IT-säkerhetshotet phishing : Svenska små och medelstora företags utbildningsinsatser inom problemområdet

Sammanfattning: Informationssäkerhetsutbildning om phishing krävs för att kunna bekämpa det hot som phishing utgör, då människan alltid är den svagaste länken inom en organisation. Även om förslag och krav kopplade till hur informationssäkerhetsutbildning bör genomföras finns beskrivet i litteratur, standarder och ramverk är det svårt för SMF:er att anpassa och implementera dessa rent praktiskt. Syftet med denna studie är därför att undersöka svenska SMF:ers implementation av utbildningsinsatser för att bemöta phishing-hotet. Empirin har samlats in genom semistrukturerade intervjuer samt tematisk analys. Resultaten från studien visade att utbildningsinsatserna främst är grundade på egna erfarenheter och exempel från tidigare phishing-attacker som drabbat andra organisationer. Ett par organisationer har inte utvecklat sina utbildningsinsatser själva, utan använder verktyg och andra organisationers erfarenheter som hjälpmedel. Resultaten visade också att åsikterna om den valda utbildningsinsatsen inte alltid var lika mellan ledningen och användare. Slutsatsen av studien är att SMF:er kan implementera utbildning kring det hot som phishing utgör utan att förlita sig på specifika ramverk eller standarder, men att organisationen måste vara noga med att anpassa den efter sin egen organisations storlek. För att dra mer långtgående slutsatser än de som beskrivs i rapporten hade det varit av vikt att kunna förlita sig på ett större antal organisationer än de 4 organisationer och 10 intervjudeltagare som deltog i studien. Dessutom behövs mer forskning inom området gällande smishing och vishing.