Balanserad informationssäkerhet

Delprojekt: Balanserad IT-baserad organisationsutveckling
2017-2015
Jonas Landgren
Fredrik Bergstrand

Läs om våra resultat i boken Informationssäkerhet och organisationskultur från Studentlitteratur.

Resultaten från delprojektet Balanced IT-based organizational development i SECURIT visar att det ofta finns en konflikt mellan att lösa de omedelbara och akuta uppgifter som verksamheten ställs inför och samtidigt leva upp till existerande regler för informationssäkerhet. De individer som arbetar i verksamheter med operativt ansvar för hantering av samhällsstörningar har ofta en mycket god förmåga till improvisation i sitt arbete. I många fall visade sig en sådan improvisation innebära tydliga avsteg från verksamhetens IT-säkerhetsregler, men också att man kunde hantera de uppgifter och akuta problem som krävde omedelbart agerande.

Genomförda studier visar att bland annat användning av kommersiella molntjänster varit vanligt förekommande för att lösa omedelbara problem kring att samla in, bearbeta och distribuera information. Medvetenheten kring hur sådan användning harmonierar med gällande rutiner för informationssäkerhet kan ifrågasättas.

De omständigheter som råder under insatsarbete vid allvarliga samhällsstörningar, såsom bränder eller epidemiutbrott, är ofta mycket pressade. Att i sådana situationer hitta en balans i arbetet mellan att samtidigt skydda verksamhetens information och underlätta för medarbetarna att göra sitt jobb är svårt. Projektet syftade till att studera hur verksamheter med stort beroende av IT-användning åstadkommer en balanserad informationssäkerhet. Med ’balanserad informationssäkerhet’ avses i detta sammanhang de organisatoriska och tekniska arrangemang som tillhandahålls för att man ska kunna möta verksamhetens krav både på hög säkerhet och effektivt utförande.

Frågeställningen ”Hur upprätthålls informationssäkerhet i operativa verksamheter vid hantering av samhällsstörningar?” har varit vägledande i de fältstudier som har genomförts. Fältstudierna har omfattat observation och intervjuer vid stabsarbete hos räddningstjänst, sjukvård, polis, länsstyrelse, SOS-alarm samt Myndigheten för samhällsskydd och beredskap.

Studierna visar också att det finns ett behov av att säkerställa tillgång till kompetens inom informationssäkerhet i det operativa arbetet med att hantera samhällsstörningar. På en generell nivå pekar resultaten på att det i fråga om hur informationssäkerhetsfrågor prioriteras finns en betydande skillnad mellan å ena sidan kärnverksamhet och å andra sidan de expertfunktioner som ansvarar för informationssäkerhet. Detta påverkar den informationssäkerhetskultur som utvecklas i organisationen.

Utifrån de resultat som framkommit i studierna finns det anledning att fundera kring behovet av interventionsstudier i verksamheter med bristande informationssäkerhet. Sådana studier skulle dels kunna indikera vilken typ av åtgärder som fungerar men kanske än viktigare, identifiera vilka oväntade och kanske oönskade effekter avseende förstärkt informationssäkerhet som dessa åtgärder kan resultera i.

Resultaten från studierna visar att det ofta finns en konflikt mellan att lösa de omedelbara och akuta uppgifter som verksamheten ställs inför och samtidigt leva upp till existerande regler för informationssäkerhet.

Publikationer:

Landgren, J (2017) Informationssäkerhet vid hantering av samhällsstörningar. I Hallberg, J., Johansson, P., Karlsson, F., Lundberg, F., Lundgren, B., Törner, M., Informationssäkerhet och organisationskultur. Studentlitteratur AB, Lund, 79-93
[Länk till Adlibris]

Bergstrand, F., & Stenmark, D. (2016). Leveraging Bystander Reports in Emergency Response Work: Framing Emergency Managers Social Media Use. In 2016 49th Hawaii International Conference on System Sciences (HICSS) (pp. 162-171). IEEE.

Uhr, C., Johansson, B. J., Landgren, J., Holmberg, M., Bynander, F., Koelega, S., & Trnka, J. (2016). Once upon a time in Västmanland – the power of narratives or how the” truth” unfolds. In proceedings of ISCRAM16, Rio de Janerio, Brazil.

Landgren, J. (2015). Organisatorisk förstärkning. I Uhr, C (red.) Att åstadkomma inriktning och samordning – 7 analyser utifrån hanteringen av skogsbranden i Västmanland 2014. Centrum för samhällets resiliens, Lunds universitet, 259-279.