenter i CIA-triangeln (Goodman, Straub, Baskerville, 2008, s. 124). Som
tidigare nämnt var det endast ett av de företag som vi har undersökt som hade ett
implementerat styrdokument innehållandes regler- och riktlinjer gällande
informationshantering. Denna ISP innefattar riktlinjer för hur företagets anställda ska tänka
angående säkra lösenord på tjänster, mobiltelefoner och datorer.
Information håller hög konfidentialitet när den är skyddad från exponering av obehöriga
individer eller system. Skulle exempelvis lösenord läcka ut, mobila enheter hamna i fel
händer eller att anställda pratar om företagshemligheter inför obehöriga, så riskerar
konfidentialiteten att brytas. Att ha implementerade styrdokument med regler - och riktlinjer
för lösenordshantering kan förhindra den här typen av incidenter inom ett företag. Enligt
CIA-triangeln så har det företag som har implementerat styrdokument förutsättningar för att
se till så att företagets information uppfyller hög konfidentialitet. (Whitman och Mattord,
2014, s.12) De resterande företagen har inget implementerat styrdokument innehållande
riktlinjer kring informationshantering. Detta kan innebära att företagens medarbetare inte får
den medvetenhet som krävs gällande informationens konfidentialitet. På så sätt så skulle det
enligt CIA-triangeln finnas en reell risk att sannolikheten för incidenter är något högre för
företag som inte har implementerat styrdokument. Enligt CIA-triangeln skulle det kunna leda
till att konfidentialiteten äventyras (Whitman och Mattord, 2014, s.12).
Information har integritet när den är komplett i sin grundform och inte på något sätt justerad,
skadad eller påverkad av obehöriga. Situationer där integriteten äventyras kan exempelvis
33
vara vid olagliga dataintrång, spridning av virus eller sabotage. Att ha implementerade
styrdokument med regler- och riktlinjer för lösenordshantering skyddar på så sätt företaget
och dess anställda mot olagliga dataintrång. Enligt CIA-triangeln skapar ett sådant
styrdokument med regler - och riktlinjer för lösenordshantering till viss del förutsättningar för
att företagets data kan bibehålla sin grundform. För att företaget ska få ännu bättre
förutsättningar till detta skulle regler- och riktlinjer för motverkan av sabotage och
virusspridning behöva adderas till företagets ISP. Om detta skulle adderas så skulle företaget
enligt CIA-triangeln ha bra förutsättningar att ha hög integritet på företagets information.
Enligt CIA-triangeln så medför det för företag utan den här typen av implementerade
styrdokument gällande lösenordshantering större risker att bli drabbade av dessa typer av
incidenter. Eftersom de resterande företagen inte har någon ISP skulle det enligt CIA-
triangeln kunna leda till att integriteten äventyras (Whitman och Mattord, 2014, s.15).
Tillgänglighet handlar om att information är tillgänglig för åtkomst när den behövs. Eftersom
informationen ska generera värde för företaget så är det viktigt att det hela tiden finns
åtkomst till den. Informationens tillgänglighet kan brytas om system uppdateras, om
mjukvara kraschar eller om hårdvara kraschar. För att undvika att tillgängligheten bryts är det
viktigt att ha regler - och riktlinjer för backup. Som tidigare nämnt så har endast ett av de sex
undersökta företagen en ISP, däremot så behandlar inte denna ISP informationens
tillgänglighet. Enligt CIA- triangeln finns det en risk för företag som inte har implementerat
styrdokument gällande informationens tillgänglighet att bli drabbade av dessa typer av
incidenter. På så sätt skulle det enligt CIA-triangeln kunna leda till att tillgängligheten
äventyras hos samtliga företag (Whitman och Mattord, 2014, s.15).
6.2 ISO-standarder
Av de sex startup som vi undersökte var det inte någon som var certifierad inom någon ISO-
standard eller ISO-serie. Anledningen till detta är att samtliga respondenter menar att det inte
tillför något direkt affärsvärde till företagets verksamhet som det ser ut i dagsläget. En
majoritet av respondenterna tycker snarare att det i nuvarande situation är en börda att vara
certifierade inom någon ISO-standard eller ISO-serie, eftersom det leder till minskad
flexibilitet och begränsningar vid expansion. Angående synsättet på potentiella
samarbetspartners, och om de är certifierade eller inte, menar respondenterna att ISO-
34
standarder inte är ett måste. Respondenterna menar att det väger tyngre att ha välfungerande
säkerhetsrutiner och ett bra rykte än ett certifikat på papper.
