Högskolan i Skövde

Mobile devices used within organizations have increased parallel to the proliferation of such devices for personal use. Each employee utilizes at least one device for work-related tasks, and currently, both personal and work-devices are used interchangeably. The concept of "Bring Your Own Device" leads to an increased complexity for organizations’ information security efforts, with an element of unpredictability surrounding the types of technology utilized by employees in storing or processing organizational data. 

The Swedish and international standard series for governing and managing information security is denoted as ISO/IEC 27000. The standard is based on a risk analysis resulting from a structured and iterative process. Analyzing upon threats and vulnerabilities in relation to the organization’s assets creates an asset-based risk scenario. This enables risk modification through various controls. To identify all threats and vulnerabilities, several sources need to be exhausted, including research articles. 

This thesis evaluates, through a systematic literature review, the frequency of threats, vulnerabilities and controls mentioned in the most recent literature in relation to the concept of "Bring Your Own Device". The thesis draws support and themes directly from the ISO/IEC 27000 standard series. 

This review suggests that the most commonly occurring threats and vulnerabilities are of a technical nature, which includes threats related to malware, and vulnerabilities related to the device’s security capacity in data storage and transmission. 

Regarding control mechanisms, this review indicates that the most frequent controls fall within both organizational and technical domains, with a high frequency with emphasis on safeguarding organizational data. 

Mobila enheter som används inom organisationer har ökat paralellt med utbredningen av sådana för privat bruk. Varje anställd använder minst en enhet för arbetsrelaterade uppgifter, och idag används både privata enheter på arbetsplatsen samt arbetsenheter för privat bruk. Konceptet kallas inom litteraturen för "Bring Your Own Device" och medför en ökad komplexitet för orgainsationers arbete med informationssäkerhet, med ett inslag av oförutsägbarhet, då det inte inte alltid framgår vilken typ av teknik som används av anställda för att lagra eller behandla organisationens data. 

Den svenska och internationella standardserien för styrning och ledning av informationssäkerhetsarbetet benämns ISO/IEC 27000, standarden bygger på en riskanalys som följd av en strukturerad och iterativ process. Utifrån hot och sårbarheter relaterade till organisationens tillgångar skapas ett tillgånsbaserat riskscenario där risken sedan kan modifieras med hjälp av olika kontroller. För att identifiera alla hot och sårbarheter krävs att flera källor genomsöks, inklusive forskningsarticklar. 

Det här examensarbetet utvärderar, genom en litteraturöversikt, frekvensen av hot, sårbarheter och kontroller som omnämnts inom forskningslitteraturen de senaste åren kopplade till konceptet "Bring Your Own Device". Stöd och teman är hämtade direkt från standardserien ISO/IEC 27000. 

Den här översikten pekar på att de vanligast förekommande hoten och sårbarheterna är av teknisk karaktär, vilket inkluderar hot kopplade till skadlig programvara, samt sårbarheter relaterade till säkerhetskapaciteten hos enheter vid lagring och överföring av data. 

Inom kontrolltemat visar den här översikten att de mest förekommande kontrollerna faller inom både organisatoriska och tekniska områden, med en hög frekvens av åtgärder ämnade till att skydda data.