Investigating Business Alignment Issues Rooted in the Norwegian Specialist Health Services' Cybersecurity Culture, Through a Systems Thinking Approach
Abstract
Det norske helsevesenet er satt sammen av flere interagerende interessenter på forskjellige organisatoriske nivåer (nasjonalt, nasjonale profesjonelle, regionale og operasjonelle). Dette komplekse systemet blir kontinuerlig digitalisert igjennom flere nye teknologiske tiltak og sosiale strukturer. Som en konsekvens av økt mengde cyber angrep har informasjonssikkerhet blitt en større bekymring for sektoren. Denne oppgaven bruker konsepter som socio-technical systems, systems thinking, system dynamics og flere adferds teorier for å forstå systemets oppførsel. Disse teoriene bidrar til å diskutere informasjonssikkerhets problemer knyttet til informasjonssikkerhets kultur og problemenes effekt på forretningsinnretning blant de relevante interessentene. Igjennom relatert forskning og relevante tekster identifiseres interessenter, deres ansvarsområder, roller og interaksjonen mellom dem. Modelleringsteknikker kjent innenfor systems thinking blir benyttet, som causal loop modelling, stock and flow modelling for å undersøke systemet. Utover dette blir systemet og interaksjonene mellom interessenter simulert og resultatene diskutert.
Ved hjelp av modellere kan vi få innsikt i systemets unike egenskaper, finne meningsfulle sammenhenger, og identifisere faktorer som påvirker informasjonssikkerhets kultur. Videre kan simulering bidra til å observere og prediktere systemet over tid, mens man tar høyde for dens kompleksitet. Simuleringsmodellen er presentert som en «base case» for spesialist helsetjenesten, hvilket betyr at den kan bli forbedret ved å bli gitt detaljert informasjon. Simuleringen kan hjelpe interessenter i å identifisere kulturelle problemer og finne løsninger som forbedrer forretningsinnretning. Resultatene fra denne oppgaven viser hvordan nasjonale tiltak rettet mot den desentraliserte ledelses strukturen, nasjonale strategien og lovgivningen kan øke de regionale og profesjonelle aktørenes stilling i systemet. Dette kan øke det operasjonelle nivåets mulighet til å forbedre deres informasjonssikkerhets kultur. Ved å innrette alle aktørene kan man få en sektor som klarer å oppfylle sine målsetninger. The Norwegian Healthcare System (NHS) is composed of heterogeneous, interacting stakeholders with different roles at different societal levels (i.e. national, national professional, regional, and operational). This complex system is digitalizing at a rapid pace through a plethora of technological inventions and social structures. As a consequence of the system becoming the target of an increasing number of cyber attacks, cybersecurity has become one of its primary concerns. This paper adopts the socio-technical paradigm and employs concepts such as systems thinking, system dynamics, and various behavioral theories in order to understand the system's nonlinear behavior. This understanding will help us frame and discuss problems rooted in the cybersecurity culture of relevant stakeholders, as these issues lead to misalignment and the provision of inadequate cybersecurity. Through considering relevant documents and related work, this thesis investigates the system to identify the stakeholders, their responsibilities, and their relationships. Causal loop diagrams are used to visualize how different variables in the system are interrelated. Further, these diagrams are transformed into stock and flow diagrams in order to study the system quantitatively. Finally, we simulated the model of the system being studied and analyzed the results.
Modeling the system helps us understand the unique characteristics of the NHS, determine meaningful relations among its stakeholders, and identify the factors affecting its cybersecurity posture. Further, system dynamics simulation enables the observation and prediction of the system's state while considering the dynamics, complexities, and uncertainties that arise from incomplete and imperfect information in the system. Finally, it provides a base case of the NHS, which can be further improved upon if given more information. The simulation model can be used to aid decision makers in the system in order to find solutions for cybersecurity cultural problems, as well as align stakeholders to enhance cybersecurity resilience in the system. The results show that national level interventions that target the root issue of decentralized management, strategic direction, and legal frameworks could increase the influence of both national professional and regional level stakeholders. This increased influence would, in turn, increase the opportunity and willingness of operational stakeholders to increase capability development. Ultimately, the NHS' cybersecurity posture would enhance through developing solutions that target the culturally-rooted issues which lead to business misalignment.