KANDID A T UPPSA TS
Riskhantering för molnbaserade affärssystem
En studie om hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem
Annie Gabrielsson och Lisa Johansson
Informatik 15hp
2017-08-14
En studie om hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem
Kandidatuppsats
2017 Maj
Författare: Annie Gabrielsson & Lisa Johansson Handledare: Ann Svensson & Ewa Zimmerman Examinator: Michel Thomsen & Maria Åkesson
Sektionen för informationsvetenskap, data-‐ och elektroteknik Högskolan i Halmstad
Box 823, 301 18 HALMSTAD
© Copyright Annie Gabrielsson & Lisa Johansson, 2017.
All rights reserved Kandidatuppsats Rapport, IDE11XX
Sektionen för informationsvetenskap, data-‐ och elektroteknik Högskolan i Halmstad
ISSN xxxxx
Vi vill först och främst tacka alla personer som möjliggjort arbetet med vår kandidatuppsats. Ett stort tack till alla respondenter som har tagit sig tid till att svara på våra intervjufrågor och givit oss ett trevligt bemötande. Era erfarenheter och berättelser har varit avgörande för studiens resultat.
Vi vill även tacka våra handledare Ann Svensson och Ewa Zimmerman som under processens gång har varit engagerade och gett oss stöd. Era värdefulla kommentarer har varit till stor hjälp och motiverat oss.
Slutligen vill vi tacka varandra för ett bra samarbete och en lärorik uppsatsprocess.
Halmstad, maj 2017.
Annie Gabrielsson Lisa Johansson
____________________________________ ____________________________________
tillhandahåller ett affärssystem som en tjänst som hyrs ut till organisationer via internet. Molnbaserade affärssystem kan föra med sig fördelar men det kan även uppkomma risker i samband med användandet av systemet. En av de största anledningarna till att organisationer tvekar på att anskaffa molnbaserade affärssystem är riskerna som kan uppkomma. Risker kan inte elimineras utan de behöver hanteras och förminskas till en hanterbar nivå. Frågan är inte längre om organisationer kommer att börja använda molntjänster, utan att när de väl gör det har skapat planer för hur de ska hantera riskerna. Genom att hantera risker erhåller organisationer en större möjlighet att kunna uppnå sina mål.
Denna studie har undersökt hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Genom en kvalitativ undersökning visar studien att organisationer identifierar, analyserar och utvärderar risker tillsammans med anställda inom organisationen. Organisationer anser att molntjänstleverantörer kan erbjuda högre säkerhet i ett system än vad organisationen själv kan uppnå. Därför väljer organisationer att åtgärda risker genom befintliga åtgärder som molntjänstleverantören erbjuder. Resultatet bidrar med kunskap om hur risker som kan uppkomma i samband med användandet av molnbaserade affärssystem hanteras i praktiken utifrån användarnas perspektiv.
Nyckelord: molntjänster, molnbaserade affärssystem, risker med molnbaserade affärssystem, riskhantering i samband med molnbaserade affärssystem.
provide ERP-‐systems as services via the internet. Cloud based ERP-‐systems can result in benefits but there are risks associated with the use of the systems. One of the main reasons that organizations hesitates on obtaining a cloud based ERP-‐
system is the risks it may result in. Risks can not be eliminated, they have to be handled and reduced to a manageable level. The question is no longer whether organizations will start using cloud services, but once they do, have created plans for how to effectively manage the risks. By managing risks, organizations are given a greater opportunity to achieve their goals.
This study aims to understand how organization manages risks that can arise from the use of an cloud based ERP-‐system. Through a qualitative study the results show that organizations identifies, analyzes and evaluates risks together with employees within the organization. Organizations assesses that providers of cloud based ERP-‐
systems can offer a more secure system than the organization itself can achieve.
Therefore organizations choose to use already existing actions for risks offered by the providers of the cloud based ERP-‐systems. The result of the study contributes with knowledge of how risks that can arise through the use of cloud based ERP-‐
systems are managed practically by organizations. The study therefore contributes with users perspective on how risks are managed.
Keywords: cloud computing, cloud based erp, cloud based erp risks, cloud based erp risk management.
