Rollbaserad åtkomstkontroll inom organisationer Rätt åtkomst till rätt användare vid rätt tillfälle

Transkript

1 Rollbaserad åtkomstkontroll inom organisationer Rätt åtkomst till rätt användare vid rätt tillfälle Författare: Thomas Schuster Christoffer Johnsson Amar Basic Handledare: Anders Svensson 1

2 Titel: Rollbaserad åtkomstkontroll inom organisationer: Rätt åtkomst till rätt användare vid rätt tillfälle Författare: Amar Basic, Christoffer Johnsson, Thomas Schuster Utgivare: Institutionen för informatik Handledare: Anders Svensson Examinatorer: Odd Steen, Mirella Muhic Publiceringsår: 2014 Uppsatstyp: Kandidatuppsats Språk: Svenska Nyckelord: rollbaserad åtkomstkontroll, informationssäkerhet, informationssäkerhetsmedvetenhet, information security, RBAC, role-based access control, access control, least privilege Abstract The paper examines the extent to which role-based access control is used within organizations to control and assign access rights to users. Furthermore, this paper investigates whether organizations are aware of security risks that arise when users are assigned too many or incorrect access rights and the steps they take to reduce the problem. The survey was conducted through the collection of qualitative and quantitative empirical data. Qualitative data were collected through interviews while the quantitative were collected using a questionnaire survey. The empirical data is divided and analyzed in two areas, "användning av rollbaserad åtkomstkontroll" and "åtgärdskontroller och informationssäkerhetsmedvetenhet". The results of the study have shown that the majority of the organizations that participated in the survey do not use role-based access control to promote information security. Rather, role-based access control is used from an administrative perspective. Furthermore, the survey shows also that information security awareness within organizations are not at a desired level and that the functionality and business are prioritized over information security. 2

3 Innehållsförteckning INNEHÅLLSFÖRTECKNING...3 FIGUR- OCH TABELLFÖRTECKNING INLEDNING PROBLEM FORSKNINGSFRÅGA SYFTE AVGRÄNSNINGAR LITTERATURGENOMGÅNG KONFIDENTIALIET, INTEGRITET, TILLGÄNGLIGHET LEAST PRIVILEGE ÅTGÄRDSKONTROLLER POLICY OCH SPÅRBARHET INFORMATIONSSÄKERHETSMEDVETENHET GRUNDLÄGGANDE BEGREPP FÖR ÅTKOMSTKONTROLL Auktorisering och autentisering Användare, subjekt, objekt, operationer och tillstånd Modeller för åtkomstkontroll ÅTKOMSTKONTROLL Diskretionär åtkomstkontroll Obligatorisk åtkomstkontroll Rollbaserad åtkomstkontroll METOD KVANTITATIV ENKÄTUNDERSÖKNING KVALITATIV SEMISTRUKTURERAD INTERVJU VAL AV ORGANISATIONER OCH RESPONDENTER ANALYS AV INSAMLAD DATA INTERVJUFRÅGOR ETISKA ASPEKTER BIAS KRITIK AV METODVAL EMPIRISK DATA KVALITATIVA INTERVJUER Presentation av intervjuer Användning av rollbaserad åtkomstkontroll Åtgärdskontroller och informationssäkerhetsmedvetenhet KVANTITATIVA INTERVJUER Användning av rollbaserad åtkomstkontroll Åtgärdskontroller och informationssäkerhetsmedvetenhet SAMMANSTÄLLNING AV EMPIRISK DATA ANALYS OCH DISKUSSION ANVÄNDNING AV ROLLBASERAD ÅTKOMSTKONTROLL ÅTGÄRDSKONTROLLER OCH INFORMATIONSSÄKERHETSMEDVETENHET SLUTSATS

4 7 REFERENSLISTA BILAGA TRANSKRIBERING, INTERVJU MED R1 PÅ O BILAGA TRANSKRIBERING, INTERVJU MED R2 PÅ O BILAGA KONVERSATION Figur- och tabellförteckning FIGUR 1.1, SKILLNADEN MELLAN ATT TILLDELA ÅTKOMSTRÄTTIGHETER PER OBJEKT OCH ÅTKOMSTRÄTTIGHETER PER ROLL...6 FIGUR 2.1, CIA-TRIANGELN...9 FIGUR 2.2, FLÖDET FÖR ÅTKOMSTKONTROLL FIGUR 2.3, DISKRETIONÄR ÅTKOMSTKONTROLL FIGUR 2.4, OBLIGATORISK ÅTKOMSTKONTROLL FIGUR 2.5, ILLUSTRATION ÖVER ROLLBASERAD RÄTTIGHETSTILLDELNING TABELL 4.1, ENKÄTSVAR TABELL 4.2, ENKÄTSVAR TABELL 4.3, ENKÄTSVAR TABELL 4.4, ENKÄTSVAR TABELL 4.5, ENKÄTSVAR TABELL 4.6, ENKÄTSVAR TABELL 4.7, ENKÄTSVAR TABELL 4.8, ENKÄTSVAR TABELL 4.9, ENKÄTSVAR TABELL 4.10, ENKÄTSVAR TABELL 4.11, SAMMANSTÄLLNING AV EMPIRISK DATA TABELL 4.12, SAMMANSTÄLLNING AV EMPIRISK DATA

