UPPSATS Riskhantering f r molnbaserade aff...
Transcript of UPPSATS Riskhantering f r molnbaserade aff...
KANDID
ATUPPSA
TS
Affärssystemprogrammet, 180hp
Riskhantering för molnbaserade affärssystem
En studie om hur organisationer hanterar riskersom kan uppkomma i samband med användandetav molnbaserade affärssystem
Annie Gabrielsson och Lisa Johansson
Informatik 15hp
2017-08-14
Riskhantering för molnbaserade affärssystem
En studie om hur organisationer hanterar risker som kan uppkomma i
samband med användandet av molnbaserade affärssystem
Kandidatuppsats 2017 Maj
Författare: Annie Gabrielsson & Lisa Johansson
Handledare: Ann Svensson & Ewa Zimmerman
Examinator: Michel Thomsen & Maria Åkesson
Sektionen för informationsvetenskap, data-‐ och elektroteknik Högskolan i Halmstad
Box 823, 301 18 HALMSTAD
I
© Copyright Annie Gabrielsson & Lisa Johansson, 2017. All rights reserved Kandidatuppsats Rapport, IDE11XX Sektionen för informationsvetenskap, data-‐ och elektroteknik Högskolan i Halmstad ISSN xxxxx
II
Förord Vi vill först och främst tacka alla personer som möjliggjort arbetet med vår kandidatuppsats. Ett stort tack till alla respondenter som har tagit sig tid till att svara på våra intervjufrågor och givit oss ett trevligt bemötande. Era erfarenheter och berättelser har varit avgörande för studiens resultat. Vi vill även tacka våra handledare Ann Svensson och Ewa Zimmerman som under processens gång har varit engagerade och gett oss stöd. Era värdefulla kommentarer har varit till stor hjälp och motiverat oss. Slutligen vill vi tacka varandra för ett bra samarbete och en lärorik uppsatsprocess. Halmstad, maj 2017. Annie Gabrielsson Lisa Johansson ____________________________________ ____________________________________
IV
Abstrakt Idag finns affärssystem tillgängliga som molntjänster som innebär att en leverantör tillhandahåller ett affärssystem som en tjänst som hyrs ut till organisationer via internet. Molnbaserade affärssystem kan föra med sig fördelar men det kan även uppkomma risker i samband med användandet av systemet. En av de största anledningarna till att organisationer tvekar på att anskaffa molnbaserade affärssystem är riskerna som kan uppkomma. Risker kan inte elimineras utan de behöver hanteras och förminskas till en hanterbar nivå. Frågan är inte längre om organisationer kommer att börja använda molntjänster, utan att när de väl gör det har skapat planer för hur de ska hantera riskerna. Genom att hantera risker erhåller organisationer en större möjlighet att kunna uppnå sina mål. Denna studie har undersökt hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Genom en kvalitativ undersökning visar studien att organisationer identifierar, analyserar och utvärderar risker tillsammans med anställda inom organisationen. Organisationer anser att molntjänstleverantörer kan erbjuda högre säkerhet i ett system än vad organisationen själv kan uppnå. Därför väljer organisationer att åtgärda risker genom befintliga åtgärder som molntjänstleverantören erbjuder. Resultatet bidrar med kunskap om hur risker som kan uppkomma i samband med användandet av molnbaserade affärssystem hanteras i praktiken utifrån användarnas perspektiv. Nyckelord: molntjänster, molnbaserade affärssystem, risker med molnbaserade affärssystem, riskhantering i samband med molnbaserade affärssystem.
V
Abstract Today, ERP-‐systems are available as cloud services which means that providers provide ERP-‐systems as services via the internet. Cloud based ERP-‐systems can result in benefits but there are risks associated with the use of the systems. One of the main reasons that organizations hesitates on obtaining a cloud based ERP-‐system is the risks it may result in. Risks can not be eliminated, they have to be handled and reduced to a manageable level. The question is no longer whether organizations will start using cloud services, but once they do, have created plans for how to effectively manage the risks. By managing risks, organizations are given a greater opportunity to achieve their goals. This study aims to understand how organization manages risks that can arise from the use of an cloud based ERP-‐system. Through a qualitative study the results show that organizations identifies, analyzes and evaluates risks together with employees within the organization. Organizations assesses that providers of cloud based ERP-‐systems can offer a more secure system than the organization itself can achieve. Therefore organizations choose to use already existing actions for risks offered by the providers of the cloud based ERP-‐systems. The result of the study contributes with knowledge of how risks that can arise through the use of cloud based ERP-‐systems are managed practically by organizations. The study therefore contributes with users perspective on how risks are managed. Keywords: cloud computing, cloud based erp, cloud based erp risks, cloud based erp risk management.
VI
Innehållsförteckning
1 Inledning .............................................................................................................................. 1
2 Litteraturstudie ................................................................................................................. 3 2.1 Molnbaserade affärssystem ................................................................................................... 3 2.2 Risker som kan uppkomma i samband med molnbaserade affärssystem ......... 4 2.2.1 Datalagring och kontroll av data ............................................................................................... 4 2.2.2 Andra användare till molntjänsten .......................................................................................... 5 2.2.3 Integration och prestanda ............................................................................................................ 6
2.3 Riskhantering i samband med molnbaserade affärssystem ................................... 6 2.3.1 Riskhanteringsprocessen ............................................................................................................. 7 2.3.2 Att ställa krav på molntjänstleverantören ............................................................................ 8 2.3.3 Att skriva avtal med molntjänstleverantören ..................................................................... 9 2.3.4 Problem som kan uppkomma i samband med riskhantering ...................................... 9
2.4 Sammanfattning av litteraturstudie .............................................................................. 10 3 Metod ................................................................................................................................. 12 3.1 Forskningsansats ................................................................................................................. 12 3.2 Litteraturstudie .................................................................................................................... 12 3.3 Urval ......................................................................................................................................... 13 3.3.1 Presentation av organisationer .............................................................................................. 13 3.3.2 Presentation av respondenter ................................................................................................. 14
3.4 Datainsamling ....................................................................................................................... 15 3.5 Analysmetod .......................................................................................................................... 15 3.6 Etiska överväganden .......................................................................................................... 16 3.7 Metoddiskussion .................................................................................................................. 17
4 Resultat ............................................................................................................................. 19 4.1 Bakgrund molnbaserade affärssystem ........................................................................ 19 4.2 Identifiering av risker ........................................................................................................ 19 4.3 Analysering av risker ......................................................................................................... 21 4.4 Utvärdering av risker och val av åtgärder .................................................................. 23 4.5 Uppföljning av risker .......................................................................................................... 26
5 Analys ................................................................................................................................. 28 5.1 Medvetenhet om risker ...................................................................................................... 28 5.2 Bedömning av risker och åtgärder ................................................................................ 29 5.3 Tillit till molntjänstleverantören ................................................................................... 31
6 Diskussion ........................................................................................................................ 33 7 Slutsats .............................................................................................................................. 36 7.1 Förslag på framtida forskning ......................................................................................... 36
Referenser ............................................................................................................................... 37 Bilagor Bilaga 1. Operationaliseringsschema Bilaga 2. Intervjuguide Bilaga 3. Information till respondenter
1
1 Inledning I detta kapitel beskrivs studiens ämnesområde och problemområde. Tidigare forskning har använts för att belysa problemområdet och studiens relevans. Avslutningsvis presenteras studiens syfte och frågeställning. En av de största investeringar en organisation gör i både tid och pengar är investeringen i ett affärssystem (Hedman, 2009; Melin, 2009). Ett affärssystems funktioner är integrerade med varandra via en central databas, vilket resulterar i att alla inom organisationen kan få tillgång till samma data (Kroenke, 2011). En bakomliggande orsak till att implementera ett affärssystem är att organisationer strävar efter att uppnå någon nytta till verksamheten, exempelvis minskade ledtider, sänkta kostnader och stöd i form av beslutsunderlag (Hedman, 2009; Melin, 2009). Idag finns affärssystem tillgängliga som molntjänster och kan klassificeras som en Software as a Service (SaaS) (Seethamraju, 2015). SaaS är en tjänst som kunden direkt kan utnyttja efter köptillfället via internet och innefattar applikationen, presentationen, databaser och alla tillhörande tjänster som sedan säljs som en enda tjänst (Fauscette, 2013; Kaltenecker, Hess & Huesig, 2015; Singh, Jeong & Park, 2016). Huvudsyftet med molntjänster är att ge säker, snabb och bekväm datalagring via internet (Hashizume, Rosado, Fernández-‐Medina & Fernandez, 2013; Khan & Al-‐Yasiri, 2016). För närvarande är det små och medelstora företag som främst anskaffar molnbaserade affärssystem (Gupta & Misra, 2016; Seethamraju, 2015). Små och medelstora företag har oftast inte resurser för att betala en stor engångssumma för att investera i ett traditionellt affärssystem och i de fallen kan molnbaserade affärssystem bli ett alternativ (Duan, Faker, Fesak & Stuart, 2012; Gupta, & Misra, 2016). Molnbaserade affärssystem kan föra med sig fördelar, men det kan även uppkomma risker i samband med användandet av systemet. Risker som kan uppkomma är den största anledningen till att organisationer ställer sig frågande till att använda molnbaserade affärssystem (Bhattacherjee & Park, 2014; Carvalho, Andrade, Castro, Coutinho & Agoulmine, 2017; Singh et al., 2016). Risk kan definieras som de möjliga konsekvenser som kan uppstå till följd av en händelse (Dutta, Peng & Choudhary, 2013; McNeil, Frey & Embrechts, 2015; Paquette, Jaeger & Wilson, 2010), exempelvis att obehöriga personer får tillgång till data och sprider den vidare (Mosher, 2011; Takabi, Joshi & Ahn, 2010). Att hantera risker som kan uppkomma i samband med användandet av molnbaserade affärssystem grundar sig i att organisationer har förståelse för riskerna (Babu, Babu & Sekhar, 2013; Dutta et al., 2013). Organisationer kan hantera risker genom att identifiera, analysera och utvärdera samt att skapa åtgärder för dem (Babu et al., 2013; Olechowski, Oehmen, Seering & Ben-‐Daya, 2016; Purdy, 2010; Verbano & Venturini, 2013), vilket bör genomföras innan en organisation anskaffar ett molnbaserat affärssystem (Babu et al., 2013). Även uppföljning bör vara en integrerad del av riskhanteringsprocessen för att kunna säkerställa att åtgärderna förblir effektiva (Purdy, 2010; Verbano & Venturini, 2013). För att skapa en framgångsrik molnmiljö krävs det att det finns tillit mellan organisationen och molntjänstleverantören (Ahmed & Hossain, 2014).
2
Hashizume et al. (2013) och Khan och Al-‐Yasiri (2016) beskriver att huvudsyftet med molntjänster är att ge säker, snabb och bekväm datalagring via internet. Trots detta finns det oro i organisationer för riskerna och konsekvenserna av att placera sin data i molnet (El-‐Gazzar, Hustad & Olsen, 2016). Molnbaserade affärssystem är något som får ökad uppmärksamhet och fler organisationer blir intresserade av dessa och därför är det viktigt att fortsätta undersöka området (Peng & Gala, 2014). Yang och Tate (2012) beskriver att befintlig forskning av molntjänster kan vara informativ men erbjuder sällan praktisk eller tillämpbar kunskap för användarsidan av molntjänster. Därför finns det ett behov av mer forskning utifrån användarnas perspektiv av molntjänster (Yang & Tate, 2012). Brender och Markov (2013) bedömer att det finns brist på bredare forskning gällande organisationers förståelse för risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Chang, Kuo och Ramachandran (2016) beskriver att det har utförts forskning om hur organisationer kan hantera risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Däremot finns det brist på undersökningar kring hur organisationer hanterar risker i praktiken (Chang et al., 2016). Denna undersökning avser bidra till framtida forskning men även att kunna ge ett praktiskt bidrag till användare av molntjänster. Studiens syfte är att undersöka hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Studien ämnar att beskriva hur organisationer har valt att hantera risker och vad som har påverkat dessa val. Detta görs genom att besvara frågeställningen: Hur hanterar organisationer risker som kan uppkomma i samband med användandet av molnbaserade affärssystem?
3
2 Litteraturstudie I detta kapitel presenteras den litteratur som studien utgår ifrån. För att skapa förståelse för studiens område presenteras först molnbaserade affärssystem och risker som kan uppkomma i samband med molnbaserade affärssystem. Därefter presenteras riskhantering i samband med molnbaserade affärssystem för att beskriva riskhanteringsprocessen och avslutningsvis en sammanfattning av litteraturstudien.
2.1 Molnbaserade affärssystem
Molntjänster innebär applikationer som levereras som tjänster via internet samt den hårdvara och mjukvara som krävs för att kunna distribuera tjänsten (Armbrust et al., 2010; Chen, Liang & Hsu, 2015; Inuwa, 2015). National Institute of Standards and Technology (NIST) definierar molntjänster som en modell för att möjliggöra bekväm på-‐beställning nätverksåtkomst till en delad pool av konfigurerbara datorresurser som snabbt kan underhållas och utges med minimal ansträngning och interaktion med molntjänstleverantören (Mell & Grance, 2011). Genom molntjänster får organisationer möjlighet att kunna avsätta mindre tid till att underhålla hårdvara och mjukvara, vilket kan resultera i att de får mer tid till att fokusera på sin kärnverksamhet (Carvalho et al., 2017; El-‐Gazzar et al., 2016; Kranz, Hanelt & Kolbe, 2016). Fördelarna med molnbaserade affärssystem gällande sänkningen av initiala kostnader samt driftskostnader är särskilt relevanta för små och medelstora företag. Anledningen till detta är att små och medelstora företag, jämfört med större organisationer, oftast inte har tillräckliga mänskliga eller ekonomiska resurser för att kunna investera i och underhålla ett traditionellt affärssystem (Duan et al., 2012). Ett syfte med molnbaserade affärssystem är att ge organisationer flexibilitet, genom att kunna hyra och anpassa en heltäckande tjänst eller delar av tjänsten (Chen et al., 2015). Organisationerna har friheten att använda och betala för de delar av tjänsten som de väljer att utnyttja (Gupta & Misra, 2016). Molnbaserade affärssystem innebär att en leverantör tillhandahåller ett affärssystem som en tjänst som hyrs ut till organisationer (Kiadehi & Mohammadi, 2012). Systemen levereras som en SaaS-‐tjänst och nås via internet (Chen et al., 2015; Duan et al., 2012). Det finns system som marknadsförs som molnbaserade affärssystem men som inte kan kategoriseras som en SaaS-‐tjänst, vilket är något ett affärssystem bör för att kunna klassas som molnbaserat (Duan et al., 2012). Molntjänster kan generellt delas in i tre kategorier, Software as a service (SaaS), Platform as a service (PaaS) och Infrastructure as a service (IaaS) (Kaltenecker et al., 2015). SaaS-‐leverantörer ansvarar för att anskaffa och underhålla IT-‐infrastrukturen som exempelvis servrar, operativsystem, databaser, datalagring och nätverksåtkomst (Raihana, 2012). Genom en SaaS-‐tjänst är leverantören ägare av applikationen, där applikationen bevaras i den egna miljön som användare sedan kan få tillgång till via internet (Raihana, 2012; Sharma & Sharma, 2016). Användaren behöver därför inte installera applikationen på en dator, vilket exempelvis tar bort de arbetsuppgifter som involverar underhåll av programvara, drift och support (Chou, 2015; Kaltenecker et al., 2015). SaaS-‐leverantörer tar hand om det som krävs för att kunna köra och hantera lösningen och användare betalar
4
endast för de funktioner som de väljer att använda i applikationen (Kaltenecker et al., 2015; Kranz et al., 2016). En annan kategori av molntjänster är PaaS som innebär att en leverantör erbjuder hårdvara inklusive viss programvara. Det kan exempelvis vara integration till en uppsättning av programmeringsfunktioner eller databaser som ger möjligheten för användare att skapa applikationer i den miljön (Bhardwaj, Jain & Jain, 2010). Tjänsten levereras över internet och ska underlätta utveckling och spridning av program i och med att tjänsten tar bort kostnaden och komplexiteten för att köpa och hantera den underliggande infrastrukturen (Bhardwaj et al., 2010). I en PaaS-‐tjänst kan användaren själv vara ägare till applikationen men att den körs på en plattform som ägs av molntjänstleverantören (Chou, 2015; Mell & Grance, 2011; Sharma & Sharma, 2016). Ett exempel på en PaaS-‐tjänst är Google App Engine som är en molnbaserad plattform där webbapplikationer kan utvecklas och distribueras via tjänsten och lagringen sker på servrar som driftas av Google (Intel Corporation, 2014). Den sista kategorin inom molntjänster är IaaS, vilket innebär leverans av hårdvara och tillhörande programvara som en tjänst (Mell & Grance, 2011). Molntjänstleverantören erbjuder hårdvara och administrativa tjänster som behövs för att en användare av tjänsten själv ska kunna lagra en plattform för att köra sina program (Bhardwaj et al., 2010; Mell & Grance, 2011). Till skillnad från en PaaS-‐tjänst hanterar IaaS-‐leverantörer inte mer underhåll än att upprätthålla hårdvaran och mjukvaran och användarna behöver själva distribuera och hantera plattformen samt programmen (Bhardwaj et al., 2010).
