Balanserad IT-baserad organisationsutveckling
De omständigheter som råder under insatsarbete vid allvarliga samhällsstörningar, såsom bränder eller epidemiutbrott, är ofta mycket pressade. Att i sådana situationer hitta en balans i arbetet mellan att samtidigt skydda verksamhetens information och underlätta för medarbetarna att göra sitt jobb är svårt.
Projektet Balanced IT-based organizational development syftade till att studera hur verksamheter med stort beroende av IT-användning åstadkommer en balanserad informationssäkerhet. Med ’balanserad informationssäkerhet’ avses i detta sammanhang de organisatoriska och tekniska arrangemang som tillhandahålls för att man ska kunna möta verksamhetens krav både på hög säkerhet och effektivt utförande.
Frågeställningen ”Hur upprätthålls informationssäkerhet i operativa verksamheter vid hantering av samhällsstörningar?” har varit vägledande i de fältstudier som genomförts. Fältstudierna har omfattat observation och intervjuer vid stabsarbete hos räddningstjänst, sjukvård, polis, länsstyrelse, SOS-alarm samt Myndigheten för samhällsskydd och beredskap.
Resultaten från studierna visar att det ofta finns en konflikt mellan att lösa de omedelbara och akuta uppgifter som verksamheten ställs inför och samtidigt leva upp till existerande regler för informationssäkerhet. De individer som arbetar i verksamheter med operativt ansvar för hantering av samhällsstörningar har ofta en mycket god förmåga till improvisation i sitt arbete. I många fall visade sig en sådan improvisation innebära tydliga avsteg från verksamhetens IT-säkerhetsregler, men också att man kunde hantera de uppgifter och akuta problem som krävde omedelbart agerande.
Studierna visar också att det finns ett behov av att säkerställa tillgång till kompetens inom informationssäkerhet i det operativa arbetet med att hantera samhällsstörningar. På en generell nivå pekar resultaten på att det i fråga om hur informationssäkerhetsfrågor prioriteras finns en betydande skillnad mellan å ena sidan kärnverksamhet och å andra sidan de expertfunktioner som ansvarar för informationssäkerhet. Detta påverkar den informationssäkerhetskultur som utvecklas i organisationen.
Utifrån de resultat som framkommit i studierna finns det anledning att fundera kring behovet av interventionsstudier i verksamheter med bristande informationssäkerhet. Sådana studier skulle dels kunna indikera vilken typ av åtgärder som fungerar men kanske än viktigare, identifiera vilka oväntade och kanske oönskade effekter avseende förstärkt informationssäkerhet som dessa åtgärder kan resultera i.