5 1 Inledning Åtkomstkontroll eller auktorisering är ett koncept som har existerat lika länge som mänskligheten haft tillgångar värda att skydda. Vakter, portar och låsmekanismer är exempel på åtkomstkontroller som använts sedan urminnes tider för begränsa åtkomsten till värdefulla tillgångar. Det var behovet av åtkomstkontroll som i själva verket ledde till skapandet av vad som kom bli världens första säkra datorsystem. (Ferraiolo & Kuhn, 2007) År 1879 uppfann handlare James Ritty tillsammans med sin bror vad de själva kallade för den omutbara kassamaskinen. Den kan jämföras med vad som idag kallas för kassaregister. Ritty som bland annat var butiksägare hade tröttnat på uteblivna vinster trots att det var högkonjunktur och därmed borde innebära ökade intäkter. Med inspiration från hur båtmotorer räknar antal varv propellern snurrar skapade Ritty och hans bror en kassamaskin som kunde räkna försäljning. Brödernas uppfinning gjorde så att kassören endast kunde öppna luckan med kontanter när försäljningsbeloppen slagits in. Vidare registrerade även maskinen det totala försäljningsbeloppet som skett under dagen så att butiksägaren kunde kontrollera att pengarna i luckan stämde överens med det verkliga försäljningsbeloppet. Den omutbara kassamaskinen bidrog till en minskning av vanligt förekommande problem med kassörer som stal pengar ur kassan. (Crandall, Dawson & Robins 1997) Inom informationsteknologin som finns idag handlar åtkomstkontroll om på vilka sätt en användare kan komma åt olika resurser i ett datorsystem. Åtkomstkontroll är utan tvekan den mest fundamentala säkerhetsmekanismen som finns för att skydda mot ej auktoriserad åtkomst och finns inom de flesta IT-system. Åtkomstkontroll skapar stora arkitektoniska och administrativa utmaningar för organisationer. Från ett affärsmässigt perspektiv skapar åtkomstkontroll möjligheten att byta och dela information. Samtidigt bidrar den även till frustrerade användare, stora administrativa kostnader och korruption av information. (Ferraiolo & Kuhn, 2007) Traditionellt sett har användarrättigheter ofta tilldelats genom att ge behörigheter per objekt. I stora organisationer kan användare tilldelas ett stort antal behörigheter för att de ska kunna utföra sina arbetsuppgifter. Detta är något som blir än mer komplext när användarna är utspridda över ett stort antal datorer på olika geografiska platser. Konsekvensen av detta blir att det är svårt att ha kontroll över vilka användare som får lov att göra vad, samt att de inte har för många eller felaktigt tilldelade rättigheter. (Gunnarsson, 2005) 1.2 Problem Organisationer är idag högst sårbara för säkerhetshot relaterade till användare som har felaktiga eller för många åtkomsträttigheter. I synnerhet de användare som har priviligierad åtkomst i form av till exempel administratörsrättigheter eller tillgång till kritiska IT-resurser så som databaser och servrar. (IBM, 2012) Under de senaste decennierna har flera miljarder USD spenderats på att skydda organisationer mot hackerattacker. I själva verket är det hotet inifrån såsom en betrodd anställd, partner eller en konsult som kan kosta organisationen mångt mycket mer per incident än vad någon hackare någonsin kan drömma om. (Mutch & Anderson, 2011) Avsiktligt eller oavsiktligt dataläckage beror allt som oftast på vårdslöshet hos användarna och inte på grund av hacker-attacker eller tillkortakommanden i systemen. Detta är vidare högt kostsamt för 5

6 organisationer och bara i Storbritannien kostade dataläckagen under 2013 upp emot 9,9 miljoner GBP. (Ponemon Institute, 2013) Förutom att dessa dataläckage är kostsamma rent ekonomiskt kan de även orsaka stora skador på en organisations rykte och därmed även bidra till förlorade marknadsandelar. För informationssäkerhetens skull måste därför organisationer upprätthålla kontroller över vilka användare som har vilka åtkomsträttigheter samt vad de gör med dessa rättigheter. (IBM, 2012) Ett av de mer kända fallen där en arbetsgivare har tilldelat för många rättigheter till en anställd är fallet med Edward Snowden. Snowden arbetade som teknikkonsult för USAs Nationella säkerhetsmyndighet (NSA) (Greenwald et al. 2013). Arbetet som teknikkonsult innebar att Snowden eventuellt skulle säkerhetskopiera datorsystemen och flytta information till lokala servrar, och blev således tilldelad administratörsrättigheter för filåtkomst. Enbart detta medförde att Snowden hade obehindrad tillgång till alla delade nätverkssystem som administratörsrättigheterna gällde för. Snowden kunde med sina administratörsrättigheter komma åt och kopiera 1.7 miljoner säkerhetsklassade filer och från NSA, för att sedan sprida dessa vidare. Om NSA hade tillämpat den enkla principen för least privilege kunde detta ha stoppats. (Oliver, 2014) NSA är dock inte ensamma att ha problem med insiderhot. I en undersökning som gjordes 2013 blev 265 IT-säkerhetschefer tillfrågade om privilegier och åtkomsträttigheter. På frågan om anställda på deras organisation hade onödiga åtkomsträttigheter svarade 45 procent av säkerhetscheferna ja. Mer än 80 procent av de tillfrågade trodde även att de anställda skulle vara benägna att läsa känslig information av ren nyfikenhet. (Blevins, 2013) För att minska komplexiteten med åtkomstkontroll samt minska kostnaderna och det administrativa arbetet går det att använda sig av en rollbaserad åtkomstkontroll. Den största anledningen till detta är att en rollbaserad åtkomstkontroll tar i beaktan att en anställd byts ut betydligt oftare än dess arbetsuppgifter. (Ferraiolo & Kuhn, 2007) Figur 1.1 illustrerar skillnaden på att tilldela åtkomsträttigheter per objekt, kontra att tilldela användaren en roll med specifika åtkomsträttigheter. (Figur 1.1, skillnaden mellan att tilldela åtkomsträttigheter per objekt och åtkomsträttigheter per roll (Gunarsson 2005, modifierad)) 6

7 Under senare tid har rollbaserad åtkomstkontroll fått stor uppmärksamhet på grund av dess inverkan på det administrativa säkerhetsarbetet (Chen, 2011). Enligt en studie gjord av National Institute of Standards and Technology (NIST) besparade den rollbaserade åtkomstkontrollen den amerikanska ekonomin mer än 6 miljarder USD mellan åren 1995 och 2011 (Jackson, 2011). Vidare skapar även en rollbaserad åtkomstkontroll en god potential för att implementera och stärka de säkerhetspolicyer som råder i en viss organisation (Giuri & Iglio, 1996). De många fördelarna med rollbaserad åtkomstkontroll samt de stora riskerna som finns med att ha för många eller felaktigt tilldelade rättigheter leder fram till två frågor av intresse: Använder företag, verksamheter och organisationer rollbaserad åtkomstkontroll? En närliggande fråga handlar om riskmedvetande i samband med att inte övervaka och styra sådana rättigheter. 1.3 Forskningsfråga Våra forskningsfrågor kan då utformas mer explicit: I vilken omfattning används rollbaserad åtkomstkontroll inom organisationer? Hur medvetna är organisationer om riskerna kring användare som har felaktiga och för många åtkomsträttigheter samt vad görs åt problemet? 7

8 1.4 Syfte Vi vill genom denna forskning undersöka huruvida och på vilket sätt organisationer använder sig av rollbaserad åtkomstkontroll samt om det finns en medvetenhet över vilka risker som finns med användare som har för många eller felaktiga åtkomsträttigheter. Samt vad som görs åt problematiken. Vi ämnar även att genom denna uppsats ge en ökad förståelse över vilka risker som följer av att inte ha korrekt tilldelade åtkomsträttigheter. 1.5 Avgränsningar På grund av komplexiteten med ämnet rollbaserad åtkomstkontroll är denna rapport avgränsad till om rollbaserad åtkomstkontroll används i organisationer samt hur roller är uppdelade. Fokus under forskningens gång har legat på informationssäkerheten. Därmed kommer uppsatsen inte behandla varken de olika typer av rollbaserade åtkomstkontroller som finns samt hur kostsamma och resurskrävande de är vid en implementering. Uppsatsen behandlar elektronisk informationssäkerhet. Således kommer inte fysiska åtgärdskontroller i form av exempelvis brandsläckare, dörrar och lås behandlas. Vidare kommer ISO att nämnas i rapporten eftersom några av respondenterna misstog denna för en säkerhetsmodell. ISO är i själva verket en internationell standard för informationssäkerhetshantering (Calder & Watkins, 2007). Denna standard innehåller rekommendationer i form av riktlinjer för de som är ansvariga för att välja, implementera och hantera informationssäkerhet i en organisation (ISO, 2012). Av denna anledning kommer ISO inte att presenteras i litteraturgenomgång. ISO är vidare en samling säkerhetsstandarder som även innefattar bland andra ISO 27001(ISO, 2012). 8