2.2 Risker som kan uppkomma i samband med molnbaserade affärssystem Det har framkommit att det finns många fördelar med molntjänster men det har även visats att det finns risker i samband med användandet och hanteringen av tjänsterna (Dutta et al., 2013; Paquette et al., 2010). Risk kan definieras som de möjliga konsekvenser som kan uppstå till följd av en händelse (Dutta et al., 2013; McNeil, Frey & Embrechts, 2015; Paquette, Jaeger & Wilson, 2010), exempelvis att obehöriga personer får tillgång till data och sprider den vidare (Mosher, 2011; Takabi, Joshi & Ahn, 2010). En risk kan påverkas av de val människor gör beroende på interna eller personliga faktorer och den miljö som de befinner sig i (Paquette et al., 2010). På grund av de olika faktorerna som kan påverka en risk är det olika stor sannolikhet att en risk kommer att inträffa och på vilket sätt det påverkar en organisation (Dutta et al., 2013). Organisationer som använder ett molnbaserat affärssystem kan uppleva en viss oro över att de inte har fullständig kontroll över systemet och infrastrukturen i tjänsten (Carvalho et al., 2017; Gupta & Misra, 2016). Detta kan resultera i att de risker som är relaterade till säkerhet är den största oron inom organisationer i samband med användandet av molnbaserade affärssystem (Brender & Markov, 2013; Chou, 2015; Duan et al., 2012).
2.2.1 Datalagring och kontroll av data Begreppet moln kan ibland missförstås eftersom användarna kan glömma att deras data faktiskt lagras i en fysisk miljö som underhålls av anställda hos molntjänstleverantören (Brender & Markov, 2013). När en organisation ska använda ett molnbaserat affärssystem och genom tjänsten flytta och lagra data
5
hos molntjänstleverantören kommer anställda hos leverantören att få tillgång till dessa data (Qasim & Abu-‐Shanab, 2014; Vurukonda & Rao, 2016). Det kan vara personer som behöver ha tillgång till datalagringscentret för att exempelvis kunna utföra en service på hårdvaran (Mosher, 2011). Organisationer kan därför ställas inför en utmaning med att kunna säkerställa att endast auktoriserade personer hos molntjänstleverantören får tillgång till deras data (Inuwa, 2015; Paquette et al., 2010; Takabi et al., 2010). En risk i samband med detta kan vara att personer som inte är auktoriserade får tillgång till data och exempelvis sprider data vidare (Takabi et al., 2010). I och med användandet av ett molnbaserat affärssystem kan det uppkomma risker kring var molntjänstleverantörer har sina datalagringscenter placerade geografiskt (Inuwa, 2015; Zissis & Lekkas, 2012). Placeringen kan skapa rättsliga problem för användaren i de fall lagarna där datalagringscenterna är placerade motstrider lagarna där användaren befinner sig (Inuwa, 2015; Vurukonda & Rao, 2016; Zissis & Lekkas, 2012). Problem kan uppstå när det finns statliga bestämmelser om datasekretess och lagring (Inuwa, 2015; Vurukonda & Rao, 2016), exempelvis att viss data inte får lagras utanför det landets gränser (Inuwa, 2015; Zissis & Lekkas, 2012). Genom att använda ett molnbaserat affärssystem förlorar användarna kontrollen över dess data och säkerheten kontrolleras av molntjänstleverantören (Tucker & Li, 2012). Det har visats att molntjänstleverantörer i vissa fall har tagit sig befogenhet och hävdat att de har äganderätt av data som lagrats på deras servrar (Mosher, 2011; Qasim & Abu-‐Shanab, 2014). Det har även förekommit att molntjänstleverantörer har tagit sig rätten till att distribuera data till andra parter (Mosher, 2011; Qasim & Abu-‐Shanab, 2014). Eftersom molntjänstleverantörer har full kontroll över organisationers data kan leverantören utföra skadliga handlingar såsom kopiering, ändringar eller förstörande av data (Vurukonda & Rao, 2016; Zissis & Lekkas, 2012). En risk som kan uppkomma i samband med användandet av molnbaserade affärssystem är att organisationer kan bli utsatta för dataintrång (Mosher, 2011). Om en person lyckas genomföra en attack och därmed göra dataintrång, kan personen få obehörig åtkomst till data för alla användare av molntjänsten (Vurukonda & Rao, 2016). Genom att få åtkomst till en organisations data kan personen exempelvis följa organisationens verksamhet och manipulera uppgifter, vilket kan skapa skador för organisationens rykte och även leda till ekonomiska förluster (Brender & Markov, 2013). Vilket system organisationer än väljer att använda finns det alltid en risk för att utsättas för dataintrång, inte endast genom att använda ett molnbaserat affärssystem (Qasim & Abu-‐Shanab, 2014).
2.2.2 Andra användare till molntjänsten De flesta molntjänstleverantörer stödjer flera olika verksamheter med sina molntjänster, vilket kan innebära en risk för användarna (Mosher, 2011; Vurukonda & Rao, 2016). Eftersom en molntjänst kan ha flera användare samtidigt är det viktigt att leverantören har kontroll över arkitekturen i tjänsten (Mosher, 2011; Qasim & Abu-‐Shanab, 2014; Takabi et al., 2011). Denna kontroll behövs för att motverka att användarna blir oroliga över att deras data kan nås och spridas till andra användare av molntjänsten (Mosher, 2011; Takabi et al., 2010).
6
Eftersom organisationer överlämnar data som lagras i en extern enhet blir data inte bara upptäck-‐ och insamlingsbar för rättsliga åtgärder riktade mot organisationen (Carroll, Merwe & Kotzé, 2011; Mosher, 2011). Data kan i dessa fall även bli utlämnad vid rättsliga åtgärder riktade mot exempelvis någon av molntjänstleverantörens andra användare (Carroll et al., 2011; Mosher, 2011). Organisationens data kan därför äventyras på grund av rättsliga åtgärder som inte direkt involverar organisationen själv (Carroll et al., 2011; Mosher, 2010). En organisation som använder ett molnbaserat affärssystem kan därför behöva förstärka sina krav inom flera olika nivåer av tjänsten i de fall det är flera parter inblandade (Mosher, 2011). Organisationer själva är ofta ansvariga för att säkerställa att aktuella lagar och regler följs, även för andra parter (Mosher, 2011).
2.2.3 Integration och prestanda En risk som kan uppkomma i samband med användandet av molnbaserade affärssystem är begränsningar som finns för anpassningar och integration (Duan et al., 2012). Många molnbaserade affärssystem har märkbara begränsningar för anpassningar och integrationer med tredjepartstjänster och system (Duan et al., 2012). En ytterligare risk är gällande tillförlitlighet till nätverksåtkomst och nätverkshastighet och hur det påverkar organisationers arbete (Gupta & Misra, 2016). Nätverkshastigheten bör vara tillräcklig för att kunna bidra till att systemet förblir uppdaterat dygnet runt och att de ändringar som görs i systemet uppdateras i servern (Gupta & Misra, 2016). Inte alla molntjänstleverantörer klarar av att tillhandahålla support dygnet runt och varje avbrott i tjänsten kan leda till förluster för organisationer. Alla molntjänster är beroende av internetanslutning som exempelvis kan drabbas av överbelastning eller avbrott (Qasim & Abu-‐Shanab, 2014). Molntjänstleverantörer står därför inför utmaningen att stödja det kontinuerliga flödet av data och säkerställa att data är i realtid (Gupta & Misra, 2016). Användare vill ha tillförlitlig nätverksåtkomst, nätverkshastighet och svarstid för funktionerna i systemet för att användningen av systemet inte ska riskera att hindra det vardagliga arbetet i organisationen (Gupta & Misra, 2016).
2.3 Riskhantering i samband med molnbaserade affärssystem Organisationer som utför riskhantering erhåller en större möjlighet att exempelvis kunna uppnå sina mål och minimera förluster av data (Olechowski et al., 2016). För att kunna skapa en framgångsrik molnmiljö krävs det att det finns tillit mellan organisationen och molntjänstleverantören (Ahmed & Hossain, 2014). När det finns förtroende mellan dessa parter kan användaren känna trygghet och en öppen kommunikation kan skapas (Ahmed & Hossain, 2014). Om organisationen har tillit till molntjänstleverantören kan det påverka hur användaren väljer att betrakta tjänsten. Framförallt leder ökad nivå av tillit, till molntjänstleverantören, till att organisationens upplevda risker minskar (Ahmed & Hossain, 2014). Om det inte finns tillit mellan dessa parter kan organisationer bli osäkra på trovärdigheten för molntjänstleverantören (Ahmed & Hossain, 2014). Riskhantering bör inte ses som en defensiv aktivitet utan som ett arbete för att utveckla ett hanteringssätt som förbereder på att risker kan uppkomma och även åtgärder för dem (Paquette et al., 2010). Även om riskhantering i vissa fall inte lever
7
upp till det förväntade utfallet utgör riskhanteringen ändå en grund för hur risker kan hanteras (Paquette et al., 2010). Hur risker uppkommer och dess påverkan för organisationen förändras i många fall vid användningen av molnbaserade tjänster (Babu et al., 2013; Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013). Beroende på organisationens situation kan risker i samband med användandet av molnbaserade affärssystem upplevas som antingen större eller mindre i jämförelse med ett traditionellt affärssystem (Babu et al., 2013). Frågan är inte längre om en organisation kommer att flytta till molnet, utan när den väl gör det har skapat planer för hur risker ska hanteras i samband med molntjänsten (Kalyvas, Overly & Karly, 2013). Risker kan inte elimineras utan de behöver hanteras och förminskas till en hanterbar nivå (Dahbur, Mohammad & Tarakji, 2011).
2.3.1 Riskhanteringsprocessen Att hantera risker som kan uppkomma i samband med användandet av molnbaserade affärssystem grundar sig i att organisationer har förståelse för riskerna och att det finns välutvecklade hanteringssätt för att kunna förebygga och åtgärda dem (Babu et al., 2013; Dutta et al., 2013). En typ av riskhanteringsprocess som finns är att organisationer ska identifiera, analysera och utvärdera samt skapa åtgärder för risker (Babu et al., 2013; Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013), vilket bör genomföras innan en organisation anskaffar ett molnbaserat affärssystem (Babu et al., 2013). Även uppföljning bör vara en integrerad del av riskhanteringsprocessen för att kunna säkerställa att åtgärderna förblir effektiva (Purdy, 2010; Verbano & Venturini, 2013). Riskhanteringsprocessen är ett tillvägagångssätt för hantering av alla typer av risker oavsett omfattning och kontext (Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013). När externa och interna händelser inträffar förändras kontexten och kunskapen om riskerna, därför bör riskhanteringsprocessen vara en iterativ process (Purdy, 2010; Verbano & Venturini, 2013). Figur 1: Riskhanteringsprocessen. Identifiering innebär att organisationer identifierar hur risken kan uppkomma, vilka områden som kan påverkas, vad som är orsaken och potentiella konsekvenser (Purdy, 2010). Identifiering bör omfatta risker oavsett om de kontrolleras av organisationen eller inte och alla risker måste beaktas för att de sedan ska kunna analyseras (Olechowski et al., 2016; Purdy, 2010). Analysering innebär att analysera
8
orsaker, konsekvenser och sannolikhet för risker som kan uppkomma (Purdy, 2010). Analyseringen ska även skapa underlag för utvärderingen, som innebär att utvärdera om risken bör åtgärdas samt hur den lämpligen ska åtgärdas. Befintliga kontroller bör även analyseras utifrån hur effektiva de är och hur väl de uppfyller sin funktion (Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013). När en risk ska utvärderas finns det en uppsättning alternativ för att kunna förstå och avgöra vilken åtgärd som krävs (Purdy, 2010). Ett alternativ innebär att undvika risken genom att besluta att inte starta eller fortsätta med den aktivitet som ger upphov till den. Andra alternativ är att ändra sannolikheten för att risken uppstår eller att dela risken med en annan part exempelvis genom avtal (Purdy, 2010). Det bör finnas iteration mellan att utvärdera risker och åtgärder för dem. Åtgärder behöver beaktas i utvärderingen för att bedömningen av risken ska kunna göras på ett korrekt sätt, för att exempelvis kontrollera om risken redan har en åtgärd eller om det är något som behöver tilläggas (Purdy, 2010). Utvärderingen syftar till att ge stöd vid beslutsfattande, baserat på utfallet från analysen, om vilka risker som kräver åtgärder och vilken prioritet de getts (Olechowski et al., 2016; Purdy, 2010). Utvärderingen kan även leda till beslut om att inte behandla risken på något annat sätt än genom befintliga kontroller (Olechowski et al., 2016; Purdy, 2010). Uppföljning bör vara en integrerad del av riskhanteringsprocessen för att kunna säkerställa att åtgärderna förblir effektiva (Purdy, 2010; Verbano & Venturini, 2013). Det är viktigt att genomgående i riskhanteringsprocessen utvärdera och förstå organisationens externa kontext, eftersom den kan ha en betydande påverkan på hanteringen (Purdy, 2010). Extern kontext innebär den externa miljö som en organisation tar hjälp av för att uppnå sina mål, exempelvis andra organisationer men även lagar och regler. Organisationer behöver skapa förståelse för den externa kontexten för att kunna ta hänsyn till den under riskhanteringsprocessen (Purdy, 2010; Verbano & Venturini, 2013).
2.3.2 Att ställa krav på molntjänstleverantören Något som är avgörande i framgången för molnbaserade affärssystem är att användare förstår vilka risker som finns för att kunna utveckla åtgärder för dem (Takabi et al., 2010). För att organisationer ska kunna skapa åtgärder för risker bör de ställa krav på molntjänstleverantören. Organisationer kan exempelvis ställa krav på att leverantören ska begränsa tillgången till data för endast väsentlig personal och att det ska genomföras bakgrundskontroller för de personer som anses vara väsentliga (Mosher, 2011). Bakgrundskontroller kan exempelvis vara information om syftet för tillgång till data och vilken befattningen de har hos molntjänstleverantören (Mosher, 2011). Användaren av en molntjänst ska ha full kontroll över vem som har rätt till att använda data och vad de får göra med den data som lagras i molntjänsten (Takabi et al., 2010). I samband med detta kan organisationer även ställa krav kring att det ska lämnas rapporter om när och vilka personer som haft åtkomst till datalagringscenterna (Mosher, 2011). Det är viktigt att kunna följa upp vilka användaridentiteter som har åtkomst till en organisations data för att undvika att det uppstår obehörig åtkomst (Vurukonda & Rao, 2016).
9
En organisation som har sekretessbelagd data bör föredra en molntjänstleverantör där deras data krypteras, detta för att minska risken att känslig information ska kunna spridas vidare (Gupta & Misra, 2016). Något som alla organisationer bör kräva är att deras molntjänstleverantör ska lagra och hantera deras data så att de följer de lagar och regler som finns (Bisong & Rahman, 2011). En organisation bör även identifiera var datalagringcentret som molntjänstleverantören använder sig av är placerat, eftersom det är där data fysiskt kommer att lagras och människor kan få tillgång det (Kalyvas et al., 2013). Utöver detta bör alla användare få kunskap om vem som ska underhålla datalagringscenterna. Om molntjänstleverantören själv inte ska underhålla datalagringscentret bör användaren ställa krav på leverantören. Kraven kan exempelvis vara att den tredje parten följer alla avtal och att leverantören ansvarar för handlingar den tredje parten utför (Kalyvas et al., 2013).
