Advanced

IT Dependability Management in Governmental Organisations

Weyns, Kim LU (2011) LU-CS-DISS:2011-4.
Abstract (Swedish)
Popular Abstract in Swedish

Hur kan svenska myndigheter förbereda sig för att hantera nästa kris när det gäller tillgängligheten av deras mest kritiska informationssystem? Det är den centrala frågan i denna avhandling.

Svenska myndigheter och kommuner har en central roll i det svenska krishanteringssystemet. Givetvis är svenska kommunala och statliga verksamheter väldigt beroende av IT-system. Sjukhus har till exempel patientinformation som journaler lagrade i IT-system och också andra verksamheter lagrar mer och mer information bara elektroniskt. Även kommunikationssystem, som fast och mobil telefoni eller e-post, är några av de mest kritiska IT-systemen för många olika verksamheter.

Eftersom dessa... (More)
Popular Abstract in Swedish

Hur kan svenska myndigheter förbereda sig för att hantera nästa kris när det gäller tillgängligheten av deras mest kritiska informationssystem? Det är den centrala frågan i denna avhandling.

Svenska myndigheter och kommuner har en central roll i det svenska krishanteringssystemet. Givetvis är svenska kommunala och statliga verksamheter väldigt beroende av IT-system. Sjukhus har till exempel patientinformation som journaler lagrade i IT-system och också andra verksamheter lagrar mer och mer information bara elektroniskt. Även kommunikationssystem, som fast och mobil telefoni eller e-post, är några av de mest kritiska IT-systemen för många olika verksamheter.

Eftersom dessa IT-system även behövs vid en krissituation är det viktigt att de är pålitliga, eller om de möjligtvis inte är det, att alternativa system finns tillgängliga (t.ex. i form av redundanta system, manuella rutiner eller regelbundna pappersutskrifter av kritisk data). Analysen av pålitligheten i samband med en kris är ibland mycket komplicerad. För det första kan ett systems tillgänglighet påverkas av en kris, till exempel av ett strömavbrott eller av att användningen ändras. Samtidigt kan också organisationens beroende av systemet öka under en kris och information som inte är viktig i normalläget kan bli kritisk under en kris. För att undvika att problem med IT-system förvärrar en pågående kris måste sådana beroenden analyseras noggrant i organisationens beredskapsarbete.

I den första, mer teoretiska delen av denna avhandling behandlas hur ändringar i användning av ett system kan påverka systemets pålitlighet. Detta studeras baserad på användningsmodeller och resultaten av denna studie har verifierats genom att tillämpa dem på en webbserver.

I huvuddelen av avhandlingen studeras hur svenska myndigheter idag hanterar problematiken av tillgängligheten av sina IT-system, även kallat informationssäkerhet. I en första studie med två kommuner visade det sig att ansvarsfördelningen mellan IT-avdelningen och alla andra verksamheter när det gäller informationssäkerhet ofta är ett problemområde. Om samarbetet mellan verksamheten och IT-avdelningen inte fungerar på ett tillfredsställande sätt, finns det en risk att ingen tar ansvar för informationssäkerheten och att denna typ av frågor inte hanteras innan en större incident inträffar.

För att förbättra samarbetsaspekten inom informationssäkerhet på ett strukturerat sätt krävs en processorienterad ansats. I denna avhandling föreslås en processförbättringsmodell, IDEM3 (IT Dependability in Emergency Management Maturity Model). Denna modell innehåller 22 faktorer som har identifierats som särskilt viktiga inom informationssäkerhet.

En första utvärdering av IDEM3 i samverkan med två sjukhus visade att detta ramverk kan hjälpa alla inblandade inom en organisation att tillsammans diskutera viktiga aspekter av informationssäkerhet och tydliggöra brister och förbättringsmöjligheter på ett översiktligt och lätthanterligt sätt. Detta kommer att öka organisationens krishanteringsförmåga, både genom att öka användarens medvetenhet om problem som kan uppstå med IT-systemen och genom att förbättra systemens pålitlighet för de system som är mest kritiska.

Ett annat sätt att förbättra kommunikationen mellan IT-personal och användare är genom att skriva tydliga Service Level Agreements (SLA). Ett SLA är ett kontrakt som skrivs mellan en användare av IT-system och en leverantör och innehåller det man kommit överens om angående systemets kvalitet och dess underhåll. Exempel på attribut som tas upp är tillgänglighet i termer av maximal tid under ett år som systemet får vara oanvändbart samt prestanda i termer av antalet samtidiga användare som systemet ska kunna klara av att hantera.

Någon form av SLA skrivs redan idag i många statliga och kommunala organisationer mellan IT-avdelningar och avdelningar som använder IT-system. En utvärdering av dessa SLA visade att många organisationer önskar bättre stöd för att skriva dessa SLA. Baserad på detta föreslås en mall för SLA som är speciell framtagen för kommuner och som fokuserar speciellt på informationssäkerhet. Denna mall finns nu tillgänglig genom MSB:s (Myndigheten för Samhällsskydd och Beredskap) hemsida om informationssäkerhet. (Less)
Abstract
As our dependence on IT systems increases, evaluating the dependability of critical IT systems becomes more important. This is especially true for systems that are critical in a crisis situation and whose dependability is an important factor in an organisation's capability to resolve a crisis. Because crisis situations are typically rare events, both the dependability and the criticality of IT systems during and after a crisis situation are hard to predict.