9 2. Litteraturgenomgång Inom informationssäkerhet finns det en rad teorier och begrepp som är grundläggande. Dessa kommer att beskrivas i de inledande delarna av kapitlet, detta för att ge läsaren en fördjupad förståelse om informationssäkerhet. Ett av de mest fundamentala begreppen som är återkommande för hela rapporten är CIA-triangeln. CIA-triangeln brukar benämnas som grundprincipen för informationssäkerhet och beskrivs därför först i litteraturgenomgången. Samtliga efterföljande delar handlar om att främja och förstärka de attribut som finns representerade i CIA-triangeln. Avslutningsvis ges en ingående beskrivning av åtkomstkontroll, modeller för åtkomstkontroll och de olika typer av åtkomstkontroller som används idag. 2.1 Konfidentialiet, integritet, tillgänglighet Oberoende av vad för data som behandlas är det första målet inom informationssäkerhet att se till att data är och förblir tillgänglig, intakt och privat. En grundprincip som ofta nämns i samband med informationssäkerhet är CIA-triangeln(figur 2.1). CIA står för konfidentialitet (confidentiality), integritet (integrity) och tillgänglighet (availability). Dessa kategorier är de tre viktigaste områdena att ta hänsyn till när det gäller att säkra tillgångar och resurser. (Tariq, 2008) CIA-triangeln är och har varit en industristandard för datasäkerhet ända sedan den utvecklades. Vidare bör organisationer ha en god förståelse för attributen i CIA-triangeln om de vill bli framgångsrika i att hantera sin informationssäkerhet. (Mattord & Whitman, 2011) (Figur 2.1, CIA-triangeln (Peltier 2014, modifierad)) 9

10 Konfidentialitet Konfidentialitet avser behovet av att bevara information säkert och privat. Konfidentialiteten handlar alltså om att säkra information från alla som inte har en tillräcklig åtkomstnivå för att läsa informationen. Om en användare med otillräcklig åtkomstnivå läser information som kräver en specifik åtkomstnivå, kan en organisation hävda att konfidentialiteten har brutits. Konfidentialitet kan omfatta allt från en nations hemligheter, finansiell information och säkerhetsinformation som till exempel lösenord. (Ferraiolo & Kuhn, 2007; Mattord & Whitman, 2011) Integritet Integritet innebär behovet av att skydda information från att bli otillåtet modifierad av obehöriga användare. Till exempel vill de flesta användarna av ett system vara säkra på att deras lösenord enbart kan ändras av dem själva eller behörig säkerhetsadministratör. Om ett system innehåller skadlig programvara som exempelvis en mask eller ett virus har integriteten för systemet misslyckats. (Ferraiolo & Kuhn, 2007; Mattord & Whitman, 2011) Tillgänglighet Tillgänglighet avser begreppet att information är tillgänglig för åtkomst när det behövs. Om servrarna av ett system slutar fungera och detta medför att användarna inte kan få tillgång till systemet har systemets tillgänglighet misslyckats. Nätattacker där webbservrar överbelastas är en vanligt förekommande attack på ett systems tillgänglighet. (Ferraiolo & Kuhn, 2007; Mattord & Whitman, 2011) 2.2 Least privilege En av de grundläggande principerna för att främja konfidentialitet i CIA-triangeln är principen om least privilege. Least privilege handlar om att fördela åtkomsträttigheter selektivt utifrån de rättigheter som användaren behöver för att utföra sitt arbete och aldrig bli tilldelad fler rättigheter än vad som är nödvändigt. (Ferraiolo & Kuhn, 2007; Brown & Stallings, 2012; Ma et al. 2010) Genom att följa least privilege-principen kan scenarion där användare utför onödiga eller skadliga aktioner utanför sitt ansvarsområde minimeras. Istället begränsas konsekvenserna av dessa eventuella handlingar till de ansvarsområden som användaren har tillgång till i och med sin arbetsroll. (Ferraiolo & Kuhn, 2007; Brown & Stallings, 2012) Det är till stor del en administrativ utmaning att säkerställa att least privilege efterföljs. I den administrativa utmaningen ingår det att identifiera vilka arbetsuppgifter som finns, identifiera specifikationer för vilken uppsättning behörigheter som krävs för att varje arbetsuppgift ska kunna genomföras, samt begränsa användaren till en domän med enbart dessa privilegier. (Ferraiolo & Kuhn, 2007) För att strikt följa least privilege-principen krävs det att användaren har varierande nivåer av tillstånd vid olika tidpunkter beroende på vilken arbetsuppgift som ska utföras. Nominellt är detta något som kan ses som onödigt i vissa miljöer eftersom det kan störa användaren och ytterligare belastar administratörerna. Att tilldela för många privilegier är dock något som potentiellt kan utnyttjas för att kringgå skydd och bör därför undvikas där det är möjligt. 10

11 Det är även viktigt att behörighet inte kvarstår längre än den tid det tar för att slutföra en arbetsuppgift. (Ferraiolo & Kuhn, 2007) Inloggning med administratörsrättigheter utsätter ett system för mycket större risk att bli infekterat av skadliga program. Detta eftersom det skadliga programmet inte behöver utnyttja en säkerhetsbrist i systemet för att få priviligierat tillstånd. En administratör har full kontroll över ett system och den skadliga programvaran kan utnyttja dessa privilegier för att installera drivrutiner, avlyssna inloggningar, skapa nya användarkonton, ersätta systemfiler och inaktivera säkerhetsprogram. (Austin, 2013) Skadliga program är dock inte den enda anledningen till att tillämpa least privilege-principen. Användare som har för många rättigheter kan utnyttja dessa, medvetet eller omedvetet, för att orsaka konfigurationsproblem som i sin tur belastar helpdesk och eventuellt leder till driftstopp. Användare med administratörsrättigheter kan även installera olicensierad programvara på företagsdatorer som kan innebära stabilitetsproblem. (Austin, 2013) Least privilege förhindrar inte på något sätt att dataintrång och dataläckage kan inträffa. Någon med priviligierat tillstånd kan ändå stjäla eller läcka känslig information. I organisationer där alla användare har administratörsrättigheter i nätverket är det i stort sett omöjligt att avgöra vem det är som har spridit informationen. I organisationer där användarna istället har begränsats med en least privilege-princip är det betydligt lättare att spåra vem som hade tillgång till informationen och när. Med detta i åtanke kan de anställda fundera en extra gång innan de bestämmer sig för att sprida information vidare. (Mutch & Anderson, 2011) När en användare byter roll inom organisationen och behåller sina åtkomsträttigheter från den föregående yrkesrollen kallas detta för privilege creep. Detta kan vara ett stort problem i organisationer där användare byter roller frekvent. För att begränsa att detta inträffar bör organisationer utföra periodiska kontroller för att säkerställa att användare som byter roller endast har de åtkomsträttigheter som krävs för att utföra sina arbetsuppgifter. (Solomon & Chapple 2005) 11

