Den mänskliga faktorns påverkan Risker vid transformation till molntjänst

Den mänskliga faktorns påverkan

Risker vid transformation till molntjänst

Emma Wahlberg

Systemvetenskap, kandidat 2020

Förord

Sammanfattning

Den mänskliga faktorn är en av de största riskerna vid transformering till molntjänst men glöms ofta bort vid riskhanteringen. Syftet med denna uppsats var att utreda vilka risker som uppkommer på grund av mänskliga faktorer vid transformation till molntjänst och hur dessa risker kan hanteras. Genom en fallstudie på dagligvaruhandelsföretaget Axfood har en undersökning kring risker angående mänskliga faktorer vid transformation till molntjänst utförts. Empirin till denna studie har samlats in via en gruppintervju hos det team på Axfood som arbetar med deras transformation till molntjänster. En kvalitativ innehållsanalys utfördes på resultatet från intervjun. Empirin visar att företaget är medveten om att den mänskliga faktorn är en stor risk men har inte aktivt arbetat med dem i sin riskhantering. Detta visas bland annat i att ingen riskanalys gällande den mänskliga faktorn har utförts. Företagets riskhantering visar även på att korrekta designprinciper inte har följts men att organisationen har ett säkerhetstänk med kontinuerliga tester och kontroller.

Innehållsförteckning

1. Inledning 1 1.2 Syfte 2 1.3 Avgränsningar 2 2. Metod 3 2.1 Forskningsmiljö 3 2.2 Litteratur 3 2.3 Datainsamling 4 Intervju 4 Riskmatris 5 Dataanalys 5 2.4 Forskningskvalitet 6 3. Teori 7 3.1 Molntjänst 7 3.2 Ledarskap 8 3.3 Riskhantering 9 Riskbedömning 11 Informationssäkerhet 12 Mänsklig faktor 13

Mänskliga faktorn riskhantering (HFRM) 14

4. Resultat & Analys 15

4.1 Säkerhet 15 4.2 Risker 16 4.3 Riskhantering 16 Mänskliga faktorn 18 Riskanalys 19 5. Diskussion 22 6. Slutsats 23

6.1 Förslag till vidare forskning 24

Referenser 25

Bilaga 1 29

1. Inledning

Under det senaste decenniet har det skett en omfattande utveckling med avseende på teknologier som benämns som molntjänster (Anandamurugan, Priyaa & Babu, 2017). Molntjänst kan definieras som en tjänst där data lagras på servrar som ägs av någon annan och som går att komma åt via nätverk. Själva uttrycket 'molntjänst' (ursprungsordet på engelska cloud computing) nämndes första gången i skrifter under mitten av 90-talet, men då var det bara en idé. År 2002 var Amazon tidigt ute med att släppa deras Amazon Web Service (AWS) vilket var det första publika molnet av den typ vi använder idag. Under 2005 och följande år ökade populariteten för molntjänster, fördelarna med molntjänster, som att du endast betalat för den kapacitet som används tillsammans med teknologins utveckling gjorde att fler både företag och privatpersoner började använda sig av tjänsterna (Varghese, 2019). En stor risk med molntjänster avser skyddandet av den data som lagras på någon annans server, dels med avseende på att undvika att obehöriga får del av data men också att informationen som finns sparad också är tillgänglig när den behövs.

branscher. Detta får stöd även av Ku Fan och Chen som belyser svårigheten med att säkert kunna slå fast att riskerna är giltiga i företag oavsett bransch.

Enligt Ku Fan och Chen (2012) har företag en bristande förmåga att kunna förutse och motverka de risker som tenderar att påverka deras verksamhet med avseende på molntjänster. Deras forskning visar att risker som bör prioriteras av organisationer är kopplade bland annat till social engineering samt misstag som görs avsiktligt eller oavsiktligt av anställda. Misstag som görs avsiktligt eller oavsiktligt samt social engineering är risker som kategoriseras som den mänskliga faktorns påverkan och har beskrivits som den svagaste länken inom informationssäkerhet. Det saknas forskning inom området som bygger på empiriska kvalitativa studier och därför behöver detta studeras mer (Wulf, Strahringer & Westner, 2019).

1.2 Syfte

Det har visats sig i tidigare studier att digital transformation och användandet av molntjänst har ökat, därmed behöver utmaningar kopplat till detta studeras för att skapa förutsättningar för organisationer att hantera riskerna. Den mänskliga faktorn är en bidragande orsak till behovet at ökat fokus på arbete gällande riskhantering.

Denna uppsats syftar till att utforska vilka risker som uppkommer på grund av mänskliga faktorer vid transformation till molntjänst och hur dessa risker kan hanteras.

Genom att svara på syftet bidrar uppsatsen till att skapa förutsättningar för organisationer att bli bättre rustade och medveten om vilka risker de kan utsättas för. Arbetet har identifierat mänskliga faktorer som ett område/kunskapsgap där fler studier är nödvändiga.

1.3 Avgränsningar

2. Metod

Denna uppsats bygger på empiriskdata som är insamlad via en gruppintervju. Genom kvalitativ forskning där avsikten är att förstå bakomliggande orsaker, hur och varför saker sker har jag kunnat svara på mitt syfte. En kvalitativ ansats betyder att undersökningen har samlat in information i form av ord (Jacobsen, 2017). Det resulterar i ett perspektiv inifrån en organisation och ger därmed chansen att bättre förstå det som studeras (Olsson & Sörensen, 2011).

Min studie undersöker hanteringen av risker vid transformation till molntjänst och specifik gällande mänskliga faktorn. Detta har skett vid ett specifikt företag inom dagligvaruhandeln och detta angreppssätt kan liknas med en fallstudie. Denna forskningsmetodik är lämplig när fokus i studien ligger på "hur"-frågor, dvs. för att skapa en djupare förståelse för en företeelse. En individuell enhet analyseras i förhållande till ett specifikt sammanhang (Jacobsen, 2017). En fallstudie fokuserar på en instans av det som ska undersökas (Denscombe, 2014). När man studerar ett specifikt fall undersöker man det på djupet, för att få fram en detaljerad beskrivning av verkligheten. En fallstudie passar bra när man vill undersöka något nytt eller skapa en förståelse för att stödja teorier och hypoteser. De är lämpliga när man vill göra en generalisering grundad på teorier (Jacobsen, 2017).

2.1 Forskningsmiljö

Ett dagligvaruhandelsföretag är en aktör som är verksamma inom försäljning av dagligvaror som livsmedel, vissa kemisktekniska varor, pappersvaror, tidningar, blommor och tobak (Eliasson & Hagström, 2002). I Sverige finns det tre stora dagligvaruhandelsföretag som står för 86% av dagligvaruhandelns marknadsandelar, Axfood, ICA och Coop (Konkurrensverket. 2018). Dessa tre företag står för 90% av dagligvarubutikernas försäljning (Eliasson & Hagström, 2002). Axfood är ett av nordens största företag inom dagligvaruhandel och genomför en digital transformation till molntjänster. Empirin för denna undersökning samlas in vid Axfood.

