Resultat

Vid båda utvärderingarna medverkade samma tre respondenter. De förbätt-ringar som implementerats baserat på respondenternas kommentarer kunde därmed enkelt bekräftas som korrekta eller felaktiga eftersom respondenterna redan var insatta i problemet. Nackdelen med att använda samma respondenter var att utvärderingen skedde ur samma perspektiv. Nya respondenter kunde ha medfört nya synpunkter.

De medverkande respondenterna besatt god erfarenhet av systemutveckling och gav hjälpsam återkoppling till PaaSMs innehåll. Deras erfarenhet gav bra evidens att PaaSMs metodsteg var relevanta för en metod av den här typen.

PaaSM är främst tänkt att användas vid utvecklingen av applikationer vilket

gör den genomförda utvärderingen relevant.

Under utvärderingarna var det ingen respondent som ansåg att något metodsteg saknades i PaaSM vilket visade på att innehållet och strukturen var lämpligt. Vi tror däremot att det kan vara lättare att upptäcka om något moment saknas genom praktisk användning av PaaSM, till exempel om PaaSM hade applice-rats i en skarp utvecklingsprocess.

Eftersom syftet med studien var att ta fram en holistisk metod var flexibilitet en viktig aspekt i utvärderingarna. Möjligheten att applicera PaaSM i samtliga stadier av livscykeln var därmed en viktig del av utvärderingen. Redan i första utvärderingen ansågs PaaSM att vara flexibel men med viss otydlighet i kopp-lingen mellan metodsteg och specifika stadier av livscykeln. Efter tillägget av

ALD var alla respondenter överens om att det blev tydligare. Vi tyckte därmed

att PaaSM har uppnått en lämplig flexibilitet.

PaaSM i sin förbättrade form krävde en viss teknisk kunskap inom området.

Utvärderingarna visade att kunskapen med stor sannolikhet finns hos målgrup-pen för PaaSM. Det går därmed att konstatera att aktiviteternas formuleringar känns korrekta. Ytterligare förenkling och förtydliganden tycker vi kan resul-tera i redundant och överflödigt innehåll.

Den checklista som inkluderats i den förbättrade versionen av PaaSM ansåg vi ger återkommande användare möjligheten att använda metoden mer effektivt. Detta genom att eliminera behovet av att läsa aktiviteter som användaren redan känner till och kan.

De tre metoderna som presenteras i 2.3 användes som grund till flera av PaaSMs metodsteg. Steg 2 - Informationsklassning, blev en anpassad version av den som presenteras av [9]. I den anpassade versionen tog vi bort innehåll som var på verksamhetsnivå och gjorde den mer riktad mot applikationer. Förändring-en innebar bland annat borttagning av användning av organisationella riska-nalyser för att utvärdera säkerhetslösningar. Anledningen till detta var att vi ansåg att en informationsklassning på verksamhetsnivå inte var relevant för

PaaSM men att en förenklad version inriktad mot applikationer var till stor

nytta i säkerhetsarbetet.

Metodsteg tre och fyra i PaaSM är till stor del baserad på SSVK [8]. Likt SSVK presenterar metodsteg tre och fyra en samling säkerhetsaspekter och hur de bör mitigeras, varje aktivitet motsvarade en säkerhetsaspekt från SSVK. Skillna-den mellan SSVK och PaaSM blev främst att aktiviteterna i PaaSM innehåller återkopplingar till de tidigare metodstegen i PaaSM med syftet att se till att de krav som tagits fram uppfylls. Ytterligare innehåller aktiviteterna förslag på hur säkerhetsaspekterna kan hanteras i Microsoft Azure och Google Cloud. Sista metodsteget i PaaSM, Granskning, är till viss del baserad på ramverket

Security Audit Framework for Security Management in the Enterprise [26].

Ramverket presenterar vad en granskning ska innehålla på en generell nivå, till exempel anges Processer, Procedurer och Regelefterlevnad som väsent-liga områden att granska. PaaSM var tänkt att appliceras på applikationsnivå istället för verksamhetsnivå vilket ledde till ett behov av en egen utforming. I

PaaSM utförs granskning för att återkoppla till tidigare metodsteg med syfte

att säkerställa att implementationer uppfyller definierade säkerhetskrav.

8.2.2 Validitet

All genomförd forskning bedöms efter validitetskriterier för att visa på trovär-dighet och lämplighet. De kriterier som används skiljer sig mellan forskning av kvalitativ och kvantitativ typ. Kvalitativ forskning bedöms med fyra kriterier, (1) Credibility, (2) Reliability, (3) Transferability, (4) Objectivity. Kvantita-tiv forsknings bedöms med hjälp av fyra andra kriterier, (1) Internal validity, (2) Dependability , (3) External validity, (4) Confirmability. Kriterierna testar resultatets och forskningsmetodikens trovärdighet, lämplighet och styrka.

Credibility i kvalitativ forskning motsvarar Internal validity i kvantitativ

forsk-ning. Credibility syftar till att bedöma trovärdighet i forskningsresultatet. För att skapa trovärdighet definierades ett kriterium i studiens två forskningsmo-deller. I utforskningsmodellen och utvärderingsmodellen var kriteriet

Respon-denters trovärdighet. Respektive kriterium användes för att garantera att

med-verkande respondenter besatt tillräcklig erfarenhet och kunskap för att kunna ge trovärdiga svar.

Reliability motsvarar inom forskning av kvantitativ typ Dependability.

