7 Slutsats
7.1 Förslag på framtida forskning
Studien grundar sig i frågeställningen: “Hur hanterar organisationer risker som kan uppkomma i samband med användandet av molnbaserade affärssystem?”.
Studiens resultat visar att organisationer hanterar risker genom att de identifierar, analyserar och utvärderar risker tillsammans med anställda inom organisationen.
Organisationer identifierar risker och dess konsekvenser genom att diskutera med anställda inom organisationen om risker de är medvetna om. När organisationer analyserar risker genomförs en jämförelse av risker mellan molnbaserade affärssystem och traditionella affärssystem. Studien visar att organisationerna bedömer att det finns liknande risker med molnbaserade affärssystem och traditionella affärssystem och att sannolikheten för att risker skulle uppkomma är densamma. Organisationerna bedömer att en molntjänstleverantör kan utföra ett säkrare arbete med att åtgärda risker än vad organisationerna själva kan. Därför utför organisationerna inte några egna åtgärder utan tar endast del av åtgärder som molntjänstleverantören erbjuder. Genom avtal kan organisationerna säkerställa att risker som identifieras erhåller åtgärder. Organisationerna i studien granskar att alla identifierade risker erhåller åtgärder i avtalet men de kontrollerar inte hur åtgärderna utförs.
Studiens resultat visar att uppföljning är något som organisationerna väljer att inte genomföra eftersom de har tillit till molntjänstleverantören. Studien visar att eftersom organisationerna själva inte utför några åtgärder är det viktigt att identifiera alla tänkbara risker med systemet. Att undersöka hur molntjänstleverantören utför åtgärderna är grundläggande för att kunna göra uppföljningar. Om organisationer genomför uppföljningar kan de kontrollera att åtgärderna för riskerna är effektiva. Studien visar även att det finns brister i hur organisationer hanterar risker gentemot riskhanteringsprocessen som studien utgår från. Bristerna uppkommer eftersom organisationer själva inte utför åtgärder och att de inte genomför uppföljningar. Eftersom åtgärder för risker utförs av en utomstående part kan riskhanteringsprocessen behöva anpassas då användarna av molntjänsten inte kontrollerar åtgärderna. Användandet av molntjänster ökar i samhället genom både organisationer och privatpersoner, därför är det viktigt att hantering av risker i samband med användandet av molntjänster fortsätter att undersökas och utvecklas.
7.1 Förslag på framtida forskning
Studien har fokuserat på att beskriva hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Studien visar att det finns brister i riskhanteringsprocessen när den används i samband med molnbaserade affärssystem. Eftersom användarna lägger över kontrollen för åtgärderna till molntjänstleverantören är det ytterligare en part som påverkar hur risker hanteras. Förslag på forskning är att undersöka hur riskhanteringsprocessen kan utvecklas för användare av molnbaserade affärssystem.
Referenser
Ahmed, M., & Hossain, A, M. (2014). Cloud Computing and Security Issues in the Cloud.
International Journal of Network Security and Its Applications, 6(1), 25-‐36.
Armbrust, M., Fox, A., Griffith, R., Joseph, D, A., Katz, R., Konwinski, A., ... Zaharia, M.
(2010). A view of cloud computing. Communications of the acm, 53(4), 50-‐58.
Babu, M, S., Babu, A, M., & Sekhar, M, C. (2013). Enterprise Risk management Integrated framework for Cloud computing. International Journal of Advanced Networking and Applications, 5(3), 1939-‐1950.
Bhardwaj, S., Jain L., & Jain, S. (2010). Cloud Computing: A study of Infrastructure as a Service (IAAS). International Journal of Engineering and Information Techlogy, 2(1), 60-‐
63.
Bhattacherjee, A., & Park, S, C. (2014). Why end-‐users move to the cloud: a migration-‐
theoretic analysis. European Journal of Information Systems, 23(3), 357-‐372.
Bisong, A., & Rahman, M, S. (2011). An Overview of the Security Concerns in Enterprise Cloud Computing. International Journal of Network Security and Its Applications, 3(1), 30-‐
45.