2.3.3 Att skriva avtal med molntjänstleverantören Organisationer kan för att säkerställa att åtgärder finns för risker skapa bindande avtal kring de kravställanden de gör på molntjänstleverantören och övervaka att leverantören följer kraven (Mosher, 2011). Det är viktigt att organisationen och molntjänstleverantören har avtalat om hur data ska hanteras och skapat hinder för att leverantören inte ska kunna använda deras data för andra avseenden (Takabi et al., 2010). Om molntjänstleverantören inte erbjuder fullständiga säkerhetskontroller för att skydda organisationens data kan det vara svårt att bygga och upprätthålla en trygg relation mellan parterna (Chou, 2015). Vid användandet av en molntjänst är det viktigt att kunna säkerställa användarens äganderätt av data. Molntjänstleverantörer bör därför kunna redogöra för detaljer angående detta samt visa att de samtycker till samtliga bestämmelser, lämpligen genom ett avtal (Kalyvas et al., 2013). Även om molntjänstleverantörer kan erbjuda ett brett utbud av säkerhetskontroller, vilket kan innefatta brandväggar, back-‐up servrar och kryptering, kan de ändå inte garantera immunitet från alla risker som kan uppkomma (Bhattacherjee & Park, 2014). Organisationer behöver få kunskap om hur molntjänsten fungerar och hur molntjänstleverantören arbetar för att organisationen ska kunna försäkra sig om att leverantören kan leva upp till det som har avtalats (Bisong & Rahman, 2011; Venters & Whitley, 2012). Det är viktigt att det finns en öppenhet mellan organisationen och molntjänstleverantören. Genom en öppen relation kan organisationer få kunskap om molntjänstleverantörens säkerhetskontroller och hur de levererar denna säkerhet (Bisong & Rahman, 2011).
2.3.4 Problem som kan uppkomma i samband med riskhantering Att identifiera alla dokument och uppgifter som är relevanta i ett avtal är inte alltid enkelt. I vissa fall kan delar av uppgifterna förmedlas av molntjänstleverantören, exempelvis att specifikationer för tjänsten tillhandahålls genom internet på webbsidor som nås genom molntjänsten (Kalyvas et al., 2013). Det innebär att den informationen inte är direkt avtalad utan bara förmedlad av molntjänstleverantören som när som helst kan ändra informationen. I vissa fall kan molntjänstleverantören vägra att informera vid sådana ändringar och ansvaret läggs då över på användaren att kontinuerligt övervaka om förändringar sker (Kalyvas et al., 2013). I
10
och med detta bör en grundläggande handling från användarens sida i samband med avtal vara att identifiera all relevant information som bör skrivas in i avtalet. Sådan information kan exempelvis inkludera support och specifikationer för tjänsten som redan kan vara förmedlade av molntjänstleverantören (Kalyvas et al., 2013). All information ska sedan samlas i ett avtal som ska undertecknas av båda parter, först då vet användaren vad de kan förvänta sig av tjänsten (Kalyvas et al., 2013).
2.4 Sammanfattning av litteraturstudie För att kunna hantera risker som kan uppkomma i samband med användandet av molnbaserade affärssystem bör organisationer erhålla förståelse för risker samt ha välutvecklade planer för att kunna förebygga dem (Babu et al., 2013; Dutta et al., 2013). En avgörande faktor för att etablera en framgångsrik molnmiljö är att det finns tillit mellan organisationen och molntjänstleverantören (Ahmed & Hossain, 2014). Om organisationen har tillit till leverantören kan det påverka hur användaren väljer att betrakta tjänsten (Ahmed & Hossain, 2014). Ett sätt att hantera risker är riskhanteringsprocessen som innebär att organisationer ska identifiera, analysera och utvärdera samt skapa åtgärder för risker (Babu et al., 2013; Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013), vilket bör genomföras innan en organisation anskaffar ett system (Babu et al., 2013). Även uppföljning bör vara en integrerad del av riskhanteringsprocessen för att säkerställa att åtgärder förblir effektiva (Purdy, 2010; Verbano & Venturini, 2013). Riskhanteringsprocessen bör vara iterativ (Purdy, 2010; Verbano & Venturini, 2013) och är ett tillvägagångssätt för alla typer av risker oavsett omfattning och kontext (Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013). Det är genomgående viktigt i riskhanteringsprocessen att organisationer har förståelse för riskerna (Babu et al., 2013). Om förståelse finns kan organisationer identifiera, analysera och utvärdera risker för att därefter kunna säkerställa att rätt åtgärder skapas för dem (Purdy, 2010). Att identifiera en risk innebär att skapa förståelse för hur risken kan uppkomma och potentiella konsekvenser (Purdy, 2010) även risker i en extern miljö bör tas hänsyn till (Olechowski et al., 2016; Purdy, 2010). När risker har identifierats behöver organisationer därefter analysera dem för att kunna skapa rätt åtgärder. Analysering innebär att analysera orsaker, konsekvenser och sannolikhet för risker som kan uppkomma (Purdy, 2010). Genom att analysera och prioritera risker skapas ett underlag inför utvärderingen och rätt åtgärder kan därefter väljas (Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013). Organisationer behöver utvärdera risker för att kunna avgöra huruvida riskerna behöver åtgärder och hur de då lämpligen ska åtgärdas (Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013). Organisationer bör ställa krav på molntjänstleverantören och skapa bindande avtal kring hur riskerna ska åtgärdas (Mosher, 2011). All relevant information ska samlas i ett avtal som undertecknas av både organisationen och molntjänstleverantören (Kalyvas et al., 2013). Det är först när avtalet är undertecknat som organisationen vet vad de kan förvänta sig av molntjänsten (Kalyvas et al., 2013).
11
Litteraturstudien har resulterat i teman som beskriver en process för hur risker som kan uppstå i samband med användandet av molnbaserade affärssystem kan hanteras.
• Identifiering av risker o Identifiera potentiella konsekvenser för risker
• Analysering av risker o Prioritera risker o Skapa förståelse för organisationens externa kontext
• Utvärdering av risker och val av åtgärder o Ställa krav på molntjänstleverantören o Avtala om hur risker ska åtgärdas o Säkerställa att all relevant information finns med i avtalet
• Uppföljning av risker o Säkerställa att åtgärderna är effektiva
12
3 Metod I detta kapitel beskrivs studiens tillvägagångssätt. Kapitlet redogör för den forskningsansats som valts, hur litteraturstudien genomförts, urvalet för undersökningen, datainsamlingsmetod och analysmetod samt etiska riktlinjer. Avslutningsvis presenteras en diskussion över de val som gjorts i metodkapitlet.
3.1 Forskningsansats Studien har haft för avsikt att skapa förståelse för hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. En kvalitativ forskningsansats syftar till att skapa förståelse och ge en detaljerad beskrivning av vad som har ägt rum i den miljö som har studerats (Bryman, 2011; Jacobsen, 2010; Myers, 2013). I denna studie har en kvalitativ forskningsansats även valts för att kunna förstå kontexten där beslut och handlingar har utförts i samband med riskhantering. Kontexten förklarar varför en människa har agerat som den har gjort och förstås främst genom att samtala med människor (Myers, 2013). Genom intervjuer kan studien erhålla kvalitativ data, som hjälper till att besvara frågeställningen; “Hur hanterar organisationer risker som kan uppkomma i samband med användandet av molnbaserade affärssystem?”. Att utföra intervjuer, som är en datainsamlingsmetod inom kvalitativ forskning, ger möjligheten att samla in detaljrik data (Braun & Clarke, 2006; Myers, 2013).
3.2 Litteraturstudie Litteratur inom relevanta ämnesområden har studerats för att kunna besvara studiens frågeställning. Den litteratur som studien utgår från har varit sekundärdata i form av vetenskapliga artiklar och böcker. Sekundärdata kan beskrivas som data som tidigare har publicerats av andra forskare och författare (Myers, 2013). De vetenskapliga artiklar som har valts ut i studien har varit publicerade i olika journaler och konferensdokument. Om litteratur som studerats kommer ifrån olika journaler och författare kan litteraturstudien erhålla en högre kvalitet (Webster & Watson, 2002). Litteratur till studien har samlats in genom sökningar i artikeldatabaserna Google Scholar och Högskolan i Halmstads discoverytjänst, Summon. Sökningen efter vetenskapliga artiklar och böcker genomfördes med fokus på studiens nyckelord; cloud computing, cloud based erp, cloud based erp risks, cloud based erp risk management och risk management. Ytterligare artiklar har framkommit inom ämnesområdena genom att det har studerats referenslistor i artiklar som valdes att användas i studien. En avgränsning gjordes för litteraturen genom att endast använda artiklar som har publicerats från år 2010 och framåt. Anledningen till detta var att göra litteraturstudien mer aktuell, då molnbaserade affärssystem är något som med tiden får ökad uppmärksamhet (Peng & Gala, 2014). I litteraturstudien presenteras molnbaserade affärssystem och risker som kan uppkomma i samband med molnbaserade affärssystem för att förklara studiens kontext. Därefter presenteras riskhantering i samband med molnbaserade affärssystem för att ge förståelse för vad riskhantering innebär och varför det bör tillämpas. En del av litteraturen syftar till specifik förståelse för hur riskhantering
13
kan utföras i samband med användandet av molnbaserade affärssystem och andra delar visar ett mer övergripande synsätt på hur riskhantering bör utföras. Det är utifrån detta som intervjufrågorna har skapats, som syftar till att få kunskap om hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Det skapades därefter ett operationaliseringsschema för att kunna påvisa att intervjufrågorna har stöd från litteraturen (bilaga 1). Litteraturstudien resulterade i teman som beskriver en process för hur organisationer kan hantera risker i samband med användandet av molnbaserade affärssystem; identifiering av risker, analysering av risker, utvärdering av risker och val av åtgärder och uppföljning av risker.
3.3 Urval Ett antal urvalskriterier sattes upp för de deltagande i studien för att studiens frågeställning “Hur hanterar organisationer risker som kan uppkomma i samband med användandet av molnbaserade affärssystem?” skulle kunna besvaras. Ett kriterium för att kunna medverka i studien var att organisationen använder ett molnbaserat affärssystem. Det är främst små och medelstora företag som anskaffar molnbaserade affärssystem (Gupta & Misra, 2016; Seethamraju, 2015), därför har valet gjorts att endast små och medelstora företag skulle medverka i studien. Små och medelstora företag har mellan 10 och 250 anställda och en årsomsättning som inte överstiger 50 miljoner euro (EUR-‐Lex, 2016). Ett annat kriterium var att respondenterna ska ha medverkat vid anskaffandet av det molnbaserade affärssystemet samt varit delaktiga i arbetet med riskhantering. Anledningen till detta är att aktiviteter i arbetet med riskhantering görs i samband med anskaffandet. I studien har fem organisationer medverkat och enligt Bryman (2011) kan utförande av kvalitativ forskning i mer än en miljö vara till hjälp för att kunna få förståelse för kontextens betydelse och hur den påverkar beteenden och handlingar. Sökningar för att kunna identifiera organisationer genomfördes på konsultföretag och affärssystemleverantörers hemsidor, för att kunna hitta organisationer som använder sig av molnbaserade affärssystem. Vidare kontakt togs sedan för att kunna bekräfta om organisationerna uppfyllde kriterierna för studien och för att boka tid för intervju.
3.3.1 Presentation av organisationer Organisationerna som har medverkat i studien har valts ut enligt de urvalskriterier som beskrivs i Urval. För att organisationernas identiteter ska vara anonyma har fiktiva namn valt att användas. Alfa AB Organisationen arbetar med drift och förvaltning av el för den egna verksamheten att sälja vidare men även som en tjänst för externa parter. Organisationen har cirka 30 anställda fördelade på 2 kontor i Sverige. Under 2013 anskaffade organisationen det molnbaserade affärssystemet Xledger, tidigare användes det traditionella affärssystemet Visma. Det molnbaserade affärssystemet stödjer organisationens processer för ekonomi, order, inköp, lagerhantering, projekthantering och tidsrapportering. Dock använder organisationen fortfarande Visma för sina processer inom lönehantering.
14
Bravo AB Organisationen både producerar och säljer samt är återförsäljare för välfärdsteknik. Organisationen har cirka 80 anställda fördelade på ett antal kontor både i och utanför Sverige. Under första kvartalet 2017 anskaffade organisationen det molnbaserade affärssystemet SAP Business One, tidigare användes en traditionell version av affärssystemet. Det molnbaserade affärssystemet stödjer organisationens processer för ekonomi, order, inköp, lagerhantering och CRM. Charlie AB Organisationen arbetar med resursuthyrning och hjälper kunder med olika design-‐ och utvecklingsprojekt. Organisationen har cirka 90 anställda fördelade på tre kontor i Sverige. Under 2011 anskaffade organisationen det molnbaserade affärssystemet Xledger. Tidigare använde organisationen det traditionella affärssystemet Pyramid och systemet Hogia för lönehantering samt personalhantering. Det molnbaserade affärssystemet stödjer organisationens processer för ekonomi, projekthantering, tidsredovisning, inköp och personalhantering. Dock använder organisationen fortfarande systemet Hogia för sina processer inom lönehantering. Delta AB Organisationen köper in och säljer varor både via fysisk butik samt webbshop och har cirka 15 anställda. Företaget är säsongsberoende så de anställda kan under vissa perioder vara upp emot 30 stycken. Under 2013 anskaffade organisationen det molnbaserade affärssystemet Specter, tidigare användes det traditionella affärssystemet Hogia. Det molnbaserade affärssystemet stödjer organisationens processer för ekonomi, order, inköp, lagerhantering och hantering av kassa. Echo AB Organisationen arbetar med tillverkning och försäljning av plastförslutningar och har cirka 55 anställda som alla arbetar på samma kontor. Under 2014 anskaffade organisationen det molnbaserade affärssystem Fortnox, tidigare användes det traditionella affärssystemet Pyramid. Det molnbaserade affärssystemet stödjer organisationens processer för ekonomi, lagerhantering, order, inköp, lönehantering och CRM.
3.3.2 Presentation av respondenter Respondenterna som har medverkat i studien har valts ut enligt de urvalskriterier som beskrivs i Urval. Sammanlagt har fem personer intervjuats från fem olika organisationer för att kunna undersöka hur organisationerna har hanterat risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. I tabell 1 presenteras organisationerna, de personer som har deltagit i studien och vilken roll respondenterna har i organisationen. Tabellen visar även när intervjun har genomförts, vilken miljö intervjun har utförts i och hur länge intervjun har ägt rum. För att göra respondenterna anonyma har fiktiva namn på de medverkande valt att användas.
15
Tabell 1: Respondenter.
3.4 Datainsamling Datainsamlingen för att samla in empirisk data har utförts genom intervjuer. Intervjuer valdes som insamlingsmetod för att det skulle vara möjligt att samla in data som kunde skapa förståelse för de val organisationerna gjort under riskhanteringen. Genom att samtala med människor kan det skapas förståelse för den kontext som handlingar utförs i (Myers, 2013). Kvalitativa intervjuer syftar till att erhålla detaljrika svar som grundar sig i intervjupersonens uppfattning och upplevelser (Bryman, 2011; Kvale, 1997). I denna studie har semistrukturerade intervjuer genomförts på grund av att det skulle finnas frihet till att ändra ordningen och omformulera intervjufrågorna. Genom intervjuer kan respondenterna röra sig i olika riktningar under samtalet vilket möjliggör att det kan uppkomma kunskap om vad respondenterna upplever som relevant och viktigt (Bryman, 2011; Denscombe, 2016). En annan anledning till att semistrukturerade intervjuer valdes var på grund av att det skulle finnas möjlighet till att ställa följdfrågor, som semistrukturerade intervjuer enligt Bryman (2011) och Myers (2013) ger möjlighet till. En intervjuguide skapades och skickades via e-‐post till respektive respondent innan intervjun genomfördes (bilaga 2). Syftet med intervjuguiden var att ge kunskap om de områden som skulle behandlas under intervjuerna och ge respondenterna möjlighet till att förbereda sig. Sammanlagt utfördes fem intervjuer hos fem organisationer och intervjuerna varade mellan 60-‐90 minuter. Fyra av intervjuerna genomfördes på plats hos organisationen och den femte intervjun genomfördes via telefon. Samtliga intervjuer spelades in för att det skulle vara enklare att fokusera på vad respondenterna berättade. Ytterligare en anledning till att intervjuerna spelades in var att det skulle underlätta arbetet att hantera insamlad data genom att kunna gå tillbaka och lyssna på intervjun om någonting var svårt att tolka. Det är väsentligt att forskaren inte blir distraherad under intervjun genom att behöva ta anteckningar av vad respondenterna berättar, detta för att kunna ge hela sin uppmärksamhet på det som sägs under samtalet (Bryman, 2011).
