Hva kan vi lære av høypålitelige organisasjoner? En kvalitativ studie av HRO-prinsippenes relevans for strategisk krisehåndtering

Abstract

Tema for denne oppgaven er strategisk krisehåndtering i et organisasjonsperspektiv. Oppgaven ønsker å svare på følgende problemstilling: Hvilken relevans har HRO-prinsippene for å forbedre strategisk krisehåndtering? I tilknytning til problemstilling er det utviklet to forskningsspørsmål: 1. Hvilke spesifikke HRO-prinsipper er mest relevante for å håndtere IKT-sikkerhetshendelser på strategisk nivå? 2. Hvordan kan strategisk nivå i en organisasjon benytte HRO-prinsippene i fredstid for å øke krisehåndteringsevnen. Bakgrunn for valg av tema er vår opplevelse av at det eksisterer lite relevant forskning på strategisk krisehåndtering i møtet med avanserte trusler innen IKT. Med en økende grad av digitalisering, og et tilspisset sikkerhetsklima med økende bruk av hybride trusler, har oppgavens tema aktuell relevans. Oppgaven ser til teorien om high reliability organizations (HRO), og benytter Weick & Sutcliffes (2015) fem prinsipper for HRO-organisasjoner som teoretisk rammeverk. Oppgaven redegjør også for sentrale begreper innen samfunnssikkerhet, organisasjonsteori og krisehåndtering. Oppgaven benytter kvalitativ metode med et fenomenologisk forskningsdesign. Studiens undersøkelse gjennomføres som kvalitative, semistrukturerte intervjuer med fem informanter. Innsamlet data er kodet og kategorisert i henhold til tematisk analyse. Funn fra de kvalitative intervjuene er sammenstilt i seks overordnede kategorier, som hver representerer en utfordring ved strategisk krisehåndtering. Utfordringene er knyttet til strategisk beslutningstaking, tidsaspektet i kriser, det å danne et helhetlig situasjonsbilde, informasjonsflyt, organisering av krisehåndtering og toppledere som krisehåndterere. I oppgavens drøfting benyttes de fem HRO-prinsippene for å se på deres relevans for strategisk krisehåndtering. Hvert prinsipp er drøftet separat, der det ses på relevansen for å forbedre forhold knyttet til de utfordringene som er kartlagt. Som gjennomgående tema i drøftingen brukes organisasjoners håndtering av IKT-sikkerhetshendelser. Oppgavens konklusjon argumenter for at samtlige av HRO-prinsippene har elementer ved seg som har relevans for strategisk krisehåndtering, men at dette vil være avhengig av kontekst. Prinsippene har både forberedende og håndterende dimensjoner, og har elementer ved seg som kan bidra inn i organisering av strategisk krisehåndtering, samt øving og trening. Prinsippene har relevans for flere av nivåene i en organisasjon. Strategisk krisehåndtering må ses i sammenheng med både interne og eksterne forhold, og har en gjensidig avhengighet til taktisk og operativt nivå.The topic of this thesis is an organizational perspective on strategic crisis management. The thesis aims to answer the following research question: What relevance do the HRO-principles have for improving strategic crisis management? In connection with the research question, two sub-research questions have been developed: 1. Which specific HRO-principles are most relevant for handling ICT-security incidents at a strategic level? 2. How can the strategic level of an organization use HRO-principles in peacetime to enhance crisis management capabilities? The background for choosing this topic is our perception that there is limited relevant research on strategic crisis management in the context of advanced ICT-threats. With the increasing degree of digitalization and a heightened security climate with the growing use of hybrid threats, the topic of this thesis is highly relevant. The thesis draws on the theory of high reliability organizations (HRO) and uses Weick & Sutcliffe’s (2015) five principles for HRO-organizations as a theoretical framework. The thesis also explains key concepts within societal security, organizational theory, and crisis management. The thesis employs a qualitative method with a phenomenological research design. The study’s investigation is conducted through qualitative, semi-structured interviews with five informants. The collected data is coded and categorized according to thematic analysis. The findings from the qualitative interviews are organized into six categories, each representing a challenge of strategic crisis management. These challenges are related to strategic decision-making, the time aspect in crises, forming a comprehensive situational picture, information flow, organizing crisis management and top management as crisis managers. In the discussion section of the thesis, the five HRO-principles are used to examine their relevance for strategic crisis management. Each principle is discussed separately, focusing on how they can help address the challenges identified. A recurring theme in the discussion is the management of ICT-security-incidents by organizations. The conclusion of the thesis argues that all the HRO-principles contain elements that are relevant to strategic crisis management, but this relevance depends on the context. The principles have both preparatory and handling dimensions and contain elements that can contribute to the organization of strategic crisis management, as well as exercises and training. The principles are relevant to multiple levels within an organization. Strategic crisis management must be seen in relation to both internal and external factors and has a reciprocal dependence on tactical and operational levels