Braun, V. & Clarke, V. (2006). Using thematic analysis in psychology. Qualitative Research in Psychology, 3(2), 11-‐101.
Brender, N., & Markov, I. (2013). Risk perception and risk management in cloud computing: Results from a case study of Swiss companies. International Journal of Information Management, 33(5), 726– 733.
Bryman, A.(2011). Samhällsvetenskapliga metoder. Vol 3. Stockholm: Liber AB.
Carroll, M., van der Merwe, A., & Kotzé, P. (2011). Secure Cloud Computing – Benefits, Risks and Controls. Information Security South Africa, 1-‐9.
Carvalho, B, A, C., Andrade, C, M, R., Castro, F, M., Coutinho, F, E., & Agoulmine, N. (2017).
State of the art and challenges of security SLA for cloud computing. Computers and Electrical Engineering, 1–12.
Chang, C., Kuo, Y-‐H., & Ramachandran, M. (2016). Cloud computing adoption framework:
A security framework for business clouds. Future Generation Computer Systems, 57, 24-‐
41.
Chen, C-‐S., Liang, W-‐Y., & Hsu, H-‐Y. (2015). A cloud computing platform for ERP applications. Applied Soft Computing, 27, 127–136.
Chou, C, D. (2015). Cloud Computing risk and audit issues. Computer Standards &
Interfaces, 42, 137-‐142.
Dahbur, K., Mohammad, B., & Tarakji, B, A. (2011). A survey of risks, threats and
vulnerabilities in cloud computing. International Conference on Intelligent Semantic Web-‐
Service and Applications.
Denscombe, M. (2016). Forskningshandboken: För småsakliga forskningsprojkekt inom samhällsvetenskaperna. Liber: Studentlitteratur.
Duan, J., Faker, P., Fesak, A., & Stuart, T. (2012). Benefits and Drawbacks of Cloud-‐based Versus Traditional ERP Systems. Robotics and Computer-‐Integrated Manufacturing, 75–
86.
Dutta, A., Peng, G, V., & Choudhary, A. (2013). Risks in enterprise cloud computing: the perspective of IT experts. Journal of Computer Information Systems, 53(4), 39-‐48.
El-‐Gazzar, R., Hustad, E., & Olsen, D, H. (2016). Understanding cloud computing adoption issues: A Delphi study approach. Journal of Systems and Software, 118, 64-‐84.
EUR-‐Lex: Access to European Union law. (2016). Mikroföretag samt små och medelstora företag: definition och tillämpningsområde. Hämtad: 2016-‐02-‐20, från http://eur-‐
lex.europa.eu/legal-‐content/SV/TXT/?uri=URISERV%3An26026
Fauscette, M. (2013). ERP in the Cloud and the Modern Business. IDC.
Gupta, S., & Misra, S, C. (2016). Compliance, network, security and the people related factors in cloud ERP implementation. International Journal of Communication System, 29, 1395-‐1419.
Hashizume, K., Rosado, G, D., Fernández-‐Medina, E., & Fernandez, B, E. (2013). An analysis of security issues for cloud computing. Journal of Internet Services and Applications, 4(5), 186-‐201.
Hedman, F. (2009). Affärssystem – en organisatorisk och teknisk paradox. Ingår i: J.
Hedman, F. Nilsson, A. Westelius, (Red). Temperaturen på̊ affärssystem i Sverige. (s. 47-‐
72). Lund: Studentlitteratur.
Inuwa, N, U. (2015). The Risk and Challenges of Cloud Computing. Journal of Engineering Research and Applications, 5, 5-‐10.
Intel Corporation. (2014). Vad är PaaS?. Hämtad 2017-‐04-‐24, från
http://www.intel.se/content/dam/www/public/emea/se/sv/documents/white-‐
papers/cloud-‐computing-‐what-‐is-‐paas-‐cloud-‐demand-‐paper-‐se.pdf
Jacobsen, D, I. (2010). Vad, hur och varför? Om metodval i företagsekonomi och andra samhällsvetenskapliga ämnen. Lund: Studentlitteratur.
Kaltenecker, N., Hess, T., & Huesig, S. (2015). Managing potentially disruptiva
innovations in software companies: Transforming from On-‐permises to the On-‐demand.