2 Litteraturstudie ... 3
2.1 Molnbaserade affärssystem ... 3
2.2 Risker som kan uppkomma i samband med molnbaserade affärssystem ... 4
2.2.1 Datalagring och kontroll av data ... 4
2.2.2 Andra användare till molntjänsten ... 5
2.2.3 Integration och prestanda ... 6
2.3 Riskhantering i samband med molnbaserade affärssystem ... 6
2.3.1 Riskhanteringsprocessen ... 7
2.3.2 Att ställa krav på molntjänstleverantören ... 8
2.3.3 Att skriva avtal med molntjänstleverantören ... 9
2.3.4 Problem som kan uppkomma i samband med riskhantering ... 9
2.4 Sammanfattning av litteraturstudie ... 10
3 Metod ... 12
3.1 Forskningsansats ... 12
3.2 Litteraturstudie ... 12
3.3 Urval ... 13
3.3.1 Presentation av organisationer ... 13
3.3.2 Presentation av respondenter ... 14
3.4 Datainsamling ... 15
3.5 Analysmetod ... 15
3.6 Etiska överväganden ... 16
3.7 Metoddiskussion ... 17
4 Resultat ... 19
4.1 Bakgrund molnbaserade affärssystem ... 19
4.2 Identifiering av risker ... 19
4.3 Analysering av risker ... 21
4.4 Utvärdering av risker och val av åtgärder ... 23
4.5 Uppföljning av risker ... 26
5 Analys ... 28
5.1 Medvetenhet om risker ... 28
5.2 Bedömning av risker och åtgärder ... 29
5.3 Tillit till molntjänstleverantören ... 31
6 Diskussion ... 33
7 Slutsats ... 36
7.1 Förslag på framtida forskning ... 36
Referenser ... 37 Bilagor
Bilaga 1. Operationaliseringsschema Bilaga 2. Intervjuguide
Bilaga 3. Information till respondenter
1
1 Inledning
I detta kapitel beskrivs studiens ämnesområde och problemområde. Tidigare forskning har använts för att belysa problemområdet och studiens relevans. Avslutningsvis presenteras studiens syfte och frågeställning.
En av de största investeringar en organisation gör i både tid och pengar är investeringen i ett affärssystem (Hedman, 2009; Melin, 2009). Ett affärssystems funktioner är integrerade med varandra via en central databas, vilket resulterar i att alla inom organisationen kan få tillgång till samma data (Kroenke, 2011). En bakomliggande orsak till att implementera ett affärssystem är att organisationer strävar efter att uppnå någon nytta till verksamheten, exempelvis minskade ledtider, sänkta kostnader och stöd i form av beslutsunderlag (Hedman, 2009;
Melin, 2009). Idag finns affärssystem tillgängliga som molntjänster och kan klassificeras som en Software as a Service (SaaS) (Seethamraju, 2015). SaaS är en tjänst som kunden direkt kan utnyttja efter köptillfället via internet och innefattar applikationen, presentationen, databaser och alla tillhörande tjänster som sedan säljs som en enda tjänst (Fauscette, 2013; Kaltenecker, Hess & Huesig, 2015; Singh, Jeong & Park, 2016). Huvudsyftet med molntjänster är att ge säker, snabb och bekväm datalagring via internet (Hashizume, Rosado, Fernández-‐Medina &
Fernandez, 2013; Khan & Al-‐Yasiri, 2016). För närvarande är det små och medelstora företag som främst anskaffar molnbaserade affärssystem (Gupta &
Misra, 2016; Seethamraju, 2015). Små och medelstora företag har oftast inte resurser för att betala en stor engångssumma för att investera i ett traditionellt affärssystem och i de fallen kan molnbaserade affärssystem bli ett alternativ (Duan, Faker, Fesak & Stuart, 2012; Gupta, & Misra, 2016).