12 2.3 Åtgärdskontroller Med åtgärdskontroller menas tillvägagångssätt för att upptäcka, förebygga och minimera informationsförluster associerade med hot relaterade till informationssystem (Yeh & Chang Jung-Ting, 2007). Därav är det viktigt att kunna hantera och ha god förståelse för de åtgärdskontroller som finns för att upprätta en tillförlitlig informationssäkerhet inom organisationen. Om en organisation inte upprättar åtgärdskontroller kan informationens tillgänglighet, konfidentialitet och integritet inte heller säkerställas. Åtgärdskontrollerna kan delas in i tre olika kategorier: administrativa, informella samt tekniska. Om samarbetet mellan dessa åtgärdskontroller inte fungerar tillräckligt väl kan en organisation vara säker på att säkerhetsrelaterade problem kommer att inträffa. (Dhillon, 2006) Administrativa åtgärdskontroller Administrativa åtgärdskontroller kan ses som alla de riktlinjer en organisation kräver att deras anställda ska följa. Här inkluderas policyer över vad exempelvis de anställda får lov att prata om utanför arbetstid, vad de för lov att göra med arbetsdatorer och hur data ska klassificeras. (Dhillon, 2006; Tariq, 2008) I dessa åtgärdskontroller ingår även bakgrundskontroller av anställda och borttagning av åtkomsträttigheter för anställda som exempelvis har avslutat sin tjänst. (Tariq, 2008; Tipton & Krause, 2012) Allt för att förhindra uppkomsten av privilege creep. (Solomon & Chapple 2005) Informella åtgärdskontroller Informella åtgärdskontroller handlar om att stödja de administrativa åtgärdskontrollerna. Detta kan göras genom att informera de anställda om informationssäkerhet. Exempelvis kan en administrativ åtgärdskontroll vara att alla användare i en organisation måste ha uppdaterade antivirusprogram på sina datorer. Då skulle den informella åtgärdskontrollen vara att de anställda ska förstå innebörden och risken med att inte ha ett uppdaterat antivirusprogram. Eftersom det inte står skrivet i något formellt dokument att den anställde måste veta vad händer om de inte använder ett uppdaterat antiviruslösning kallas denna typ av åtgärdskontroll för informell. (Dhillon, 2006) Tekniska åtgärdskontroller Tekniska åtgärdskontroller är generellt sett synonymt med dator- och nätverkssäkerhet. Dessa kan bland annat inkludera mjukvaruprogram som antivirusprogram och brandväggar för att nämna några få. (Tariq, 2008) Ett annat exempel på en teknisk åtgärdskontroll är när användare loggar in på ett system och måste fylla i sitt användarnamn och lösenord. (Dhillon, 2006) 12

13 2.4 Policy och spårbarhet En policy är en administrativ åtgärdskontroll som används för att uppnå ett önskvärt beteende hos en organisations anställda. En policy kan beskrivas som en uppsättning regler som bestämmer vilken typ av beteende som är acceptabelt respektive oacceptabelt inom organisationen. Varje medarbetare har en skyldighet mot organisationen och bör därför anpassa sitt beteende efter de organisatoriska normerna. (Mattord & Whitman, 2011) Vidare är policyer en fundamental del av en välfungerad informationssäkerhet och är även en bra indikation på hur villig ledningen är att kontrollera sina anställdas beteende (Peltier, 2014). I många fall är administrativa åtgärdskontroller i form av policyer svåra att implementera. Det anmärkningsvärda med svårigheten av implementeringen är att policyer inte endast är svåra att implementera, utan även billiga. (Dhillon, 2006) Vid utveckling av en policy är det viktigt att förstå att lagen i ett land alltid kommer före en policy. På grund av det faktum att varje organisation skiljer sig från en annan, måste en policy utvecklas och anpassas i enlighet med behoven för organisationen i fråga. En vanlig följd av att ha för komplexa policyer eller för många policyområden är att de anställda kan bli förvirrade. (Mattord & Whitman, 2011) För att en organisation ska kunna försäkra sig om att policyn efterföljs så kan en teknisk åtgärdskontroll i form av spårbarhet användas. Spårbarhet kan enligt Bowin (2007, s. 11) definieras som möjligheten att entydigt kunna härleda utförda aktiviteter i systemet till en användare. Genom att implementera spårbarhet kan organisationen även spåra och härleda incidenter och händelser i systemet. Spårbarheten säkerställs genom att tillhandahålla användbar logginformation. Med detta menas logginformation som kan nyttjas för en rad olika ändamål, till exempel för att upptäcka operativa fel och avsiktliga attacker, att analysera effekterna av en attack, att minimera spridningen av dessa effekter till andra system samt för att identifiera källan till en attack. (Basin et al. 2011) Spårbarhetsfunktionen ska således kunna spåra vad som har inträffat, när det inträffade och vem som utförde säkerhetsöverträdelsen (Malmgren, 2002). 2.5 Informationssäkerhetsmedvetenhet Informationssäkerhetsmedvetenhet kan benämnas som en informell åtgärdskontroll och är en viktig del inom en organisation för att uppnå en lyckad informationssäkerhet. Informationssäkerhetsmedvetenhet kan definieras som den anställdes generella kunskap om informationssäkerhet och dennes kännedom om de säkerhetspolicyer som råder inom en viss organisation. Denna medvetenhet om informationssäkerheten och rådande policyer är grundpelarna för en god säkerhetsmedvetenhet. (Bulgur, 2010) Informationssäkerhetsmedvetenhet är ofta än förbisedd faktor i många organisationer. Medan organisationer nuförtiden investerar mer på avancerad säkerhetsteknologi så investeras allt mindre på att öka informationssäkerhetsmedvetenheten hos de anställda inom organisationen. Detta är något som vidare bidrar till att de anställda blir den svagaste länken. (Aloul, 2012) System ska givetvis även säkras genom exempelvis tekniska åtgärdskontroller. Dock kan bristen av informationssäkerhetsmedvetenhet göra organisationen sårbar för både externa och interna hot. Många av de säkerhetsproblem som idag finns beror ofta på bristfällig medvetenhet hos användarna. Den mänskliga faktorn kan därmed anses som minst lika viktig som den tekniska. Att öka den generella vetskapen om informationssäkerhet kan minska risken för mänskliga 13

