The effect of an ISO 27001 certification on information security awareness in a SME : Changes following a certification process in a company within the IT sector

Cyberrelaterad brottslighet drabbar företag i allt större omfattning och en grupp företag som är särskilt drabbade är små- och medelstora företag (SMF). En anledning till denna ökning anses vara svag informationssäkerhet hos företag tillhörande kategorin. En hög informationssäkerhetsmedvetenhet bland anställda på ett företag kan enligt forskning minska cyberrelaterad brottslighet. Vidare saknas nödvändig teori inom området informationssäkerhetsmedvetenhet för att förstå mänskliga intentioner och hur ett önskat beteende uppnås. Ett sätt att komma till rätta med riktlinjer och policy för informationssäkerhet är att upprätta ett ledningssystem med hjälp av ISO 27001-certifiering. Nödvändig forskning saknas kring hur ISO 27001-certifieringsprocessen påverkar informationssäkerhetsmedvetenhet i ett SMF och vilka förändringar som uppkommer till följd av en certifieringsprocess. Studien undersöker därför hur ISO 27001-certifieringar påverkar informationssäkerhetsmedvetenhet och vilka förändringar som uppkommer till följd av en certifieringsprocess. En semistrukturerad intervjustudie har utförts i ett ISO 27001-certifierande svenskt SMF. Baserat på insamlade data och teoretiskt ramverk har fem olika beståndsdelar av informationssäkerhetsmedvetenhet identifierats och resultat har analyserats i relation till dem. Resultaten visar att svenska SMF får en förhöjd informationssäkerhetsmedvetenhet till följd av en ISO 27001-certifiering. Vidare visar resultaten att svenska SMF får tydligare processer och riktlinjer för säkerhetsrelaterat arbete till följd av en ISO 27001-certifieringsprocess.Cyber-related crime is affecting companies to an increasing extent and a group of companies that are particularly affected are Small and Medium-sized Enterprises (SME). One reason for this increase is weak information security in companies falling into the category. According to research, a high level of information security awareness among employees at a company can reduce successful cyber-related crime. Furthermore, necessary theory in the field of information security awareness is missing. One way to deal with guidelines and policies for information security is to establish an information security management system using ISO 27001 certification. Necessary research is lacking on how the ISO 27001 certification process affects information security awareness in an SME and what changes arise following the certification process. This study examines how an ISO 27001-certification affects information security awareness and which changes occur following the certification process. A semi-structured interview has been conducted in an ISO 27001-certifiying Swedish SME. Based on gathered data and our theoretical framework, five different components of information security awareness have been identified and results have been analyzed in relation to them. The results indicate that swedish SME gets a heightened level of information security awareness following an ISO 27001-certification. Furthermore, the results show that Swedish SMEs get more distinct processes and guidelines for security-related work following an ISO 27001-certification process.