Endringsledelse for økt informasjonssikkerhet

Abstract

Digitalisering gjør oss mer sårbare, derfor er det viktig at norske virksomheter tar informasjonssikkerhet på alvor. Spesielt med det digitale trusselbildet vi står ovenfor nå. Økende bruk og avhengighet til teknologi og digital infrastruktur gir trusselaktører nye metoder og virkemidler for å kunne sabotere, spionere eller påvirke våre demokratiske prosesser. Informasjonssikkerhet er et ansvar alle ansatte har i en virksomhet. Skal man henge med i teknologiens utvikling og samtidig ta hensyn til et skiftende trusselbilde, vil dette kreve kontinuerlig endring av norske virksomheter.

Hensikten med denne studien har vært å undersøke hvordan endringsledelse kan bidra til økt informasjonssikkerhet. Dette er også er oppgavens problemstilling. Gjennom å besvare følgende to forskningsspørsmål skal oppgaven kunne gi svar på problemstillingen: (1) Hvordan opplevde ansatte virkemidlene innen endringsledelse som ble brukt, og hva mener de kunne vært forbedret? (2) Hvordan kan virksomheten bruke virkemidlene på best mulig måte i en endringsprosess knyttet til informasjonssikkerhet?

Oppgavens teoretiske grunnlag sentrerer seg rundt litteraturen til Kotter (1996) og Lewin (1947), men også nyere litteratur om organisasjonsteori, endring, endringsledelse og endringsmotstand fra blant annet Schiefloe (2021), Amundsen & Kongsvik (2016), Jacobsen & Thorsvik (2016) og Klev & Levin (2009). I tillegg vil oppgaven se på litteraturen til Kotter (2012) i lys av typiske trekk for norsk arbeidsliv og samtidig nyansere begrepet endringsmotstand som ofte blir betraktet kun som noe negativt.

Oppgaven er en casestudie som tar utgangspunkt i en endringsprosess hos Norsk helsenett (NHN). Hensikten med endringsprosessen var økt informasjonssikkerhet gjennom å innføre teknologi som ga bedre kontroll på privilegerte brukerkontoer med administrative tilgangsrettigheter. I studien har jeg brukt kvalitativ forskningsmetode og gjennomført dybdeintervjuer med åtte ansatte som var involvert i endringsprosessen.

Studien viser at kvalitet i endringsledelse er en viktig suksessfaktor i endringsprosesser som skal gi økt informasjonssikkerhet. Funnene i oppgaven som omhandler kommunikasjon, felles forståelse, forankring, medvirkning og fjerning av hindringer, er utfordringer knyttet til mennesker og organisasjon. Innføring av ny teknologi som skal gi økt informasjonssikkerhet, vil ikke løse noen av disse utfordringene. Dette gjør at endringsprosesser som skal gi økt informasjonssikkerhet, må ses på som organisasjonsutvikling på lik linje som innføring av ny teknologi. Endringsmodellene til Lewin og Kotter kan være nyttige hjelpemidler, men de gir ingen garantier for suksess. Selv om modellene er sekvensielle, inneholder de punkter som må betraktes som kontinuerlige prosesser. Dette gjelder spesielt arbeidet med forankring.

Given today's digital threat landscape, information security is no longer an option for Norwegian businesses. Increased digitization makes us more susceptible to attacks, both through greater reliance on technology and digital infrastructure, and by providing new avenues for threat actors to disrupt, gather information, or influence democratic processes. Information security is a responsibility that falls on all employees in a business. To meet the constant development in technology and an ever-changing threat landscape, this will require continuous change of Norwegian businesses.

The purpose of this study has been to examine how change management can contribute to increased information security. To answer this thesis, this study addresses the following research questions: (1) How did employees experience different aspects of change management and what could have been improved? (2) How can a business use change management successfully in a change process that aims to improve information security?

The theoretical framework for the thesis centers around the literature from Kotter (1996) and Lewin (1947), but also more recent literature on organizational theory, change, change management and resistance to change, from authors like Schiefloe (2021), Amundsen & Kongsvik (2016), Jacobsen & Thorsvik (2016) and Klev & Levin (2009). In addition, this study will take a look at the literature from Kotter (2012) compared to typical characteristics for Norwegian working life, and nuance the concept of resistance to change, which is often considered only as something negative.

The assignment is a case study that examines a change process carried out at Norsk helsenett (NHN). The purpose of the change process was to increase information security by implementing a technology that gave better control over privileged user accounts with administrative rights. This study has a qualitative research method, where in-depth interviews were conducted with eight employees who were involved in the change process.

The study shows that quality in change management is an important success factor in change processes that aims to strengthen information security. Key findings that involve communication, common understandings and perspectives, securing commitment, participation and removing obstacles, are challenges related to humans and organization. Implementation of a new technology will not solve any of these challenges. This means that change processes that seek to strengthen information security must be considered as an organizational development, in the same way as a process for implementing new technology. The change models of Lewin and Kotter can be useful aids, but they offer no guarantee of success. Although the models are sequential, some of their steps must be considered as continuous processes.