3.5 Analysmetod Den analysmetod som har använts i studien är tematisk analys. En tematisk analys genomfördes för att kunna identifiera, analysera och rapportera återkommande mönster inom insamlad data, som tematisk analys enligt Braun och Clarke (2006)
Organisation Respondent Roll Datum Miljö Tid på intervju
1 Alfa AB Adam Ekonomichef 2017-03-13 Fysisk Ca: 1,5 h 2 Bravo AB Bertil VD 2017-03-16 Fysisk Ca: 1 h 3 Charlie AB Cesar Ekonomichef 2017-03-17 Fysisk Ca: 1,5 h 4 Delta AB David Ekonomichef 2017-03-22 Fysisk Ca: 1 h 5 Echo AB Erik VD 2017-04-28 Telefon Ca: 1 h
16
och Patton (2002) syftar till. I denna studie ansågs en tematisk analys kunna ge stöd till att förstå vilken data som skulle tas hänsyn till och utesluta data som inte var av relevans för studien. För att kunna genomföra detta delades den insamlade data upp i liknande och återkommande teman. I studien har en stor mängd data samlats in och därför behövde den reduceras och göras hanterbar. En transkribering genomfördes av det insamlade materialet för att det skulle vara enklare att hantera och för att kunna gå tillbaka i materialet, som Bryman (2011) beskriver som en fördel med transkribering. Genom att få ned det insamlade materialet i textform i ett digitalt dokument ansågs det enklare att sortera in data med liknande mönster. För att studiens resultat skulle presenteras på ett tydligt sätt gjordes valet att den insamlade data skulle sorteras in under de teman som litteraturstudien resulterade i; identifiering av risker, analysering av risker, åtgärder av risker och val av åtgärder och uppföljning av risker. Anledningen till att det insamlade materialet presenterades utifrån litteraturstudiens teman var för att kunna se hur organisationerna hanterar risker utifrån de olika aktiviteterna i riskhanteringsprocessen. När det insamlade materialet hade sorterats in under litteraturstudiens teman kodades materialet. Kodning kan användas till att sammanfatta det empiriska materialet och underlätta arbetet för vidare analys (Myers, 2013). Kod kan vara ett ord som används för att sammanfatta eller beskriva en mening, paragraf eller en hel text (Myers, 2013). Det insamlade materialet färgkodades i ett digitalt dokument för att få en tydlig överblick av materialet. Mönster som identifierades genom kodningen var: risker, syn på risker, åtgärder och tillit. De mönster som identifierades resulterade därefter i tre teman som analysen är presenterad utifrån; medvetenhet om risker, bedömning av risker och åtgärder samt tillit till molntjänstleverantören. I analyskapitlet ställs resultatet mot litteraturstudiens resultat för att undersöka hur organisationer hanterar risker.
3.6 Etiska överväganden Under studien har Vetenskapsrådets (2002) etiska riktlinjer tagits hänsyn till; informationskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet. Ett dokument delades ut i samband med intervjuerna i ett informativt syfte för att respondenterna skulle få kännedom om vad den insamlade data skulle användas till (bilaga 3). I det fall intervjun genomfördes via telefon skickades informationen via e-‐post innan intervjun. Två exemplar av dokumentet undertecknades av respondenten samt av oss som utförde studien för att få ett godkännande från alla parter. I det fall informationen skickades ut via e-‐post kunde inte dokumentet undertecknas utan godkändes muntligt. I samband med godkännandet accepterade även respondenterna att intervjun spelades in. Den första etiska riktlinjen, informationskravet, innebär att forskaren ska informera syftet om undersökningen till de som är berörda av den (Vetenskapsrådet, 2002). Det gavs en tydlig förklaring om att den data som samlas in endast ska användas till denna studie som presenteras i form av en uppsats. Respondenterna fick även information om att deras medverkan var frivillig och att de hade rätt att avbryta sin medverkan under hela studien. Eftersom studien handlar om information kopplat
17
till risker kan det ha skapat oro hos respondenterna och därför var det viktigt att informera dem om att de har möjlighet att dra sig ur. Samtyckeskravet är den andra etiska riktlinjen som innebär att respondenten inte ska uppleva press eller påverkan att medverka eller att avbryta sin medverkan (Vetenskapsrådet, 2002). Respondenterna erhöll tydlig information om att deltagandet är frivilligt och att ingen klandras för att den exempelvis innan intervjuerna drar sig ur eller under intervjuerna väljer att avbryta sin medverkan. Den tredje riktlinjen, konfidentialitetskravet, innebär att respondenternas personuppgifter ska förvaras oåtkomligt för att inte obehöriga personer ska kunna ta del av dem. Uppgifterna om de medverkande ska lagras och skrivas på ett sådant sätt att utomstående inte ska kunna identifiera personen (Vetenskapsrådet, 2002). Kravet uppfylldes genom att alla medverkande i studien var anonyma, både respondenterna och den organisation de arbetar för. Uppgifter som skulle kunna göra det möjligt för någon utomstående att förstå vem respondenten eller organisationen är har därför inte skrivits ut. Respondenterna blev informerade redan vid första kontakten om att de skulle vara anonyma i studien. Fjärde och sista riktlinjen, nyttjandekravet, innebär att den insamlade informationen från respondenterna inte ska användas till kommersiellt bruk utan endast till forskningens syfte (Vetenskapsrådet, 2002). Respondenterna blev informerade om att när studien är avslutad och presenterad kommer alla anteckningar och inspelningar att raderas.
3.7 Metoddiskussion En avgränsning som gjordes i litteraturstudien var att all litteratur skulle vara publicerad från år 2010 och framåt. Avgränsningen gjordes på grund av att molnbaserade affärssystem är ett ämne vars uppmärksamhet ökar och därför ansågs det relevant att göra en avgränsning av publiceringsår för litteraturen. Avgränsningen kan ha påverkat att exempelvis inte fler risker identifierades i litteraturen men valet gjordes för att öka studiens tillförlitlighet. Försök till att få tag på fler organisationer som kunde medverka i studien har gjorts via e-‐post och telefon till ett flertal organisationer. Det har även funnits organisationer som inte ger någon återkoppling och organisationer som har accepterat en intervju som sedan dragit sig ur studien. Detta i kombination med att det har ansetts som svårt att identifiera små och medelstora företag som använder molnbaserade affärssystem har resulterat i att färre organisationer än önskat medverkat i studien. De organisationer som medverkade i studien befinner sig alla i olika branscher. Studien hade inget kriterium om vilken bransch de medverkande organisationerna skulle befinna sig i. Anledningen till att detta inte var ett kriterium var på grund av att det var svårt att identifiera organisationer som använder ett molnbaserat affärssystem. Organisationerna som medverkade i studien har ingen känslig data, vilket kan ha påverkat studiens resultat. Eftersom organisationerna inte har känslig data kan det har påverkat hur organisationerna bedömer och hanterar risker. Om organisationer med mer känslig data hade medverkat i studien hade de möjligen upplevt och hanterat risker på ett annat sätt.
18
Det var ett begränsat urval av respondenter som medverkade i studien och det kan ha påverkat studiens resultat. I denna studie medverkade fem respondenter från fem olika organisationer. Om fler organisationer eller respondenter hade medverkat i studien hade resultatet kunnat bli mer omfattande. Till en början sågs möjligheten att intervjua fler respondenter från samma organisation, för att kunna få ett djupare empiriskt material. Eftersom ett kriterium för studien var att organisationerna skulle vara små eller medelstora företag upptäcktes senare att denna möjlighet inte fanns. I två av organisationerna arbetade de andra personerna som medverkade under anskaffandet av det molnbaserade affärssystemet inte kvar i organisationen. I de övriga organisationerna fanns det inte heller möjlighet att intervjua andra anställda på grund av att organisationerna själva ansåg att dem inte skulle kunna tillföra något mer till studien. Även om antalet intervjuer möjligen inte uppfattas som omfattande har resultatet av det empiriska materialet ändå varit mättat. För att samla in det empiriska materialet i studien genomfördes semistrukturerade intervjuer. Semistrukturerade intervjuer bidrog till att det blev enklare att ha ett samtal med respondenterna och gav möjligheten att kunna ställa följdfrågor. Fyra av fem intervjuer ägde rum på organisationernas huvudkontor eftersom det ansågs viktigt att bemöta respondenterna i studien. Genom att fysiskt bemöta respondenterna var det enklare att tyda kroppsspråk, tonläge och ansiktsuttryck. Under telefonintervjun var det svårare att uppfatta respondenten och att driva diskussionen. Önskvärt hade varit att även genomföra denna intervju genom ett fysiskt möte men på grund av respondentens tillgänglighet var det inte möjligt.
19
4 Resultat I detta kapitel presenteras resultatet av den empiriska undersökningen. Kapitlet introduceras med en kortfattad beskrivning av organisationernas bakgrund till anskaffandet av det molnbaserade affärssystemet. Resultatet presenteras därefter utifrån teman som beskriver vad riskhanteringsprocessen innebär: identifiering av risker, analysering av risker, utvärdering av risker och val av åtgärder samt uppföljning av risker. En del av svaren kan appliceras under flera teman och därför kan de olika temana emellanåt gå in i varandra. Citaten som presenteras i detta kapitel är hämtade från transkriberingarna.
4.1 Bakgrund molnbaserade affärssystem Alfa AB, som arbetar med drift och förvaltning av el, och Charlie AB, som arbetar med uthyrning av resurser, anskaffade det molnbaserade affärssystemet Xledger. Echo AB, som arbetar med tillverkning och försäljning, anskaffade det molnbaserade affärssystemet Fortnox. Gemensamt för organisationerna Alfa AB, Charlie AB och Echo AB är att de använde sig av en konsult vid valet av affärssystem. Dessa organisationer hade även direktkontakt med molntjänstleverantören under hela upphandlingen, implementationen och även efter implementationen var klar. Bravo AB, som arbetar med produktion och återförsäljning, anskaffade det molnbaserade affärssystemet SAP Business One. Bertil, som är VD för Bravo AB, berättade att organisationen inte hade någon direktkontakt med molntjänstleverantören. All kontakt genomfördes istället via deras konsulter som även är återförsäljare av det molnbaserade affärssystemet. När Delta AB, som arbetar med återförsäljning, anskaffade det molnbaserade affärssystemet Specter använde organisationen inte sig av någon konsult. David, som arbetar som ekonomichef hos Delta AB, och en av delägarna utförde själva detta arbete. Gemensamt för samtliga organisationer är att anledningen till att de valde att anskaffa ett molnbaserat affärssystem var på grund av att ett traditionellt affärssystem var en för dyr investering. En annan anledning var att samtliga organisationer ansåg att de inte har de resurser eller kompetensen som krävs för att kunna underhålla ett traditionellt affärssystem. Bertil beskrev att Bravo AB heller inte är intresserade av att tillföra den kompetensen i organisationen eftersom de istället vill fokusera på deras kärnverksamhet. “Ledningen i organisationen tyckte att det var säkrare att använda ett molnbaserat affärssystem eftersom vi inte har tillräckligt med kompetens i företaget.” -‐Cesar, Charlie AB. “Jag tycker inte att vi har kompetensen som krävs i organisationen för att kunna drifta ett traditionellt affärssystem, därför valdes ett molnbaserat system.” -‐Erik, Echo AB.
4.2 Identifiering av risker Samtliga respondenter ansåg att organisationerna innan anskaffandet av det molnbaserade affärssystemet var medvetna om vilka risker som kan uppkomma.
20
Gemensamt för samtliga organisationer var att de genomförde identifiering av risker som kan uppkomma innan organisationerna gjorde valet att anskaffa ett molnbaserat affärssystem. Enligt Bertil, Cesar, David och Erik utfördes ingen grundlig identifiering av risker och organisationerna använde inte någon konsults hjälp utan utförde detta arbete själva inom organisationen. Cesar berättade att anledningen till att Charlie AB inte använde någon extern hjälp vid identifieringen var för att organisationen ansåg att de var medvetna om vilka risker som finns. Bertil, Cesar, David och Erik beskrev att en grupp anställda hos organisationerna, som var delaktiga under processen av anskaffandet av systemet, diskuterade med varandra kring risker de var medvetna om. Dessa organisationer kunde genom diskussionerna identifiera risker som kan uppkomma. Diskussionerna resulterade i att organisationerna fick möjligheten att ta del av flera anställdas tankar kring vilka risker som kan uppkomma och hur de kan påverka organisationen. Bertil beskrev att de anställda berättade om vilka risker de var medvetna om och därefter skedde en diskussion kring riskens innebörd, det vill säga vilka konsekvenser risken skulle kunna medföra. Adam beskrev att identifiering av risker i Alfa AB genomfördes av en grupp som bestod av Adam själv, IT-‐personal i organisationen och en konsult. Adam berättade att även Alfa AB hade en diskussion kring risker de anställda var medvetna om. Vidare beskrev Adam att ytterligare risker identifierades av konsulten som organisationen inte var medvetna om, som exempelvis om det inte är möjligt att integrera andra system till det molnbaserade affärssystemet. ”Givetvis identifierade vi risker som finns. För att kunna få ett säkert system behöver ju risker som kan uppstå identifieras.” -‐Adam, Alfa AB. Gemensamt för samtliga organisationer var att de identifierade risken om att organisationerna tappar kontroll över sina data och driften av systemet i samband med användandet av ett molnbaserat affärssystem. Bertil förklarade att genom denna risk får andra personer åtkomst till organisationens data. Samtliga organisationer identifierade även risken med dataintrång eftersom systemet ska vara tillgängligt via internet. “Om en obehörig person skulle lyckas göra dataintrång hos Alfa AB skulle det kunna resultera i att personen skulle kunna lägga upp sig som en leverantör och göra utbetalningar till sig själv.” -‐Adam, Alfa AB. En risk som Adam, Bertil och Cesar identifierade är driftstörningar exempelvis om det skulle ske ett strömavbrott eller om nätverket skulle ligger nere. Dessa organisationer upplevde en oro eftersom molnbaserade affärssystem kräver bra uppkoppling då systemen är tillgängliga över internet. Adam och Cesar berättade även att en risk de identifierade är att svarstiderna är längre för ett molnbaserat affärssystem i jämförelse med ett traditionellt affärssystem. Adam, Cesar och Erik berättade att en risk de identifierade är att det kan vara svårt att anpassa systemen. Anledningen till detta är enligt respondenterna att molnbaserade affärssystem överlag är standardiserade, vilket gör dem svåra att göra anpassningar i.
21
“Alfa AB är en komplex organisation och därför passar inte ett fyrkantigt system oss.” -‐Adam, Alfa AB. Bertil och Erik beskrev att de upplever att en risk med molnbaserade affärssystem är att systemen kan vara begränsande när det gäller integrationer till andra system. Både Bravo AB och Echo AB är beroende av att kunna integrera sitt affärssystem till sina andra system. Även Adam beskrev att han, tillsammans med konsulten, identifierade risker med att det kan vara svårt att integrera andra system till det molnbaserade affärssystemet. Den största risken som Bertil och Cesar identifierade var att om organisationen i framtiden vill byta till ett annat system hur kommer detta byte då påverka organisationens data. Bertil och Cesar beskrev en oro över vad som kommer att hända med organisationens data om de i framtiden väljer att byta system och hur komplext detta arbete då kommer att vara. “Idag finns det många fler system på marknaden och någon gång i framtiden kanske vi känner ett behov av att byta system och vad händer då?” -‐Bertil, Bravo AB.