Samtliga menar dock att ISO-standarder inte är dåliga. Att certifiera sig är ofta en lång och
resurskrävande process, både i tid och pengar, och på så vis har respondenterna bilden av att
ISO-standarder främst riktar sig till större företag. Respondenterna menar att det här synsättet
kan förändras om det skulle uppkomma affärsmässiga fördelar med att certifiera sig, eller om
lagstiftning eller branschpraxis skulle kräva det. Inom e-handel, där ett av företagen verkar,
finns det ett specifikt e-handelscertifikat som Svensk Handel ger ut. Inom finansiell
teknologi, där två startup av de vi undersökte verkar, är det främst Finansinspektionens regler
- och riktlinjer som gäller. Sammantaget menar respondenterna att behovet av att certifiera
sig inom en ISO-serie eller ISO-standard inte finns i nuläget.
6.2.1 ISO-standarder i CIA-triangeln
ISO-standarder kan användas för att upprätthålla konfidentialitet, integritet och tillgänglighet
hos ett företags informationstillgångar (ISO, 2017-2). Som tidigare nämnt var det inget av de
sex undersökta företagen som var certifierade inom någon specifik ISO-standard eller ISO-
standardserie.
Information håller hög konfidentialitet när den är skyddad från exponering av obehöriga
individer eller system. Skulle exempelvis lösenord läcka ut, mobila enheter hamna i fel
händer eller att anställda pratar om företagshemligheter inför obehöriga, så riskerar
konfidentialiteten att brytas. Information har integritet när den är komplett i sin grundform
och inte på något sätt justerad, skadad eller påverkad av obehöriga. Situationer där
integriteten äventyras kan exempelvis vara vid olagliga dataintrång, spridning av virus eller
sabotage. Tillgänglighet handlar om att information är tillgänglig för åtkomst när den behövs.
Informationens tillgänglighet kan brytas om system uppdateras, om mjukvara kraschar eller
om hårdvara kraschar.
Genom att vara certifierad av ISO-standarder tar man del av ett systematiskt arbetssätt inom
riskhantering vid namn ISMS. ISMS innefattar företagets medarbetare, arbetsrutiner och IT-
system. Dessa komponenter ska fungera i enlighet med varandra. Genom att använda sig av
35
ISMS får företaget förutsättningar för att bibehålla konfidentialitet, integritet och
tillgänglighet hos företagets information. (ISO, 2017-2) Enligt CIA- triangeln finns det en
risk för företag som inte är certifierade av någon ISO-standard att bli drabbade av dessa typer
av incidenter. Eftersom att inget av de sex företag undersökta företagen är certifierade av
någon ISO-standard skulle det enligt CIA-triangeln kunna leda till att konfidentialiteten,
integriteten och tillgängligheten äventyras. (Whitman och Mattord, 2014, s.12-15)
6.3 PuL och GDPR
Personuppgiftslagen (PuL) syftar till att skydda människors integritet vid lagring av
personuppgifter. I maj 2018 ersätts PuL av General Data Protection Regulation (GDPR) som
är en skärpning av PuL och som ska gälla i samtliga av EU:s medlemsländer
(Datainspektionen, 2017).
Beträffande PuL och GDPR menar samtliga respondenter att de berörs av denna lagstiftning
eftersom samtliga startups lagrar någon typ av persondata, och det är främst persondata som
regleras av denna lagstiftning. En gemensam ståndpunkt hos samtliga respondenter är att inte
lagra data som inte tillför ett uppenbart värde för företaget, vilket är helt i linje med vad
GDPR förordar. Inför att GDPR ska implementeras i maj 2018 har samtliga företag någon typ
av förberedande arbete framför sig, somliga har redan genomfört dessa åtgärder. Det handlar
framförallt om att gå igenom sin kunddata och rensa bort den data som inte ligger i linje med
direktiven om att inte lagra mer data än vad som är nödvändigt. Utöver det här ingår en
obligatorisk redovisningsplikt inför kunden i fråga. Ett par av respondenterna menar att det
här EU-initiativet allra främst är till för att reglera de stora multinationella bolagen som lagrar
mest data och som har fått göra det ostört.