Kriteri-et utvärderar forskningens repKriteri-eterbarhKriteri-et och stabilitKriteri-et. Resultat från kvalitativa studier kan ej replikeras på samma sätt som kvantitativa resultat. Kvalitativa resultat baseras på observationer och åsikter som påverkas starkt av studiens sammanhang och tidpunkt. Det är därmed omöjligt att garantera samma resul-tat i ett nytt sammanhang. Den kontinuerliga utvecklingen av studiens forsk-ningsområde och de medverkande respondenternas erfarenheter och kunskap minskar studiens repeterbarhet.

Transferability motsvarar External validity i kvantitativ forskning och syftar

till att beskriva i vilken grad forskningens resultat kan generaliseras. Kriteri-et utgjorde Kriteri-ett hot eftersom studiens utvärderingar endast genomfördes inom en organisation. Detta motverkades delvis genom att studiens insamlade data inkluderade olika källor i form av att respondenterna i enkätundersökningen hade varierande yrkesroller och arbetade på olika företag. Vidare utvärderades

PaaSM mot tre respondenter för att samla mer generell data inom

organisatio-nen. Resultatet kan därmed anses som generellt nog inom kvalitativ forskning.

Objectivity syftar till att forskarens egna åsikter inte skall påverka studiens

re-sultat. Kriteriets motsvarighet inom kvantitativ forskning är Confirmability. Hotet åtgärdades med hjälp av noggrant beskrivna forskningssteg samt do-kumentering av enkätundersökningens- och PaaSMs utvärderingssvar. Forsk-ningsresultatet har därmed inte påverkats av subjektiv tolkning.

Slutsats

Säkerhet är ett hetare ämne än någonsin, allt oftare hör man om dataintrång och i samband med att fler tjänster flyttar ut i molnet ökar behovet av förbättrad säkerhet. Användandet av molntjänster skapar nya säkerhetsfrågor och behovet av ny kunskap ökar. Idag finns det ingen publicerad holistisk metod som kan användas som stöd i säkerhetsarbetet under hela livscykeln för en applikation i molnmiljö.

I den efterforskning som genomfördes i databaser relevanta för ämnet hittades endast metoder och information kopplade till enskilda delar av säkerhetsarbe-tet i en applikations livscykel. Studien konstaterade att det saknas en publice-rad holistisk metod för samtliga steg i livscykeln. Syftet med studien var att utveckla ett metodförslag för att förenkla säkerhetsarbetet. Dess frågeställning formulerades efter vad en metod av den här typen måste innehålla och i vilken ordning varje metodsteg bör genomföras.

För att besvara studiens frågeställning genomfördes en grundlig litteraturstudie inom ämnet kombinerat med en utforskandeenkätundersökning. Medverkande respondenter var erfarna och arbetade inom det aktuella området. Resultatet sammanställdes till ett preliminärt metodförslag som sedan utvärderades med hjälp av respondenter med erfarenhet i ämnet. Metoden kallas Platform as a

Service Security Method (PaaSM). Studiens mål var att skapa en bas för att

utveckla och förbättra standardmetoder och därmed bidra till ökad förståelse för säkerhet hos applikationer i molnet.

Studien genomfördes kvalitativt, utforskande och följde design science

para-digmen med en induktiv ansats. Arbetet styrdes av två forskningsmodeller, en

utforskningsmodell och en utvärderingsmodell. Urvalet av respondenter sked-de enligt metosked-den bekvämlighetsurval tillsammans med ett kriterium från re-spektive forskningsmodell.

Resultatet från PaaSMs utvärderingar visade att metoden var användbar i arbe-tet med att utvärdera och upprätthålla säkerheten i PaaS-applikationer under deras livscykler. Enligt utvärderingens respondenter var PaaSM semantiskt-och syntaktiskt korrekt samt flexibel sitt utförandet. Ingen aktivitet upplevdes redundant och ordningen av dessa ansågs vara korrekt. Samtliga respondenter ansåg att PaaSM bidrog till en ökad medvetenhet och kunskap om nya potenti-ella säkerhetsproblem såväl som redan iakttagna. PaaSM kan därmed ses som ett lämpligt stöd i säkerhetsarbetet för molnapplikationer.

9.1 Förslag till framtida arbete

PaaSM är framtagen på en generell och hög nivå inom studiens

avgränsning-ar och det behövs fortsatt avgränsning-arbete i form av fördjupning av dess aktiviteter. I samband med fördjupningsarbetet bör även tekniska delar uppdateras för att undvika irrelevans.

Arbetet avgränsades på grund av tidsbrist till att bara innehålla två av de tre sto-ra molnplattformarna. För en gasto-rantesto-rad genesto-ralisering av PaaSM behövs även andra plattformar inkluderas alternativt göra PaaSM helt plattformsoberoen-de. Den nuvarande versionen av PaaSM presenterar inga tekniska lösningar för plattformar utanför studiens avgränsningar.

En respondent under utvärderingarna kommenterade att PaaSM inte nödvän-digtvis behöver begränsas till PaaS-applikationer. Ett framtida arbete kan där-med utvärdera om PaaSM kan modifieras till att kunna användas för alla typer av applikationer.

Ytterligare ett förslag till framtida arbete är att utvärdera PaaSM mot olika standarder kring säkerhet för att sedan genomföra arbetet med att certifiera

PaaSM inom en sådan. Eftersom att säkerhet är ett konstant växande område

som ständigt behöver kontrolleras och uppdateras efter senaste forskningen och upptäckterna gäller detta även för PaaSM. Ett fortsatt arbete kan därmed vara att se till att innehållet hålls uppdaterad efter nya säkerhetsrisker inom molnet.