2.2 Litteratur

2.3 Datainsamling

Intervju

Empirin till denna uppsats samlades in under en gruppintervju, vilket är en metod som används när syftet är att inhämta synpunkter och erfarenheter inom något specifikt område. I ett välkomnande och öppet diskussionsklimat kan en gruppintervju bidra till att åsikter och för- respektive nackdelar tas upp och argumenteras för i ett bredare sammanhang. Det ger en uppfattning om gruppen är homogen eller heterogen. Vid en gruppintervju blir fokuset på relationer mellan individer istället för fokus på en individ (Jacobsen, 2017). Intervjun utfördes på Axfoods huvudkontor i Stockholm i ett konferensrum under en timme. Gruppintervjun bestod av tre respondenter.

Frågorna var öppna och semistrukturerade, de gav en inbjudan till diskussion men var styrda gällande vad diskussionen skulle handla om (Olsson & Sörensen, 2011). Som intervjuare till en gruppintervju har jag möjlighet att vara passiv eller aktiv, i denna intervju togs en mer passiv roll med lite ingripande för att inte färga diskussionen. Först presenterades temat och sedan ställdes en öppen fråga som deltagarna fick svara på och diskutera med varandra. Följdfrågor förekom vid tillfällen då något var otydligt eller något intressant nämnts (Jacobsen, 2017). Det gjordes ett urval av intervjudeltagare, då syftet inte är ett samla in alla individers åsikter på ett kvantitativt sätt utan skapa en förståelse genom ett mer koncentrerat perspektiv. När det gäller urval till gruppintervjuer ska dessa grupper sättas ihop på ett medvetet sätt för att kunna utvinna rätt information (Jacobsen, 2017). Då intervjun för denna undersökning kommer fokusera på molntjänster, risker och mänskliga faktorer valdes personer till gruppintervjun ut från det team på Axfood som arbetar med deras transformation till molntjänst och har tekniska roller. Därmed har de kunskap inom området och företagets pågående arbete med digital transformation, detta gör dem lämpliga att medverka som respondenter i gruppintervjun. Personen som är ansvarig över de team som arbetar med transformationen uppgav en person i det teamet som kontaktperson då denna innehar teknisk expertkunskap kring projektet. Denna person valde i sin tur ut de personer från teamet som ansågs vara lämpliga att delta i intervjun för att skapa en variation av olika kompetenser och därmed bidra till en mer komplett bild av organisationens utmaningar.

Riskmatris

Riskmatriser är ett verktyg för riskbedömning, de utgör exempel på och rangordnar riskobjekt. Riskerna klassificeras oftast efter sannolikhet och påverkan i en tabellmatris (Jordan, Mitterhofer, & Jorgensen, n.d.). Den riskmatris som användes under intervjun för att identifiera mänskliga faktorers risker och deras inverkan är antagen från Jordan, Mitterhofer, och Jorgensen, (n.d.) egendesignade matris (se figur 1). Denna matris låg även som grund för analysen kopplad till förändringar över tid. Intervjudeltagarna fick identifiera mänskliga faktorers risker som de har stött på eller som de misstänker att de kommer att stöta på. Sedan placerade dem ut dessa risker i riskmatrisen utefter den situation företaget befinner sig under intervjutillfället. Därefter följde en diskussion om när de tror sig vara färdig med transformationen till molntjänster och då beskriva situationen gällande samma risker och placera ut dem på nytt givet de nya förutsättningarna.

Figur 1: Riskmatris, antagen från Jordan, Mitterhofer, & Jorgensen, n.d., Traffic light,

Dataanalys

2.4 Forskningskvalitet

Att delta i undersökningen var frivilligt och anonymt, detta har varit viktigt att förmedla till intervjudeltagarna innan gruppintervjun inledes. Det är även viktigt att datan återges så sanningsenligt som möjligt och i rätt situationer för att ge en rättvis bild av vad deltagarna menat (Jacobsen, 2017). Därför har allt material transkriberats och inga meningar har tagits ur sitt sammanhang för att passa in någonstans där de inte hör hemma. Den information som ges av intervjudeltagarna har blivit godkända av deltagarna själva.

Författaren till denna uppsats jobbar på Axfood och har därmed en relation till företaget. Detta kan anses som både en fördel och en nackdel för undersökningen (Coghlan & Brannick, 2001). Nackdelar med att ha en relation till platsen undersökningen utförs på kan vara att det är svårt att inte vara partisk i sitt synsätt. Att bli bemött med misstänksamhet hos de som tar del av undersökningen och intervjuaren kan känna att den måste censurera viss information för man vill bibehålla en god relation till företaget. Fördelarna är att intervjuaren känner väl till företaget som undersöks, det är lättare att få kontakt med rätt personer och de personer som kontaktas kan ha lättare att öppna upp sig (Jacobsen, 2017).

3. Teori

3.1 Molntjänst

NIST, National Institute of Standards and Technology (Mell & Grance, 2011), har tagit fram en definition av molntjänster. Denna definition kan användas som ett medel till att förstå grunderna till vad en molntjänst är och hur det bäst kan användas. Definitionen är skapad för att hjälpa bland annat de som tänker transformera till molntjänster och lyder enligt följande: “Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models.”

En sammanfattning och översättning av definitionen är att molntjänst är en modell för att möjliggöra allmänt förekommande, lämpliga och på begäran nätverksåtkomst till en delad pool av konfigurerbara datorresurser. Dessa kan snabbt tillhandahållas och släppas med minimala insatser från ledningen eller interaktion mellan tjänsteleverantörer. Modellen består av fem väsentliga egenskaper, tre servicemodeller och fyra implementeringsmodeller. Dessa fem

egenskaper består av:

• On-demand self-service: En användare har möjlighet att själv utnyttja och utöka användningen av exempelvis en server och lagringsmöjligheter efter behov automatiskt utan mänsklig integration med leverantören av molntjänsten.

• Broad network access: Funktioner är tillgängliga via nätverk och nås via standard mekanismer.

• Resource pooling: Leverantörens datorresurser är samlade och betjänar flera konsumenter samtidigt.

• Rapid elasticity: Förmågor kan elastiskt tillhandahållas och frigöras, i vissa fall automatiskt.

Resursanvändandet kan övervakas, kontrolleras och rapporteras. De tre servicemodellerna består av:

• Software as a Service (SaaS): Konsumenterna använder leverantörens applikationer, dessa applikationer är tillgängliga via ett interface. Konsumenten varken kontrollerar eller hanterar infrastrukturen i molntjänster och alla de underliggande delarna med undantag för vissa användarspecifika inställningar för konfigurationsinställningar. • Platform as a Service (PaaS): Denna miljö består av möjligheten för utveckling och

distribution i molntjänster med verktyg från leverantören. Leverantören hanterar de underliggande molntjänstinfrastrukturen och konfigurationsinställningarna för applikationsmiljön.

• Infrastructure as a Service (IaaS): Dess huvudsakliga tjänster baseras på

nätverkslagring, datalagring och beräknad kapacitet samt finns det grundläggande resurser för konsumenten att distribuera och köra egen programvara som operativsystem och applikationer. Leverantören hanterar och kontrollerar den underliggande molntjänstinfrastrukturen men konsumenten har möjlighet att kontrollera operativsystem, lagring, applikationer och vissa nätverkskomponenter. De fyra implementeringsmodellerna består av:

• Private cloud. Denna infrastruktur är avsedd för användning av endast en organisation som består av flera konsumenter. Den kan ägas och drivas av organisationen själv eller av en tredje part.