6.3.1 PuL och GDPR i CIA-triangeln
PuL och GDPR berör främst två av CIA-triangelns komponenter: konfidentialitet och
integritet. En del av syftet med GDPR är att oavsett vad det är för information och hur länge
denna information ska lagras måste konfidentialiteten och integriteten i denna information
bibehållas. Konfidentialitet och integritet måste alltid bibehållas, oavsett om information går
förlorad eller om information blir förändrad. Konfidentialitet handlar i det här fallet om att
36
personuppgifter endast ska vara tillgänglig för behöriga. Integritet handlar i det här fallet om
att personuppgifter alltid ska vara i sin grundform, personuppgifterna ska inte vara skadade
på något sätt och de ska inte heller vara påverkade av obehöriga (Calder, 2016). Av de sex
startup som undersöktes så berörs samtliga eftersom att alla på något sätt lagrar
personuppgifter.
Samtliga arbetar nu aktivt med att se över sin lagrade data utifrån GDPR:s direktiv. På så sätt
medför detta enligt CIA-triangeln att företagen, sett till lagring och hantering av
personuppgifter, uppfyller två av CIA-triangelns komponenter: konfidentialitet och integritet
(Calder, 2016). Skulle däremot företagen inte följa GDPR:s direktiv gällande lagring av
personuppgifter skulle det enligt CIA-triangeln kunna leda till att konfidentialiteten och
integriteten äventyras (Whitman och Mattord, 2014, s.12).
6.4 Molntjänster
Samtliga av de startups som vi har undersökt använder på ett eller annat sätt molntjänster. Det
är däremot varierande i vilken utsträckning som företagen använder sig av molntjänster. Ett
av företagen använder endast molntjänster inom mjukvaruutveckling för att dela projekt med
varandra internt och även för outsourcing. När det gäller datalagring så använder sig företaget
av fysisk lagring som går att tillgå via deras moderbolag. Även vid intern och extern
kommunikation så används moderbolagets egenutvecklade kommunikationssystem.
Respondenten är dock mestadels positiv till molntjänster generellt sett på grund av
flexibiliteten och ur ett kostnadsperspektiv.
Övriga respondenter arbetar nästan uteslutande inom molntjänster. Detta inom såväl
kommunikation, mjukvaruutveckling och datalagring. Listan kan göras lång. Själva
grundsyftet till att de använder sig av IaaS-tjänster för datalagring är för att det tillför en
flexibilitet som inte finns om man använder sig av fysisk datalagring. De menar att på så vis
slipper man ha ett alltför stort fokus på informationssäkerhet då leverantörerna av de olika
molntjänsterna har ansvar för att molntjänsterna ska bibehålla en hög säkerhetsnivå.
Respondenterna menar att det är en resurskrävande och lång process att implementera egna
system samt att sköta underhållet av dessa. Vidare menar respondenterna att det skulle vara
37
en svår uppgift att bygga bättre system ur ett säkerhetsperspektiv än vad till exempel Amazon
och Google gör.
6.4.1 Molntjänster i CIA-triangeln
Molntjänster berörs framförallt av en av de tre komponenterna i CIA-triangeln, tillgänglighet.
Anledningen till detta är att en stor del av syftet med att använda sig av molntjänster handlar
om att informationen ska vara tillgänglig när behovet av informationen finns. På så sätt måste
alltid alla typer av molntjänster, oavsett SaaS - eller IaaS-tjänster, vara välfungerande så att
företagen konstant kommer åt sina informationstillgångar (Halabi, Bellaiche, 2017).
Samtliga av dessa sex startups som vi har undersökt använder molntjänster på daglig basis.
Ett av företagen använder dock molntjänster i mindre utsträckning. De använder bara
molntjänster för mjukvaruutveckling. En stor mängd av företagets data lagras istället i fysiska
servrar. En del av denna data går inte att tillgå via mobila enheter, istället måste man använda
sig av ett Virtual Private Network (VPN) för att komma åt datan. Med tanke på att
tillgänglighet handlar om att information ska vara tillgänglig för åtkomst när den behövs
medför detta att företaget till viss del inte har förutsättningarna för att alltid ha en hög
tillgänglighet på den data man lagrar. Utifrån CIA-triangeln så finns det risk för att
komponenten tillgänglighet äventyras. De övriga av de företag som vi har undersökt
använder molntjänster i princip i allt arbete. Med tanke på att molntjänster bidar med en
flexibilitet, så får användaren konstant tillgång till information. På så sätt medför detta att
dessa företag har goda förutsättningar att uppnå tillgänglighet (Halabi, Bellaiche, 2017).