14 misstag och slarv. Det är inte helt ovanligt att organisationer inte använder sig av adekvata utbildningar för att främja informationssäkerhetsmedvetenheten. En utveckling av de tekniska åtgärdskontrollerna är en viktig del i att bekämpa säkerhetsriskerna. Dock är en god informationssäkerhetsmedvetenhet hos den anställde minst lika viktig om inte mer. (Chen et. al, 2006) 2.6 Grundläggande begrepp för åtkomstkontroll Inom åtkomstkontroll finns det ett antal grundläggande begrepp och teorier som ständigt nämns i litteratur som behandlar ämnet. Dessa terminologier och begrepp är vidare nödvändiga att beskriva innan en mer detaljerad beskrivning av åtkomstkontroll och dess olika typer och modeller ges Auktorisering och autentisering Auktorisering och autentisering är två begrepp som är fundamentala för åtkomstkontroll. Dessa två begrepp är skilda från varandra, men skapar trots det allt som oftast förvirring på grund av att de ligger i nära relation till varandra. I själva verket är en lämplig auktorisering beroende av en autentisering. Autentisering är processen för att bestämma huruvida en användare verkligen är den som den utger sig för att vara. Den mest vanliga formen av autentisering är ett lösenord. Mindre vanliga former av autentisering är bland annat biometriska metoder som till exempel avläsare för fingeravtryck. Medan autentisering är processen för att säkerställa vem du är, så bestämmer auktorisering vad du är tillåten att göra. Auktorisering hänvisar till ett ja eller nej gällande om en användare är behörig en viss åtkomsträttighet till ett objekt. Auktorisering är beroende av en lämplig autentisering. Ifall ett system inte kan säkerställa en användares unika identitet, finns det inget giltigt sätt att avgöra ifall användaren är berättigad åtkomst eller inte. (Ferraiolo & Kuhn, 2007; Mutch & Anderson, 2011) Användare, subjekt, objekt, operationer och tillstånd Genom åren har en någorlunda enhetlig terminologi för att beskriva modeller inom åtkomstkontroll växt fram. I dag använder i princip samtliga modeller inom åtkomstkontroll begreppen användare, subjekt, objekt, operationer och tillstånd. Dessa begrepp kan definieras som följer. (Ferraiolo & Kuhn, 2007) Användare Hänvisar till personer som kommer i kontakt med systemet. En instans av användarens dialog med ett system kallas för session (Ferraiolo & Kuhn, 2007). Subjekt En datorprocess som utförs på uppdrag av en användare kallas för subjekt. Värt att nämna är att samtliga av användarens handlingar i ett datorsystem sker genom någon sorts mjukvara. En användare kan ha flera subjekt i drift även fast denne bara har ett login och en session. Exempelvis kan ett epostsystem köras i bakgrunden och hämta e-post från en server samtidigt 14

15 som användaren gör något på webben. Var och en av användarens program är subjekt och programmens åtkomster kontrolleras för att säkerställa att de är tillåtna för den användare som åberopade programmet. (Ferraiolo & Kuhn, 2007) Objekt Ett objekt kan vara vilken resurs som helst som är åtkomstbar på ett datorsystem. Det kan exempelvis vara filer och databaser men även kringutrustning som till exempel skrivare och scanners. Objekt kan ses som passiva enheter som innehåller eller tar emot information. (Ferraiolo & Kuhn, 2007) Operationer En operation är en aktiv process som åberopats av ett subjekt. Tidiga åtkomstkontrollsmodeller som bara berördes av informationsflödet applicerade subjekt på samtliga aktiva processer. Vissa säkerhetsmodeller kräver dock en åtskillnad mellan subjekt och operation. Ett exempel på detta är när en person använder en bankomat och stoppar in sitt kort samt skriver en sin pinkod. Kontrollprogrammet som opererar på användarens uppdrag är ett subjekt. Men subjektet kan sedan initiera mer än en operation som till exempel insättning, uttag och saldobesked. (Ferraiolo & Kuhn, 2007) Tillstånd Kan även kallas för privilegier eller rättigheter och är tillstånd att få lov att utföra auktioner på systemet. Vanligen avser tillstånd någon sorts kombination mellan objekt och operation. En viss operation som används på två olika objekt representerar två olika tillstånd. Exempelvis kan en banktjänsteman ha tillstånd att utföra debet- och kredittransaktioner åt kunden, medan en revisor kan utföra debet- och kredittransaktioner i huvudboken som innehåller bankens redovisningsdata. (Ferraiolo & Kuhn, 2007) Modeller för åtkomstkontroll Modeller för åtkomstkontroll är ett sätt att formalisera säkerhetspolicyer. Medan policyer bestämmer reglerna om vilka som är tillåtna att göra vad så anger åtkomstkontrollsmodellerna reglerna för hur systemet ska auktorisera dem. (Ferson, 2004) Modeller används av organisationer av den anledningen att de kan leda till en förbättring av informationssäkerheten samt främja och förstärka attribut i CIA-triangeln (Mattord & Whitman, 2011). Varje modell för åtkomstkontroll skiljer sig åt. Vissa av modellerna bygger på matematiska ekvationer, medan andra bygger på en erkänd nödvändighet. (Ferson 2004) Modellerna lägger olika vikt på olika de olika CIA-attributen. Det finns till exempel modeller som fokuserar mer på tillgänglighet medan andra fokuserar mer på integritet. (Mattord & Whitman, 2011) En modell för åtkomstkontroll beskriver hur användare ska interagera med objekten utan att det blir konflikter med några av de säkerhetspolicyer som råder. Exempelvis ska inte information kunna flöda mellan en högre säkerhetsnivå och en lägre. Detta för att undvika att bedrägeri i samband med att information missbrukas. (Rama et. al, 2012) Det finns fyra modeller som ofta nämns i samband med åtkomstkontroll: Clark Wilson, Bell-LaPadula, Biba och The Chinese Wall. 15