• Community cloud: Denna infrastruktur är avsedd för användning av organisationer som delar samma angelägenheter. Den kan ägas och drivas av en eller flera organisationer eller en tredje part.

• Public cloud: Denna infrastruktur är avsedd för användning för allmänheten. Den kan ägas och drivas av en statlig-, akademisk- eller affärsorganisation eller i en kombination.

• Hybrid cloud: Denna infrastruktur är en kombination av två eller fler av de tidigare implementeringsmodellerna som blir unika enheter men som är sammanbundna genom standardiserad eller egenutvecklad teknologi (Mell & Grance, 2011).

3.2 Ledarskap

Inom klassiska ledarskapsteorier finns 5 karakteristiska egenskaper:

1. Ledningen är uppdelad på tre hierarkinivåer, toppledningsnivån, mittenledningsnivån och förstaledningsnivån. Toppledningsnivån beskriver administrationen, den består av styrelser, chefer, rektorer och liknande. De som är ansvariga för att utveckla långsiktiga och strategiska planer som ska uppfylla företagets mål. Det viktigaste i denna nivå är planera, organisera och leda. Mittenledningsnivån ansvaras det för att samordna de beslut som tagits i toppledningsnivån genom att skapa policys och strategiska planer för utförandet av besluten. Förstaledningsnivån innehåller handledare och övervakare, de som övervakar det dagliga arbetet som ska utföras enligt den plan och de policys som tagits fram i mittenledningsnivån (Stoner, Freeman & Danial 2003).

2. Arbetsfördelningen, komplexa uppgifter delas upp i mindre och enklare uppgifter som därmed lättare kan hanteras.

3. Det är envägskommunikation, besluten fattas på toppnivå och vidarebefordras neråt. 4. Förutsägbart beteende, arbetares beteende är förutsägbart. Om en arbetare avviker från

detta bör personen ersättas.

5. Specialiserad utbildning, arbetarna ska få rätt utbildning och förutsättningar utifrån deras uppdrag (Weijrich and Koontz, 1993).

Som chef över ett team har man en viktig roll, att skapa en bra arbetskultur. Att se till att det är rätt människa till rätt roll och sedan lita på att teamet gör sitt jobb. Se till att teamet förstår vad arbetsuppgifterna innebär, vad gruppen vill uppnå och vilka värden organisationen står för. Det vill säga att skapa den kulturen som hjälper till att arbetet görs på rätt sätt och störningsmoment kan undvikas. Att visa uppskattning och värdet av ett teams arbete är viktigt för motivationen. När ett beslut för teamet har tagits och det inte fungerar som tänkt är det viktigt att prata igenom vad som gått fel och göra ändringar och sedan iterera dessa steg för att skapa en bra och effektiv arbetsmiljö. Det är även viktigt med förtroende i ett team, att de vågar prata med varandra och med chefen över teamet. Det är också viktigt att få teamet att lita på att chefen tar rätt beslut för gruppen och arbetet. Genom att ha regelbundna möten där alla får komma till tals hjälper det till att uppnå företagets mål (Matsudaira, 2019).

3.3 Riskhantering

I denna uppsats är definitionen av ordet risk att en inte önskad händelse inträffar som har en negativ påföljd enligt begreppsförklaringen av svenska akademien (Svenska akademien, 1959). Det finns olika definitioner av ordet risk, det härstammar från italienska risicare som betyder “att våga” (Wolke, 2017). Risk kan förklaras som händelser av förutsägbara orsaker. (Bowers, 2016) Svenska akademiens ordbok beskriver en risk som möjligheten att något oönskat inträffar. En icke önskad händelse som kan tänkas inträffa vid ett visst tillfälle och medföra negativa konsekvenser (Svenska akademien, 1959).

Riskhantering definieras som samordnade aktiviteter för att kontrollera och styra en organisation med hänsyn till risker. För att ha en lyckad riskhantering finns det vissa krav som bör följas:

• Integration: Riskhanteringen ska vara en integrerad del av verksamheten i organisationen.

• Strukturerat och övergripande: Riskhanteringens strategi ska vara strukturerad och övergripande vilket bidrar till konsekventa och jämförbara resultat. Anpassning. Riskhanteringens ramverk och process är anpassade och proportionerliga mot organisationens externa och interna mål.

• Inkluderande: Lämplig involvering av intressenter gör det möjligt att ta hänsyn till deras kunskaper, uppfattningar och åsikter. Vilket resulterar i förbättrad medvetenhet och uppdaterad riskhantering.

• Dynamisk: Om organisationens externa eller interna kontext förändras kan risker förändras, försvinna eller uppstå. Riskhantering hjälper till att förutse, bekräfta och upptäcka dessa förändringar och därmed kunna agera på dessa händelser på lämpligt sätt.

• Bästa tillgängliga informationen: Riskhanteringens insatser är baserade på aktuell och historisk information samt framtida förväntningar. Den tar hänsyn till eventuella osäkerheter och begränsningar som är förknippade med sådan information och förväntningar. Informationen bör vara tillgänglig, aktuell och tydlig för alla intressenter.

• Kulturella och mänskliga faktorer: Riskhanteringen påverkas avsevärt inom alla nivåer av mänskliga beteenden och kultur.

• Kontinuerlig förbättring: Genom bildning och erfarenheter förbättras riskhantering kontinuerligt.

Syftet med riskhantering är att fungera som ett ramverk för organisationen hur de ska integrera riskhantering till specifika funktioner och aktiviteter (International Organization for Standardization, [ISO 31000], 2018). Wolke (2017) definierar riskhantering att det inkluderar företagets hela mätning och övervakning av all affärsrisk. Det finns ingen generell regel för hur risker ska identifieras utan det måste varje organisation själva ta fram.

verktygen för riskhantering är riskbedömning, riskkontroll, riskkriterier och mätning samt övervakning av risker (Graves, 2020).

Riskbedömning

Riskbedömning är processen att identifiera risker, analysera risker och bedöma risker. Detta bör ske systematiskt och genom användning av den bästa tillgängliga informationen samt kompletterande undersökningar vid behov. Att identifiera risker är att hitta, erkänna och beskriva dessa risker som kan vara ett hot mot organisationens mål. En organisation bör även överväga att det kan finnas flera typer av resultat som kan ge varierande konsekvenser. För att identifiera risker bör följande faktorer beaktas enligt International Organization for Standardization, (2018):

-Immateriella och påtagliga riskkällor. -Händelser och orsaker.

-Möjligheter och hot.

-Kapaciteter och sårbarheter.

- Förändringar som sker externt eller internt. -Indikationer av nya risker.

-Karaktären och värdet på tillgångar och resurser. -Konsekvenser och dess inverkan på målen.

-Kunskapsbegräsningar och tillförlitlighet hos information. -Tidsrelaterade faktorer.

-Övertygelser, fördomar och antaganden hos de inblandade.

Att analysera risker görs för att förstå vilken typ av risk det handlar om och dess egenskaper, vart den förekommer och risknivån. När man bedömer risker bör det vara utifrån dessa faktorer: -Sannolikheten och konsekvensen.