6.5 Prioritet gällande informationssäkerhet
I den här punkten gavs det utrymme för respondenterna att reflektera mer än på de andra
punkterna. En del av arbetets syfte är att besvara hur prioriterat informationssäkerhet är hos
startups, när det samtidigt pågår andra verksamhetsprocesser parallellt. En majoritet av
respondenterna menar att innan informationssäkerheten prioriteras så ska det finnas en
produkt som är värd att skydda. Dessa respondenter menar dock att det alltid bör finnas ett
grundlager av informationssäkerhet redan i ett tidigt skede. I takt med företagets
affärsutveckling kommer skyddet också successivt att byggas på. Vissa produkter baseras
38
dock på att ha en hög nivå på informationssäkerheten, exempelvis produkter inom finansiell
teknologi. Detta blir ett undantag till respondenternas generella synsätt eftersom produkterna
måste ha en hög nivå på informationssäkerheten redan i ett tidigt stadie och inte bara ett
grundlager.
En av respondenterna har ett synsätt som kan anses vara mer extremt till skillnad från de
övriga respondenternas. Denne menar att det alltid finns risker inom informationshantering,
men att det primära för en startup är att snabbt nå de uttalade affärsmålen.
Informationssäkerhet kan i värsta fall bli en motvikt i processen att eftersträva affärsmål om
det läggs ett för stort fokus på detta. På så vis menar respondenten att
informationssäkerhetsarbetet blir sekundärt, och till och med obefintlig i ett inledningsskede.
En majoritet av respondenternas företag har blivit finansiellt stöttade av utomstående
intressenter. Flera respondenter är eniga om informationssäkerhetens vikt i en stundande
investering. De menar att från investerarens synvinkel så är det viktigt att företaget tar
riskerna inom informationshantering på allvar och att de upprätthåller en grundläggande
säkerhetsstandard. På grund av detta görs ofta en grundläggande inspektion av företagets
arbetsrutiner och system för att säkerställa att informationssäkerheten hanteras på ett
professionellt sätt. Skulle den här inspektionen ge negativa utslag så är det inte alls säkert att
investeringen sker. Respondenterna menar att det är därför det är bra om det finns
grundläggande säkerhet redan i ett tidigt stadie som kontinuerligt kan förbättras.
Sammanfattningsvis menar respondenterna att en grundläggande säkerhet är viktig redan i ett
tidigt stadie, oavsett produkt eller vilken bransch man är verksam inom. I takt med företagets
expansion bör ytterligare åtgärder implementeras kontinuerligt.
39
7. Avslutande del
I det här avsnittet presenteras svaren på arbetets frågeställning i form av en slutsats samt en
diskussion.
7.1 Slutsats
Arbetets frågeställningar är enligt följande:
● Hur hanterar svenska startups sin informationssäkerhet?
● Hur ser medvetenheten ut hos svenska startups gällande informationssäkerhet?
På grund av att de undersökta företagen befinner sig i en expansionsfas och på så vis blir
beroende av att få affärerna att rulla, hade vi innan arbetets start en bild av att
informationssäkerhet inom dessa startups inte var så högt prioriterat.
Slutsatsen av det här arbetet är att medvetenheten kring informationssäkerhet hos
respondenterna är hög och att den också är det hos de resterande medarbetarna hos varje
startup. På så vis finns det en utpräglad medvetenhet om informationssäkerhet inom
företagen. Däremot så är respondenterna eniga i sina svar om att denna medvetenhet inte till
fullo har omvandlats till praktisk handling.
Det är produkten och de affärsorienterade målsättningarna som hamnar högst upp i
prioriteringen. Förklaringen till detta är en fråga om resursfördelning, som ofta är
knapphändig sett till den expansionsfas som de sex företagen befinner sig i. Företagen har
ambitionen att först lyckas lansera en produkt som säljer och väcker ett intresse och som
medför en affärsmässig framgång. Informationssäkerheten kommer sedan successivt steg för
steg in i bilden allteftersom det finns någonting att skydda. Detta görs i takt med produktens
potential och utveckling på marknaden. Dock så bör det finnas en grundläggande
informationssäkerhet redan i ett tidigt stadie.
Gällande policys så var det endast ett företag som hade implementerat styrdokument.