16 Clark Wilson Denna modells huvudsakliga mål är att förhindra informationsbedrägeri. Clark Wilson-modellen kräver att användaren har åtkomst till system som hanterar objekt. Detta hellre än att själva ha direkt åtkomst till data. (Rama et al. 2012) Två centrala begrepp i Clark-Wilson-modellen är välutformade transaktioner och separation of duty. Separation of duty begränsar användaren till att enbart kunna modifiera information på ett auktoriserat sätt och säkerställer att information modifierats sanningsenligt. Det kan till exempel innebära att information som modifierats måste godkännas av en andra och tredje part för att försäkra om att bedrägeri inte har skett (Ferraiolo & Kuhn, 2007). Bell-LaPadula Bell-LaPadula-modellen är en modell som fokuserar på främja konfidentialiteten och kontrollera åtkomsten till hemlighetstämplad information. Denna modell delar in användare och objekt i förhållande till vilken nivå av konfidentialitet de tillhör. Med detta menas att användaren måste auktoriseras för att få åtkomst till information som motsvarar varje nivå av konfidentialitet. På detta sätt förhindras information från att flöda från högre nivåer till lägre och vice versa. (Rama et al. 2012) Tekniken för detta är även känd som no-read-up och no-write-down. Detta innebär att användare med en viss säkerhetsnivå kan läsa lägre säkerhetsnivåer och skriva till högre säkerhetsnivåer men inte tvärtom (Mattord & Whitman, 2011). Biba Biba är en modell för åtkomstkontroll som fokuserar på att förhindra korruption av data genom att begränsa informationsflödet mellan objekt. Biba-modellen grupperar data i olika nivåer av integritet. Det vill säga att en användare inte kan läsa data på en lägre integritetsnivå eller skriva samt modifiera data på en högre integritetsnivå. (Rama et al. 2012) Biba-modellen är mycket lik Bell-LaPadula men fokuserar på integritet istället för konfidentialitet (Mattord & Whitman, 2011). The Chinese Wall The Chinese Wall är uppbyggd så att all information är lagrad enligt ett hierarkiskt lager. The Chineses Wall:s syfte är att hindra information från att flöda mellan användare och objekt på ett sätt som kan orsaka en intressekonflikt. (Rama et al. 2012). Till exempel är det naturligt att konsulter får åtkomst till exempelvis två olika bankers information och därigenom även information som skulle kunna bidra till ökad konkurrensfördel för en av bankerna. Något som vidare skulle kunna användas av konsulten för personlig vinning. Det är just sådant som Chinese Wall är ämnat att förhindra (Ferraiolo & Kuhn, 2007). 16

17 2.7 Åtkomstkontroll Åtkomstkontroll är en teknisk kontroll som är avgörande för att bibehålla och styrka integritet och konfidentialitet av information (Schneider, 2012; Ferraiolo & Kuhn, 2007). För attributet tillgänglighet från CIA-triangeln spelar inte åtkomstkontroll en lika stor roll. Den är dock fortfarande viktig eftersom att den gör det svårare för en person får åtkomst till ett system på ett oauktoriserat vis som skulle kunna resultera i en attack som stänger ner hela systemet. Åtkomstkontroll kan vidare ses som det mest centrala elementet inom informationssäkerhet och är essentiellt för säkerheten i ett system med flera användare. (Ferraiolo & Kuhn, 2007) Åtkomstkontroll är alltså en slags mekanism för att begränsa interaktionen mellan autentiserade användare och skyddade objekt. I samband med datorsystem kan åtkomstkontroll även kallas för auktorisering. Generellt sett handlar åtkomstkontroll om kontrollen över vilka användare som ska ha tillgång till vilka objekt. (Brown & Stallings, 2012; Chen, 2011) En mekanism för åtkomstkontroll medlar information mellan användare och systemobjekt. Systemet måste först autentisera att en användare söker behörighet. Autentiseringsfunktionen fastställer då om användaren har tillräcklig behörighetsnivå för att få åtkomst till systemet överhuvudtaget. Sedan avgör åtkomstfunktionen huruvida användarens åtkomstanrop accepteras eller inte. I de flesta fall upprätthåller en säkerhetsansvarig administratör en databas gällande olika användares behörighet till olika objekt. Åtkomstfunktionen avgör i enlighet med databasen huruvida användaren tillåts behörighet till ett specifikt objekt. (Brown & Stallings, 2012) Flödet över detta illustreras i figur 2.2. (Figur 2.2, flödet för åtkomstkontroll (Brown & Stallings 2012, modifierad )) Förutom att reglera om en användare är auktoriserad tillgång till ett visst objekt kan en åtkomstkontroll även begränsa var och hur ett objekt kan användas. Exempelvis inom den finansiella sektorn kanske en ekonomisk förvaltare bara har tillgång till känsliga finansiella rapporter under sin arbetstid och enbart på vissa kontor. Det kanske även krävs att denne inte heller kan godkänna lån som denne själv skapat för att förhindra bedrägeri. (Chen, 2011) Det finns vidare olika typer av åtkomstkontroll. 17

18 2.7.1 Diskretionär åtkomstkontroll Diskretionär åtkomstkontroll (DAC (Discretionary Access Control)) kräver vanligtvis att varje objekt har en ägare, samt att ägaren av objektet kan auktorisera tillgång åt andra användare. Med andra ord har varje användare behörighet att auktorisera tillgång åt andra användare åt objekt som denne äger. En begäran på tillgång till ett objekt baseras på identiteten av användare eller gruppen som denne tillhör. (Brown & Stallings, 2012; Chen, 2011) Därav kan även diskretionär åtkomstkontroll kallas för identitetsbaserad åtkomstkontroll (Chen, 2011). Illustration över diskretionär åtkomstkontroll till en fil visas i figur 2.3. En av de främsta fördelarna med diskretionär åtkomstkontroll är att den möjliggör en precis kontroll över systemets objekt. Genom denna kontroll går det att implementera och följa principen om least privilege. Diskretionär åtkomstkontroll anses vara den mest kostnadseffektiva lösningen för små företag och företag som drivs från hemmet. Något som bör nämnas är att diskretionär åtkomstkontroll är långt ifrån problemfri. Att tillåta användarna att själva kontrollera auktorisering av tillstånd till objekt ökar risken för att drabbas av exempelvis skadlig programvara såsom maskar, virus och trojaner. Dessutom blir underhåll av systemet svårt eftersom användarna kontrollerar alla rättigheter av de ägda objekten. Vidare är det även svårt att upprätthålla säkerhetspolicyer samt kontrollera att dessa inte äventyras med diskretionär åtkomstkontroll. (Ausanka-Crues, u.å.) (Figur 2.3, diskretionär åtkomstkontroll(russell & Gangemi 1991, modifierad)) 18

