Förslag till vidare forskning - Mänskliga faktorn

Mänskliga faktorn

6.1 Förslag till vidare forskning

Utredningen kring vilka typer av risker som uppstår beroende av den mänskliga faktorn, från denna studie kan ses som en riktlinje till vidare forskning avseende riskanalyser kring den mänskliga faktorn och dess påverkan vid transformering till molntjänst. Denna uppsats genomfördes på ett dagligvaruhandelsföretag men visar på arbetssätt och förslag som kan antas vara giltiga även i andra kontext där organisationer arbetar med digital transformation. Dock bör fler studier i andra branscher och i ytterligare företag genomföras för att göra en sådan generalisering. Vidare föreslås att respondenter i kommande studier även beaktar olika sociala grupper och avdelningar inom en organisation då behov/arbetsuppgifter och risker kopplat till mänskliga faktorer antas skilja sig åt till viss del mellan grupper.

Referenser

Abraha, H. H. (2019). How compatible is the US “CLOUD Act” with cloud computing? A brief analysis. International Data Privacy Law, 9(3), 207–215.

Anandamurugan, S., Priyaa, T., & Babu, M. C. A. (2017). Cloud Computing: An Innovative Technology for Linux and Android Platforms. Laxmi Publications Pvt Ltd.

Bevilacqua, M., & Ciarapica, F. E. (2018). Human factor risk management in the process industry: A case study. Reliability Engineering and System Safety, 169, 149–159.

Bowers, D. (2016). Risk Management: Past, Present and Future Directions. Nova Science Publishers, Inc.

Bromiley, P. and Rau, D. (2016), “A better way of managing major risks: strategic risk management”, IESE Insight, No. 28, pp. 15-22.

Cacciabue, P.C. (2000). Human factors impact on risk analysis of complex systems J Hazard Mater, 71 (1).

Carroll, M., van der Merwe, A., & Kotze, P. (2011). Secure cloud computing: Benefits, risks and controls. 2011 Information Security for South Africa, Information Security South Africa (ISSA), 2011, 1–9.

Chiang Ku Fan, & Tien-Chun Chen. (2012). The Risk Management Strategy of Applying Cloud Computing.

Coghlan, D. & Brannick, T. (2001). Doing action research in your own organization. London: SAGE.

Denscombe, M. (2014). The Good Research Guide: For Small-scale Research Projects: Vol. Fifth edition. McGraw-Hill Education.

Dutta, A., Peng, G. C., & Choudhary, A. (2013). Risks in enterprise cloud computing: the perspective of IT experts. http://eprints.whiterose.ac.uk/79144/2/WRRO_79144.pdf

Eliasson, J., Hagström, C.J., (2002) Konkurrensverket. Hämtad 2020-03-12 från http://www.konkurrensverket.se/globalassets/publikationer/rapporter/dagligvaruhandeln---struktur-agarform-och-relation-till-leverantorer.pdf

Fehle, F. and Tsyplakov, S. (2005), “Dynamic risk management: theory and evidence”, Journal of Financial Economics, Vol. 78 No. 1, pp. 3-47.

Ghafir, I., Prenosil, V., Alhejailan, A., and Hammoudeh, M,. (2016). Social Engineering Attack Strategies and Defence Approaches, IEEE 4th Int. Conf. Futur. Internet Things Cloud, pp. 145-149.

Glaser, B.G. & Strauss, A.L. (1967). The discovery of grounded theory: strategies for qualitative research. New York: Aldine de Gruyter.

Graneheim, U. H., & Lundman, B. (2004). Qualitative content analysis in nursing research: Concepts, procedures and measures to achieve trustworthiness. Nurse Education Today, 24(2), 105–112.

Hartwick, J., & Barki, H. 1994. “Explaining the Role of User Participation in Information System Use,” Management Science (40:4)

International Organization for Standardization. (2018). ISO 31000:2018 Risk management - Guidelines. USA: International Organization for Standardization.

Jacobsen, D.I. (2017). Hur genomför man undersökningar?: introduktion till samhällsvetenskapliga metoder. (Upplaga 2:1). Lund: Studentlitteratur.

Jordan, S., Mitterhofer, H., & Jorgensen, L. (n.d.). The interdiscursive appeal of risk matrices: Collective symbols, flexibility normalism and the interplay of “risk” and “uncertainty.” ACCOUNTING ORGANIZATIONS AND SOCIETY, 67, 34–55.