4.3 Analysering av risker Gemensamt för samtliga organisationer var att de tillsammans med andra anställda i samband med att de identifierade risker även analyserade dem. Bertil, Cesar, David och Erik beskrev att de analyserade de risker som hade identifierats genom att de diskuterade sannolikheten för att riskerna skulle uppstå. Diskussionerna innefattade även hur riskernas konsekvenser skulle kunna påverka organisationerna. Adam berättade att de anställda tillsammans med konsulten analyserade de risker som hade identifierats, då de främst diskuterade sannolikheten för att riskerna uppkommer. Adam beskrev att i samband med analyseringen skapade Adam, IT-‐personalen och konsulten tillsammans en kravspecifikation. Kravspecifikationen innehöll krav om systemets funktionalitet och även krav om systemets säkerhet som Alfa AB ville att molntjänstleverantören skulle uppfylla. Enligt Adam prioriterades även kraven i specifikationen för att kunna förmedla till molntjänstleverantörerna vilken prioritet de olika kraven hade. “Det var en trygghet att få hjälp av en konsult för att kunna förstå vad som är viktigt gällande säkerhet i en molntjänst. Om vi inte hade använt oss av en konsult hade kraven om säkerhet i systemet antagligen inte varit så ingående.” -‐Adam, Alfa AB. Bravo AB, Charlie AB, Delta AB och Echo AB framställde i samband med analyseringen även de en kravspecifikation som de ville att molntjänstleverantören skulle uppfylla. Specifikationerna som dessa organisationer framställde innehöll till största del funktionella krav och inte krav gällande säkerheten för systemet. Cesar beskrev att Charlie AB undersökte flera olika molnbaserade affärssystem innan de valde vilket molnbaserat affärssystem de skulle anskaffa. Cesar berättade att han och de anställda därför främst fokuserade på att analysera kring hur väl de olika molnbaserade affärssystemen kunde stödja organisationen. “Vi hade inte tillräcklig kunskap för att kunna ställa krav på säkerhet och därför
22
fokuserade vi på att se till att systemet kunde stödja verksamheten.” -‐David, Delta AB. Gemensamt för samtliga organisationer var att de analyserade risken med att obehöriga personer kan få tillgång till deras data och konsekvensen med att organisationernas data då kan spridas vidare. Däremot upplever både Adam och Cesar att konsekvenserna av detta skulle vara lika stora om det skulle ske av någon anställd i organisationen som av någon utomstående. Bertil, David och Erik förklarade att det alltid finns en risk för att obehöriga personer kan få tillgång till organisationens data, oavsett om de använder ett molnbaserat affärssystem eller inte. Vidare beskrev David att obehöriga personer kan få tillgång till organisationens data genom att någon anställd är på en resa och blir av med sin dator eller att någon anställd kopplar upp sig mot ett offentligt nätverk utan att tänka sig för. David upplever att om någon person vill få åtkomst till organisationens data då ser de till att få det oavsett vilket system som används. ”Det finns alltid en risk att någon skulle kunna sprida vidare vår data och jag vet inte om den risken är större för att vår data ligger lagrad någon annanstans kontra att vår data går att nå av någon anställd här. En anställd vet egentligen mer om produkterna än vad någon utomstående person gör som får tag på vår data.” -‐David, Delta AB. För att kunna skydda sig mot att obehöriga personer ska få tillgång till organisationers data behövs det en hög säkerhet anser Cesar, David och Erik. Vidare beskrev dessa respondenter att om organisationerna hade haft andra förutsättningar exempelvis om organisationerna hade varit större eller utvecklat egna produkter hade behovet av säkerhet varit större. Behovet av säkerhet skiljer sig därför från verksamhet till verksamhet, enligt Cesar, David och Erik. “Det är större sannolikhet att obehöriga personer vill få tillgång till företag som har mer affärshemligheter. Vi bedriver ingen forskning eller utveckling av produkter och har därför inte så känslig data, men hade vi haft det hade konsekvenserna av att någon obehörig får tillgång till vår data varit större.” -‐Cesar, Charlie AB. “Om en organisation arbetar med utveckling av nya produkter ska de självklart inte använda ett molnbaserat affärssystem utan att ha en hög säkerhet. Vi har inga direkta affärshemligheter som företag som arbetar med utveckling har.”-‐ Erik, Echo AB Adam upplever att organisationer som använder molnbaserade affärssystem kan vara enklare att genomföra dataintrång hos eftersom systemet är tillgängligt via internet. Cesar berättade däremot att han anser att sannolikheten för att dataintrång skulle ske i Charlie AB är lika stor som för ett traditionellt affärssystem. Cesar förklarade att eftersom sannolikheten upplevs som lika stor handlar det därför om att kunna bedöma vem som har kompetensen och möjligheten att fokusera på säkerheten, organisationen eller molntjänstleverantören. Bertil, David och Erik berättade att de analyserade risker om det inte är möjligt att integrera andra system till det molnbaserade affärssystemet eller om det inte går att anpassa systemet. Bertil och Erik berättade att de har andra system som behöver
23
kunna integreras till affärssystemet och därför kan det medföra konsekvenser om det inte skulle vara möjligt att genomföra. Eftersom Delta AB inte är en komplex organisation bedömde de därför att dessa risker inte var aktuella för dem. Adam berättade att Alfa AB är en komplex organisation som gör att det inte passar organisationen att använda ett fyrkantigt system. Om det inte är möjligt att anpassa ett molnbaserat affärssystem efter verksamheten skulle det kunna medföra konsekvenser för Alfa AB. Cesar berättade att inom organisationen analyserade de risken med längre svarstider. Charlie AB är inte en organisation som säljer stora volymer av produkter, med stora lager och många fakturor. Cesar berättade att om Charlie AB hade bedrivit den typ av verksamhet hade de upplevt svarstiderna för molnbaserade affärssystem som ett problem. Cesar och Erik diskuterade tillsammans med andra anställda i organisationerna risker och bedömer att riskerna inte är större för ett molnbaserat affärssystem än om organisationen själva skulle drifta ett traditionellt affärssystem. Bravo AB’s VD Bertil ansåg att sannolikheten för att risker kan uppkomma i samband med användandet av ett molnbaserat affärssystem och ett traditionellt affärssystem är väldigt lika. Däremot ansåg David att det är större sannolikhet att risker uppstår med ett traditionellt affärssystem då Delta AB är en liten organisation som inte har den kompetens som krävs för att skapa säkerhet i ett traditionellt affärssystem. Bertil och David beskrev att det känns säkrare att lägga över ansvaret för säkerheten till en molntjänstleverantör. Adam förklarade att han tillsammans med konsulten och IT-‐personalen diskuterade risker och jämförde dem med risker som kan uppkomma om organisationen själva skulle drifta ett system. Både IT-‐personalen och konsulten beskrev att sannolikheten är lika stor oavsett system. ”Vi pratade absolut om risker innan vi anskaffade det men vi såg också risker och utmaningar med att anskaffa ett traditionellt affärssystem och anser att det i princip är lika riskfyllt.” -‐Cesar, Charlie AB. ”Vi kan inte riktigt sticka hål på vad de skulle vara för risker för just molnbaserade affärssystem. Konsulten menade också på att riskerna lika väl kan uppkomma med ett traditionellt affärssystem.” -‐Adam, Alfa AB.
4.4 Utvärdering av risker och val av åtgärder Utvärderingen av risker och val av åtgärder genomfördes av samtliga organisationer efter de hade valt vilket molnbaserat affärssystem de skulle anskaffa, men innan organisationerna hade implementerat och börjat använda systemet. Alfa AB, Charlie AB, Delta AB och Echo AB blev erbjudna ett standardavtal från molntjänstleverantören och i Bravo AB’s fall från återförsäljaren. Standardavtalen innehåller vilka villkor som gäller i samband med användandet av det molnbaserade affärssystemet, kostnader och licenser samt hur molntjänstleverantören säkerställer säkerheten i tjänsten. Gemensamt för samtliga organisationer är att de utvärderade riskerna som de hade identifierat och därmed bedömde vilka risker som behöver åtgärder. Samtliga organisationer granskade därefter standardavtalet som de blev erbjudna och kunde
24
därmed kontrollera att molntjänstleverantören hade åtgärder för riskerna. Gemensamt för samtliga organisationer var att de granskade standardavtalet de erhöll från molntjänstleverantören tillsammans med andra anställda. Granskningen genomfördes för att kunna säkerställa att de risker som bedömts behöva åtgärder erhåller det. Adam berättade att konsulten inte medverkade under denna process på grund av att konsulten endast medverkade för att kunna hjälpa organisationen att välja vilket affärssystem de skulle anskaffa. Enligt Cesar har molntjänstleverantören skyldigheter gällande säkerheten i tjänsten och det är genom ett standardavtal leverantören kan förmedla detta till användaren. Genom avtalet har organisationens anställda, enligt Cesar, kunnat få förståelse för hur säkerheten behandlas i molntjänsten. Cesar förklarade att detta gör att de anställda i organisationen känner sig trygga med att använda det molnbaserade affärssystemet. Enligt Cesar har organisationen gjort det de kan för att kontrollera att rätt åtgärder finns för de risker som har identifierats när avtalet undertecknades. “Avtalet innehöll information kring lösningar för säkerhet vi ansåg oss behöva. Genom avtalet känner jag och de anställda oss trygga att använda systemet.” -‐David, Delta AB “Eftersom vi inte vet vilka åtgärder som krävs eller hur vi kan utföra de var det viktigt att vi kunde säkerställa att åtgärder för alla risker vi identifierat tillhandahålls av molntjänstleverantören.” -‐Erik, Echo AB Adam beskrev att de kontrollerade att alla risker som identifierats har åtgärder i standardavtalet som molntjänstleverantören erbjöd. Dock fanns det ytterligare åtgärder som organisationen ville tillägga i avtalet för att förstärka säkerheten. Adam berättade att konsulten, som var med och skapade kravspecifikationen, hade förklarat att även uppenbara krav ska finnas med i ett framtida avtal för att inget ska kunna falla mellan stolarna. Alfa AB var en viktig kund för molntjänstleverantören och därför tror Adam att deras organisation kan ställa högre krav på molntjänstleverantören. Bertil berättade att han hade synpunkter på avtalet och uppfattade att återförsäljaren tog emot det på ett bra sätt och att de var lyhörda. Bertil beskrev att det från början i avtalet inte fanns beskrivet vem som har äganderätt till data som organisationen lagrar i molntjänsten. Äganderätt var något som Bravo AB ville ha med i avtalet, vilket organisationen diskuterade med återförsäljaren och det skrevs därefter till. Bertil beskrev att även risker som organisationen inte anser är aktuella för dem ska det finnas åtgärder för i avtalet för att förhindra att riskerna uppkommer. ”Det finns risker med molnbaserade affärssystem som vi anser inte kommer drabba oss. Men vi vill ändå vara på den säkra sidan för att se till att det arbetas för att riskerna inte ska kunna uppkomma” -‐Bertil, Bravo AB. Bertil, Cesar och Erik beskrev att de utvärderade risken med att molntjänstleverantören har tillgång till organisationernas data. Dessa organisationer bedömde att de inte behöver ha kännedom om vilka personer hos molntjänstleverantören det är som har tillgång till deras data. Cesar och Erik bedömde att molntjänstleverantören behöver ha tillgång till deras data för att kunna
25
hjälpa organisationen om de skulle uppleva något problem med systemet. Cesar berättade att det inte bedömdes som nödvändigt att organisationen blir meddelad om någon anställd hos leverantören har haft åtkomst till organisationens data. “Om molntjänstleverantören använder vår data beror det på att någon anställd här har bett om hjälp för att kunna åtgärda något problem.” -‐Cesar, Charlie AB. Samtliga organisationer beskrev att de utvärderade risken om äganderätt till data. Adam, Bertil och Erik bedömde att organisationerna behöver ha kännedom om att de har äganderätt till deras data och kontrollerade därför att avtalet med molntjänstleverantören säkerställer detta. Cesar och David berättade att de under utvärderingen bedömde att det inte är nödvändigt att kontrollera att organisationen har äganderätt till sin data. Cesar ansåg att molntjänstleverantören inte kan äga organisationens data eftersom det är Charlie AB’s egendom, men det är inget som han är garanterad om. Adam, Bertil och Erik bedömde att organisationerna bör ha kännedom om vart molntjänstleverantörens datalagringscenter är placerade. Därför kontrollerade dessa organisationer med molntjänstleverantören var datalagringscenterna är placerade och huruvida det kunde påverka dem. Cesar och David berättade att de inte har kännedom om var molntjänstleverantörens datalagringscenter är placerade. Under utvärderingen bedömde både Charlie AB’s och Delta AB’s ägare att placeringen av datalagringscentrena inte var något som behövde undersökas närmare och inte skulle komma att påverka organisationerna. Adam beskrev att han och de anställda i Alfa AB utvärderade hur organisationen kan påverkas av svarstiderna som molnbaserade affärssystem medför. Adam bedömde att organisationen inte kan skapa åtgärder för detta då längre svarstider är något som de får acceptera när de valt att anskaffa ett molnbaserat affärssystem. “En daglig fördröjning av svarstider finns absolut och det gör det med alla molnbaserade affärssystem, molnbaserat är vad molnbaserat är.” -‐Adam, Alfa AB. Bertil och Cesar berättade att de tillsammans med andra anställda i deras organisationer identifierade risken om vad som händer med organisationernas data när de väljer att byta system i framtiden. Bertil och Cesar beskrev att de tillsammans med anställda i organisationerna tog ett beslut under utvärderingen om att inte undersöka hur organisationens data påverkas vid ett framtida byte av affärssystem. Bertil och Cesar förklarade att denna problematik och vilka lösningar som finns bedömdes att organisationerna får undersöka när de ska gå ur avtalet med molntjänstleverantören. Under utvärderingen togs därmed beslutet av båda organisationerna att inte skapa några åtgärder för denna risk. Adam, Bertil och Erik identifierade en risk med att inte kunna integrera det molnbaserade affärssystemet till organisationernas övriga system. Adam gjorde bedömningen att möjligheter för integrationer inte behövde undersökas och om Alfa AB i framtiden vill integrera system har de faktiskt inte fullständigt undersökt om det är möjligt. I och med denna risk kontrollerade Bertil och Erik att integrationerna till deras övriga system var genomförbara. Bertil ställdes inför ytterligare en
26
utvärdering under implementationen när molntjänstleverantören meddelade att de var tvungna att öppna upp tjänsten för att kunna genomföra integrationerna. Ytterligare en risk uppkom då som innebar att andra användare kunde få tillgång till Bravo AB's data. Bravo AB var den första användaren av det molnbaserade affärssystemet och därför kunde inte deras data nå ut till andra användare. Eftersom tjänsten inte hade andra användare valde Bertil att genomföra integrationerna men är tveksam till om han hade tagit samma beslut om andra användare hade funnits. “Där och då fungerade den lösningen för våra integrationsproblem men hade tjänsten haft andra användare vet jag inte om Bravo AB hade velat ta risken att öppna upp för att kunna genomföra integrationerna.” -‐Bertil, Bravo AB. Adam upplever det som större sannolikhet att någon skulle utföra dataintrång i systemet i och med att systemet är tillgängligt via internet. Organisationen har därför fokuserat på att hitta lösningar för detta. Lösningarna har bidragit till att det molnbaserade affärssystemet upplevs tryggare än ett traditionellt affärssystem. De anställda på Alfa AB använder sig av en säkerhetskod som skickas via e-‐post när de ska logga in i systemet. Enligt Adam bidrar detta till att om någon obehörig person vill få tillgång till systemet behöver personen göra intrång på flera ställen, vilket ökar säkerheten. Adam berättade även att molntjänstleverantören låter all tillgång till Alfa AB’s data loggas och att detta påvisar att leverantören vill skapa tillit mellan parterna. Alfa AB kan därför se vilka personer som haft åtkomst till deras data och när det skedde, vilket gör att organisationen kan följa upp åtkomst av data.
