Informationssäkerhetsutbildning om phishing krävs för att kunna bekämpa det hot som phishing utgör, då människan alltid är den svagaste länken inom en organisation. Även om förslag och krav kopplade till hur informationssäkerhetsutbildning bör genomföras finns beskrivet i litteratur, standarder och ramverk är det svårt för SMF:er att anpassa och implementera dessa rent praktiskt. Syftet med denna studie är därför att undersöka svenska SMF:ers implementation av utbildningsinsatser för att bemöta phishing-hotet. Empirin har samlats in genom semistrukturerade intervjuer samt tematisk analys. Resultaten från studien visade att utbildningsinsatserna främst är grundade på egna erfarenheter och exempel från tidigare phishing-attacker som drabbat andra organisationer. Ett par organisationer har inte utvecklat sina utbildningsinsatser själva, utan använder verktyg och andra organisationers erfarenheter som hjälpmedel. Resultaten visade också att åsikterna om den valda utbildningsinsatsen inte alltid var lika mellan ledningen och användare. Slutsatsen av studien är att SMF:er kan implementera utbildning kring det hot som phishing utgör utan att förlita sig på specifika ramverk eller standarder, men att organisationen måste vara noga med att anpassa den efter sin egen organisations storlek. För att dra mer långtgående slutsatser än de som beskrivs i rapporten hade det varit av vikt att kunna förlita sig på ett större antal organisationer än de 4 organisationer och 10 intervjudeltagare som deltog i studien. Dessutom behövs mer forskning inom området gällande smishing och vishing.

Information security training about phishing is required to be able to combat the threat that phishing determine, as humans are always the weakest link within an organization. Although proposals and requirements linked to how information security training should be implemented in the literature, standards, and frameworks, it is difficult for SMEs to adapt and implement these in practice. The purpose of this study is therefore to investigate Swedish SMEs' implementation of forms of education to address the phishing threat. The empirical data has been collected through semi-structured interviews and thematic analysis. The results from the study showed that the forms of education are mainly based on own experiences and examples from previous phishing attacks that have affected other organizations. A couple of organizations have not developed their forms of education themselves, instead they use tools and other companies experiences as aids. The results also showed that the opinions about the chosen form of education were not always the same between management and users. The conclusion of the study is that SMEs can implement education around the threat that phishing constitutes without specific frameworks or standards to rely on, but if the organization want to use it, they must be careful to adapt the education to their own organization's size. In order to draw more far-reaching conclusions than those described in the report, it would have been important to be able to rely on a larger number of organizations than the 4 organizations and the 10 interviewees that participated in the study. In addition, more research is needed in the field of smishing and vishing.