Konkurrensen i Sverige. (2018) Kapitel 28 Livsmedelshandel, rapport 2018:1. Hämtad

2020-03-12 från

http://www.konkurrensverket.se/globalassets/publikationer/rapporter/rapport_2018-1_kap28-livsmedelshandel.pdf

Leitch, M. (2010), “ISO 31000: 2009 – The new international standard on risk management”, Risk Analysis, Vol. 30 No. 6, pp. 887-892.

Luko S. Risk Assessment Techniques. Quality Engineering. 2014;26(3):379-382.

Mahmood, Z., Basharat, M., & Bashir, Z. (2012). Review of Classical Management Theories. International journal of social sciences & education, 2(1).

Matsudaira, K. (2019). The Evolution of Management. Communications of the ACM, 62(10), 42–47.

Mell, M. P. & Grance, T. (2011). The NIST Definition of Cloud Computing (Special Publication (NIST SP) - 800-145). Hämtad 2020-05-01 från Computer Security Division Information Technology Laboratory National Institute of Standards and Technology Gaithersburg https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

Nationalencyklopedin, mänskliga faktorn.

http://www.ne.se/uppslagsverk/encyklopedi/lång/mänskliga-faktorn Hämtad 2020-03-12 från Nationalencyklopedin, säkerhet. Hämtad 2020-03-12 från

http://www.ne.se/uppslagsverk/encyklopedi/lång/säkerhet

Nuseibeh, H. (2011). Adoption of Cloud Computing in Organizations. AMCIS 2011 Proceedings - All Submissions. 372. Hämtad från

http://aisel.aisnet.org/amcis2011_submissions/372

Olsson, H. & Sörensen, S. (2011). Forskningsprocessen: kvalitativa och kvantitativa perspektiv. (3. uppl.) Stockholm: Liber.

Parliamentary Office of Science and Technology. (2001). POST postnote - managing human error. London: Parliamentary Office of Science and Technology.

Purdy, G. (2010), “ISO 31000: 2009 – setting a new standard for risk management”, Risk Analysis, Vol. 30 No. 6, pp. 881-886.

Rasmussen, J. (1997), “Risk management in a dynamic society: a modelling problem”, Safety Science, Vol. 27 No. 2, pp. 183-213.

Rausand, M. (2013). Risk Assessment: Theory, Methods, and Applications. John Wiley & Sons. pp. 1–28. ISBN 9780470637647.

Rizvi, S., Ryoo, J., Kissell, J., Aiken, W., & Liu, Y. (2018). A security evaluation framework for cloud security auditing. Journal of Supercomputing, 74(11), 5774–5796.

Roberts D, Graves R. Risk Assessment Myth Busters: Defining Risk Management Processes and Terminology. IEEE Industry Applications Magazine, Industry Applications Magazine, IEEE, IEEE Ind Appl Mag. 2020;26(3):22-28.

Shrivastava, P. (1995), “Ecocentric management for a risk society”, Academy of Management Review, Vol. 20 No. 1, pp. 118-137.

Singh, K. P., Rishiwal, V., & Kumar, P. (2018). Classification of Data to Enhance Data Security in Cloud Computing. 2018 3rd International Conference On Internet of Things: Smart Innovation and Usages (IoT-SIU), Internet of Things: Smart Innovation and Usages (IoT-SIU),

2018 3rd International Conference On, 1–5.

Spears, J. L., & Barki, H. (2010). User Participation in Information Systems Security Risk Management. MIS Quarterly, 34(3), 503-A5.

Stoner, J. A. F., Freeman, R. E, & Danial, R. (2003). Management 6th Ed. New Delhi: Prantice Hall of India

Svenska Akademiens Ordbok (1959). Risk. Hämtad 2020-03-12 från https://www.saob.se/artikel/?unik=R_1987-0170.6Uzy&pz=3

Swedish Standard Institute. (2015). Teknisk rapport SIS-TR 50:2015: Terminologi för informationssäkerhet. Hämtad 2020-03-12, från https://www.sis.se/api/document/preview/8014024/

Varghese, B. (2019). History of the Cloud. ITNOW, 61(2), 46. Hämtad från http://search.ebscohost.com.proxy.lib.ltu.se/login.aspx?direct=true&db=edb&AN=13661331 5&lang=sv&site=eds-live&scope=site

Weijrich, H. and Koontz, H. (1993). Management A Globel Perspective 10th Ed. New Delhi, Tata McGRAW

Wheeler, E. (2011). Security Risk Management : Building an Information Security Risk Management Program From the Ground Up. Syngress.