-Sammanlänkningen och komplexiteten. -Tidsrelaterade faktorer och instabiliteten. -Befintliga kontrollens effektivitet.

-Förtroligheten och känslighetsnivån.

Riskanalysen ger en grund till riskbedömningen, beslut om en risk måste behandlas och hur det ska göras. Inom riskbedömning så jämförs resultaten från riskanalysen men de fastställda riskkriterierna för att göra en bedömning om vilka åtgärder som krävs. Vilket leder till något av dessa besluten:

-Inte göra något åt risken.

-Överväga alternativ för riskbehandling.

-Göra fler analyser för att få en djupare förståelse. -Bevara befintliga kontroller.

När besluten tas är det viktigt att ta hänsyn till hela sammanhanget och vilka konsekvenser det får. Riskbedömningen bör alltid registreras, delas och testas (International Organization for Standardization, [ISO 31000], 2018). Enligt Luko (2014) är riskbedömning ett väldigt stort område och det måste tas hänsyn till flera olika aspekter. Olika perspektiv kommer uppstå på olika organisationer och det är stor variation gällande konceptet och användning av principerna för riskhantering. Rausand (2013) identifierar att riskbedömning är att evaluera riskanalysen och riskbedömningen i en gemensam process. Han tar även upp att det görs via stegen som presenterades av ISO 31000 (2018).

Informationssäkerhet

Figur 2, anpassad från Singh, Rishiwal & Kumar. (2018).

Informationssäkerhet ingår i riskhanteringen, där hanteras risken med känsligdata och kritiska resurser. Målet är att säkerställa konfidentialiteten, riktigheten och tillgängligheten. Att endast följa best-practices är inte att rekommendera utan att skräddarsy hanteringen efter ens egna företag. Genom att granska de egna företagets behov och mål kommer organisationen att minska riskexponeringen till en accepterad nivå. Att vara medveten om att oavsiktliga skador är de vanligaste är viktigt, här spelar den mänskliga faktorn en stor roll (Wheeler, 2011). Security risk management består av att ha en kontinuerlig process där man identifiera och prioritera IS-säkerhetsrisker och implementera samt bevakar övervakningskontroller. Att ha och monitorera dessa kontroller leder till ett kontrollsystem som skyddar sitt informationssystem (Spears & Barki, 2010).

Den anställde som deltar i informationssäkerhetshantering definieras som en uppsättning av beteenden, uppdrag och aktiviteter som utförs av företagets användare av systemet gällande riskbedömning och utformning av säkerhetskontroller. Dessa användares roll förväntas ge mervärde och bidra till bättre säkerhet, att möjligheten för en säkerhetsöverträdelse minskar (Hartwick & Barki, 1994).

Mänsklig faktor

misstag bidrar till ökad riskhantering. Man bör i sitt projekt vara medveten om dessa risker. (Bevilacqua & Ciarapica, 2018). En annan del av mänskliga faktorn som bör behandlas i riskhanteringen är social engineering. Det är när någon genom övertalning eller bedrägeri får anställda på ett företag att tillhandahålla information som leder till att de får tillgång till företagets informationssystem (Xiangyu, Qiuyang & Chandel, 2017). Genom att utnyttja människors naivitet via inflytande och manipulation kan viktig och känslig information ges ut till fel personer (Ghafir, Prenosil, Alhejailan & Hammoudeh, 2016).

Mänskliga faktorn riskhantering (HFRM)

4. Resultat & Analys

Här presenteras resultatet av gruppintervjun samt en analys av empirin. Tre intervjudeltagare närvarade under gruppintervjun, dessa deltagare ingår i det team som arbetar med molntransformationen. I denna uppsats benämns dessa intervjudeltagare som I1, I2 och I3. Vilket är en förkortad version av intervjudeltagare 1, intervjudeltagare 2 och intervjudeltagare 3. Eller som intervjudeltagarna när det avser något som stämmer in på alla tre.

En sammanfattning om bakgrunden till projektet och intervjudeltagarna, I1 har en ledarroll och kommer med idéer samt driver projektet framåt. I2 har en mer teknisk roll i projektet och har I3 som sin mentor. I3 är konsult bidrar med sina tekniska kunskaper inom molntjänster. De har alla tidigare erfarenheter av molntjänster, både privat och i jobbsammanhang. Anledningen till att detta dagligvaruhandelsföretag bestämde sig för att transformera till molntjänster beror främst på deras teknikstrategi. I teknikstrategin står det att alternativet att använda molntjänster ska utvärderas som en del av projektet. När e-handeln skulle byggas för 4 år sedan var det bästa alternativet att göra det på en molntjänst enligt I1. Enligt I2 visar också trenden att fler och fler använder sig av molntjänster och det går i linje med agilt arbete. Att det är snabbare är också en av anledningarna till att de har valt att transformera till molntjänst. Enligt teknikstrategin ska de utvärdera molnlösningar. I1 berättar att de stora företagen som erbjuder molntjänster är Amazon, Microsoft, och Google och några andra nya som kommit de senaste åren. Men när de startade sin resa mot molntjänster var det i stort sett bara AWS och Azure att välja mellan och AWS hade de bästa förutsättningarna för projektet. De komponenter som spelade störst roll vid valet av molntjänst var ekonomi och att kunna utveckla det själva i någorlunda hastighet. Detta stämmer överens med vad Anandamurugan, Priyaa & Babu (2017) och Varghese (2019) visat på, molntjänster växer konstant i popularitet och utveckling. Axfood använder sig av alla tre servicemodellerna för molntjänst, SaaS, PaaS och IaaS. Utifrån dataanalysen skapades en huvudkategori; Riskhantering och under den finns underkategorierna; Riskanalys, Mänsklig faktor, Säkerhet och Risk.

4.1 Säkerhet

Informant 1 beskriver att organisationens anser att molntjänsterna de använder är säkrare då de har bättre inbyggda funktioner som systemen använder sig av:

“Förut när man började prata om det var det mycket såhära, vågar vi lägga upp något i molnet blir det internetaccessen var man rädd för då. Nu, framförallt vi, kommer säga att det är säkrare i molnet framför våra egna datahallar.” -I1

“Så det är väl allting kring det med, du har alla byggklossar där och du kan hålla på bygga med dom utan att involvera för många. Det blir lättare med!” - I2

Säkerheten är en väldigt viktig del i användandet av molntjänster, som Whitman och Mattord (2011) visar där de tar upp i modellen för säkerhet. Men när det är så lätt att själv bygga om kring säkerheten i molntjänsterna uppstår det andra faktorer att bevaka. Som Whitman och Mattord (2011) berättar är det avsiktliga eller oavsiktliga hot från människan som är den största faran. Detta är någonting företaget måste ta in i sin beräkning av säkerheten, speciellt när det är så enkelt att bygga om i systemet. Detta är något som intervjudeltagare 3 visar förståelse på:

“Eftersom det är så lätt att bygga saker så är det ganska lätt att göra fel ganska snabbt, om man inte har ett basic säkerhetstänk.” - I3

4.2 Risker

Intervjudeltagare 3 beskriver sin syn på risker i två olika aspekter, negativa konsekvenser för företaget och att inte göra saker efter best practice:

“Jag tänker mig risker i två aspekter, en aspekt är där det får en negativ konsekvens för företaget. Det vill säga att man får ett intrång eller att man publicerar data publikt på internet det är ju en risk som är allvarlig. En annan risk är att man inte gör saker enligt best practice för man springer för fort vilket får en riskt att det kommer göra hela arbetet långsammare framöver för man har byggt upp saker inte by best practices.” -I3

Även här visar de på en medvetenhet om att göra något enligt best practices är ett koncept som bör följas för att ha en bra riskhantering. Genom att anpassa vad som är best practice för ens egna företag och behov har man en säkrare riskhantering enligt Wheeler (2011). Men detta visar att företaget är medveten om detta men inte att det är så de faktiskt agerar, det är något de strävar efter men inte fullfört fullt ut.