19 2.7.2 Obligatorisk åtkomstkontroll Obligatorisk åtkomstkontroll (MAC, (Mandatory Access Control)) distribueras när användningen av objekten bestäms av egenskaperna hos objekten och användaren, inte av önskemålen hos ägaren. Dessa egenskaper är ofta baserade på säkerhetsnivåer som tilldelats användaren och objekten i systemet. (Brown & Stallings, 2012; Chen, 2011) Säkerhetsnivå, även kallat för klassificeringsnivå på användaren avspeglar nivån av tillit som tilldelats denne, medan säkerhetsnivån för att objekt representerar hur känsligt innehåll objektet har. Därav kan ett datorsystem som implementerar obligatorisk åtkomstkontroll även kallas för ett system med flera nivåer. Att komma åt ett objekt kan ses som att initiera ett informationsflöde. Åtkomst för att läsa har ett informationsflöde mellan objekt och användare, åtkomst för att skriva har ett informationsflöde mellan användare och objekt. Därav kräver obligatorisk åtkomstkontroll att information från en högre nivå inte kan flöda ner till en lägre nivå. Med andra ord kräver obligatorisk åtkomstkontroll att en användare endast får läsa objekt ifall användaren är på samma säkerhetsnivå som objektet eller högre. Dessa krav kallas vanligen för no-read-up och no-writedown och finns även representerade i Bell-LaPadulas säkerhetsmodell. (Chen, 2011) Illustration över obligatorisk åtkomstkontroll för en fil visas i figur 2.4. Obligatorisk åtkomstkontroll implementerar Bell-LaPadula-modellen och är främst använd inom militär- och underrättelsetjänster för att bevara säkerhetsklassifikationer och åtkomstrestriktioner. (Ausanka-Crues, u.å.; Chen, 2011) Kombinationen mellan Bell-LaPadula och tillförlitliga komponenter gör även att dessa system mer eller mindre är immuna mot exempelvis trojaner som forcerar säkerhetsöverträdelser. Detta eftersom användarna själva inte har möjlighet att deklassificera information. Det finns dock nackdelar med obligatorisk åtkomstkontroll som gör att den inte passar alla branscher. Den hårda klassificeringsmetoden kan ibland hämma produktiviteten och det finns inga sätt att finjustera rättigheter för att uppnå principen om least privilege. Vidare är system med obligatorisk åtkomstkontroll även komplexa och dyra att implementera. Detta på grund av behovet av pålitliga komponenter och applikationer som måste skrivas om för att passa denna metod för åtkomstkontroll. (Ausanka-Crues, u.å.) (Figur 2.4, obligatorisk åtkomstkontroll(russell & Gangemi 1991, modifierad)) 19

20 2.7.3 Rollbaserad åtkomstkontroll Rollbaserad åtkomstkontroll (RBAC (Role-based Access Control)) har under senare år fått stor uppmärksamhet och är det främsta alternativet till obligatorisk åtkomstkontroll och diskretionär åtkomstkontroll, särskilt för kommersiellt bruk. (Ma, Li, Lu, Lu & Dong, 2010) Anledningen till att rollbaserad åtkomstkontroll har blivit så populär är eftersom den åtgärdar de brister som finns i obligatorisk åtkomstkontroll och diskretionär åtkomstkontroll när det gäller att specificera och tillämpa organisationsspecifika åtkomstkontrollspolicyer. Vidare minskar rollbaserad åtkomstkontroll även komplexiteten och kostnaderna av säkerhetsadministrationen. Med andra ord är varken obligatorisk åtkomstkontroll eller diskretionär åtkomstkontroll tillräckliga för att möta de behov som finns i de flesta kommersiella system. (Ferraiolo & Kuhn, 2007; Brown & Stallings, 2012; Chen, 2011) Mer specifikt innebär till exempel diskretionär åtkomstkontroll att användare beviljar eller återkallar åtkomst till objekt som de själva äger. I de flesta kommersiella organisationerna är själva organisationen ägare av objekten i systemet och inte slutanvändaren. Därav är det inte lämpligt att tillåta användare att dela ut åtkomsträttigheter till objekten. Obligatorisk åtkomstkontroll som handlar om att bevara konfidentialitet är för restriktiv och är därför inte heller lämplig för dessa organisationer. (Chen, 2011) Till skillnad från de traditionella åtkomstmetoder obligatorisk åtkomstkontroll och diskretionär åtkomstkontroll, som definierar rättigheterna för enskilda användare och grupper för användaråtkomst, är rollbaserad åtkomstkontroll baserad på de roller som användarna har i systemet. (Brown & Stallings, 2012; Chen, 2011) Det centrala konceptet inom rollbaserad åtkomstkontroll är att en roll i systemet är baserat på den yrkesroll eller den position en anställd har i en organisation. Exempelvis skulle rollerna för ett sjukhus kunna innefatta läkare, sjuksyster och receptionist. Inom bankvärlden skulle det istället kunna handla om roller som revisor, kassör och lånehandläggare. (Ferraiolo & Kuhn, 2007; Chen, 2011; Gallaher et al. 2002) En roll kan definieras som en uppsättning av rättigheter och är ett mellanliggande lager mellan en användare och dennes åtkomsträttigheter (figur 2.5)(Chen, 2011). (Figur 2.5, illustration över rollbaserad rättighetstilldelning(chen 2011, modifierad)) Förhållandet mellan användare och roller samt roller och användarrättigheter är många till många, vilket representeras av pilen med två pilhuvuden i figur 2.5. Exempelvis kan en användare bli tilldelad en eller flera roller och en roll kan vidare ha en eller fler medlemmar. Metoden för att styra åtkomst med hjälp av roller skapar en god flexibilitet och gör det enklare att administrera åtkomsträttigheter. Exempelvis när en yrkesroll inom en stor organisation förändras är det enkelt att ändra åtkomsträttigheterna för denna roll i systemet. Detta i jämförelse med att ändra åtkomsträttigheter för varje enskild individ med den arbetsrollen i en stor 20

