A study of the Chief Information Security Officer in hospital trusts in Norway

Abstract

Digitaliseringen I helsesektoren vokser raskt, og det er viktig å sikre at informasjonen er tilgjengelig, konfidensiell og har integritet. Sykehusene er avhengig av digitale systemer i pasientbehandling og daglig drift, og denne avhengigheten gjør informasjonssikkerhet, digital sikkerhet og cyber sikkerhet, samlet omtalt som informasjonssikkerhet i denne studien, til en viktig del av helsevesenet. Alle sykehusforetak i Norge har en informasjonssikkerhetsleder, i denne oppgaven omtalt som Chief Information Security Officer (CISO), som har som oppgave å sørge for at pasientinformasjon er sikker og tilgjengelig for helsepersonell ved behov. Det ser ut til å mangle empiriske data på hva en CISO på et sykehus faktisk gjør i sin daglige jobb, og hvilke refleksjoner en utførende CISO gjør i henhold til informasjonssikkerhetsmiljøet. Målet med denne forskningen er å undersøke CISO-rollen i sykehusene, og gi interessenter informasjon som kan brukes til å evaluere rollen og forbedre arbeidet med infomasjonssikkerhet i helsesektoren, spesielt i sykehusforetakene, men også mellom aktørene i helseregionene. Studien har en kvalitativ tilnærming og data samles inn gjennom intervjuer med ni CISOer i sykehusforetakene. Det teoretiske grunnlaget omfatter beskrivelse av begrepene informasjonssikerhet, digital sikkerhet og cybersikkerhet, og litteraturfunn om rollen som CISO. Konklusjonen av forskningen er at CISOene i sykehusforetakene i Norge ikke finner tid til å jobbe nok med de oppgavene de finner viktigst. De fleste CISOene er involvert i operative oppgaver, som prosjekter, svare på ad-hoc-spørsmål og risikovurderinger, noe som hindrer dem i å utføre arbeid på et høyere nivå, som for eksempel strategisk arbeid, revisjoner og å kommunisere med organisasjonen for å bygge bevissthet og informasjonssikkerhetskultur, ikke planlegging av kontinuitet i driften hvis en hendelse oppstår. Hver region har et informasjonssikkerhetsforum, og forskningen viser ulikheter i forhold til hva som blir diskutert, hvem som deltar og hvor ofte møtene blir holdt. Forskningen indikerer også at samarbeidet med andre viktige partnere om informasjonssikkerhet innen sykehuset avhenger av posisjon i organisasjonsstrukturen og/ eller fysisk plassering.

The digitization in the health sector grows rapidly, and it is vital to secure availability, confidentiality and integrity of the information. The hospitals are dependent on digital systems in patient care and daily operations, and this dependency makes information security, digital security and cyber security, collectively referred to as information security within this study, an important aspect of the health care. All hospital trusts in Norway have a Chief Information Security Officer (CISO) with the role to make sure that patient information is secure and available to the health care workers when needed. There is a lack of empirical data on what a Chief Information Security Officer in a hospital actually does in his day-to-day job, and what reflections a performing CISO does according to the information security environment. The objective of this research is to investigate the CISO role in the hospitals, and give stakeholders information that can be used to evaluate the role and improve the work on information security in the health sector, especially in the hospital trusts but also between the actors in the health regions. The study has a qualitative approach, as data are collected through interviews with nine Chief Information Security Officers in the hospital trusts. The theoretical foundation includes clarification of the terms information security and digital security, and literature findings on the Chief Information Security Officer role. The conclusion of the research is that the CISOs in the hospital trusts in Norway don’t find time to work enough on the tasks they find most important. Most of the CISOs are involved in operational tasks, such as projects, answers ad-hoc question and evaluates risk assessments, which prevents them to do work on a more high level, such as strategical work, audits and revisions, and communicate with the organization to build awareness of information security and an information security culture. The focus is mostly on preventing an unwanted incident, not preparing for business continuity in case an unwanted incident happens. Each region have an information security forum, and the research show differences in the forums in regard of what is discussed, who participates and how often the meetings are held. The research also indicate that the cooperation with other important partners regarding information security within the hospital depends on position in the organizational structure and/or physical location.