Förklaringen till avsaknaden av styrdokument var ungefär densamma från samtliga av
40
respondenterna. De företag som vi har undersökt är alltifrån 5 till 20 anställda, vilket
sammantaget är relativt små företag sett till personal. På så vis menar respondenterna att det
finns förutsättningar till en väl fungerande intern kommunikation gällande företagets
informationshantering. Inom ett större företag med flera olika sektioner, avdelningar och där
det jobbar betydligt fler människor är det svårare att etablera en sån typ av intern
kommunikation. Där finns det troligtvis ett större behov av styrdokument med allmänna
regler - och riktlinjer för att få människor att dra åt samma håll.
En reflektion som en majoritet av respondenterna hade var att man hade stor tillit gentemot
sin personal. Många har varit verksamma inom den tekniska branschen under många år, även
om företagen i sig är relativt nya. Främst var det medarbetare som arbetat med
mjukvaruutveckling som respondenterna syftade på. Många har under sina karriärer samlat på
sig erfarenheter kring informationssäkerhet som nu sitter i ryggmärgen. Den här erfarenheten
i kombination med närheten som finns till övriga medarbetare har gjort att det finns en hög
tillit medarbetare emellan.
Sammanfattningsvis ser vi tydliga samband mellan dessa sex startup som vi har undersökt i
det här arbetet. Svaren som vi har fått av de företag som vi har undersökt är ofta väldigt
likartade. Så länge det finns en hög IT-kompetens inom företaget, som på så sätt leder till hög
tillit från ledningens håll, behöver inte företaget implementera styrdokument eller ISO-
standarder. Respondenterna menar istället att hög kompetens hos medarbetarna, tillit mellan
medarbetarna och intern kommunikation är nyckeln för en startup att bedriva sitt
informationssäkerhetsarbete.
7.2 Diskussion
7.2.1 Kontaktade startups
En fördom vi hade var att det säkerligen skulle förekomma fall där startups inte var så
intresserade av att prata om sin informationssäkerhet då det i vissa fall kan vara ett känsligt
ämne. Totalt sett kontaktade vi 30 startups, varav 16 svarade. Av dessa fick vi totalt till
intervjuer med sex startups. Dessa är verksamma inom finansiell teknologi, e-handel,
kommunikativa lösningar, IT-utveckling och sociala medier.
41
Sett till vad vi hade för fördomar på förhand så hade vi både rätt och fel. En del startups
svarade som bekant inte och vad det beror på får vi aldrig reda på. Men av de som svarade
men som valde att avböja intervju så var responsen väldigt bra. Många tyckte att studien lät
väldigt intressant och önskar ta del av resultat i efterhand. Övriga som inte kunde ställa upp
på intervju hänvisade till att det tyvärr inte fanns resurser och tid över. Sammanfattningsvis
anser vi att svarsfrekvensen, sett till att det är ett känsligt ämne, som positiv.
Vi undersökte startups som är verksamma inom olika branscher, där respondenterna har olika
roller inom företaget. Vi trodde på förhand att vi skulle se samband i den insamlade datan
beroende på vilken bransch företaget är verksam i och även vilken roll respondenten
innefattar. Beroende på roll inom företaget så finns det säkert olika synsätt på
informationssäkerhet. Troligtvis har mjukvaruutvecklare bättre koll på det rent tekniska än
vad många i ledningen har. Det varierar också kraftigt kring vilken bransch man är verksam
inom. Det finns branscher som är mer reglerade än andra, och på så sätt är
informationssäkerhet en stor del av det dagliga arbetet. Gällande respondenternas kompetens
inom informationssäkerhet så var den hela tiden hög, trots att respondenterna har varierande
arbetsmässig bakgrund. Vi fick även bilden av kompetensnivån hos respondenterna var hög,
oavsett vilken bransch respondenten var verksam inom. Detta ledde på så sätt till givande
svar.
Vid urvalet av startups försökte vi länge få med en startup som uteslutande arbetar med
informationssäkerhet. Vi fick kontakt med ett sådant företag som till en början var positiva
till att ställa upp men på grund av tidsbrist tyvärr valde företaget att inte medverka i arbetet.
Eftersom arbetet inte var tänkt att vara branschspecifikt så ställde det här inte till det avsevärt,
men det hade däremot varit intressant med just ett säkerhetsföretag eftersom vi tror att vi
hade kunnat se större skillnader jämfört med de andra företagen som vi undersökte. På så sätt
tror vi att vi eventuellt hade kunnat se brister i resterande startups hantering av
informationssäkerhet.