The Journal of Strategic Information Systems, 24(4), 234-‐250.
Kalyvas, J, R., Overly, M, R., & Karly, M, A. (2013). Cloud Computing: A Practical Framework for Managing Cloud Computing Risk—Part I. Intellectual Property &
Technology Law Journal, 25(3), 7-‐18.
Kalyvas, J, R., Overly, M, R., & Karly, M, A. (2013). Cloud Computing: A Practical Framework for Managing Cloud Computing Risk—Part II. Intellectual Property &
Technology Law Journal, 25(4), 19-‐27.
Khan, N., & Al-‐Yasiri, A. (2016). Identifying Cloud Security Threats to Strengthen Cloud Computing Adoption Framework. Procedia Computer Science, 94, 485-‐490.
Kiadehi, F, E., & Mohammadi, S. (2012). Cloud ERP: Implementation of Enterprise Resource Planning Using Cloud Computing Technology. Journal of basis and Applied Scientific Research, 2(11), 11422-‐11427.
Kranz, J., Hanelt, A., & Kolbe, M, L. (2016). Understanding the influence of
absorptivecapacity and ambidexterity on the process of business model change – the case of on-‐premise and cloud-‐computing. Information Systems Journal, 26(5), 477-‐517.
Kroenke, M, D. (2011). Using MIS (fourth edition). Pearson.
Kvale, S. (1997). Den kvalitativa forskningsintervjun. Lund: Studentlitteratur.
McNeil, J, A., Frey, R., & Embrechts, P. (2015). Quantitative Risk Management – Concept, Techniques and Tools. New Jersey: Princepton University Press.
Melin, U. (2009). Affärssystem – en organisatorisk och teknisk paradox. Ingår i: J. Hedman, F. Nilsson, A. Westelius, (Red). Temperaturen på affärssystem i Sverige. (s. 47-‐72). Lund:
Studentlitteratur.
Mell, P., & Grance, T. (2011). The NIST Definition of Cloud Computing. National Institute of Standards and Technology. Special Publication, 800-‐145.
Mosher, R. (2011). Cloud Computing Risks. Information Systems Security Association, 34-‐
38.
Myers, M, D. (2013). Qualitative Research in Business & Management. Vol 2. Sage Publications.
Olechowski, A., Oehmen, J., Seering, W., & Ben-‐Daya, M. (2016). The professionalization of risk management: What role can the ISO 31000 risk management principles play?
International Journal of Project Management, 34, 1568-‐1578.
Paquette, S., Jaeger, T, P., & Wilson, C, S. (2010). Identifying the security risks associated with governmental use of cloud computing. Government Information Quarterly, 27(3), 245-‐253.
Patton, M, Q. (2002). Qualitative evaluation and research methods. Vol 2. Sage Publications.
Peng, G.C., & Gala, C.J. (2014). Cloud ERP: a new dilemma to modern organisations?
Journal of Computer Information Systems, 54(4), 22-‐30.
Purdy, G. (2010). ISO 31000:2009—Setting a New Standard for Risk Management. Risk Analysis, 30(6), 881-‐886.
Qasim, H., & Abu-‐Shanab, E. (2014). Cloud Computing Risks & Business Adoption.
International Journal of Emerging Sciences, 4(2), 52-‐63.
Raihana, G, F, H. (2012). Cloud ERP-‐ A solution model. International Journal of Computer Science and Information Technology & Security, 2(1), 76-‐79.
Seethamraju, R. (2015). Adoption of Software as a Service (Saas) Enterprise Resource Planning (ERP) Systems in Small and Medium Sized Enterprises (SMEs). Information Systems Frontiers, 17(3), 475-‐492.
Sharma, S., & Sharma, B. (2016). Optimal selection of application loading on cloud services. International Journal of Production Research, 54(21), 6512-‐6531.
Singh, S., Jeong, Y-‐S., & Park, J, H. (2016). A survey on cloud computing: Issues, threats, and solutions. Journal of Network and Computer Applications, 75, 200-‐222
Takabi, H., Joshi, B, D, J., & Ahn, G-‐J. (2010). Security and Privacy Challenges in Cloud Computing Enviroments. Computer and Reliability Societies, 8(6), 24-‐31.