Whitman, M.E. & Mattord, H.J. (2011). Principles of information security. (4. ed.) Boston, Mass.: Course Technology.

Wolke, T. (2017). Risk Management. De Gruyter Oldenbourg.

Wulf, F., Strahringer, S., & Westner, M. (2019). Information Security Risks, Benefits, and Mitigation Measures in Cloud Sourcing. 2019 IEEE 21st Conference on Business Informatics (CBI), Business Informatics (CBI), 2019 IEEE 21st Conference on, CBI, 01, 258–267.

Xiangyu, L., Qiuyang, L., & Chandel, S. (2017). Social Engineering and Insider Threats. 2017 International Conference on Cyber-Enabled Distributed Computing and Knowledge Discovery (CyberC), Cyber-Enabled Distributed Computing and Knowledge Discovery (CyberC), 2017 International Conference on, CYBERC, 25–34.

Xie Xuecai, & Guo Deyong. (2018). Human factors risk assessment and management: Process safety in engineering. Process Safety & Environmental Protection: Transactions of the Institution of Chemical Engineers Part B, 113(Part B), 467–482.

Youssef, A. E. ( 1,2 ). (2020). A framework for cloud security risk management based on the business objectives of organizations. International Journal of Advanced Computer Science and Applications, 10(12), 186–194.

Bilaga 1

I denna bilaga presenteras de 10 grundfrågor som ställdes på gruppintervjun. 1. Vad är din roll i detta projekt?

2. Vilka erfarenheter av molntjänster har ni, i tjänst och/eller privat? 3. Hur kommer det sig att Axfood intresserar sig för molntjänster?

4. Baserat på vilka behov har företaget beslutat om sina val gällande molntjänster och hur kom man fram till dessa behov?

5. Hur ser ni på risker, har ni gjort någon riskanalys och hur ser den ut? 6. Vad tänker ni är en mänsklig faktors risk?

7. Vilka risker pga. mänskliga faktorer har ni stött på eller tänker ni kan hända? 8. Hur hanterar ni risker under projektets gång?

9. Hur kan man minska risken för att den mänskliga faktorn ska påverka projektet? 10. Är det något mer ni vill tillägga angående risker / mänskliga faktorer / molntjänst?

Bilaga 2

Nuvarande situation:

-Segregering av rättigheter inte lika tydlig nr. 6

Denna risk var gruppen väldigt överens om, dess påverkan är Major men sannolikheten för att det faktiskt skulle ske är liten så den blev satt på Very unlikely.

-Rättigheter som inte städas nr. 10

Även här var intervjudeltagarna väldigt snabbt överens om att påverkan är Major men sannolikheten Unlikely.

-Lättare att läcka hemligheter nr. 7

En liten diskussion rörande om sannolikheten var Likely eller Less likely pågick men de tog beslutet att det är Less likely. Påverkan däremot var alla direkt överens om att den är Huge. Om det skulle ske skulle det ha seriepåverkan och skadan skulle vara stor.

-Lättåtkomligt någon kan ta över en klient man använder nr. 4

För att detta ska ske måste någon stjäla klienten (med klient i detta fall menas arbetsdator) när man är inloggad kommer intervjudeltagarna fram till. Om klienten är låst kommer de inte åt något. Detta är inte så troligt att det kommer ske då de endast använder klienten hemma eller på kontoret och den är inlåst över natten. Det är många bitar som ska falla samman för att detta ska ske. Påverkan är Minor och sannolikheten är Unlikely.

-Säkerhet är inte inbyggt i arbetsprocessen nr. 3

Intervjudeltagarna är överens om att sannolikheten är Likely och påverkan är Moderate. Då det kommer komma in nybörjare i systemet men de kommer också lära sig och bli duktig med tiden. Det går även att sätta begränsningar vad folk får och inte får göra i systemen.