7.2.2 Analytiskt ramverk
CIA-triangeln användes som ett verktyg för att analysera det empiriska materialet.
Anledningen till detta val är att arbetet till stor del handlar om informationstillgångar och hur
42
man lagrar dessa informationstillgångar på ett säkert sätt. Därför var CIA-triangeln att
passande analytiskt ramverk att använda. Analysen gick till på så sätt att punkterna
informationssäkerhetspolicy, standarder, PuL och GDPR samt datalagring kopplades samman
med CIA-triangelns tre huvudkomponenter. Ett exempel på detta är avsnitt 6.1.1. Där
presenteras en analys huruvida de undersökta företagen har implementerade styrdokument
eller inte. Endast ett av de sex företagen som vi har undersökt har implementerat
styrdokument. Utifrån CIA-triangeln visar analysen att det företaget som har styrdokument
har bättre förutsättningar än de företagen som inte har styrdokument när det handlar om att
uppfylla konfidentialitet, integritet och tillgänglighet. Däremot så behöver det inte betyda att
företag med implementerade styrdokument uppfyller samtliga komponenter i CIA-triangeln
eftersom utformningen på en ISP kan variera mycket. En ISP kan fokusera mycket på
konfidentialitet men en annan ISP kan fokusera mycket på tillgänglighet och inte så mycket
på konfidentialitet. Ett företag som är utan styrdokument och istället har välfungerande
rutiner och intern kommunikation kan ha bättre förutsättningar än ett företag med
styrdokument. Varför vi vill betona det är för att CIA-triangeln är ett av många analytiska
verktyg som kan användas för att analysera informationssäkerhet. Det är på så sätt ingen
garanti att CIA-triangeln alltid har rätt.
7.2.3 Framtida forskning
Under arbetets gång har vi utifrån vår frågeställning kommit att tänka på alternativa
frågeställningar som skulle kunna besvaras i framtida forskning.
En intressant aspekt som vi har behandlat till viss del är hur potentiella investerare ser på
informationssäkerhetens roll i en finansiell investering. Det som vi tog upp i arbetet är
respondenternas tankar kring denna fråga. Samma fenomen tror vi skulle bli en intressant
studie om man undersökte det från det andra hållet, det vill säga från investerarens
perspektiv. En sådan studie skulle kunna besvara mer specifika frågor, exempelvis hur
investerare genomför granskningar av personer, system och affärsmässig potential. Det i
kombination med det som undersöks i det här arbetet skulle kunna tillföra mer djupgående
kunskap inom denna fråga.
43
Ett annat intressant förslag skulle kunna vara att genomföra en liknande studie fast rikta in sig
mot en specifik bransch. I vårt fall är de undersökta företagen från olika branscher, på så sätt
så har företagen lite olika förutsättningar eftersom branschpraxis och regleringar kan variera.
I en studie där man undersöker företag från samma bransch skulle variationen av
förutsättningar troligtvis förminskats. Med tanke på att företagen i en sådan studie är
verksamma inom samma bransch skulle man även kunna skapa intervjufrågor som är ännu
mer specifika och anpassade till branschen. På så sätt kan respondenternas svar vara enklare
att jämföra med varandra och även enklare att dra slutsatser utifrån. Dessa slutsatser skulle
eventuellt ha ytterligare tyngd i sig.
Några andra intressanta områden som hade varit intressanta att undersöka är behovet av en
ISP i mindre och större företag, fler studier kring ISO-standarder och certifikat som att
exempelvis gå in på vad det faktiskt kostar att certifiera sig och hur pass omfattande process
som följer. Ett annat förslag är att göra en liknande studie fast med frågor mer riktade åt det
tekniska inom informationssäkerhet eller att göra en liknande studie som det här arbetet fast
med ett eller flera säkerhetsföretag skulle också kunna vara intressanta angreppssätt på
området. Ännu ett förslag på ett intressant område att forska vidare kring skulle kunna vara
att mer se till hur de övriga medarbatarna (alltså inte ledningspersoner) resonerar kring
huruvida styrdokument och regler efterlevs inom en startup.