För att minska riskerna berättar intervjudeltagarna att de försöker bygga in varningssignaler, alltså skapa förutsättningarna så att de inte kan hända. Detta helt enligt med ISO 31000 (2018), riskhanteringen är till stort att försöka minimera framtida risker. Genom att företaget jobbar med att integrera varningssignaler och på så sätt skapa de rätta förutsättningarna för att risker inte ska ske visar på att de följer grundprinciperna för riskhantering.

4.3 Riskhantering

det handlar om och deras egenskaper, de ska bedömas utifrån vissa faktorer som sannolikhet och konsekvens (ISO 31000, 2018). Att riskanalyser endast har gjorts baserade på teknik tyder på att det inte har gjorts en fullskalig riskanalys där de har kollat på andra aspekter såsom mänskliga faktorer och risker kring detta. Riskanalyser bör enligt ISO 31000 (2018), utföras grundligt i början av ett projekt och ske systematiskt under tiden om det uppstår ett behov för att kunna komplettera.

I designfasen av nya system så har det visat sig att den avsatta tiden för att bygga standarden har påverkat stabiliteten och säkerheten. Detta har intervjudeltagarna stött på och behövt rensa upp på vissa delar av systemet. Detta medför att de till viss del inte följer de principer systemet borde ha byggts efter och det kan nu vara svårt att förändra. Det kan också finnas fler sätt att göra en sak på, det måste finnas en standard för hur företaget ska hantera projektet annars skapar det problem för framtiden. Det kan också leda till högre kostnader då saker oväntat måste byggas om. Kostnaden kan också bli högre om man valt fel tjänst eller volym. Det är skillnad mot on prem där man köper in hårdvara och programvara då vet man vad kostnaden blev. Intervjudeltagarna är medvetna om att när designprinciperna inte har följts uppstår det risker som kan ha negativa konsekvenser. Detta visar även ISO 31000 (2018) på, det viktiga i riskhanteringen är att den ska vara en integrerad del av verksamheten i organisationen. För att minska riskerna bör det finnas en plan redan vid start för riskhanteringen. Detta visar även på brister i ledarskap, det bör enligt de klassiska ledarskapsteorierna ha funnits en tydlig plan som visar hur arbetet bör utföras för att på bästa sätt uppnå företagets mål (Stoner, Freeman & Danial 2003). En annan viktig del av riskhanteringen är riskkontroller, detta bör utföras iterativt för att ha en bra och uppdaterad riskhantering (Graves, 2020).

Varje år utförs penetreringstester och liknande för att hålla koll på hur e-handeln klarar dessa. Därefter implementeras förändringar utefter resultatet av dessa tester enligt intervjudeltagarna. Intervjudeltagarna är även överens om att risker ser annorlunda ut före, under och efter projektet. De risker som diskuterades innan projektet sattes igång var mest kring säkerheten, om det är säkert att använda molntjänster när man kommer åt dessa via internet. Att företaget utför iterativa penetreringstester visar också på att de sköter sin riskhantering enligt informationssäkerhetsprinciperna som Spears och Barki (2010) har identifierat. Då projektet fortlöper hanterar de riskerna som upptäcks berättar I1.

“Man kan inte tänka på allt från början, däremot när man ställs inför val och sånt då försöker vi bygga bort det.” - I1

En annan viktig del är refaktorering, när det har snurrat ett tag kan tekniken ha ändrats och man kan behöva titta på hur de har byggt och göra någon förändring. Med andra ord riskhantering, fortsätter I1 att berätta. Intervjudeltagarna är överens om att man lär sig från sina misstag och utvecklas utifrån det.

“Det är det här som är det viktigaste i hela agila arbetet att få till snurren [syftar till att iterera processtegen], att bygga någonting, produktionssätt det men sen monitorera det, lär dig, bygg om, snurra runt.” -I1

Intervjudeltagare 1 förtydligar att det handlar om kontinuerligt lärande och iterativa processer inom agil utveckling där små steg bidrar till att personen i fråga får testa samt utvärdera och därigenom lär sig av misstagen och den mänskliga faktorns riskpåverkan kan minimeras. Att lära sig av sina misstag är det viktigaste när det gäller mänskliga misstag vilket POST (2001) visar i sin HFRM. Detta visar företaget på att de ser sina tidigare misstag och hur de ska kunna undvikas i framtiden. De är medvetna om vad som har gått fel och vilka konsekvenser detta har eller kan komma att leda till. De är också medvetna om när någonting inte kommer användas vid fler tillfällen och kan sålla ut dessa och därmed lägga ner mindre tid, prioritera det som är viktigare.

Mänskliga faktorn

Den största risken är intervjudeltagarna överens om och det är att den mänskliga delen är den farligaste. Detta helt enligt med vad många teorier understryker som både Wheeler (2011) och Xuecai samt Deyong (2018) tar upp. Det är den största orsaken till risker och är omöjligt att helt undvika. Därför är det extra viktigt att företag är medvetna om den mänskliga faktorns påverkan och hur den ska hanteras. Enligt I1 förknippas en mänsklig faktorns risk med okunskap, stress och skjutjärnsmetodik. Att ta väldigt lätt på risker och inte tänka på konsekvenserna. I2 tycker det är viktigt att tänka på helheten när man bygger saker i en molntjänst gällande den mänskliga faktorn. “Har du inget risktänkande överhuvudtaget, det kan ju bli jättetokigt.” -I2 Detta tyder på att detta företag har en korrekt bild av vilken påverkan den mänskliga faktorn har, att det är den största risken och den farligaste.

För att minska risken för att den mänskliga faktorn ska påverka projektet är arbetsprocessen viktig enligt intervjudeltagarna. Det ska vara bra arkitektur val, säkerhetstänk ska ingå i en process, man använder automation och Git. Har man ett sånt arbetsflöde blir det svårare att göra fel berättar I3. I2 fyller i att eftersom det handlar om människor gäller det att få alla att förstå varför man gör nånting. Det som är uppenbart för någon i teamet kanske inte är det för någon annan. Det är mycket att svara på frågor om varför man gör någonting snarare än säga hur någon ska göra någonting. Att bygga upp en bank av best practices, där man berättar hur man gör och varför. “Det ska vara enklare att springa på vägen än ute i skogen” -I1.

kunskapsglapp när det gäller mänskliga faktorer och riskhantering hos företag som bland annat Ku Fan och Chen (2012) visat på. Men samtidigt berättar intervjudeltagarna att de är medvetna om att den mänskliga faktorn är den största risken men de har ändå inte tagit upp ämnet i teamet under eller innan projektet. Genom att förlita sig på att alla i teamet redan sitter på rätta kunskaper är att ignorera den mänskliga faktorns riskhantering.

