Alignment of cyber risk management in the maritime domain

Abstract

Den maritime industrien utvikler seg raskt mot digitalisering og autonomi. Utviklingen drives av nye teknologier, nye miljøkrav, økende transportmengder og mangel på arbeidskraft. Med digital utvikling øker behovet for bedre cybersikkerhet- og risikostyring. Målet med denne masteroppgaven er å få innsikt i cybersikkerhet i det maritime domene, med et spesielt fokus på alignment av risikostyring. Forskningsspørsmålet er derfor: Hva er de viktigste byggestenene for å oppnå alignment mellom mellomledere og cyberansatte?

Vi har valgt en singel casestudie som forskningsdesign for å besvare forskningsspørsmålet. Case-organisasjonen er en stor, maritim teknologiorganisasjon. Vi har utført dybdeintervjuer med fem mellomledere og tre ansatte innen cybersikkerhet. Disse intervjuene ble analysert gjennom en «within case» og «cross-case»-strategi. Målet med intervjuene var å identifisere mulige alignments eller misalignments mellom de to gruppene.

Vi fant at ansvaret for cybersikkerhet og teknologiske kontrolltiltak i hovedsak er sett på som en silo tilhørende IT-avdelingen. Fra mellomledernes perspektiv er cyber-risikostyring teknologiske kontrolltiltak og overholdelse av retningslinjer, mens fra cyberansattes perspektiv er det et behov for å internalisere cybersikkerhetsatferd. Videre fant vi at organisasjonskultur og delt domenekunnskap er viktige byggestener for alignment. Disse påvirker igjen atferd, awareness og kommunikasjon. Sammen vil disse forbedre alignment mellom mellomledere og cyberprofesjonelle. I tillegg er mellomledere viktige mellomledd, da de kan bygge bro mellom cyberprofesjonelle og resten av organisasjonen.

The maritime industry is rapidly transitioning to digitalization and autonomation. New technologies, new environmental regulations, increasing transport volumes and shortage of workforce is driving the development. With digital development comes an increasing need for better cybersecurity and cyber risk management. The purpose of this thesis is therefore to gain insight into cybersecurity in the maritime domain with an emphasis on alignment of risk management efforts. Our research question is therefore: What are the most important building blocks for achieving alignment between middle managers and cyber professionals?

To answer this question, we chose a single case study research design. The case-organization is a large, maritime technology organization. We have performed in-depth interviews with five middle managers and three cyber professionals. These interviews were analyzed through a within-case and cross-case analysis. The goal of the interviews was to identify potential alignments and misalignments between the two groups.

We found that the responsibility of cybersecurity and technological control is mainly viewed as a siloed part of the IT department. From middle managers’ view, cyber risk management is technological controls and compliance, while from the cyber professionals’ view, there is a need for internalization of cybersecurity behaviors. To leverage this alignment, we found organizational culture and shared domain knowledge to be the most important building block. These will in turn influence behavior, awareness and communication. Together, these will improve alignment between middle managers and cyber professionals. In addition, middle managers are important intermediaries, as they can bridge the gap between cyber professionals and the organization.