-Lättare att göra saker publikt nr.5

Detta har hänt, någon har gjort saker publikt utan att de har varit medveten om det. Men nu anser intervjudeltagarna att det inte är så stor risk längre då de har lär sig av misstaget och byggt om åtkomsten. Sannolikheten är Less likely och påverkan är Huge. -Förståelse för IT nr.2

Vilket de ser som en risk om man inte har grundfundamenten i hur IT fungerar. Intervjudeltagara uppskattar denna ha en sannolikhet Likely och påverkan är Minor. “Folk kan göra något som inte vi tror därför har vi inte byggt något skydd för det.” -I1

En diskussion kring om sannolikheten är Likely eller Very likely uppstår då en av intervjudeltagrna påpekar att den kan vara högre när de kommer nya anställda. Men efter ett tag kommer det gå ner igen då de nya har lärt sig mer.

-Lättare att förstöra om man har ont uppsåt nr.8

Intervjudeltagrana är överens om att sannolikheten att något medvetet väljer att förstöra är Very unlikely men om det skulle ske skulle påverkan vara Huge.

-Fel konfiguration nr.1

Eftersom detta redan har hänt och intervjudeltagarna tror att det kan ske igen är sannolikheten Very likely men påverkan är Minor.

-Kostnadskontroll nr.9

Kostnadskontrollen satte intervjudeltagarna som Moderate på påverkan och sannolikheten som Likely.

Situationen om 5 år:

-Fel konfiguration nr. 1

Denna kommer enligt intervjudeltagarna gå ner allt eftersom de får mer kompetens, sannolikheten går ner till Less likely men påverkan är va på Minor.

-Förståelse för IT nr. 2

Denna sitter kvar som tidigare är intervjudeltagrana överens om, sannolikheten är Likely och påverkan är Minor. Det kommer alltid komma in nya personer i projektet. Men personalomsättningen kommer inte vara så stor på 5 år.

-Säkerhet är inte inbyggt i arbetsprocessen nr. 3

Denna risk är intervjudeltagarna överens om att den måste arbetas med, denna risken måste gå ner. Men de känner också att inom 5 år är det svårt med allt för stora förändringar då IT-processerna för detta projekt tar tid. De väljer att ändra sannolikheten till Less likely men påverkan är kvar på Moderate.

-Lättåtkomligt någon kan ta över en klient man använder nr. 4

Intervjudeltagarna ser inte att denna kommer förändras. Påverkan är kvar på Minor och sannolikheten är kvar på Unlikely.

-Lättare att göra saker publikt nr. 5

Intervjudeltagarna är överens om att denna definitivt kommer gå ner då de redan ser jättestor skillnad under de senaste två åren. Sannolikheten hoppar ner två steg till Very unlikely medans påverkan ligger kvar på Huge.

-Segregering av rättigheter inte lika tydlig nr. 6

Denna är intervjudeltagarna ense om att den kommer stanna kvar, påverkan är fortfarande Major och sannolikheten Unlikely.

-Lättare att läcka hemligheter nr. 7

Det uppstår en diskussion mellan intervjudeltagarna kring denna. Ena sidan tror så länge personer har höga privilegier kommer denna risk vara kvar på samma. Men andra sidan visar på hur mycket tekniken går framåt och hur mycket nytt som släpps redan nu från Amazon som gör det enklare att kontrollera gör att de tror att risken går neråt. De hamnar på att sannolikheten är Unlikely en påverkan skulle vara Major.

-Lättare att förstöra om man har ont uppsåt nr. 8

Denna anser intervjudeltagarna kommer vara kvar då det fortfarande kommer vara personer som har höga privilegier och kan förstöra mycket om de vill, men inte så troligt att det händer. Sannolikheten är Very unlikely och påverkan är Huge.

-Kostnadskontroll nr. 9

Intervjudeltagarna tror att de kommer tvinga att ändras på, genom att göra den mer synlig och fler larm. Sannolikheten går ner till Unlikely men påverkan stannar på Moderate.

-Rättigheter som inte städas nr. 10

Här tror intervjudeltagarna att denna kommer gå ner, de tror att i framtiden kommer de ha satt in policys och liknande som rensar upp personer som inte varit inloggade på en viss tid. Sannolikheten går ner till Very unlikely och men påverkan ligger kvar på Major.

In document Den mänskliga faktorns påverkan Risker vid transformation till molntjänst (Page 28-36)