Tucker, G., & Li, C. (2012). Cloud Computing Risks. Conference on Internet Computing.
Venters, W., & Whitley, A, E. (2012). A critical review of cloud computing: researching desires and realities. Journal of Information Technology, 27(3), 179-‐197.
Verbano, C., & Venturini, K. (2013). Managing Risks in SME:s A Literature Review and Research Agenda. Journal of Technology Management & Innovation, 8(3).
Vetenskapsrådet. (2002). Forskningsetiska principer inom humanistisk-‐
samhällsvetenskaplig forskning. Vetenskapsrådet.
Vurukonda, N., & Rao, T, B. (2016). A Study on Data Storage Security Issues in Cloud Computing. Procedia Computer Science, 92, 128-‐135.
Webster, J., & Watson, R, T. (2002). Analyzing the past to prepare for the future: Writing a literature review. MIS Quarterly, 26(2), 13-‐23.
Yang, H., & Tate, M. (2012). A Descriptive Literature Review and Classification of Cloud Computing Research. Communications of the Association for Information Systems, 31(2), 35-‐60.
Zissis, D., & Lekkas, D. (2012). Addressing cloud computing security issues. Future Generation Computer Systems, 28(3), 583-‐592.
Bilagor
Bilaga 1, Operationaliseringsschema
Tema: Molnbaserade affärssystem
Varför valde ni att anskaffa ett molnbaserat affärssystem?
Molnbaserade affärssystem kan erbjuda möjligheter för
organisationer där de kan skapa en konkurrenskraftig position och dra nytta av tjänstebaserade IT-‐
lösningar till en låg kostnad (El-‐
Gazzar et al., 2016).
Har ni erhållit några
fördelar/nackdelar med det molnbaserade affärssystemet?
Genom molntjänster får organisationer möjligheten att kunna avsätta mindre tid till att underhålla hårdvara och
mjukvara, vilket kan resultera i att de får mer tid till att fokusera på sin
kärnverksamhet (Carvalho et al., 2017;
El-‐Gazzar et al., 2016; Kranz et al., 2016).
Tema: Risker som kan uppkomma i samband med molnbaserade affärssystem
Fanns det någonting som gjorde att ni tvekade på att anskaffa systemet?
Har ni haft någon relation eller samarbete med leverantören av affärssystemet?
Genom att använda sig av ett molnbaserat affärssystem förlorar användarna kontrollen över dess data och säkerhetskontrollerna kontrolleras nu av molntjänstleverantören.
Användarna ger därför tillit till molntjänstleverantören om att deras data kommer att vara säker (Tucker &
Li, 2012).
Organisationer som använder ett molnbaserat affärssystem kan uppleva en viss oro över att de inte har fullständig kontroll över
systemet och infrastrukturen i
tjänsten (Carvalho, et al., 2017; Gupta
& Misra, 2016).
Datalagring och kontroll av data
Vilka har åtkomst till er data och datalagringsområde? Vem har bestämt det?
En utmaning för organisationer kan vara att kunna säkerställa att endast auktoriserade personer hos molntjänstleverantören får tillgång till deras data (Inuwa, 2015;
Paquette et al., 2010; Takabi et al., 2010).
Finns det någon oro i
organisationen genom att ni lagrar er data i molnet?
Det finns en oro i organisationer över riskerna och konsekvenserna av att placera sin data i molnet (El-‐
Gazzar et al., 2016).
Molntjänstleverantörer har i vissa fall tagit sig befogenhet och hävdat att de har äganderätt av all data som lagrats på dess servrar (Mosher, 2011; Qasim & Abu-‐
Shanab, 2014).
Vem har äganderätt till er data?
Har det skapats några problem relaterat till geografiska skillnader i samband med systemet?
I och med användandet av ett molnbaserat affärssystem kan det uppstå risker kring vart
molntjänstleverantörer har sina datalagringscenter placerade geografiskt (Inuwa, 2015; Zissis &
Lekkas, 2012).