Riskanalys

En riskanalys kring mänskliga faktorn har inte utförts på företaget innan eller under projektets gång. Intervjudeltagarna blev ombedda att skriva ner alla mänskliga faktorers risker de kommer på, sådana de har stött på eller som de kan tänkas stöta på. Intervjudeltagarna identifierade följande risker med avseende på mänskliga faktorer:

1. Fel konfiguration 2. Förståelse för IT

3. Säkerhet är inte inbyggt i arbetsprocessen

4. Lättåtkomligt någon kan ta över en klient man använder 5. Lättare att göra saker publikt

6. Segregering av rättigheter inte lika tydlig 7. Lättare att läcka hemligheter

8. Lättare att förstöra om man har ont uppsåt

9. Kostnadskontroll

10. Rättigheter som inte städas

Intervjudeltagarna fick sedan i uppgift att ta de 10 mänskliga faktorers risker de kommit på och sätta in dessa i en given riskmatris. Riskmatrisen har på ena sidan Impact, vilket är påverkan, och dessa graderas enligt skalan: Negligible, Minor, Moderate, Major och Huge. På den andra sidan är det Probability vilket är sannolikhet och skalan för det är: Very unlikely, Unlikely, Less likely, Likely, Very Likely. De skulle utgå ifrån hur det ser ut nu, efter dagsläget av projektet och diskutera emellan sig och komma fram till rätt skala.

I Bilaga 2 finns en fullständig lista med intervjudeltagarnas förklaring och tankar kring de 10 punkterna. Att identifiera risker, hitta dessa risker och erkänna dessa som möjliga hot mot organisationen ingår i riskbedömningen. Sedan analyseras dessa risker för att förstå vilket typ av risk det handlar om och vart den förekommer samt risknivån (ISO 31000, 2018). Detta var vad intervjudeltagarna gjorde när de kom fram till de 10 punkterna. Det uppstod inte direkt någon diskussion mellan intervjudeltagarna utan de var väldigt överens om de olika punkterna och vart de skulle placeras.

om att den mänskliga faktorn kvarstår och blir svårt att helt få bort. I Bilaga 2 finns en fullständig lista med intervjudeltagarnas förklaring och tankar kring de 10 punkterna efter 5 år. Riskhanteringen är byggd på iteration, genom konstant iteration leder det till kontinuerlig förbättring (Graves, 2020). Detta påpekas även i ISO 31000 (2018), genom att systematiskt utföra riskbedömningar skapas underlaget för säkerheten. Intervjudeltagarna är medvetna om att risker som har en hög påverkan måste minskas och detta sker genom att de aktivt kommer att arbeta med att få ner skalan. Genom att vara medveten om risker är det enklare att arbeta för att förminska dessa. Intervjudeltagarna är medvetna att eftersom det handlar om mänskliga faktorer kommer de aldrig försvinna helt men att deras påverkan kan minskas. Genom att systematiskt arbeta med dessa risker bedömer dem att de kommer att minska. Detta visar att de är mycket medvetna om dessa risker men att det inte har funnits i deras arbetssätt att aktivt ta fram dessa och vara förberedda.

Figur 3: visar intervjudeltagarnas placering av post-it lappar med mänskliga faktorers risker i ett perspektiv av nuvarande samt 5 år framåt.

5. Diskussion

Den mänskliga faktorn är en stor bidragande orsak till risker som kan uppstå och i vilken utsträckning företag påverkas av riskerna. Att vara medveten om dessa risker är viktigt för ett företags konsekvenser av deras riskanalys. Den mänskliga faktorn måste ständigt jobbas med då den för alltid kommer vara där. Att någon riskanalys gällande den mänskliga faktorn inte gjorts tyder på att den inte tas på tillräckligt stort allvar, trots att den anses vara den största risken. Orsaken till varför någon riskanalys gällande den mänskliga faktorn inte har utförts kan vara synen på den mänskliga faktorn, den kommer alltid vara där och är omöjlig att radera helt. Detta leder till att den mänskliga faktorn hamnar i skymundan jämfört med faktorer som är enklare att hantera och radera helt som till exempel tekniska delar.

Den mänskliga faktorn kan också vara en risk som är känd men som inte anses vara så trolig därför att personerna förlitar både på sig själva och sina medarbetare att de har tillräckligt med kunskap. Det kan också vara så att teknikutvecklingen går så snabbt framåt att det skapar en tro på att riskerna kommer minimeras av ny teknik. Axfood använder sig av alla servicemodeller utav molntjänster och arbetar därmed på olika nivåer av molnet. Att förlita sig på teknikutvecklingen kan vara farligt då det inte med säkerhet går att säga vad som kommer hända. Det är bättre att bygga upp en stabil riskhantering som itereras regelbundet för att hjälpa till att minimera riskerna så mycket som möjligt. Om de upptäcks innan eller precis i tid de har blivit farliga är det värt den tid som spenderas på riskhanteringen.

6. Slutsats

Denna uppsats visar på att företag har kunskap kring den mänskliga faktorn och dess påverkan på riskhantering. Företagen anser den mänskliga faktorn vara en stor risk men trots detta har ingen riskanalys gjorts kring den mänskliga faktorn gjorts i riskhantering hos detta företag. De är medvetna om hur den ska hanteras för att minskas men förlitar sig till stor del på att personerna involverade i projektet redan har kunskap i ämnet och därmed vet hur man ska göra för att minska risken.

Uppsatsen visar även på att korrekta designprinciper inte har följts vid utvecklingen av projektet vilket har lett till att det uppstått risker som annars kunde ha hanterats och minskats. Däremot visar det att säkerhetstänket med kontroller och tester implementerats och detta är en bidragande faktor till riskreducering. Denna studie visar på att den mänskliga faktorn inte tas på tillräckligt stort allvar. Medvetenheten kring riskerna angående den mänskliga faktorn finns men arbetet fokuserar inte på dessa risker i de interna processerna, dessa risker beskrivs som något som är självklart och inget organisationer behöver belysa i skrivna processer. Genom ett bra ledarskap och en bra arbetskultur inom arbetsgruppen, som tar den mänskliga faktorn på allvar redan då arbetet i nya projekt startas, bidrar de anställda till att minska antalet risker och dess påverkan för ett projekt eller organisationen som helhet. Att vara medveten om dessa risker och aktivt arbeta för att minimera konsekvenserna och minska antalet gör att det blir enklare att uppnå företagets mål. Syftet med denna uppsats är att utreda vilka risker som uppkommer på grund av mänskliga faktorer vid transformation till molntjänst och hur dessa risker kan minimeras. För att återkoppla till syftet har riskerna avseende mänskliga faktorer presenterats och tre arbetssätt förslås som praktiskt bidrag från uppsatsen för att minska antalet risker och dess konsekvenser samt att öka medvetenheten och skapa ett sunt IT-beteende bland anställda, dessa förslag kan sammanfattas som:

- Riskhantering bör ingå i det dagliga arbetet. - Planera för kontinuerliga review-möten.

