«Et nytt perspektiv» - En casestudie av hvordan safety-teori kan øke informasjonssikkerheten i komplekse organisasjoner.

Abstract

Store organisasjoner er i dag uløselig knyttet til informasjonsteknologien og digitaliseringen av samfunnet, økonomien og egen drift. Teknologien endrer seg svært raskt og fører til økt kompleksitet innad i organisasjonene. En mer krevende sikkerhetssituasjon gjør organisasjoner som sitter på store mengder data, til høyaktuelle mål for dataangrep utført av eksterne aktører, men også utilsiktede hendelser. Informasjonssikkerhet har aldri vært viktigere enn nå, men likevel opplever man vellykkede dataangrep mot infrastruktur, økonomiske verdier, samt tyveri av sensitive data.

Dette åpner for å tenke nytt rundt organisering og tilnærming til informasjonssikkerhet, og har ledet til problemstillingen: «Hvordan organisere sikkerhetsarbeidet for å øke informasjonssikkerheten i Tolletaten?» For å svare ut problemstillingen er det gjennomført en casestudie av Tolletaten med Equinor som sammenligningsgrunnlag. Equinor som sammenligningsgrunnlag er begrenset til at deres virksomhet og problemstillinger til en viss grad gjenspeilte Tolletatens. Det er innhentet data fra Equinor gjennom intervjuer, men det er ikke en komparativ studie.

Studien har undersøkt sammenhengen mellom valgt organisering, sikkerhetskultur og informasjonssikkerhetsarbeid i Tolletaten. Det er gjennomført seks dybdeintervjuer med interne og eksterne informanter som har sikkerhet som sitt fagfelt, samt en fokusgruppe med fire ansatte som berøres av sikkerhetsspørsmål. I tillegg er det gjennomgått styringsdokumenter for sikkerhet og organisering. I studien er det anvendt teori og perspektiver fra Safety-feltet. Anvendelse av Safety-perspektiver på tradisjonelle Security-utfordringer som informasjonssikkerhet, representerer en ny tilnærming. Studien utfordrer en oppfatning om at Safety og Security er adskilte områder og håndteres på hver sin måte. Funnene i studien peker på flere organisatoriske forhold som skaper sårbarheter i komplekse organisasjoner og deres arbeid med informasjonssikkerhet. Dette gjelder særlig informasjonsflyt, betydningen av intern organisering og kulturelle faktorer. Sikkerhetsarbeidet svekkes også av interesse- og ressurskonflikter, svak internkommunikasjon og mangel på en helhetlig og systemisk tilnærming.

Oppgaven kommer avslutningsvis med konkrete anbefalinger til hvordan øke informasjonssikkerheten. Anbefalingene inkluderer blant annet bruk av et systemisk perspektiv som ser organisasjonens sikkerhetsarbeid som en helhetlig prosess. Økt desentralisering av sikkerhetsfunksjoner er viktig for å gi flere deler av organisasjonen et eierskap til sikkerheten og input i design av nye rutiner. Etablering av gode feedback-kanaler vil gi et mer oppdatert og korrekt risikobilde. Sammen med en sikkerhetsbevisst toppledelse og en løs organisasjonsstruktur vil organisasjonene øke den totale informasjonssikkerheten.

Large organizations today are closely tied to information technology space and the expanding digitalization of both the public and private sector. The technology changes rapidly and increases organizational complexity. A significantly more challenging security situation makes organizations who possess large quantities of sensitive data, high value targets for hostile actors, but also vulnerable to internal organizational risks. Information security is more important than ever, and large resources are spent on cyber security. Still, we see successful attacks on critical infrastructure, ransomware attacks, data breaches and theft of large amounts of economic data. This encourages new thinking and new approaches to information security. This has led to the research question: “How to organize security to increase information security in the Norwegian customs?”

To answer this question, I have done a case study of the Norwegian customs, with Equinor as a partial comparison. The study has looked at the connection between how the organizations have chosen to organize, and its safety culture and information security work. Ten informants have been interviewed, of whom six are internal and external experts on IT-security and security issues. The remaining four are customs employees and have participated in a focus group.

This study has applied theory and perspectives from Safety, in particular systemic thinking and a focus on work processes and mental models. Applying perspectives from Safety onto traditional Security-issues, like information security, represents a new way of thinking. The study challenges the somewhat established perception that security-issues is a separate area, should be handled thereafter. The findings point to several organizational factors which creates vulnerabilities. Most apparent are problems related to the flow of information, internal organization, and organizational culture. Security is also challenged by conflicting interests, weak internal communication and the lack of a systemic and holistic approach to security.

The study lists specific advice on tackling these issues. Among these is a systemic approach with a focus on processes, increased organizational flexibility and more decentralization of security functions. Combined with effective feedback channels and increased awareness in the top management it is possible to increase information security in complex organizations.