21 organisation. (Chen, 2011; Brown & Stallings, 2012) Rollbaserad åtkomstkontroll lämpar sig även för att följa principen om least privilege eftersom möjligheten finns att endast tilldela de åtkomsträttigheter som krävs för att den anställde ska kunna utföra sitt arbete (Brown & Stallings, 2012). Genom att använda rollbaserad åtkomstkontroll undviker organisationer framtida kostnader som skulle kunna uppkomma genom säkerhetsöverträdelser. Eftersom en rollbaserad åtkomstkontroll kan anpassas naturligt för olika organisatoriska strukturer och är mer konfigurerbar än konventionella åtkomstmetoder kan rollbaserad åtkomstkontroll tillämpa ett större antal olika typer av åtkomstpolicyer. Beroende på hur en organisation använder sig av rollbaserad åtkomstkontroll kan den bidra till tillämpningen av least privilege. Rollbaserad åtkomstkontroll kan även öka användarnas produktivitet genom att möjliggöra tillgång till fler resurser. Förutom detta hjälper även rollbaserad åtkomstkontroll till att bättre delegera administrativt ansvar för kunder och partners där det är möjligt. (Ferraiolo & Kuhn, 2007) Rollbaserad åtkomstkontroll kan fortsättningsvis minimera säkerhetsöverträdelser samt minska sannolikheten att en säkerhetsöverträdelse inträffar. Skulle en säkerhetsöverträdelse ändå inträffa kan rollbaserad åtkomstkontroll även begränsa säkerhetsöverträdelsens konsekvens. Uppdelningen av användare enligt olika yrkesroller begränsar möjligheten till interna säkerhetsöverträdelser från personer som inte har tillgång till data och program som är associerade med en specifik yrkesroll. För att kunna använda rollbaserad åtkomstkontroll enligt yrkesrollsfunktion är det dock är det viktigt att organisationen i fråga har en stabil organisationsstruktur. (Gallaher, O Connor & Kropp, 2002) Tillämpningen av rollbaserad åtkomst medför att det blir mindre troligt att säkerhetsadministratören i en organisation gör fel och ger användare felaktiga rättigheter av misstag. Detta eftersom att rättigheterna inte tilldelas manuellt vid användandet av rollbaserad åtkomstkontroll. Vidare kan även produktiviteten öka, säkerheten förbättras och ökad tillgång till information möjliggöras. Som ett resultat av detta kan företagen öka deras förtroende för sina informationssystem, uppnå en högre åtkomst av resurser samtidigt som de inte behöver vara lika bekymrade över säkerhetsöverträdelser. (Gallaher et al. 2002) 21

22 3. Metod I litteraturgenomgången beskrivs åtkomstkontroll (i synnerhet rollbaserad åtkomstkontroll) och informationssäkerhet. Det går även att utläsa hur rollbaserad åtkomstkontroll är förknippad med informationssäkerhet och hur de båda medför ett mervärde för organisationer. Målet med studien är att jämföra våra teorier mot riktiga organisationer. Detta görs med hjälp av insamling av empirisk data. För att effektivt undersöka så många organisationer som möjligt har en kombination av kvalitativa och kvantitativ datainsamlingsmetoder använts. En kombination av dessa två är fullt möjlig och det går enligt Jacobsen (2002) bra att använda sig av denna forskningsstrategi. Målet med studien är att analysera det empiriska materialet i förhållande till litteraturgenomgången för att sedan komma fram till ett resultat. 3.1 Kvantitativ enkätundersökning För att erhålla ett mer precist datainsamlingsresultat har inte enbart en kvalitativ datainsamlingsmetod använts utan även av en kvantitativ metod form av enkätundersökningar. Enkäten bestod av öppna och slutna frågor. De slutna frågorna krävde strukturerade svar och de öppna frågorna krävde ostrukturerade svar (Eriksson & Wiedersheim-Paul, 2011). Svarsalternativen för enkäten innehåller svar i form av: ja, nej och annat. Vid val av svarsalternativet annat kunde den tillfrågade ge ett öppet svar i form av en mellankategori. Det finns ingen given regel på om och när neutrala mellankategorier bör användas (Jacobsen, 2002). Eftersom att åtkomsthantering och informationssäkerhet är komplexa ämnen användes en mellankategori för att ge respondenterna en möjlighet att ge ett utförligare svar. När en enkät formuleras är det viktigt att ha den teoretiska utgångspunkten i åtanke (Holme & Solvang, 1997). Vid en omfattande enkät med enbart öppna frågor tenderar svaren att bli mindre genomtänkta (Holme & Solvang, 1997). Därför utformades enkäten på så sätt att frågorna var av sluten natur. 3.2 Kvalitativ semistrukturerad intervju Syftet med undersökningen har varit att granska i vilken utsträckning rollbaserad åtkomstkontroll används inom organisationer samt om organisationer är medvetna om informationssäkerhetsaspekterna gällande åtkomsthantering. Eftersom att informationssäkerhet är ett komplext ämne har både semistrukturerade och strukturerade intervjuer tillämpats. En semistrukturerad intervju möjliggör öppna frågor med fritt formulerade svar. Öppna frågor bidrar i sin tur till eminenta klargöranden och inblickar. Vid slutna frågor kan dessa falla bort (Kumar, Aaker, A.D & Day S.G, 2009). En kvalitativ semistrukturerad intervju lämpar sig väl när få enheter undersöks (Jacobsen, 2002). Detta är något som passade denna forskning eftersom de kvalitativa intervjuerna endast genomfördes på två organisationer. 22

23 Eftersom telefonintervjuer medför större risk att respondenten håller sig ifrån sanningen, är fysiska intervjuer att föredra (Jacobsen, 2002). Via telefon kan heller inte intervjuaren beakta respondentens kroppsspråk. Jacobsen (2002) menar dock på att fysiska intervjuer kan vara kostnadskrävande eftersom att undersökarna måste förflytta sig fysiskt till en annan geografisk placering. Vid fysiska intervjuer kan även respondenten känna sig besvärad och då kan en intervjueffekt uppstå. Totalt genomfördes två fysiska semistrukturerade intervjuer gällande organisationers åtkomsthantering. 3.3 Val av organisationer och respondenter Vid val av organisationer och respondenter avgränsades de semistrukturerade intervjuerna till organisationer med över 1000 anställda. Orsaken till detta är att åtkomsthantering blir mer komplext i större organisationer (Gunnarsson, 2005). De båda organisationerna i fråga hanterar känslig data. En viktig respondent, hädanefter kallad R1, som tog sig tid att ställa upp på en semistrukturerad intervju representerade en IT-leverantör i Sverige. IT-leverantören levererar och driftsätter en mängd olika IT-system för ett specifikt universitet i Sverige. Genom att intervjua R1 fick vi svar som kunde appliceras på flera olika instruktioner och system inom universitet. Personerna som vi riktade oss till för våra enkätundersökningar var främst säkerhetschefer och personer som var ansvariga för åtkomsthantering inom organisationen. För vår enkätundersökning valde vi organisationer där majoriteten är verksamma inom IT-branschen dock var det inget krav på att organisationerna skulle ha över 1000 anställda. 3.4 Analys av insamlad data För att säkerställa att frågorna för enkäten var så precisa och relevanta som möjligt, genomfördes alla semistrukturerade intervjuer först. Anledningen till detta var eftersom de semistrukturerade intervjuerna skulle medföra en djupare inblick kring ämnet. Därav kunde det finnas revideringsbehov för vissa av frågorna innan enkäten skickades ut. De semistrukturerade intervjuerna spelades in samtidigt som anteckningar fördes under intervjustunden, för att därefter transkriberas. Efter genomförandet av de semistrukturerade intervjuerna uppkom det nya enkätfrågor som var väsentliga för vår forskning. Resultaten som gavs från enkätundersökningar och de semistrukturerade intervjuerna sammanställdes enligt huvudrubrikerna i litteraturgenomgången. Enkätundersökningarna presenterades vidare i diagramform. 23