Vilken kunskap hade du innan anskaffandet om risker
relaterade till molnbaserade affärssystem?
Risk definieras som de möjliga konsekvenserna eller resultatet till följd av en händelse (Dutta et al., 2013; McNeil et al., 2015;
Paquette et al., 2010).
Har det uppstått några utmaningar
i samband med anskaffandet och användningen av systemet?
Det har framkommit att det finns många fördelar med molntjänster men det har även visats att det finns risker i samband med
användningen och hanteringen av tjänsterna (Dutta et al., 2013;
Paquette et al., 2010).
Har ni haft några problem gällande prestanda för funktionerna i systemet för att användningen av systemet inte ska riskera att hindra det vardagliga arbetet i organisationen (Gupta &
Misra, 2016).
Har ni haft möjlighet till att
integrera andra system till åtgärda risker för data, eftersom risker inte kan elimineras behöver de hanteras och förminskas till en
hanterbar nivå (Dahbur et al., 2011).
Integration och prestanda
Utfördes någon form av
identifiering av risker som kunde uppstå för er organisation i samband med anskaffandet av systemet?
Tema: Riskhantering i samband med molnbaserade affärssystem
Om ni identifierade att det fanns risker, analyserade ni på något sätt dessa risker? Med analysera menas om ni undersökte vilken skada som skulle kunna uppstå och hur det skulle påverka organisationen.
Alla organisationer behöver
identifiera, analysera, utvärdera och åtgärda risker för data, eftersom risker inte kan elimineras behöver de hanteras och förminskas till en
hanterbar nivå (Dahbur et al., 2011).
Andra användare till molntjänsten Hur har externa parter tagits i
åtanke i samband med det molnbaserade affärssystemet?
De flesta molntjänstleverantörer stödjer flera verksamheter med deras molntjänster, vilket kan innebära en risk för användarna (Mosher, 2011; Vurukonda & Rao, 2016).
Gjordes det någon typ av utvärdering av riskerna och deras påverkan på organisationen? Med utvärdering menas om ni valde att prioritera vissa risker som större eller prioritera bort en risk.
Har det ställts några krav på leverantören, vilka?
För att organisationer ska kunna åtgärda risker bör de ställa krav på molntjänstleverantören (Mosher, 2011).
Vilka åtgärder har ni tagit för att kunna förminska de risker som ni ansett har varit aktuella för just er organisation?
Organisationer kan för att hantera risker göra bindande kontrakt kring de kravställanden de gör på
molntjänstleverantören (Mosher, 2011).
Har kraven på något sätt skriftligt
avtalas?
Hur togs kraven emot hos leverantören?
Om inte molntjänstleverantörerna erbjuder fullständiga
säkerhetskontroller för att skydda organisationens data kan det vara svårt att bygga och upprätthålla en trygg relation mellan parterna (Chou, 2015).
Alla organisationer behöver
identifiera, analysera, utvärdera och åtgärda risker för data, eftersom risker inte kan elimineras behöver de hanteras och förminskas till en
hanterbar nivå (Dahbur et al., 2011).
Alla organisationer behöver
identifiera, analysera, utvärdera och åtgärda risker för data, eftersom risker inte kan elimineras behöver de hanteras och förminskas till en
hanterbar nivå (Dahbur et al., 2011).
Att ställa krav på molntjänstleverantören
Har organisationen ett planerat arbete för att övervaka om de ställda kraven följs?
Organisationer behöver få kunskap om hur molntjänsten fungerar och hur molntjänstleverantören arbetar för att organisationen ska kunna försäkra sig om att leverantören kan leva upp till det som har avtalats (Bisong & Rahman, 2011; Venters &
Whitley, 2012).
Att skriva avtal med molntjänstleverantören
Om ni vidtagit åtgärder för att kunna hantera och förminska risker med ert molnbaserade affärssystem, har det uppstått problem med sättet ni har valt att hantera en risk på?
Även om ett kontrakt förhandlas fram lämnas det utrymme för oklarheter kring vem som ansvarar för den skada som kan uppstå i samband med säkerhetsincidenter (Duan et al., 2012).
