IT Dependability Management in Governmental Organisations

Detta är en avhandling från Department of Computer Science, Lund University

Författare: Kim Weyns; Lunds Universitet.; Lund University.; [2011]

Nyckelord: NATURVETENSKAP; NATURAL SCIENCES; Dependability; IT management; Risk management; Information safety; Emergency management; Maturity models; Software reliability modelling; Service level agreements;

Sammanfattning: Popular Abstract in Swedish Hur kan svenska myndigheter förbereda sig för att hantera nästa kris när det gäller tillgängligheten av deras mest kritiska informationssystem? Det är den centrala frågan i denna avhandling. Svenska myndigheter och kommuner har en central roll i det svenska krishanteringssystemet. Givetvis är svenska kommunala och statliga verksamheter väldigt beroende av IT-system. Sjukhus har till exempel patientinformation som journaler lagrade i IT-system och också andra verksamheter lagrar mer och mer information bara elektroniskt. Även kommunikationssystem, som fast och mobil telefoni eller e-post, är några av de mest kritiska IT-systemen för många olika verksamheter. Eftersom dessa IT-system även behövs vid en krissituation är det viktigt att de är pålitliga, eller om de möjligtvis inte är det, att alternativa system finns tillgängliga (t.ex. i form av redundanta system, manuella rutiner eller regelbundna pappersutskrifter av kritisk data). Analysen av pålitligheten i samband med en kris är ibland mycket komplicerad. För det första kan ett systems tillgänglighet påverkas av en kris, till exempel av ett strömavbrott eller av att användningen ändras. Samtidigt kan också organisationens beroende av systemet öka under en kris och information som inte är viktig i normalläget kan bli kritisk under en kris. För att undvika att problem med IT-system förvärrar en pågående kris måste sådana beroenden analyseras noggrant i organisationens beredskapsarbete. I den första, mer teoretiska delen av denna avhandling behandlas hur ändringar i användning av ett system kan påverka systemets pålitlighet. Detta studeras baserad på användningsmodeller och resultaten av denna studie har verifierats genom att tillämpa dem på en webbserver. I huvuddelen av avhandlingen studeras hur svenska myndigheter idag hanterar problematiken av tillgängligheten av sina IT-system, även kallat informationssäkerhet. I en första studie med två kommuner visade det sig att ansvarsfördelningen mellan IT-avdelningen och alla andra verksamheter när det gäller informationssäkerhet ofta är ett problemområde. Om samarbetet mellan verksamheten och IT-avdelningen inte fungerar på ett tillfredsställande sätt, finns det en risk att ingen tar ansvar för informationssäkerheten och att denna typ av frågor inte hanteras innan en större incident inträffar. För att förbättra samarbetsaspekten inom informationssäkerhet på ett strukturerat sätt krävs en processorienterad ansats. I denna avhandling föreslås en processförbättringsmodell, IDEM3 (IT Dependability in Emergency Management Maturity Model). Denna modell innehåller 22 faktorer som har identifierats som särskilt viktiga inom informationssäkerhet. En första utvärdering av IDEM3 i samverkan med två sjukhus visade att detta ramverk kan hjälpa alla inblandade inom en organisation att tillsammans diskutera viktiga aspekter av informationssäkerhet och tydliggöra brister och förbättringsmöjligheter på ett översiktligt och lätthanterligt sätt. Detta kommer att öka organisationens krishanteringsförmåga, både genom att öka användarens medvetenhet om problem som kan uppstå med IT-systemen och genom att förbättra systemens pålitlighet för de system som är mest kritiska. Ett annat sätt att förbättra kommunikationen mellan IT-personal och användare är genom att skriva tydliga Service Level Agreements (SLA). Ett SLA är ett kontrakt som skrivs mellan en användare av IT-system och en leverantör och innehåller det man kommit överens om angående systemets kvalitet och dess underhåll. Exempel på attribut som tas upp är tillgänglighet i termer av maximal tid under ett år som systemet får vara oanvändbart samt prestanda i termer av antalet samtidiga användare som systemet ska kunna klara av att hantera. Någon form av SLA skrivs redan idag i många statliga och kommunala organisationer mellan IT-avdelningar och avdelningar som använder IT-system. En utvärdering av dessa SLA visade att många organisationer önskar bättre stöd för att skriva dessa SLA. Baserad på detta föreslås en mall för SLA som är speciell framtagen för kommuner och som fokuserar speciellt på informationssäkerhet. Denna mall finns nu tillgänglig genom MSB:s (Myndigheten för Samhällsskydd och Beredskap) hemsida om informationssäkerhet.

  KLICKA HÄR FÖR ATT SE AVHANDLINGEN I FULLTEXT. (PDF-format)