4.5 Uppföljning av risker Gemensamt för samtliga organisationer är att de har valt att inte genomföra några uppföljningar för att säkerställa att molntjänstleverantören följer det som avtalats. Anledningen till att samtliga organisationer inte genomför uppföljningar är på grund av att de har tillit till att molntjänstleverantören följer det som avtalats. Adam berättade att organisationen har bra kontakt med molntjänstleverantören och ser därför ingen anledning till varför leverantören inte skulle göra det som krävs för att leva upp till avtalen. Cesar och Erik upplever att det inte har funnits någon anledning för organisationerna att misstro att molntjänstleverantören inte uppfyller avtalet och upplever därför inte någon egentlig anledning till att genomföra uppföljningar. Cesar förklarade att om Charlie AB inte hade haft tillit till att molntjänstleverantören levererar ett säkert system hade organisationen aldrig valt att anskaffa systemet. ”Vi känner att man någonstans får lita på de som erbjuder tjänsten, de har ju ett bra säkerhetstänk. Har de inte det kommer leverantören att försvinna, för då kommer inte kunder att vilja köpa deras tjänst.”-‐Cesar, Charlie AB. Bertil beskrev att han och anställda i organisationen har upplevt driftstörningar som är på gränsen till att molntjänstleverantören inte uppfyller kraven som står i avtalet. I Bravo AB’s fall är det en stor molntjänstleverantör som står bakom och driftar det molnbaserade affärssystemet. Bertil förklarade att skadan som kan uppstå för molntjänstleverantören om de gör bort sig är väsentlig och gör att organisationen
27
känner sig säkra på att avtalen kommer att följas. Bertil beskrev även att Bravo AB har mer tillit till molntjänstleverantören än till återförsäljaren och hade det varit återförsäljaren som varit den som stod bakom produkten hade organisationen troligtvis inte anskaffat just det systemet. “Det kan vara en farlig approach att ha denna syn på sin molntjänstleverantör. Eftersom vi är en mindre organisation och därför har en väldigt liten påverkan över hur molntjänstleverantören sätter upp sin tjänst känns det bra att ha en stor leverantör bakom tjänsten” -‐Bertil, Bravo AB. Både Adam och David berättade att de har kontakt med molntjänstleverantörens andra användare. Genom detta kan de erhålla andra användares åsikter om systemet och leverantören för att kunna undersöka om andra organisationer har upplevt några problem. “Det här med word of mouth väger tyngre än vad leverantören säger om sin tjänst. Det kan ju finnas andra kunder som har problem även om vi inte har upplevt det, därför är det viktigt att lyssna runt och ta in vad andra säger.” -‐David, Delta AB.
28
5 Analys I detta kapitel analyseras studiens resultat genom att ställa det mot litteraturstudiens resultat. Analysen är presenterad utifrån tre teman; medvetenhet om risker, bedömning av risker och åtgärder samt tillit till molntjänstleverantören.
5.1 Medvetenhet om risker Samtliga medverkande i studien ansåg att de var medvetna om vilka risker som kan uppkomma genom att använda ett molnbaserat affärssystem innan organisationerna anskaffade systemen. Enligt Bhattacherjee och Park (2014), Carvalho et al. (2017) och Singh et al. (2016) är den största anledningen till att organisationer ställer sig frågande till att använda ett molnbaserat affärssystem de risker som systemet kan föra med sig. Resultatet i studien visar att organisationernas medvetenhet om risker bidrog till att riskerna inte var något som gjorde att de tvekade på att anskaffa ett molnbaserat affärssystem. Resultatet visar att samtliga organisationer i studien har identifierat risker som kan uppkomma innan de valde vilket molnbaserat affärssystem de skulle anskaffa. Babu et al. (2013) beskriver att organisationer bör genomföra riskhanteringsprocessen innan de anskaffar ett system. Resultatet visar att samtliga organisationer identifierade risker genom att diskutera risker som de var medvetna om med andra anställda i organisationerna, varav en organisation även tog hjälp av en konsult. Purdy (2010) beskriver att riskidentifiering innebär att organisationen identifierar hur risken kan uppkomma, vilka områden som kan påverkas, vad som är orsaken och potentiella konsekvenser. Samtliga medverkande i studien beskrev att riskerna som de identifierade uppkommer genom att organisationerna anskaffar och använder ett molnbaserat affärssystem. Babu et al. (2013) och Dutta et al. (2013) beskriver att det krävs att organisationer har förståelse för risker för att kunna hantera dem. Resultatet visar att anställda inom organisationerna även identifierade konsekvenser som kan uppstå genom riskerna, vilket Purdy (2010) beskriver ingår i riskidentifiering. De risker som samtliga organisationer till största del var medvetna om var risker relaterade till säkerheten i det molnbaserade affärssystemet, som Brender och Markov (2013), Chou (2015) och Duan et al. (2012) benämner som de risker organisationer kan uppleva störst oro inför. Resultatet visar att de organisationer i studien som enbart identifierade risker med anställda inom organisationerna skapade kravspecifikationer som till största del innehöll funktionella krav och krav gällande säkerheten i molntjänsten uteblev. För att kunna skapa åtgärder bör organisationer ställa krav på molntjänstleverantören (Mosher, 2011). Studien visar att det endast var vid tillfället där en konsult anlitades som krav på säkerheten i det molnbaserade affärssystemet framställdes. Anledningen till att de övriga organisationerna inte använde sig av extern hjälp var på grund av att de ansåg att de redan var medvetna om vilka risker som kan uppkomma genom att använda ett molnbaserat affärssystem. Något som är avgörande i framgången av molnbaserade affärssystem är att användarna förstår vilka risker som finns för att kunna utveckla effektiva åtgärder för dem (Takabi et
29
al., 2010). Resultatet i studien visar däremot att det för vissa organisationer har uppkommit risker när de börjat använda systemen. I resultatet framgår det att dessa risker både var risker de anställda i organisationerna ansåg att de identifierade innan anskaffandet men även risker som de inte var medvetna om. Riskhanteringsprocessen bör vara en iterativ process eftersom när externa och interna händelser inträffar förändras kontexten och kunskapen om riskerna (Purdy, 2010; Verbano & Venturini, 2013). Dock tyder resultatet på att organisationerna inte utförde någon ytterligare riskhantering i samband med att dessa risker uppkom. Även om riskhantering i vissa fall inte lever upp till det förväntade utfallet utgör riskhanteringen ändå en grund för hur risker kan hanteras (Paquette et al., 2010). I de fall riskerna från början inte identifierats fanns det därför ingen grund av riskhantering för organisationerna.
5.2 Bedömning av risker och åtgärder Resultatet i studien visar att samtliga organisationer anskaffade ett molnbaserat affärssystem på grund av att ett traditionellt affärssystem var en för dyr investering. Duan et al. (2012) beskriver att små och medelstora företag möjligen inte har de mänskliga eller ekonomiska resurser som krävs för att kunna investera i och underhålla ett traditionellt affärssystem. Resultatet tyder på att de anställda i organisationerna upplever det som tryggare att använda ett molnbaserat affärssystem då de inte erhåller den kompetens som krävs för att kunna underhålla och skapa säkerhet i ett traditionellt affärssystem. Beroende på organisationens situation kan risker i samband med användandet av molnbaserade affärssystem upplevas som antingen större eller mindre i jämförelse med ett traditionellt affärssystem (Babu et al., 2013). Den organisation som skapade en kravspecifikation tillsammans med en extern part genomförde under utvärderingen en prioritering av kraven. Resultatet visar att den organisationen därför kunde påvisa för molntjänstleverantören vilka krav som var viktigast att leverantören kunde uppfylla. Enligt Olechowski et al. (2016) och Purdy (2010) ska risker prioriteras för att kunna dra slutsatser om vilka risker som bör åtgärdas eller inte. Organisationen var ensam om att använda extern hjälp för att identifiera och prioritera riskerna. De övriga organisationerna genomförde identifiering av riskerna internt inom organisationen och prioriterade inte kraven som de ställde på det molnbaserade affärssystemet. Resultatet pekar på att de organisationer som inte prioriterade kraven därför inte kunde framföra vilka krav som var viktigast för dem. Resultatet i studien visar att samtliga organisationer har skrivit på ett standardavtal med molntjänstleverantören. Genom standardavtalet blev organisationerna informerade om vilka åtgärder molntjänstleverantören erbjuder för att kunna förebygga olika risker som kan uppkomma. I vissa fall valde organisationerna att tillägga aspekter i avtalet som inte behandlades i avtalet från början. Utvärdering av risker innebär att ta beslut om risken bör åtgärdas och i så fall hur risken lämpligen åtgärdas (Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013). Resultatet pekar på att samtliga organisationer anser att det är viktigt att alla risker som de identifierade erhåller åtgärder från molntjänstleverantören. Enligt Kalyvas
30
et al. (2013) är det organisationens ansvar att säkerställa att all relevant information finns med i avtalet innan det undertecknas. Studiens resultat visar att samtliga organisationer granskade avtalet för att säkerställa att åtgärder fanns för riskerna de identifierat. I och med att organisationerna säkerställde att all relevant information samt åtgärder från molntjänstleverantören fanns med i avtalen känner sig samtliga organisationer trygga med att använda molntjänsten. Resultatet pekar på att organisationerna inte valde att utföra några egna åtgärder för riskerna för att de anser att molntjänstleverantören kan skapa högre säkerhet för deras data än vad organisationerna själva kan uppnå. Purdy (2010) beskriver att det bör finnas en iteration mellan utvärderingen av riskerna och valet av åtgärder för dem, detta för att exempelvis kunna kontrollera om risken redan har en åtgärd. Genom att samtliga organisationer fick tillgång till standardavtalen kunde de kontrollera vilka åtgärder som molntjänstleverantören erbjöd och kunde därför avgöra om det saknades åtgärder för risker som inte säkerställdes genom standardavtalet. Enligt Olechowski et al. (2016) och Purdy (2010) kan utvärdering av risker leda till att inte åtgärda risken på något annat sätt än genom befintliga åtgärder. Samtliga organisationer bedömde att risker behandlades på ett bra sätt av molntjänstleverantören genom deras förmedlade åtgärder. I de fall organisationerna ansåg att något saknades kunde de i samråd med molntjänstleverantören addera detta i avtalet. Kalyvas et al. (2013) beskriver att det är först efter avtalet är undertecknat av båda parterna som organisationerna vet vad de kan förvänta sig av tjänsten. Studien visar att ingen av organisationerna har undersökt hur åtgärderna genomförs utan bara undersökt att det finns åtgärder. Enligt Olechowski et al. (2016), Purdy (2010) och Verbano och Venturini (2013) bör organisationer undersöka hur effektiva åtgärderna är och hur väl de uppfyller sin funktion. Resultatet visar att samtliga medverkande i studien har utvärderat risken om att lagra data i molnet och att obehöriga personer kan få tillgång till organisationernas data. Qasim och Abu-‐Shanab (2014) och Vurukonda och Rao (2016) beskriver att genom att använda ett molnbaserat affärssystem kommer anställda hos molntjänstleverantören att få tillgång till organisationernas data. Samtliga medverkande bedömde att risken för att någon obehörig person får tillgång till deras data alltid finns oavsett om organisationerna använder ett molnbaserat affärssystem eller inte. Resultatet tyder på att anställda inom organisationerna anser att risken med obehörig åtkomst lika väl kan uppkomma av någon anställd i den egna organisationen eller med ett traditionellt affärssystem. Resultatet visar att de organisationer som inte har kännedom om vilka personer hos molntjänstleverantören som har tillgång till deras data har under utvärderingen bedömt att de inte har behovet av den inblicken. Vurukonda och Rao (2016) beskriver att det är viktigt att organisationer kan följa upp vilka användaridentiteter som har åtkomst till deras data för att kunna undvika att det uppstår obehörig åtkomst. Anledningen till att organisationerna inte hade behovet av detta är för att de ansåg att molntjänstleverantören endast ska använda deras data när de upplever något problem med systemet. Resultatet visar att den organisation som kan kontrollera vilka personer som har haft åtkomst till deras data har upplevt en
31
trygghet i och med att organisationen kan följa upp åtkomsten av data. Resultatet visar att vissa av organisationerna inte hade kännedom om de har äganderätt till deras data. Mosher (2011) och Qasim och Abu-‐Shanab (2014) beskriver att molntjänstleverantörer i vissa fall har tagit sig befogenheter och hävdat att de har äganderätt av all data som lagras på deras servrar. I en av de organisationer där de anställda inte är medvetna om de har äganderätt till sina data visas i resultatet även vara en av de organisationer som upplever oro inför ett framtida byte av affärssystem. Anställda i denna organisation upplever oro över vad som händer med deras data när ett framtida byte av system ska ske. Trots detta har de inte undersökt vilken äganderätt organisationen har till deras data. Takabi et al. (2010) beskriver att det är viktigt att organisationen och molntjänstleverantören har avtalat om hur data ska hanteras för att det inte ska uppkomma problem kring exempelvis äganderätt. En av de medverkande organisationerna i studien upplever att det kan vara enklare att genomföra dataintrång i ett molnbaserat affärssystem eftersom det är tillgängligt via internet. Det togs därför ett beslut i den organisationen att säkerheten behövde ökas i vissa aspekter. Brender och Markov (2013), Mosher (2011) och Vurukonda och Rao (2016) beskriver att dataintrång är en risk som kan uppkomma i samband med användandet av molnbaserade affärssystem. Resultatet tyder dock på att riskerna för dataintrång upplevs som lika stora oavsett om organisationerna använder ett molnbaserat affärssystem eller ett traditionellt affärssystem, vilket även Qasim och Abu-‐Shanab (2014) antyder. Resultatet visar att samtliga medverkandes uppfattning av riskerna har påverkats av organisationens storlek och hur känslig data de producerar. Enligt Dutta et al. (2013) finns det olika faktorer som påverkar hur organisationer uppfattar risker. Resultatet tyder på att samtliga organisationer inte har någon känslig data och behöver därför inte den högsta säkerheten i systemet. Paquette et al. (2010) belyser att en risk påverkas av de val människor gör beroende på interna eller personliga faktorer samt den miljö som de befinner sig i. Resultatet i studien tyder på att om organisationerna hade haft mer känsliga uppgifter hade organisationerna inte valt att anskaffa ett molnbaserat affärssystem utan att det hade funnits en högre säkerhet. Dutta et al. (2013) beskriver att interna och personliga faktorer påverkar sannolikhet för att en risk kan uppkomma och hur det påverkar organisationen.
5.3 Tillit till molntjänstleverantören Resultatet i studien visar att ingen av de medverkande organisationerna har valt att göra några uppföljningar för att säkerställa att molntjänstleverantören lever upp till de åtgärder standardavtalet har förmedlat. Enligt Purdy (2010) och Verbano och Venturini (2013) bör uppföljning vara en integrerad del av riskhanteringsprocessen för att säkerställa att åtgärderna förblir effektiva. Resultatet pekar på att anledningen till att organisationerna inte har valt att genomföra uppföljningar är för att de känner tillit till molntjänstleverantören. Även om molntjänstleverantörer kan erbjuda ett brett utbud av säkerhetskontroller kan de ändå inte garantera immunitet från alla risker som kan uppkomma (Bhattacherjee & Park, 2014). Resultatet i studien tyder på att samtliga organisationer känner tillit till molntjänstleverantören och i och med detta litar på att molntjänstleverantören
32
kontinuerligt behandlar säkerheten i tjänsten på ett lämpligt sätt. Ahmed och Hossain (2014) beskriver att om det inte finns tillit mellan en organisation och molntjänstleverantören kan trovärdigheten för molntjänsten minska. Resultatet tyder på att en anledning till att organisationer har tillit är att de har gjort bedömningen att molntjänstleverantören kan skapa en högre säkerhet i tjänsten än vad organisationerna själva kan göra i ett traditionellt affärssystem. Ahmed och Hossain (2014) beskriver att om en framgångsrik molntjänst ska kunna etableras bör det finnas tillit mellan molntjänstleverantören och organisationen som använder tjänsten. Resultatet i studien visar att om inte organisationerna hade känt tillit till molntjänstleverantören hade organisationerna inte valt att använda deras system. Resultatet i studien antyder även att om molntjänstleverantören tidigare hade misskött säkerheten hade detta visat sig genom att användarna hade lämnat systemet och inte längre valt att använda det. Genom huruvida organisationer känner tillit till molntjänstleverantören eller inte påverkar organisationens inställning till tjänsten (Ahmed & Hossain, 2014). Resultatet visar att en av organisationerna i studien kände sig trygga på grund av att det är en etablerad molntjänstleverantör som står bakom det molnbaserade affärssystemet. Organisationens uppfattning av det molnbaserade affärssystemet påverkas därför av tilliten till molntjänstleverantören, som Ahmed och Hossain (2014) beskriver att tillit kan göra. Vidare visar resultatet att en annan medverkande i studien upplever trygghet i och med att organisationen är en värdefull kund för deras molntjänstleverantör. Enligt Purdy (2010) kan organisationer åtgärda och förminska risker genom att dela risken med en annan part. Resultatet pekar på att dessa organisationer upplever större konsekvenser för molntjänstleverantören än för organisationen själv om avtalet inte följs, vilket anses skapa trygghet. Resultatet pekar på att två av organisationerna har kontakt med andra användare till det molnbaserade affärssystemet för att kunna utbyta tankar och erfarenheter om tjänsten. Anledningen till detta är att organisationerna ska kunna få information av någon annan användare om de har upplevt något problem med det molnbaserade affärssystemet eller med molntjänstleverantören.
