Informasjonssikkerhetsledelse og klinisk arbeidsflyt i helsesektoren : en case-studie ved Sørlandet sykehus HF (SSHF)

Masteroppgave informasjonssystemer IS501 - Universitetet i Agder 2019Masteroppgavenomhandlerinformasjonssikkerhet og informasjonssikkerhetsledelse(ISM)i en kontekst av helsesektoren, med problemstilling:“Konflikter mellom informasjonssikkerhetsledelseog arbeidsflyt i norsk helsesektor”.Bakgrunn og motivasjon for oppgaven varinnledningsvisbasertpå interesse for feltet informasjonssikkerhet.Det ønsket vi åforske på gjennom helsesektoren, ettersom dette er enåpenbarsamfunnskritiskfunksjon med svært sensitive persondatasom må beskyttes. Dette førte videre til at vikontaktet Sørlandet sykehus Helseforetak (SSHF) med forespørsel om å foretadatainnsamling.Denne masterutredningen omtales derforsom en case-studie ved SSHF.Denne studienavgrenses til informasjonssikkerhetsledelse i norsk offentlig helsesektor hvor viutelukkende samler data ved SSHF sominstans. Innenfor instansen har vi igjen avgrenset oss til å samle data ved to avdelinger, henholdsvis avdeling for teknologi og e-helse (TEH), samtintensiv enhet(IE). I sammenheng med kvalitativt intervju består respondentene avsentrale ledere ved TEH oget utvalg helsepersonell fra IE v/Kristiansand. Forskningsstrategien vår har bestått av det vi kaller kombinerte metoder;ien kombinasjon av kvalitativ og kvantitativ forskningsmetodikk. Vi har vurdert det som hensiktsmessig å først legge et empirisk grunnlag gjennom kvalitativ datainnsamling under intervjuer og dokumentasjon, for så å deretter kunne samle inn mer beviselige kvantitative data gjennom et anonymt spørreskjema. Til utforming av spørreundersøkelse og distribuering av spørreskjema har vi brukt SurveyXact. Under datainnsamling forforskningslitteratur har vi utarbeideten egen litteraturstudie som har somen del avinnledende forskning til masteroppgaven. I denne litteraturstudien fokuserte vi på å innhente teori fra empiriske studier, fagfellevurderte forskningsartikler og anerkjente tidsskrifter innenfagfeltetinformasjonssystemer, med fokus på informasjonssikkerhetsledelse i helsesektor.Vi utarbeideten konseptmatrise med fokus på arbeidsflyt, samt hvilke praksiser for informasjonssikkerhet organisasjoner følger, med fokus på formell, uformell og teknisk sikkerhetspraksis. Herunder var opplæring av ansatte, formelle retningslinjer, kultur, tillit, EPJ-systemer og tilgangsstyring de underliggende konseptene vi valgte å fokusere på i litteraturen.Vi fikk tidlige indikasjoner gjennom forskningslitteraturog forstudier på at blant annettilgangsstyring og autentisering kan være en viktig faktor, som deriblant kan føre til interessekonflikter mellom hensyn tilinformasjonssikkerheten og arbeidsflyten til de ansatte. Somartikkelen«The authentication dilemma» av Wiercioch, Teufel & Teufel (2018)påpeker: «Several studies have shown that users consciously refrain from using security measures because they rate practicability higher than security[...]From a user's perspective, the cost of strong passwords outweighs the potential benefits or protection from potential attack»(Wiercioch, Teufel & Teufel, 2018, s. 278).Et av våre hovedfunn bygger på at det foreligger 96 % enighet om at det er mer positivt enn negativt med elektronisk rapportering, både for behandling av pasient og sikring av pasientdata. På grunnlag av dette kan vi med høy sannsynlighet konkludere at EPJ-systemet er kommet for å bli i organisasjonen, og at «DIPS» gjør en god jobb med å understøtte klinikernes arbeidsprosesser. Videre viser resultater fra undersøkelsen til 78 % enighet om at responstiden for arbeidsstasjoner i mer eller mindre grad er iiidårlig. Respons fra intervjuer med klinikere indikerer at arbeidsstasjonene med dårlig responstid opptar store deler av arbeidsdagen for enkelte.Resultatene fra spørreundersøkelsen viser at 65 % av respondentene opplever at de må logge ut andre fra EPJ-systemene flere ganger i uken, mens 85 % av respondentene opplever å måtte logge ut andre fra arbeidsstasjoner flere ganger i uken. Majoriteten av klinikere i undersøkelsen er fornøyd med kvaliteten på opplæringen innen informasjonssikkerhet. Utredningenhar som formål åbidra med å fylle et tomrom innen forskingslitteraturen når det kommer tilforvaltning av teknologi ogsikring av informasjoni helsesektor

Secure, Efficient and Privacy-aware Framework for Unstructured Peer-to-Peer Networks