7.2.4 Summering
Slutsatsen talar sitt tydliga språk om vikten av tillit och kommunikation inom en startup för
att bedriva sitt informationssäkerhetsarbete. Vi menar att ledningen gör ett aktivt val i att inte
bli för styrande i informationssäkerhetsarbetet. Framförallt gällande mjukvaruutveckling.
Anledningen till detta är att de har en stor tillit gentemot de anställda och deras färdigheter,
som grundas i deras tidigare erfarenheter. Det här är en anledning till att ledningens
medvetenhet gällande informationssäkerhet inte alltid sätts i praktiskt handling, exempelvis
genom att inte implementera styrdokument. De tar för givet att de anställda arbetar på ett
säkert sätt, på grund av denna tillit. Sammanfattningsvis menar vi att denna tillit än så länge
är någonting bra, och eftersom samtliga av de företag vi har undersökt inte har varit med om
någon typ av incident gällande informationssäkerheten så har det fungerat bra än så länge.
Däremot så kräver denna typ av fria arbetssätt kring informationssäkerheten en disciplin hos
44
de anställda. Finns inte den här disciplinen hos de anställda så kan det fria arbetssättet leda
till att någon missbrukar den här friheten.
45
Referenser Andriole, K., Khorosani, R. (2010). Cloud Computing: What Is It and Could It Be Useful? Journal of the American College of Radiology, vol. 7. Calder, A. (2016). EU GDPR : A Pocket Guide. IT Governance Publishing, Ely. Cowan, D. (2015). Security for Startups: The Affordable Ten-Step Plan for Survival in Cyberspace. Cremades, A. (2016). The Handbook of Startup Investing: Pitching Investors, Negotiating the Deal, and Everything Else Entrepreneurs Need to Know. John Wiley & Sons. Inc. Datainspektionen. (2016). Dataskyddsreformen. Hämtad 14/11-2017 Tillgänglig: http://www.datainspektionen.se/lagar-och-regler/eus-dataskyddsreform/ Davidson, L. (2015). How Sweden Became the startup capital, The Telegraph, 28 juni. Disterer, G. (2013). ISO/IEC 27000, 27001 and 27002 for Information Security Management. Journal of Information Security, vol. 4, ss. 92-100. Fernando, N., Loke, S.W., Rahayu, W. (2012). Mobile Cloud Computing: A survey. Future Generation Computer Systems, Volym 29. Goodman, S., Straub, DW., Baskerville, R., Baskerville, R. (2008). Information Security: Policy, Processes, and Practices. Taylor and Francis, Armonk. Halabi, T., Bellaiche, M. (2017). Towards quantification and evaluation of security of Cloud Service Providers. Journal of Information Security and Applications. 33. s.55-65. Hendersson, A. (2017). The CIA triad: Confidentiality, Integrity, Availability. Panmore Institute. Hämtad 2/12-2017. Tillgänglig: http://panmore.com/the-cia-triad-confidentiality-integrity-availability ISO. (2017-1). About ISO. Hämtad 13/11-2017. Tillgänglig: https://www.iso.org/about-us.html ISO. (2017-2). ISO/IEC 27000 family - Information security management systems. Hämtad 13/11-2017. Tillgänglig: https://www.iso.org/isoiec-27001-information-security.html ITGP Privacy Team. (2016). EU General Data Protection Regulation (GDPR) : An Implementation and Compliance Guide. IT Governance Publishing, Ely James, M. B. (2013). Security in Startups. Tufts University. Hämtad 22/10-2017. Tillgänglig: http://www.cs.tufts.edu/comp/116/archive/fall2013/mjames.pdf Kvale, S. Binkmann, S. (2009). InterViews: Learning the Craft of Qualitative Research Interviewing. 2nd Edition. Sage. New Delhi, India. Myndigheten för samhällsskydd och beredskap. (2011). Utforma policy och styrdokument [Elektronisk]. Hämtad 13/11-2017. Tillgänglig:
46