33
6 Diskussion I detta kapitel presenteras diskussionen som utgår från resultatet och analysen i studien. Diskussionen handlar om hur organisationer hanterar risker i samband med användandet av molnbaserade affärssystem och ligger som grund för studiens slutsats. Som det beskrevs i inledningen är molnbaserade affärssystem något som fler organisationer blir intresserade av att använda. Det kan uppkomma risker i samband med användandet av systemen och därför är det viktigt att organisationer förstår riskerna för att de ska kunna hanteras. Chang et al. (2016) beskriver att det finns forskning om hur organisationer kan hantera risker men att det finns ett behov av att undersöka hur organisationer hanterar risker i praktiken. Det finns brist på forskning utifrån användarnas perspektiv av molnbaserade affärssystem som bidrar med tillämpbar kunskap för användare av tjänsterna. Studien har därför fokuserat på att undersöka hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Studien visar att organisationerna anser sig vara medvetna om risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Organisationerna identifierar risker inom organisationen genom att föra diskussioner med anställda om vilka risker de är medvetna om samt vilka konsekvenser riskerna kan medföra. För organisationen som använde sig av extern hjälp visar studien att fler risker identifierades än de risker organisationen till en början var medvetna om. När risker analyseras visar studien att organisationer jämför sannolikheten för att risker uppkommer med molnbaserade affärssystem med traditionella affärssystem. Studien visar att organisationerna bedömde att det finns liknande risker med de båda typerna av system och att sannolikheten för att riskerna skulle uppkomma är densamma. Eftersom organisationerna upplever liknande risker bedöms även konsekvenserna som desamma oavsett om det är ett molnbaserat affärssystem eller ett traditionellt affärssystem. Studien pekar därför på att organisationer bör jämföra risker med liknande situationer som kan hjälpa dem att uppnå samma mål, i detta fall ett traditionellt affärssystem. Purdy (2010) beskriver att organisationer bör undersöka den externa kontexten som hjälper dem att uppnå sina mål, exempelvis en molntjänstleverantör. Däremot beskriver inte Purdy (2010) att organisationer bör jämföra risker i liknande situationer som kan hjälpa dem att uppnå samma mål, exempelvis ett traditionellt affärssystem. Studiens resultat tyder på att molntjänstleverantörer kan erbjuda högre säkerhet i ett system än vad organisationer själva kan uppnå. Enligt studien beror detta på att organisationerna anser att de inte besitter den kompetens eller har de resurser som krävs för att kunna skapa säkerhet. På grund av detta väljer organisationerna att åtgärda risker genom befintliga åtgärder som molntjänstleverantören erbjuder. Åtgärder som molntjänstleverantörer erbjuder sina användare förmedlas genom standardavtal. Studien visar att organisationerna utvärderar och granskar att alla identifierade risker erhöll åtgärder i avtalet, oavsett hur organisationerna hade bedömt dem, de kontrollerar att åtgärder finns men inte hur de utförs. Enligt Bisong
34
och Rahman (2011) och Venters och Whitley (2012) behöver organisationer få kunskap om hur molntjänstleverantören arbetar för att kunna försäkra sig om att leverantören kan leva upp till det som har avtalats. Studien visar att organisationerna inte genomför några uppföljningar av de åtgärder molntjänstleverantörer erbjuder på grund av att de litar på att leverantören utför åtgärderna i avtalen. Resultatet i studien visar att organisationer som känner tillit till molntjänstleverantören anser att de inte har någon anledning till att genomföra uppföljningar. Eftersom det enligt studien inte är organisationerna som utför åtgärderna bör de genomföra uppföljningar för att kunna säkerställa att leverantören levererar de åtgärder som de har förmedlat genom avtalet. Purdy (2010) och Verbano och Venturini (2013) beskriver att uppföljning bör vara en integrerad del av riskhanteringsprocessen för att kunna säkerställa att åtgärderna förblir effektiva. Organisationerna själva utför inte några åtgärder och därför är det viktigt att de identifierar alla tänkbara risker med systemet och förstår konsekvenserna för att kunna säkerställa att molntjänstleverantören har åtgärder för dem. Att utföra grundlig identifiering av risker tar ytterligare stöd i att studien visar att organisationerna upplevt risker efter implementationen. Aktiviteterna inom riskhanteringsprocessen är menade att utföras av en part. Organisationer som använder molnbaserade affärssystem lägger över ansvaret för åtgärderna på en utomstående part och därmed påverkas riskhanteringsprocessen. Eftersom åtgärder för risker utförs av molntjänstleverantören kan riskhanteringsprocessen behöva utvecklas och anpassas då användarna av molntjänsten inte kontrollerar åtgärderna. Olechowski et al. (2016), Purdy (2010) och Verbano och Venturini (2013) beskriver att riskhanteringsprocessen kan användas för alla typer av risker oavsett omfattning och kontext. Men eftersom organisationer som använder molnbaserade affärssystem lämnar över ansvaret för åtgärderna finns det ytterligare en part som påverkar hur riskerna upplevs och hur de bör hanteras. I studien har fem små och medelstora företag medverkat vilket kan påverka överförbarheten för studien. Resultatet visar att organisationerna själva anser att med känsligare data följer större krav på säkerheten i systemet. Om organisationer med känsligare data hade medverkat i studien hade resultatet kunnat bli annorlunda. Om riskhanteringsprocessen utvecklas och anpassas gentemot molnbaserade affärssystem kan det möjligen leda till att fler organisationer kan skapa förståelse för hur risker kan förminskas och hur de ska hanteras. Enligt Kalyvas et al. (2013) kommer troligtvis fler organisationer i framtiden att använda molnbaserade affärssystem och därför finns det ett behov av en anpassad riskhanteringsprocess för användarna. Om det skulle finnas en anpassad riskhanteringsprocess skulle möjligtvis fler organisationer känna sig trygga med att använda molnbaserade affärssystem. I och med detta kan affärssystemsbranschen påverkas i sin helhet då fler organisationer möjligtvis väljer att använda molnbaserade affärssystem. Om fler organisationer skulle känna sig bekväma att lagra data i molnet och därmed ersätta sina privata datalagringscenter skulle det kunna bidra till såväl ekonomiska som miljömässiga fördelar. Om fler organisationer övergår till molnbaserade affärssystem och därmed delade datalagringscenter kan
35
det resultera i mindre strömförbrukning och fysisk markanvändning. I dagens samhälle finns det en ökad användning av molntjänster för organisationer och för molntjänster privatpersoner använder dagligen som exempelvis e-‐post. Även tjänster som hanterar känslig data övergår mer och mer till att erbjudas via molntjänster exempelvis vårdinformation. Vid användandet av dessa tjänster är det viktigt att både organisationen och privatpersonen känner sig säkra med att använda tjänsten och att riskerna vid användandet hanteras och minimeras. Genom att organisationer känner sig säkra i sättet att hantera risker kan det även påverka vilken inställning privatpersoner, som antingen använder tjänsten eller påverkas av den, har till att lagra data via internet. Om riskhanteringsprocessen anpassas och blir överförbar till ytterligare molntjänster kan människor bli mer bekväma med att använda dessa tjänster. Därför är det viktigt att risker med molntjänster uppmärksammas och hanteras.
36
7 Slutsats I detta kapitel presenteras studiens slutsats. Studiens frågeställning besvaras och avsnittet avslutas med förslag för framtida forskning. Studien grundar sig i frågeställningen: “Hur hanterar organisationer risker som kan uppkomma i samband med användandet av molnbaserade affärssystem?”. Studiens resultat visar att organisationer hanterar risker genom att de identifierar, analyserar och utvärderar risker tillsammans med anställda inom organisationen. Organisationer identifierar risker och dess konsekvenser genom att diskutera med anställda inom organisationen om risker de är medvetna om. När organisationer analyserar risker genomförs en jämförelse av risker mellan molnbaserade affärssystem och traditionella affärssystem. Studien visar att organisationerna bedömer att det finns liknande risker med molnbaserade affärssystem och traditionella affärssystem och att sannolikheten för att risker skulle uppkomma är densamma. Organisationerna bedömer att en molntjänstleverantör kan utföra ett säkrare arbete med att åtgärda risker än vad organisationerna själva kan. Därför utför organisationerna inte några egna åtgärder utan tar endast del av åtgärder som molntjänstleverantören erbjuder. Genom avtal kan organisationerna säkerställa att risker som identifieras erhåller åtgärder. Organisationerna i studien granskar att alla identifierade risker erhåller åtgärder i avtalet men de kontrollerar inte hur åtgärderna utförs. Studiens resultat visar att uppföljning är något som organisationerna väljer att inte genomföra eftersom de har tillit till molntjänstleverantören. Studien visar att eftersom organisationerna själva inte utför några åtgärder är det viktigt att identifiera alla tänkbara risker med systemet. Att undersöka hur molntjänstleverantören utför åtgärderna är grundläggande för att kunna göra uppföljningar. Om organisationer genomför uppföljningar kan de kontrollera att åtgärderna för riskerna är effektiva. Studien visar även att det finns brister i hur organisationer hanterar risker gentemot riskhanteringsprocessen som studien utgår från. Bristerna uppkommer eftersom organisationer själva inte utför åtgärder och att de inte genomför uppföljningar. Eftersom åtgärder för risker utförs av en utomstående part kan riskhanteringsprocessen behöva anpassas då användarna av molntjänsten inte kontrollerar åtgärderna. Användandet av molntjänster ökar i samhället genom både organisationer och privatpersoner, därför är det viktigt att hantering av risker i samband med användandet av molntjänster fortsätter att undersökas och utvecklas.
7.1 Förslag på framtida forskning Studien har fokuserat på att beskriva hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Studien visar att det finns brister i riskhanteringsprocessen när den används i samband med molnbaserade affärssystem. Eftersom användarna lägger över kontrollen för åtgärderna till molntjänstleverantören är det ytterligare en part som påverkar hur risker hanteras. Förslag på forskning är att undersöka hur riskhanteringsprocessen kan utvecklas för användare av molnbaserade affärssystem.
Referenser
Ahmed, M., & Hossain, A, M. (2014). Cloud Computing and Security Issues in the Cloud. International Journal of Network Security and Its Applications, 6(1), 25-‐36. Armbrust, M., Fox, A., Griffith, R., Joseph, D, A., Katz, R., Konwinski, A., ... Zaharia, M. (2010). A view of cloud computing. Communications of the acm, 53(4), 50-‐58. Babu, M, S., Babu, A, M., & Sekhar, M, C. (2013). Enterprise Risk management Integrated framework for Cloud computing. International Journal of Advanced Networking and Applications, 5(3), 1939-‐1950. Bhardwaj, S., Jain L., & Jain, S. (2010). Cloud Computing: A study of Infrastructure as a Service (IAAS). International Journal of Engineering and Information Techlogy, 2(1), 60-‐63. Bhattacherjee, A., & Park, S, C. (2014). Why end-‐users move to the cloud: a migration-‐theoretic analysis. European Journal of Information Systems, 23(3), 357-‐372. Bisong, A., & Rahman, M, S. (2011). An Overview of the Security Concerns in Enterprise Cloud Computing. International Journal of Network Security and Its Applications, 3(1), 30-‐45. Braun, V. & Clarke, V. (2006). Using thematic analysis in psychology. Qualitative Research in Psychology, 3(2), 11-‐101. Brender, N., & Markov, I. (2013). Risk perception and risk management in cloud computing: Results from a case study of Swiss companies. International Journal of Information Management, 33(5), 726– 733. Bryman, A.(2011). Samhällsvetenskapliga metoder. Vol 3. Stockholm: Liber AB. Carroll, M., van der Merwe, A., & Kotzé, P. (2011). Secure Cloud Computing – Benefits, Risks and Controls. Information Security South Africa, 1-‐9. Carvalho, B, A, C., Andrade, C, M, R., Castro, F, M., Coutinho, F, E., & Agoulmine, N. (2017). State of the art and challenges of security SLA for cloud computing. Computers and Electrical Engineering, 1–12. Chang, C., Kuo, Y-‐H., & Ramachandran, M. (2016). Cloud computing adoption framework: A security framework for business clouds. Future Generation Computer Systems, 57, 24-‐41. Chen, C-‐S., Liang, W-‐Y., & Hsu, H-‐Y. (2015). A cloud computing platform for ERP applications. Applied Soft Computing, 27, 127–136.
Chou, C, D. (2015). Cloud Computing risk and audit issues. Computer Standards & Interfaces, 42, 137-‐142. Dahbur, K., Mohammad, B., & Tarakji, B, A. (2011). A survey of risks, threats and vulnerabilities in cloud computing. International Conference on Intelligent Semantic Web-‐Service and Applications. Denscombe, M. (2016). Forskningshandboken: För småsakliga forskningsprojkekt inom samhällsvetenskaperna. Liber: Studentlitteratur. Duan, J., Faker, P., Fesak, A., & Stuart, T. (2012). Benefits and Drawbacks of Cloud-‐based Versus Traditional ERP Systems. Robotics and Computer-‐Integrated Manufacturing, 75–86. Dutta, A., Peng, G, V., & Choudhary, A. (2013). Risks in enterprise cloud computing: the perspective of IT experts. Journal of Computer Information Systems, 53(4), 39-‐48. El-‐Gazzar, R., Hustad, E., & Olsen, D, H. (2016). Understanding cloud computing adoption issues: A Delphi study approach. Journal of Systems and Software, 118, 64-‐84. EUR-‐Lex: Access to European Union law. (2016). Mikroföretag samt små och medelstora företag: definition och tillämpningsområde. Hämtad: 2016-‐02-‐20, från http://eur-‐lex.europa.eu/legal-‐content/SV/TXT/?uri=URISERV%3An26026 Fauscette, M. (2013). ERP in the Cloud and the Modern Business. IDC. Gupta, S., & Misra, S, C. (2016). Compliance, network, security and the people related factors in cloud ERP implementation. International Journal of Communication System, 29, 1395-‐1419. Hashizume, K., Rosado, G, D., Fernández-‐Medina, E., & Fernandez, B, E. (2013). An analysis of security issues for cloud computing. Journal of Internet Services and Applications, 4(5), 186-‐201. Hedman, F. (2009). Affärssystem – en organisatorisk och teknisk paradox. Ingår i: J. Hedman, F. Nilsson, A. Westelius, (Red). Temperaturen pa affärssystem i Sverige. (s. 47-‐72). Lund: Studentlitteratur. Inuwa, N, U. (2015). The Risk and Challenges of Cloud Computing. Journal of Engineering Research and Applications, 5, 5-‐10. Intel Corporation. (2014). Vad är PaaS?. Hämtad 2017-‐04-‐24, från http://www.intel.se/content/dam/www/public/emea/se/sv/documents/white-‐papers/cloud-‐computing-‐what-‐is-‐paas-‐cloud-‐demand-‐paper-‐se.pdf Jacobsen, D, I. (2010). Vad, hur och varför? Om metodval i företagsekonomi och andra samhällsvetenskapliga ämnen. Lund: Studentlitteratur.