Problem som kan uppkomma i samband med riskhantering
Om ni inte gjort ett avtal med
”nya saker”, är ni medvetna om vad som står i leverantörens befintliga avtal?
All information ska samlas i ett avtal som ska undertecknas av båda pater, först då vet användaren vad de kan förvänta sig av tjänsten (Kalyvas et al., 2013).
Bilaga 2, Intervjuguide.
Allmänna frågor
Berätta kortfattat om verksamheten.
Vilken roll har du i organisationen?
Vilket affärssystem använder ni?
Vilken typ av affärssystem använde ni innan ni anskaffade det molnbaserade affärssystemet, in-‐house eller molnbaserat?
Har ni använt samma affärssystemsleverantör som för ert tidigare affärssystem?
När anskaffade ni ett molnbaserat affärssystem?
Vilka processer stödjer ert affärssystem?
Har ni använt er av en affärssystemkonsult som inte är anställd hos molntjänstleverantören? Vad har konsultens roll i de fallen varit?
Intervjufrågor
Varför valde ni att anskaffa ett molnbaserat affärssystem?
Har ni erhållit några fördelar/nackdelar med det molnbaserade affärssystemet?
Har det uppstått några utmaningar i samband med anskaffandet och användningen av systemet?
Vilken kunskap hade du innan anskaffandet om risker relaterade till molnbaserade affärssystem?
Har ni haft någon relation eller samarbete med leverantören av affärssystemet?
Finns det någon oro i organisationen genom att ni lagrar er data i molnet?
Vilka har åtkomst till er data och datalagringsområde? Vem har bestämt det?
Vem har äganderätt till er data?
Har ni reflekterat över om externa parter, exempelvis underleverantörer och andra användare av affärssystem, påverkar er organisation?
Utfördes någon form av identifiering av risker som kunde uppstå för er organisation i samband med anskaffandet av systemet?
Om ni identifierade att det fanns risker, analyserade ni på något sätt dessa risker?
Gjordes det någon typ av utvärdering av riskerna och deras påverkan på organisationen?
Vilka åtgärder har ni tagit för att kunna förminska de risker som ni ansett har varit aktuella för just er organisation?
Har det ställts några krav på leverantören, vilka?
Hur togs kraven emot hos leverantören?
Har de kraven på något sätt skriftligt avtalats?
Om ni vidtagit åtgärder för att kunna hantera och förminska risker med ert
molnbaserade affärssystem, har det uppstått problem med sättet ni har valt att hantera en risk på?
Bilaga 3, Information till respondenter.
Halmstad xx-‐xx-‐xx
Den information vi samlar in från Dig som respondent kommer endast att användas för vår undersökning som syftar till att skapa kunskap om hur svenska små och medelstora företag arbetar med riskhantering. Informationen kommer att presenteras i en
kandidatuppsats som kommer att finnas tillgänglig för andra studenter inom vår akademi på Högskolan i Halmstad, handledare och examinatorer. När
kandidatuppsatsen godkänns kommer den även att publiceras på DiVA (Digitala Vetenskapliga Arkivet).
Du som respondent kommer att vara anonym och dina personuppgifter kommer aldrig att nämnas i kandidatuppsatsen. Organisationen du arbetar för kommer även den att hållas anonym. Kortare beskrivningar av organisationen och Dig som respondent kommer att finnas i kandidatuppsatsen. Beskrivningarna kommer utformas på ett sådant sätt att det inte ska gå att identifiera varken Dig som respondent eller den organisation du arbetar för utifrån beskrivningen.
Information som samlas in under intervjun kommer att spelas in och anteckningar kommer att tas. Efter intervjun kommer inspelningarna att transkriberas, det vill säga skrivas ner skriftligt. Alla inspelningar, anteckningar och transkriberingar kommer att raderas då kandidatuppsatsen har nått ett godkänt betyg och informationen inte längre är nödvändig för oss att behålla.
___________________________ ___________________________
…... …...
___________________________ __________________________
…... …...
Besöksadress: Kristian IV:s väg 3 Postadress: Box 823, 301 18 Halmstad Telefon: 035-16 71 00
E-mail: registrator@hh.se www.hh.se
Annie Gabrielsson