Molnbaserade affärssystem kan föra med sig fördelar, men det kan även uppkomma risker i samband med användandet av systemet. Risker som kan uppkomma är den största anledningen till att organisationer ställer sig frågande till att använda molnbaserade affärssystem (Bhattacherjee & Park, 2014; Carvalho, Andrade, Castro, Coutinho & Agoulmine, 2017; Singh et al., 2016). Risk kan definieras som de möjliga konsekvenser som kan uppstå till följd av en händelse (Dutta, Peng & Choudhary, 2013; McNeil, Frey & Embrechts, 2015; Paquette, Jaeger & Wilson, 2010), exempelvis att obehöriga personer får tillgång till data och sprider den vidare (Mosher, 2011; Takabi, Joshi & Ahn, 2010). Att hantera risker som kan uppkomma i samband med användandet av molnbaserade affärssystem grundar sig i att organisationer har förståelse för riskerna (Babu, Babu & Sekhar, 2013; Dutta et al., 2013). Organisationer kan hantera risker genom att identifiera, analysera och utvärdera samt att skapa åtgärder för dem (Babu et al., 2013; Olechowski, Oehmen, Seering & Ben-‐Daya, 2016; Purdy, 2010; Verbano & Venturini, 2013), vilket bör genomföras innan en organisation anskaffar ett molnbaserat affärssystem (Babu et al., 2013). Även uppföljning bör vara en integrerad del av riskhanteringsprocessen för att kunna säkerställa att åtgärderna förblir effektiva (Purdy, 2010; Verbano &
Venturini, 2013). För att skapa en framgångsrik molnmiljö krävs det att det finns tillit mellan organisationen och molntjänstleverantören (Ahmed & Hossain, 2014).
2
Hashizume et al. (2013) och Khan och Al-‐Yasiri (2016) beskriver att huvudsyftet med molntjänster är att ge säker, snabb och bekväm datalagring via internet. Trots detta finns det oro i organisationer för riskerna och konsekvenserna av att placera sin data i molnet (El-‐Gazzar, Hustad & Olsen, 2016). Molnbaserade affärssystem är något som får ökad uppmärksamhet och fler organisationer blir intresserade av dessa och därför är det viktigt att fortsätta undersöka området (Peng & Gala, 2014).
Yang och Tate (2012) beskriver att befintlig forskning av molntjänster kan vara informativ men erbjuder sällan praktisk eller tillämpbar kunskap för användarsidan av molntjänster. Därför finns det ett behov av mer forskning utifrån användarnas perspektiv av molntjänster (Yang & Tate, 2012). Brender och Markov (2013) bedömer att det finns brist på bredare forskning gällande organisationers förståelse för risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Chang, Kuo och Ramachandran (2016) beskriver att det har utförts forskning om hur organisationer kan hantera risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Däremot finns det brist på undersökningar kring hur organisationer hanterar risker i praktiken (Chang et al., 2016). Denna undersökning avser bidra till framtida forskning men även att kunna ge ett praktiskt bidrag till användare av molntjänster. Studiens syfte är att undersöka hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. Studien ämnar att beskriva hur organisationer har valt att hantera risker och vad som har påverkat dessa val. Detta görs genom att besvara frågeställningen:
Hur hanterar organisationer risker som kan uppkomma i samband med användandet av molnbaserade affärssystem?
3
2 Litteraturstudie
I detta kapitel presenteras den litteratur som studien utgår ifrån. För att skapa förståelse för studiens område presenteras först molnbaserade affärssystem och risker som kan uppkomma i samband med molnbaserade affärssystem. Därefter presenteras riskhantering i samband med molnbaserade affärssystem för att beskriva riskhanteringsprocessen och avslutningsvis en sammanfattning av litteraturstudien.
2.1 Molnbaserade affärssystem
Molntjänster innebär applikationer som levereras som tjänster via internet samt den hårdvara och mjukvara som krävs för att kunna distribuera tjänsten (Armbrust et al., 2010; Chen, Liang & Hsu, 2015; Inuwa, 2015). National Institute of Standards and Technology (NIST) definierar molntjänster som en modell för att möjliggöra bekväm på-‐beställning nätverksåtkomst till en delad pool av konfigurerbara datorresurser som snabbt kan underhållas och utges med minimal ansträngning och interaktion med molntjänstleverantören (Mell & Grance, 2011). Genom molntjänster får organisationer möjlighet att kunna avsätta mindre tid till att underhålla hårdvara och mjukvara, vilket kan resultera i att de får mer tid till att fokusera på sin kärnverksamhet (Carvalho et al., 2017; El-‐Gazzar et al., 2016; Kranz, Hanelt & Kolbe, 2016). Fördelarna med molnbaserade affärssystem gällande sänkningen av initiala kostnader samt driftskostnader är särskilt relevanta för små och medelstora företag. Anledningen till detta är att små och medelstora företag, jämfört med större organisationer, oftast inte har tillräckliga mänskliga eller ekonomiska resurser för att kunna investera i och underhålla ett traditionellt affärssystem (Duan et al., 2012). Ett syfte med molnbaserade affärssystem är att ge organisationer flexibilitet, genom att kunna hyra och anpassa en heltäckande tjänst eller delar av tjänsten (Chen et al., 2015). Organisationerna har friheten att använda och betala för de delar av tjänsten som de väljer att utnyttja (Gupta & Misra, 2016).