Kaltenecker, N., Hess, T., & Huesig, S. (2015). Managing potentially disruptiva innovations in software companies: Transforming from On-‐permises to the On-‐demand. The Journal of Strategic Information Systems, 24(4), 234-‐250. Kalyvas, J, R., Overly, M, R., & Karly, M, A. (2013). Cloud Computing: A Practical Framework for Managing Cloud Computing Risk—Part I. Intellectual Property & Technology Law Journal, 25(3), 7-‐18. Kalyvas, J, R., Overly, M, R., & Karly, M, A. (2013). Cloud Computing: A Practical Framework for Managing Cloud Computing Risk—Part II. Intellectual Property & Technology Law Journal, 25(4), 19-‐27. Khan, N., & Al-‐Yasiri, A. (2016). Identifying Cloud Security Threats to Strengthen Cloud Computing Adoption Framework. Procedia Computer Science, 94, 485-‐490. Kiadehi, F, E., & Mohammadi, S. (2012). Cloud ERP: Implementation of Enterprise Resource Planning Using Cloud Computing Technology. Journal of basis and Applied Scientific Research, 2(11), 11422-‐11427. Kranz, J., Hanelt, A., & Kolbe, M, L. (2016). Understanding the influence of absorptivecapacity and ambidexterity on the process of business model change – the case of on-‐premise and cloud-‐computing. Information Systems Journal, 26(5), 477-‐517. Kroenke, M, D. (2011). Using MIS (fourth edition). Pearson. Kvale, S. (1997). Den kvalitativa forskningsintervjun. Lund: Studentlitteratur. McNeil, J, A., Frey, R., & Embrechts, P. (2015). Quantitative Risk Management – Concept, Techniques and Tools. New Jersey: Princepton University Press. Melin, U. (2009). Affärssystem – en organisatorisk och teknisk paradox. Ingår i: J. Hedman, F. Nilsson, A. Westelius, (Red). Temperaturen på affärssystem i Sverige. (s. 47-‐72). Lund: Studentlitteratur. Mell, P., & Grance, T. (2011). The NIST Definition of Cloud Computing. National Institute of Standards and Technology. Special Publication, 800-‐145. Mosher, R. (2011). Cloud Computing Risks. Information Systems Security Association, 34-‐38. Myers, M, D. (2013). Qualitative Research in Business & Management. Vol 2. Sage Publications. Olechowski, A., Oehmen, J., Seering, W., & Ben-‐Daya, M. (2016). The professionalization of risk management: What role can the ISO 31000 risk management principles play? International Journal of Project Management, 34, 1568-‐1578.
Paquette, S., Jaeger, T, P., & Wilson, C, S. (2010). Identifying the security risks associated with governmental use of cloud computing. Government Information Quarterly, 27(3), 245-‐253.
Patton, M, Q. (2002). Qualitative evaluation and research methods. Vol 2. Sage Publications. Peng, G.C., & Gala, C.J. (2014). Cloud ERP: a new dilemma to modern organisations? Journal of Computer Information Systems, 54(4), 22-‐30. Purdy, G. (2010). ISO 31000:2009—Setting a New Standard for Risk Management. Risk Analysis, 30(6), 881-‐886. Qasim, H., & Abu-‐Shanab, E. (2014). Cloud Computing Risks & Business Adoption. International Journal of Emerging Sciences, 4(2), 52-‐63. Raihana, G, F, H. (2012). Cloud ERP-‐ A solution model. International Journal of Computer Science and Information Technology & Security, 2(1), 76-‐79. Seethamraju, R. (2015). Adoption of Software as a Service (Saas) Enterprise Resource Planning (ERP) Systems in Small and Medium Sized Enterprises (SMEs). Information Systems Frontiers, 17(3), 475-‐492. Sharma, S., & Sharma, B. (2016). Optimal selection of application loading on cloud services. International Journal of Production Research, 54(21), 6512-‐6531. Singh, S., Jeong, Y-‐S., & Park, J, H. (2016). A survey on cloud computing: Issues, threats, and solutions. Journal of Network and Computer Applications, 75, 200-‐222 Takabi, H., Joshi, B, D, J., & Ahn, G-‐J. (2010). Security and Privacy Challenges in Cloud Computing Enviroments. Computer and Reliability Societies, 8(6), 24-‐31. Tucker, G., & Li, C. (2012). Cloud Computing Risks. Conference on Internet Computing. Venters, W., & Whitley, A, E. (2012). A critical review of cloud computing: researching desires and realities. Journal of Information Technology, 27(3), 179-‐197.
Verbano, C., & Venturini, K. (2013). Managing Risks in SME:s A Literature Review and Research Agenda. Journal of Technology Management & Innovation, 8(3). Vetenskapsrådet. (2002). Forskningsetiska principer inom humanistisk-‐samhällsvetenskaplig forskning. Vetenskapsrådet. Vurukonda, N., & Rao, T, B. (2016). A Study on Data Storage Security Issues in Cloud Computing. Procedia Computer Science, 92, 128-‐135.
Webster, J., & Watson, R, T. (2002). Analyzing the past to prepare for the future: Writing a literature review. MIS Quarterly, 26(2), 13-‐23.
Yang, H., & Tate, M. (2012). A Descriptive Literature Review and Classification of Cloud Computing Research. Communications of the Association for Information Systems, 31(2), 35-‐60. Zissis, D., & Lekkas, D. (2012). Addressing cloud computing security issues. Future Generation Computer Systems, 28(3), 583-‐592.
Bilagor
Bilaga 1, Operationaliseringsschema
Tema: Molnbaserade affärssystem
Varför valde ni att anskaffa ett molnbaserat affärssystem?
Molnbaserade affärssystem kan erbjuda möjligheter för organisationer där de kan skapa en konkurrenskraftig position och dra nytta av tjänstebaserade IT-‐lösningar till en låg kostnad (El-‐Gazzar et al., 2016). Har ni erhållit några
fördelar/nackdelar med det molnbaserade affärssystemet?
Genom molntjänster får organisationer möjligheten att kunna avsätta mindre tid till att underhålla hårdvara och mjukvara, vilket kan resultera i att de får mer tid till att fokusera på sin kärnverksamhet (Carvalho et al., 2017; El-‐Gazzar et al., 2016; Kranz et al., 2016).
Tema: Risker som kan uppkomma i samband med molnbaserade affärssystem
Fanns det någonting som gjorde att ni tvekade på att anskaffa systemet?
Har ni haft någon relation eller samarbete med leverantören av affärssystemet?
Genom att använda sig av ett molnbaserat affärssystem förlorar användarna kontrollen över dess data och säkerhetskontrollerna kontrolleras nu av molntjänstleverantören. Användarna ger därför tillit till molntjänstleverantören om att deras data kommer att vara säker (Tucker & Li, 2012).
Organisationer som använder ett molnbaserat affärssystem kan uppleva en viss oro över att de inte har fullständig kontroll över systemet och infrastrukturen i tjänsten (Carvalho, et al., 2017; Gupta & Misra, 2016).
Datalagring och kontroll av data
Vilka har åtkomst till er data och datalagringsområde? Vem har bestämt det?
En utmaning för organisationer kan vara att kunna säkerställa att endast auktoriserade personer hos molntjänstleverantören får tillgång till deras data (Inuwa, 2015; Paquette et al., 2010; Takabi et al., 2010).
Finns det någon oro i organisationen genom att ni lagrar er data i molnet?
Det finns en oro i organisationer över riskerna och konsekvenserna av att placera sin data i molnet (El-‐Gazzar et al., 2016).
Molntjänstleverantörer har i vissa fall tagit sig befogenhet och hävdat att de har äganderätt av all data som lagrats på dess servrar (Mosher, 2011; Qasim & Abu-‐Shanab, 2014).
Vem har äganderätt till er data?
Har det skapats några problem relaterat till geografiska skillnader i samband med systemet?
I och med användandet av ett molnbaserat affärssystem kan det uppstå risker kring vart molntjänstleverantörer har sina datalagringscenter placerade geografiskt (Inuwa, 2015; Zissis & Lekkas, 2012).
Vilken kunskap hade du innan anskaffandet om risker relaterade till molnbaserade affärssystem?
Risk definieras som de möjliga konsekvenserna eller resultatet till följd av en händelse (Dutta et al., 2013; McNeil et al., 2015; Paquette et al., 2010).
Har det uppstått några utmaningar i samband med anskaffandet och användningen av systemet?
Det har framkommit att det finns många fördelar med molntjänster men det har även visats att det finns risker i samband med användningen och hanteringen av tjänsterna (Dutta et al., 2013; Paquette et al., 2010).
Har ni haft några problem gällande prestanda för systemet? Exempelvis nätverksåtkomst, svarstid.
Användaren vill ha tillförlitlig nätverksåtkomst, nätverkshastighet och svarstid för funktionerna i systemet för att användningen av systemet inte ska riskera att hindra det vardagliga arbetet i organisationen (Gupta & Misra, 2016).
Har ni haft möjlighet till att integrera andra system till affärssystemet?
Många molnbaserade affärssystem har märkbara begränsningar för anpassningar och integrationer med tredjepartstjänster och system (Duan et al., 2012).
Alla organisationer behöver identifiera, analysera, utvärdera och åtgärda risker för data, eftersom risker inte kan elimineras behöver de hanteras och förminskas till en hanterbar nivå (Dahbur et al., 2011).
Integration och prestanda
Utfördes någon form av identifiering av risker som kunde uppstå för er organisation i samband med anskaffandet av systemet?
Tema: Riskhantering i samband med molnbaserade affärssystem
Om ni identifierade att det fanns risker, analyserade ni på något sätt dessa risker? Med analysera menas om ni undersökte vilken skada som skulle kunna uppstå och hur det skulle påverka organisationen.
Alla organisationer behöver identifiera, analysera, utvärdera och åtgärda risker för data, eftersom risker inte kan elimineras behöver de hanteras och förminskas till en hanterbar nivå (Dahbur et al., 2011).
Andra användare till molntjänsten
Hur har externa parter tagits i åtanke i samband med det molnbaserade affärssystemet?
De flesta molntjänstleverantörer stödjer flera verksamheter med deras molntjänster, vilket kan innebära en risk för användarna (Mosher, 2011; Vurukonda & Rao, 2016).
Gjordes det någon typ av utvärdering av riskerna och deras påverkan på organisationen? Med utvärdering menas om ni valde att prioritera vissa risker som större eller prioritera bort en risk.
Har det ställts några krav på leverantören, vilka?
För att organisationer ska kunna åtgärda risker bör de ställa krav på molntjänstleverantören (Mosher, 2011).
Vilka åtgärder har ni tagit för att kunna förminska de risker som ni ansett har varit aktuella för just er organisation?
Organisationer kan för att hantera risker göra bindande kontrakt kring de kravställanden de gör på molntjänstleverantören (Mosher, 2011).
Har kraven på något sätt skriftligt avtalas?
Hur togs kraven emot hos leverantören?
Om inte molntjänstleverantörerna erbjuder fullständiga säkerhetskontroller för att skydda organisationens data kan det vara svårt att bygga och upprätthålla en trygg relation mellan parterna (Chou, 2015).
Alla organisationer behöver identifiera, analysera, utvärdera och åtgärda risker för data, eftersom risker inte kan elimineras behöver de hanteras och förminskas till en hanterbar nivå (Dahbur et al., 2011).
Alla organisationer behöver identifiera, analysera, utvärdera och åtgärda risker för data, eftersom risker inte kan elimineras behöver de hanteras och förminskas till en hanterbar nivå (Dahbur et al., 2011).
Att ställa krav på molntjänstleverantören
Har organisationen ett planerat arbete för att övervaka om de ställda kraven följs?
Organisationer behöver få kunskap om hur molntjänsten fungerar och hur molntjänstleverantören arbetar för att organisationen ska kunna försäkra sig om att leverantören kan leva upp till det som har avtalats (Bisong & Rahman, 2011; Venters & Whitley, 2012).
Att skriva avtal med molntjänstleverantören
Om ni vidtagit åtgärder för att kunna hantera och förminska risker med ert molnbaserade affärssystem, har det uppstått problem med sättet ni har valt att hantera en risk på?
Även om ett kontrakt förhandlas fram lämnas det utrymme för oklarheter kring vem som ansvarar för den skada som kan uppstå i samband med säkerhetsincidenter (Duan et al., 2012).
Problem som kan uppkomma i samband med riskhantering
Om ni inte gjort ett avtal med ”nya saker”, är ni medvetna om vad som står i leverantörens befintliga avtal?
All information ska samlas i ett avtal som ska undertecknas av båda pater, först då vet användaren vad de kan förvänta sig av tjänsten (Kalyvas et al., 2013).
Bilaga 2, Intervjuguide. Allmänna frågor Berätta kortfattat om verksamheten. Vilken roll har du i organisationen? Vilket affärssystem använder ni? Vilken typ av affärssystem använde ni innan ni anskaffade det molnbaserade affärssystemet, in-‐house eller molnbaserat? Har ni använt samma affärssystemsleverantör som för ert tidigare affärssystem? När anskaffade ni ett molnbaserat affärssystem? Vilka processer stödjer ert affärssystem? Har ni använt er av en affärssystemkonsult som inte är anställd hos molntjänstleverantören? Vad har konsultens roll i de fallen varit? Intervjufrågor Varför valde ni att anskaffa ett molnbaserat affärssystem? Har ni erhållit några fördelar/nackdelar med det molnbaserade affärssystemet? Har det uppstått några utmaningar i samband med anskaffandet och användningen av systemet? Vilken kunskap hade du innan anskaffandet om risker relaterade till molnbaserade affärssystem? Har ni haft någon relation eller samarbete med leverantören av affärssystemet? Finns det någon oro i organisationen genom att ni lagrar er data i molnet? Vilka har åtkomst till er data och datalagringsområde? Vem har bestämt det? Vem har äganderätt till er data? Har ni reflekterat över om externa parter, exempelvis underleverantörer och andra användare av affärssystem, påverkar er organisation? Utfördes någon form av identifiering av risker som kunde uppstå för er organisation i samband med anskaffandet av systemet? Om ni identifierade att det fanns risker, analyserade ni på något sätt dessa risker? Gjordes det någon typ av utvärdering av riskerna och deras påverkan på organisationen? Vilka åtgärder har ni tagit för att kunna förminska de risker som ni ansett har varit aktuella för just er organisation? Har det ställts några krav på leverantören, vilka? Hur togs kraven emot hos leverantören? Har de kraven på något sätt skriftligt avtalats? Om ni vidtagit åtgärder för att kunna hantera och förminska risker med ert molnbaserade affärssystem, har det uppstått problem med sättet ni har valt att hantera en risk på?
Bilaga 3, Information till respondenter. Halmstad xx-‐xx-‐xx Den information vi samlar in från Dig som respondent kommer endast att användas för vår undersökning som syftar till att skapa kunskap om hur svenska små och medelstora företag arbetar med riskhantering. Informationen kommer att presenteras i en kandidatuppsats som kommer att finnas tillgänglig för andra studenter inom vår akademi på Högskolan i Halmstad, handledare och examinatorer. När kandidatuppsatsen godkänns kommer den även att publiceras på DiVA (Digitala Vetenskapliga Arkivet).
Du som respondent kommer att vara anonym och dina personuppgifter kommer aldrig att nämnas i kandidatuppsatsen. Organisationen du arbetar för kommer även den att hållas anonym. Kortare beskrivningar av organisationen och Dig som respondent kommer att finnas i kandidatuppsatsen. Beskrivningarna kommer utformas på ett sådant sätt att det inte ska gå att identifiera varken Dig som respondent eller den organisation du arbetar för utifrån beskrivningen. Information som samlas in under intervjun kommer att spelas in och anteckningar kommer att tas. Efter intervjun kommer inspelningarna att transkriberas, det vill säga skrivas ner skriftligt. Alla inspelningar, anteckningar och transkriberingar kommer att raderas då kandidatuppsatsen har nått ett godkänt betyg och informationen inte längre är nödvändig för oss att behålla.
___________________________ ___________________________
…................................................... …...................................................
___________________________ __________________________
…................................................... …...................................................
Besöksadress: Kristian IV:s väg 3Postadress: Box 823, 301 18 HalmstadTelefon: 035-16 71 00E-mail: [email protected]
Annie Gabrielsson
Lisa Johansson