Part I of this thesis focuses on the analysis of the sensitivity of the reliability of IT systems to changes in their usage. A crisis typically changes the usage of an IT system, which in turn can influence the system's reliability. With the help of statistical... (More)
As our dependence on IT systems increases, evaluating the dependability of critical IT systems becomes more important. This is especially true for systems that are critical in a crisis situation and whose dependability is an important factor in an organisation's capability to resolve a crisis. Because crisis situations are typically rare events, both the dependability and the criticality of IT systems during and after a crisis situation are hard to predict.



Part I of this thesis focuses on the analysis of the sensitivity of the reliability of IT systems to changes in their usage. A crisis typically changes the usage of an IT system, which in turn can influence the system's reliability. With the help of statistical methods the effects of changing usage profiles, modelled through the use of Markov models, can be examined. After a theoretical derivation of the properties of different models for the usage of software systems, the results are validated by applying the models to the data collected from the logfiles of a webserver.



Swedish municipalities also depend more and more on IT systems for their daily work. Because of their important role in the relief coordination during and after a crisis, the dependability of their IT systems during these emergency situations is especially critical for Swedish society. The evaluation of this dependability requires the combination of two kinds of information: how critically needed the IT systems are in crisis situations and how trustworthy the critical systems are.



Part II of this thesis focuses on how two Swedish municipalities deal with these issues in practice. Exploratory case studies involving two municipalities show that an important part of the problem lies in the cooperation and communication between the different actors involved. The study shows a need for concrete methods that can assist governmental actors in assessing and improving the dependability of their IT systems and in integrating this information in their emergency planning.



For this purpose a maturity model for process improvement in this area was developed and evaluated. In the process of evaluating this maturity model a systematic mapping study on the evaluation of maturity models was also conducted.



Finally, a study on how Swedish municipalities use Service Level Agreements (SLA) to communicate about important aspects of information safety resulted in a practical template for internal SLA's specifically tailored for the needs of Swedish municipalities.



This thesis provides governmental organisations with tools to improve their IT dependability management. These tools are based on solid empirical studies, have been evaluated with the help of practitioners and are now ready for use and extended evaluation by governmental organisations. (Less)
Please use this url to cite or link to this publication:
author
supervisor
opponent
  • Professor Oivo, Markku, Department of Information Processing Science, University of Oulu, Finland
organization
publishing date
type
Thesis
publication status
published
subject
keywords
Dependability, IT management, Risk management, Information safety, Emergency management, Maturity models, Software reliability modelling, Service level agreements
volume
LU-CS-DISS:2011-4
pages
191 pages
publisher
Department of Computer Science, Lund University
defense location
Lecture hall E:1406, E-building, Ole Römers väg 3, Lund University Faculty of Engineering
defense date
2011-10-28 13:00
ISSN
1404-1219
ISBN
978-91-976939-5-0
project
FRIVA
language
English
LU publication?
yes
id
682a25bc-a111-4dcd-9c72-8bdc3e8c0a85 (old id 2166417)
date added to LUP
2011-10-03 12:24:42
date last changed
2016-09-19 08:44:49
@phdthesis{682a25bc-a111-4dcd-9c72-8bdc3e8c0a85,
  abstract     = {As our dependence on IT systems increases, evaluating the dependability of critical IT systems becomes more important. This is especially true for systems that are critical in a crisis situation and whose dependability is an important factor in an organisation's capability to resolve a crisis. Because crisis situations are typically rare events, both the dependability and the criticality of IT systems during and after a crisis situation are hard to predict.<br/><br>
<br/><br>
Part I of this thesis focuses on the analysis of the sensitivity of the reliability of IT systems to changes in their usage. A crisis typically changes the usage of an IT system, which in turn can influence the system's reliability. With the help of statistical methods the effects of changing usage profiles, modelled through the use of Markov models, can be examined. After a theoretical derivation of the properties of different models for the usage of software systems, the results are validated by applying the models to the data collected from the logfiles of a webserver. <br/><br>
<br/><br>
Swedish municipalities also depend more and more on IT systems for their daily work. Because of their important role in the relief coordination during and after a crisis, the dependability of their IT systems during these emergency situations is especially critical for Swedish society. The evaluation of this dependability requires the combination of two kinds of information: how critically needed the IT systems are in crisis situations and how trustworthy the critical systems are.<br/><br>
<br/><br>
Part II of this thesis focuses on how two Swedish municipalities deal with these issues in practice. Exploratory case studies involving two municipalities show that an important part of the problem lies in the cooperation and communication between the different actors involved. The study shows a need for concrete methods that can assist governmental actors in assessing and improving the dependability of their IT systems and in integrating this information in their emergency planning.<br/><br>
<br/><br>
For this purpose a maturity model for process improvement in this area was developed and evaluated. In the process of evaluating this maturity model a systematic mapping study on the evaluation of maturity models was also conducted.<br/><br>
<br/><br>
Finally, a study on how Swedish municipalities use Service Level Agreements (SLA) to communicate about important aspects of information safety resulted in a practical template for internal SLA's specifically tailored for the needs of Swedish municipalities.<br/><br>
<br/><br>
This thesis provides governmental organisations with tools to improve their IT dependability management. These tools are based on solid empirical studies, have been evaluated with the help of practitioners and are now ready for use and extended evaluation by governmental organisations.},
  author       = {Weyns, Kim},
  isbn         = {978-91-976939-5-0},
  issn         = {1404-1219},
  keyword      = {Dependability,IT management,Risk management,Information safety,Emergency management,Maturity models,Software reliability modelling,Service level agreements},
  language     = {eng},
  pages        = {191},
  publisher    = {Department of Computer Science, Lund University},
  school       = {Lund University},
  title        = {IT Dependability Management in Governmental Organisations},
  volume       = {LU-CS-DISS:2011-4},
  year         = {2011},
}