https://www.informationssakerhet.se/siteassets/metodstod-for-lis/3.-utforma/utforma-policy-och-styrdokument.pdf National Institute of Standards and Technology. (2011). The NIST Definition of Cloud Computing. [Elektronisk] Hämtad 13/11-2017. Tillgänglig: http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf Oates, B. J. (2006). Researching Information Systems and Computing London. SAGE Publications Ltd. 2005. Regeringskansliet (2016). Startups bidrar till att skapa jobb och tillväxt i Sverige. Hämtad 29/10-2017. Tillgänglig: http://www.regeringen.se/artiklar/2016/06/startups-bidrar-till-att-skapa-jobb- och-tillvaxt-i-sverige. Rubin, H.J. (2012). Qualitative interviewing : the art of hearing data. 3rd edition. Library of Congress Cataloging-in Publication Data. SIS - (2017) Fakta och organisation. Hämtad 13/11-2017. Tillgänglig: https://www.sis.se/om-sis/faktaochorganisation/. Soomro, Z.A., Shah, M.H., Ahmed, J. (2016) ‘Information security management needs more holistic approach: A literature review’, International Journal of Information Management, vol. 36(2), ss. 215–225. Saran, C. (2011). The Art of Service; The Benefits of Launching a Startup in the Cloud. Computer Weekly News. Schaffner, J. (2010). Towards Enterprise Software as a Service in the Cloud. IEEE International Conference on Data Engineering workshop, ss.52-59. Svensk Certifiering. (2017). ISO 27000 certifiering - Ledningssystem för informationssäkerhet. Hämtad 13/11-2017. Tillgänglig: https://www.svenskcertifiering.se/sida13.html The Hub. (2017). Startups. Hämtad 18/9-2017: Tillgänglig: https://thehub.se/startups Tsohou, A., Karyda, M., Kokolakis, S. (2017) Managing the introduction of information security awareness programmes in organisations. European Journal of Information Systems, vol.24, ss.35-38 Zissis, D., Lekkas, D. (2010). Adressing cloud computing issues. Future Generation Computer Systems. vol.28, ss.583-592 Whitman, M.E., Hattord, H.J, (2014). Principles of information security. 5th Edition. Cengage learning. Boston, MA. USA.
47
Bilaga 1: Intervjuformulär
Bakgrund - Vem är respondenten?
- Vilken roll har respondenten inom bolaget?
- Har respondenten haft en liknande roll tidigare under karriären?
- Har respondenten varit verksam inom större bolag eller småbolag genom yrkeskarriären?
- Kort bakgrund om erfarenheter inom IT-branschen
- Vad arbetar företaget med?
- Hur många anställda är det på företaget?
Säkerhetspolicy (ISP)
- Finns det en generell informationssäkerhetspolicy för företaget eller andra styrdokument
gällande informationshantering?
- Om ja: hur ser den ut?
- Är det något i den som du önskar kunde se annorlunda ut, eller något som rentav inte
stämmer i den?
- Hur efterlevs företagets ISP?
- Om nej: varför inte?
- Hur når bolaget ut med säkerhetsdirektiv till de anställda?
Standarder (ISO) - Är företaget certifierade inom någon ISO-standard?
- Om ja: inom vilken ISO-standard?
- Hur ser du och företaget på standarder och certifiering? (priser, kvalitet, behov)
- Hur ser ni på en samarbetsmiljö där bolag är certifierade? Får ni större förtroende för
certifierade företag?
- Det faktum att ni är en startup: förändrar det synsättet på certifikat och standarder?
- Tror du att standarder främst riktar sig mot större bolag?
PuL och GDPR/lagstiftning - Hur arbetar ni i dagsläget kring den lagstiftning och de direktiv som finns?
- Hur ser förändringsarbetet ut inför GDPR som istället för PuL, träder i kraft i maj 2018?
- Berörs branschen av specifik lagstiftning, bestämmelser eller branschpraxis?
Molntjänster
48
- Hur ser ni på molntjänster?
- Hur hanterar ni konfidentiell data?
- Generell syn på datalagring. Vilka aspekter vägs in från ledningshåll inför den typen av
frågor?
- Hur ser ni på att outsourca datalagring?
- Hur skiljer sig synsättet på datalagring för en person verksam inom en startup gentemot ett
större bolag?
Säkerhet ur investerarens perspektiv - Har bolaget blivit finansiellt stöttat av utomstående investerare?
- Har informationssäkerhet en stor betydelse i en stundande investering?
- Är en potentiell investering på företagets affärsmål också till för att samtidigt arbeta med
informationssäkerhet?
Finansiella avvägningen gällande informationssäkerhet och affärsmål - Angående den tidigare nämnda avvägning mellan det affärsorienterade och
informationssäkerhet: har informationssäkerheten någon gång blivit mindre
prioriterad/bortprioriterad till förmån för att lägga resurser och energi på de mer
affärsorienterade målen som finns inom företaget?