Molnbaserade affärssystem innebär att en leverantör tillhandahåller ett affärssystem som en tjänst som hyrs ut till organisationer (Kiadehi & Mohammadi, 2012). Systemen levereras som en SaaS-‐tjänst och nås via internet (Chen et al., 2015; Duan et al., 2012). Det finns system som marknadsförs som molnbaserade affärssystem men som inte kan kategoriseras som en SaaS-‐tjänst, vilket är något ett affärssystem bör för att kunna klassas som molnbaserat (Duan et al., 2012).
Molntjänster kan generellt delas in i tre kategorier, Software as a service (SaaS), Platform as a service (PaaS) och Infrastructure as a service (IaaS) (Kaltenecker et al., 2015). SaaS-‐leverantörer ansvarar för att anskaffa och underhålla IT-‐
infrastrukturen som exempelvis servrar, operativsystem, databaser, datalagring och nätverksåtkomst (Raihana, 2012). Genom en SaaS-‐tjänst är leverantören ägare av applikationen, där applikationen bevaras i den egna miljön som användare sedan kan få tillgång till via internet (Raihana, 2012; Sharma & Sharma, 2016).
Användaren behöver därför inte installera applikationen på en dator, vilket exempelvis tar bort de arbetsuppgifter som involverar underhåll av programvara, drift och support (Chou, 2015; Kaltenecker et al., 2015). SaaS-‐leverantörer tar hand om det som krävs för att kunna köra och hantera lösningen och användare betalar
4
endast för de funktioner som de väljer att använda i applikationen (Kaltenecker et al., 2015; Kranz et al., 2016).
En annan kategori av molntjänster är PaaS som innebär att en leverantör erbjuder hårdvara inklusive viss programvara. Det kan exempelvis vara integration till en uppsättning av programmeringsfunktioner eller databaser som ger möjligheten för användare att skapa applikationer i den miljön (Bhardwaj, Jain & Jain, 2010).
Tjänsten levereras över internet och ska underlätta utveckling och spridning av program i och med att tjänsten tar bort kostnaden och komplexiteten för att köpa och hantera den underliggande infrastrukturen (Bhardwaj et al., 2010). I en PaaS-‐
tjänst kan användaren själv vara ägare till applikationen men att den körs på en plattform som ägs av molntjänstleverantören (Chou, 2015; Mell & Grance, 2011;
Sharma & Sharma, 2016). Ett exempel på en PaaS-‐tjänst är Google App Engine som är en molnbaserad plattform där webbapplikationer kan utvecklas och distribueras via tjänsten och lagringen sker på servrar som driftas av Google (Intel Corporation, 2014). Den sista kategorin inom molntjänster är IaaS, vilket innebär leverans av hårdvara och tillhörande programvara som en tjänst (Mell & Grance, 2011).
Molntjänstleverantören erbjuder hårdvara och administrativa tjänster som behövs för att en användare av tjänsten själv ska kunna lagra en plattform för att köra sina program (Bhardwaj et al., 2010; Mell & Grance, 2011). Till skillnad från en PaaS-‐
tjänst hanterar IaaS-‐leverantörer inte mer underhåll än att upprätthålla hårdvaran och mjukvaran och användarna behöver själva distribuera och hantera plattformen samt programmen (Bhardwaj et al., 2010).