- Utse en ansvarig person över mänskliga faktorers risker.

6.1 Förslag till vidare forskning

Referenser

Abraha, H. H. (2019). How compatible is the US “CLOUD Act” with cloud computing? A brief analysis. International Data Privacy Law, 9(3), 207–215.

Anandamurugan, S., Priyaa, T., & Babu, M. C. A. (2017). Cloud Computing: An Innovative Technology for Linux and Android Platforms. Laxmi Publications Pvt Ltd.

Bevilacqua, M., & Ciarapica, F. E. (2018). Human factor risk management in the process industry: A case study. Reliability Engineering and System Safety, 169, 149–159.

Bowers, D. (2016). Risk Management: Past, Present and Future Directions. Nova Science Publishers, Inc.

Bromiley, P. and Rau, D. (2016), “A better way of managing major risks: strategic risk management”, IESE Insight, No. 28, pp. 15-22.

Cacciabue, P.C. (2000). Human factors impact on risk analysis of complex systems J Hazard Mater, 71 (1).

Carroll, M., van der Merwe, A., & Kotze, P. (2011). Secure cloud computing: Benefits, risks and controls. 2011 Information Security for South Africa, Information Security South Africa (ISSA), 2011, 1–9.

Chiang Ku Fan, & Tien-Chun Chen. (2012). The Risk Management Strategy of Applying Cloud Computing.

Coghlan, D. & Brannick, T. (2001). Doing action research in your own organization. London: SAGE.

Denscombe, M. (2014). The Good Research Guide: For Small-scale Research Projects: Vol. Fifth edition. McGraw-Hill Education.

Dutta, A., Peng, G. C., & Choudhary, A. (2013). Risks in enterprise cloud computing: the perspective of IT experts. http://eprints.whiterose.ac.uk/79144/2/WRRO_79144.pdf

Eliasson, J., Hagström, C.J., (2002) Konkurrensverket. Hämtad 2020-03-12 från http://www.konkurrensverket.se/globalassets/publikationer/rapporter/dagligvaruhandeln---struktur-agarform-och-relation-till-leverantorer.pdf

Fehle, F. and Tsyplakov, S. (2005), “Dynamic risk management: theory and evidence”, Journal of Financial Economics, Vol. 78 No. 1, pp. 3-47.

Glaser, B.G. & Strauss, A.L. (1967). The discovery of grounded theory: strategies for qualitative research. New York: Aldine de Gruyter.

Graneheim, U. H., & Lundman, B. (2004). Qualitative content analysis in nursing research: Concepts, procedures and measures to achieve trustworthiness. Nurse Education Today, 24(2), 105–112.

Hartwick, J., & Barki, H. 1994. “Explaining the Role of User Participation in Information System Use,” Management Science (40:4)

International Organization for Standardization. (2018). ISO 31000:2018 Risk management - Guidelines. USA: International Organization for Standardization.

Jacobsen, D.I. (2017). Hur genomför man undersökningar?: introduktion till samhällsvetenskapliga metoder. (Upplaga 2:1). Lund: Studentlitteratur.

Jordan, S., Mitterhofer, H., & Jorgensen, L. (n.d.). The interdiscursive appeal of risk matrices: Collective symbols, flexibility normalism and the interplay of “risk” and “uncertainty.” ACCOUNTING ORGANIZATIONS AND SOCIETY, 67, 34–55.

Konkurrensen i Sverige. (2018) Kapitel 28 Livsmedelshandel, rapport 2018:1. Hämtad

2020-03-12 från

http://www.konkurrensverket.se/globalassets/publikationer/rapporter/rapport_2018-1_kap28-livsmedelshandel.pdf

Leitch, M. (2010), “ISO 31000: 2009 – The new international standard on risk management”, Risk Analysis, Vol. 30 No. 6, pp. 887-892.

Luko S. Risk Assessment Techniques. Quality Engineering. 2014;26(3):379-382.

Mahmood, Z., Basharat, M., & Bashir, Z. (2012). Review of Classical Management Theories. International journal of social sciences & education, 2(1).

Matsudaira, K. (2019). The Evolution of Management. Communications of the ACM, 62(10), 42–47.

Mell, M. P. & Grance, T. (2011). The NIST Definition of Cloud Computing (Special Publication (NIST SP) - 800-145). Hämtad 2020-05-01 från Computer Security Division Information Technology Laboratory National Institute of Standards and Technology Gaithersburg https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

Nationalencyklopedin, mänskliga faktorn.

http://www.ne.se/uppslagsverk/encyklopedi/lång/säkerhet

Nuseibeh, H. (2011). Adoption of Cloud Computing in Organizations. AMCIS 2011 Proceedings - All Submissions. 372. Hämtad från

http://aisel.aisnet.org/amcis2011_submissions/372

Olsson, H. & Sörensen, S. (2011). Forskningsprocessen: kvalitativa och kvantitativa perspektiv. (3. uppl.) Stockholm: Liber.

Parliamentary Office of Science and Technology. (2001). POST postnote - managing human error. London: Parliamentary Office of Science and Technology.

Purdy, G. (2010), “ISO 31000: 2009 – setting a new standard for risk management”, Risk Analysis, Vol. 30 No. 6, pp. 881-886.

Rasmussen, J. (1997), “Risk management in a dynamic society: a modelling problem”, Safety Science, Vol. 27 No. 2, pp. 183-213.

Rausand, M. (2013). Risk Assessment: Theory, Methods, and Applications. John Wiley & Sons. pp. 1–28. ISBN 9780470637647.

Rizvi, S., Ryoo, J., Kissell, J., Aiken, W., & Liu, Y. (2018). A security evaluation framework for cloud security auditing. Journal of Supercomputing, 74(11), 5774–5796.

Roberts D, Graves R. Risk Assessment Myth Busters: Defining Risk Management Processes and Terminology. IEEE Industry Applications Magazine, Industry Applications Magazine, IEEE, IEEE Ind Appl Mag. 2020;26(3):22-28.

Shrivastava, P. (1995), “Ecocentric management for a risk society”, Academy of Management Review, Vol. 20 No. 1, pp. 118-137.

Singh, K. P., Rishiwal, V., & Kumar, P. (2018). Classification of Data to Enhance Data Security in Cloud Computing. 2018 3rd International Conference On Internet of Things: Smart Innovation and Usages (IoT-SIU), Internet of Things: Smart Innovation and Usages (IoT-SIU),

2018 3rd International Conference On, 1–5.

Spears, J. L., & Barki, H. (2010). User Participation in Information Systems Security Risk Management. MIS Quarterly, 34(3), 503-A5.

Stoner, J. A. F., Freeman, R. E, & Danial, R. (2003). Management 6th Ed. New Delhi: Prantice Hall of India

Swedish Standard Institute. (2015). Teknisk rapport SIS-TR 50:2015: Terminologi för informationssäkerhet. Hämtad 2020-03-12, från https://www.sis.se/api/document/preview/8014024/

Varghese, B. (2019). History of the Cloud. ITNOW, 61(2), 46. Hämtad från http://search.ebscohost.com.proxy.lib.ltu.se/login.aspx?direct=true&db=edb&AN=13661331 5&lang=sv&site=eds-live&scope=site

Weijrich, H. and Koontz, H. (1993). Management A Globel Perspective 10th Ed. New Delhi, Tata McGRAW

Wheeler, E. (2011). Security Risk Management : Building an Information Security Risk Management Program From the Ground Up. Syngress.