Recently, the advances in Ubiquitous Computing networks and the increased computational power of network devices have led designers to create more flexible distributed network models using decentralised network management systems. Security, resilience and privacy issues within such distributed systems become more complicated while important tasks such as routing, service access and state management become increasingly challenging. Low-level protocols over ubiquitous decentralised systems, which provide autonomy to network nodes, have replaced the traditional client-server arrangements in centralised systems. Small World networks represent a model that addresses many existing challenges within Ubiquitous Computing networks. Therefore, it is imperative to study the properties of Small World networks to help understanding, modelling and improving the performance, usability and resiliency of Ubiquitous Computing networks. Using the network infrastructure and trusted relationships in the Small World networks, this work proposes a framework to enhance security, resilience and trust within scalable Peer-to-Peer (P2P) networks. The proposed framework consists of three major components namely network-aware topology construction, anonymous global communication using community trust, and efficient search and broadcasting based on granularity and pro-active membership management. We utilise the clustering co-efficient and conditional preferential attachment to propose a novel topology construction scheme that organises nodes into groups of trusted users to improve scalability. Network nodes communicate locally without advertising node identity at a global scale, which ensures user anonymity. The global communication is organised and facilitated by Service Centres to maintain security, privacy and integrity of member nodes. Service Centres are allocated using a novel leader election mechanism within unstructured scalable P2P networks. This allows providing fair and equitable access for existing and new nodes without having to make complex changes to the network topology. Moreover, the scale-free and clustering co-efficient characteristics of Small World networks help organising the network layout to maintain its balance in terms of the nodes distribution. Simulation results show that the proposed framework ensures better scalability and membership management in unstructured P2P networks, and improves the performance of the search and broadcasting in terms of the average shortest path and control overhead while maintaining user anonymity and system resiliency

Informasjonssikkerhetsledelse og klinisk arbeidsflyt i helsesektoren : en case-studie ved Sørlandet sykehus HF (SSHF)

Masteroppgavenomhandlerinformasjonssikkerhet og informasjonssikkerhetsledelse(ISM)i en kontekst av helsesektoren, med problemstilling:“Konflikter mellom informasjonssikkerhetsledelseog arbeidsflyt i norsk helsesektor”.Bakgrunn og motivasjon for oppgaven varinnledningsvisbasertpå interesse for feltet informasjonssikkerhet.Det ønsket vi åforske på gjennom helsesektoren, ettersom dette er enåpenbarsamfunnskritiskfunksjon med svært sensitive persondatasom må beskyttes. Dette førte videre til at vikontaktet Sørlandet sykehus Helseforetak (SSHF) med forespørsel om å foretadatainnsamling.Denne masterutredningen omtales derforsom en case-studie ved SSHF.Denne studienavgrenses til informasjonssikkerhetsledelse i norsk offentlig helsesektor hvor viutelukkende samler data ved SSHF sominstans. Innenfor instansen har vi igjen avgrenset oss til å samle data ved to avdelinger, henholdsvis avdeling for teknologi og e-helse (TEH), samtintensiv enhet(IE). I sammenheng med kvalitativt intervju består respondentene avsentrale ledere ved TEH oget utvalg helsepersonell fra IE v/Kristiansand. Forskningsstrategien vår har bestått av det vi kaller kombinerte metoder;ien kombinasjon av kvalitativ og kvantitativ forskningsmetodikk. Vi har vurdert det som hensiktsmessig å først legge et empirisk grunnlag gjennom kvalitativ datainnsamling under intervjuer og dokumentasjon, for så å deretter kunne samle inn mer beviselige kvantitative data gjennom et anonymt spørreskjema. Til utforming av spørreundersøkelse og distribuering av spørreskjema har vi brukt SurveyXact. Under datainnsamling forforskningslitteratur har vi utarbeideten egen litteraturstudie som har somen del avinnledende forskning til masteroppgaven. I denne litteraturstudien fokuserte vi på å innhente teori fra empiriske studier, fagfellevurderte forskningsartikler og anerkjente tidsskrifter innenfagfeltetinformasjonssystemer, med fokus på informasjonssikkerhetsledelse i helsesektor.Vi utarbeideten konseptmatrise med fokus på arbeidsflyt, samt hvilke praksiser for informasjonssikkerhet organisasjoner følger, med fokus på formell, uformell og teknisk sikkerhetspraksis. Herunder var opplæring av ansatte, formelle retningslinjer, kultur, tillit, EPJ-systemer og tilgangsstyring de underliggende konseptene vi valgte å fokusere på i litteraturen.Vi fikk tidlige indikasjoner gjennom forskningslitteraturog forstudier på at blant annettilgangsstyring og autentisering kan være en viktig faktor, som deriblant kan føre til interessekonflikter mellom hensyn tilinformasjonssikkerheten og arbeidsflyten til de ansatte. Somartikkelen«The authentication dilemma» av Wiercioch, Teufel & Teufel (2018)påpeker: «Several studies have shown that users consciously refrain from using security measures because they rate practicability higher than security[...]From a user's perspective, the cost of strong passwords outweighs the potential benefits or protection from potential attack»(Wiercioch, Teufel & Teufel, 2018, s. 278).Et av våre hovedfunn bygger på at det foreligger 96 % enighet om at det er mer positivt enn negativt med elektronisk rapportering, både for behandling av pasient og sikring av pasientdata. På grunnlag av dette kan vi med høy sannsynlighet konkludere at EPJ-systemet er kommet for å bli i organisasjonen, og at «DIPS» gjør en god jobb med å understøtte klinikernes arbeidsprosesser. Videre viser resultater fra undersøkelsen til 78 % enighet om at responstiden for arbeidsstasjoner i mer eller mindre grad er iiidårlig. Respons fra intervjuer med klinikere indikerer at arbeidsstasjonene med dårlig responstid opptar store deler av arbeidsdagen for enkelte.Resultatene fra spørreundersøkelsen viser at 65 % av respondentene opplever at de må logge ut andre fra EPJ-systemene flere ganger i uken, mens 85 % av respondentene opplever å måtte logge ut andre fra arbeidsstasjoner flere ganger i uken. Majoriteten av klinikere i undersøkelsen er fornøyd med kvaliteten på opplæringen innen informasjonssikkerhet. Utredningenhar som formål åbidra med å fylle et tomrom innen forskingslitteraturen når det kommer tilforvaltning av teknologi ogsikring av informasjoni helsesektor