2.2 Risker som kan uppkomma i samband med molnbaserade affärssystem Det har framkommit att det finns många fördelar med molntjänster men det har även visats att det finns risker i samband med användandet och hanteringen av tjänsterna (Dutta et al., 2013; Paquette et al., 2010). Risk kan definieras som de möjliga konsekvenser som kan uppstå till följd av en händelse (Dutta et al., 2013;
McNeil, Frey & Embrechts, 2015; Paquette, Jaeger & Wilson, 2010), exempelvis att obehöriga personer får tillgång till data och sprider den vidare (Mosher, 2011;
Takabi, Joshi & Ahn, 2010). En risk kan påverkas av de val människor gör beroende på interna eller personliga faktorer och den miljö som de befinner sig i (Paquette et al., 2010). På grund av de olika faktorerna som kan påverka en risk är det olika stor sannolikhet att en risk kommer att inträffa och på vilket sätt det påverkar en organisation (Dutta et al., 2013). Organisationer som använder ett molnbaserat affärssystem kan uppleva en viss oro över att de inte har fullständig kontroll över systemet och infrastrukturen i tjänsten (Carvalho et al., 2017; Gupta & Misra, 2016).
Detta kan resultera i att de risker som är relaterade till säkerhet är den största oron inom organisationer i samband med användandet av molnbaserade affärssystem (Brender & Markov, 2013; Chou, 2015; Duan et al., 2012).
2.2.1 Datalagring och kontroll av data
Begreppet moln kan ibland missförstås eftersom användarna kan glömma att deras data faktiskt lagras i en fysisk miljö som underhålls av anställda hos molntjänstleverantören (Brender & Markov, 2013). När en organisation ska använda ett molnbaserat affärssystem och genom tjänsten flytta och lagra data
5
hos molntjänstleverantören kommer anställda hos leverantören att få tillgång till dessa data (Qasim & Abu-‐Shanab, 2014; Vurukonda & Rao, 2016). Det kan vara personer som behöver ha tillgång till datalagringscentret för att exempelvis kunna utföra en service på hårdvaran (Mosher, 2011). Organisationer kan därför ställas inför en utmaning med att kunna säkerställa att endast auktoriserade personer hos molntjänstleverantören får tillgång till deras data (Inuwa, 2015; Paquette et al., 2010; Takabi et al., 2010). En risk i samband med detta kan vara att personer som inte är auktoriserade får tillgång till data och exempelvis sprider data vidare (Takabi et al., 2010). I och med användandet av ett molnbaserat affärssystem kan det uppkomma risker kring var molntjänstleverantörer har sina datalagringscenter placerade geografiskt (Inuwa, 2015; Zissis & Lekkas, 2012). Placeringen kan skapa rättsliga problem för användaren i de fall lagarna där datalagringscenterna är placerade motstrider lagarna där användaren befinner sig (Inuwa, 2015; Vurukonda
& Rao, 2016; Zissis & Lekkas, 2012). Problem kan uppstå när det finns statliga bestämmelser om datasekretess och lagring (Inuwa, 2015; Vurukonda & Rao, 2016), exempelvis att viss data inte får lagras utanför det landets gränser (Inuwa, 2015;
Zissis & Lekkas, 2012).
Genom att använda ett molnbaserat affärssystem förlorar användarna kontrollen över dess data och säkerheten kontrolleras av molntjänstleverantören (Tucker & Li, 2012). Det har visats att molntjänstleverantörer i vissa fall har tagit sig befogenhet och hävdat att de har äganderätt av data som lagrats på deras servrar (Mosher, 2011; Qasim & Abu-‐Shanab, 2014). Det har även förekommit att molntjänstleverantörer har tagit sig rätten till att distribuera data till andra parter (Mosher, 2011; Qasim & Abu-‐Shanab, 2014). Eftersom molntjänstleverantörer har full kontroll över organisationers data kan leverantören utföra skadliga handlingar såsom kopiering, ändringar eller förstörande av data (Vurukonda & Rao, 2016;
Zissis & Lekkas, 2012). En risk som kan uppkomma i samband med användandet av molnbaserade affärssystem är att organisationer kan bli utsatta för dataintrång (Mosher, 2011). Om en person lyckas genomföra en attack och därmed göra dataintrång, kan personen få obehörig åtkomst till data för alla användare av molntjänsten (Vurukonda & Rao, 2016). Genom att få åtkomst till en organisations data kan personen exempelvis följa organisationens verksamhet och manipulera uppgifter, vilket kan skapa skador för organisationens rykte och även leda till ekonomiska förluster (Brender & Markov, 2013). Vilket system organisationer än väljer att använda finns det alltid en risk för att utsättas för dataintrång, inte endast genom att använda ett molnbaserat affärssystem (Qasim & Abu-‐Shanab, 2014).