Whitman, M.E. & Mattord, H.J. (2011). Principles of information security. (4. ed.) Boston, Mass.: Course Technology.

Wolke, T. (2017). Risk Management. De Gruyter Oldenbourg.

Wulf, F., Strahringer, S., & Westner, M. (2019). Information Security Risks, Benefits, and Mitigation Measures in Cloud Sourcing. 2019 IEEE 21st Conference on Business Informatics (CBI), Business Informatics (CBI), 2019 IEEE 21st Conference on, CBI, 01, 258–267.

Xiangyu, L., Qiuyang, L., & Chandel, S. (2017). Social Engineering and Insider Threats. 2017 International Conference on Cyber-Enabled Distributed Computing and Knowledge Discovery (CyberC), Cyber-Enabled Distributed Computing and Knowledge Discovery (CyberC), 2017 International Conference on, CYBERC, 25–34.

Xie Xuecai, & Guo Deyong. (2018). Human factors risk assessment and management: Process safety in engineering. Process Safety & Environmental Protection: Transactions of the Institution of Chemical Engineers Part B, 113(Part B), 467–482.

Bilaga 1

I denna bilaga presenteras de 10 grundfrågor som ställdes på gruppintervjun. 1. Vad är din roll i detta projekt?

2. Vilka erfarenheter av molntjänster har ni, i tjänst och/eller privat? 3. Hur kommer det sig att Axfood intresserar sig för molntjänster?

4. Baserat på vilka behov har företaget beslutat om sina val gällande molntjänster och hur kom man fram till dessa behov?

5. Hur ser ni på risker, har ni gjort någon riskanalys och hur ser den ut? 6. Vad tänker ni är en mänsklig faktors risk?

7. Vilka risker pga. mänskliga faktorer har ni stött på eller tänker ni kan hända? 8. Hur hanterar ni risker under projektets gång?

Bilaga 2

Nuvarande situation:

-Segregering av rättigheter inte lika tydlig nr. 6

Denna risk var gruppen väldigt överens om, dess påverkan är Major men sannolikheten för att det faktiskt skulle ske är liten så den blev satt på Very unlikely.

-Rättigheter som inte städas nr. 10

Även här var intervjudeltagarna väldigt snabbt överens om att påverkan är Major men sannolikheten Unlikely.

-Lättare att läcka hemligheter nr. 7

En liten diskussion rörande om sannolikheten var Likely eller Less likely pågick men de tog beslutet att det är Less likely. Påverkan däremot var alla direkt överens om att den är Huge. Om det skulle ske skulle det ha seriepåverkan och skadan skulle vara stor.

-Lättåtkomligt någon kan ta över en klient man använder nr. 4

För att detta ska ske måste någon stjäla klienten (med klient i detta fall menas arbetsdator) när man är inloggad kommer intervjudeltagarna fram till. Om klienten är låst kommer de inte åt något. Detta är inte så troligt att det kommer ske då de endast använder klienten hemma eller på kontoret och den är inlåst över natten. Det är många bitar som ska falla samman för att detta ska ske. Påverkan är Minor och sannolikheten är Unlikely.

-Säkerhet är inte inbyggt i arbetsprocessen nr. 3

Intervjudeltagarna är överens om att sannolikheten är Likely och påverkan är Moderate. Då det kommer komma in nybörjare i systemet men de kommer också lära sig och bli duktig med tiden. Det går även att sätta begränsningar vad folk får och inte får göra i systemen.

-Lättare att göra saker publikt nr.5

Detta har hänt, någon har gjort saker publikt utan att de har varit medveten om det. Men nu anser intervjudeltagarna att det inte är så stor risk längre då de har lär sig av misstaget och byggt om åtkomsten. Sannolikheten är Less likely och påverkan är Huge. -Förståelse för IT nr.2

Vilket de ser som en risk om man inte har grundfundamenten i hur IT fungerar. Intervjudeltagara uppskattar denna ha en sannolikhet Likely och påverkan är Minor. “Folk kan göra något som inte vi tror därför har vi inte byggt något skydd för det.” -I1

-Lättare att förstöra om man har ont uppsåt nr.8

Intervjudeltagrana är överens om att sannolikheten att något medvetet väljer att förstöra är Very unlikely men om det skulle ske skulle påverkan vara Huge.

-Fel konfiguration nr.1

Eftersom detta redan har hänt och intervjudeltagarna tror att det kan ske igen är sannolikheten Very likely men påverkan är Minor.

-Kostnadskontroll nr.9

Kostnadskontrollen satte intervjudeltagarna som Moderate på påverkan och sannolikheten som Likely.

Situationen om 5 år:

-Fel konfiguration nr. 1

Denna kommer enligt intervjudeltagarna gå ner allt eftersom de får mer kompetens, sannolikheten går ner till Less likely men påverkan är va på Minor.

-Förståelse för IT nr. 2

Denna sitter kvar som tidigare är intervjudeltagrana överens om, sannolikheten är Likely och påverkan är Minor. Det kommer alltid komma in nya personer i projektet. Men personalomsättningen kommer inte vara så stor på 5 år.

-Säkerhet är inte inbyggt i arbetsprocessen nr. 3

Denna risk är intervjudeltagarna överens om att den måste arbetas med, denna risken måste gå ner. Men de känner också att inom 5 år är det svårt med allt för stora förändringar då IT-processerna för detta projekt tar tid. De väljer att ändra sannolikheten till Less likely men påverkan är kvar på Moderate.

-Lättåtkomligt någon kan ta över en klient man använder nr. 4

Intervjudeltagarna ser inte att denna kommer förändras. Påverkan är kvar på Minor och sannolikheten är kvar på Unlikely.

-Lättare att göra saker publikt nr. 5

Intervjudeltagarna är överens om att denna definitivt kommer gå ner då de redan ser jättestor skillnad under de senaste två åren. Sannolikheten hoppar ner två steg till Very unlikely medans påverkan ligger kvar på Huge.

-Segregering av rättigheter inte lika tydlig nr. 6

-Lättare att läcka hemligheter nr. 7

Det uppstår en diskussion mellan intervjudeltagarna kring denna. Ena sidan tror så länge personer har höga privilegier kommer denna risk vara kvar på samma. Men andra sidan visar på hur mycket tekniken går framåt och hur mycket nytt som släpps redan nu från Amazon som gör det enklare att kontrollera gör att de tror att risken går neråt. De hamnar på att sannolikheten är Unlikely en påverkan skulle vara Major.

-Lättare att förstöra om man har ont uppsåt nr. 8

Denna anser intervjudeltagarna kommer vara kvar då det fortfarande kommer vara personer som har höga privilegier och kan förstöra mycket om de vill, men inte så troligt att det händer. Sannolikheten är Very unlikely och påverkan är Huge.

-Kostnadskontroll nr. 9

Intervjudeltagarna tror att de kommer tvinga att ändras på, genom att göra den mer synlig och fler larm. Sannolikheten går ner till Unlikely men påverkan stannar på Moderate.

-Rättigheter som inte städas nr. 10