2.2.2 Andra användare till molntjänsten
De flesta molntjänstleverantörer stödjer flera olika verksamheter med sina molntjänster, vilket kan innebära en risk för användarna (Mosher, 2011; Vurukonda
& Rao, 2016). Eftersom en molntjänst kan ha flera användare samtidigt är det viktigt att leverantören har kontroll över arkitekturen i tjänsten (Mosher, 2011; Qasim &
Abu-‐Shanab, 2014; Takabi et al., 2011). Denna kontroll behövs för att motverka att användarna blir oroliga över att deras data kan nås och spridas till andra användare av molntjänsten (Mosher, 2011; Takabi et al., 2010).
6
Eftersom organisationer överlämnar data som lagras i en extern enhet blir data inte bara upptäck-‐ och insamlingsbar för rättsliga åtgärder riktade mot organisationen (Carroll, Merwe & Kotzé, 2011; Mosher, 2011). Data kan i dessa fall även bli utlämnad vid rättsliga åtgärder riktade mot exempelvis någon av molntjänstleverantörens andra användare (Carroll et al., 2011; Mosher, 2011).
Organisationens data kan därför äventyras på grund av rättsliga åtgärder som inte direkt involverar organisationen själv (Carroll et al., 2011; Mosher, 2010). En organisation som använder ett molnbaserat affärssystem kan därför behöva förstärka sina krav inom flera olika nivåer av tjänsten i de fall det är flera parter inblandade (Mosher, 2011). Organisationer själva är ofta ansvariga för att säkerställa att aktuella lagar och regler följs, även för andra parter (Mosher, 2011).
2.2.3 Integration och prestanda
En risk som kan uppkomma i samband med användandet av molnbaserade affärssystem är begränsningar som finns för anpassningar och integration (Duan et al., 2012). Många molnbaserade affärssystem har märkbara begränsningar för anpassningar och integrationer med tredjepartstjänster och system (Duan et al., 2012). En ytterligare risk är gällande tillförlitlighet till nätverksåtkomst och nätverkshastighet och hur det påverkar organisationers arbete (Gupta & Misra, 2016). Nätverkshastigheten bör vara tillräcklig för att kunna bidra till att systemet förblir uppdaterat dygnet runt och att de ändringar som görs i systemet uppdateras i servern (Gupta & Misra, 2016). Inte alla molntjänstleverantörer klarar av att tillhandahålla support dygnet runt och varje avbrott i tjänsten kan leda till förluster för organisationer. Alla molntjänster är beroende av internetanslutning som exempelvis kan drabbas av överbelastning eller avbrott (Qasim & Abu-‐Shanab, 2014). Molntjänstleverantörer står därför inför utmaningen att stödja det kontinuerliga flödet av data och säkerställa att data är i realtid (Gupta & Misra, 2016). Användare vill ha tillförlitlig nätverksåtkomst, nätverkshastighet och svarstid för funktionerna i systemet för att användningen av systemet inte ska riskera att hindra det vardagliga arbetet i organisationen (Gupta & Misra, 2016).
2.3 Riskhantering i samband med molnbaserade affärssystem
Organisationer som utför riskhantering erhåller en större möjlighet att exempelvis kunna uppnå sina mål och minimera förluster av data (Olechowski et al., 2016). För att kunna skapa en framgångsrik molnmiljö krävs det att det finns tillit mellan organisationen och molntjänstleverantören (Ahmed & Hossain, 2014). När det finns förtroende mellan dessa parter kan användaren känna trygghet och en öppen kommunikation kan skapas (Ahmed & Hossain, 2014). Om organisationen har tillit till molntjänstleverantören kan det påverka hur användaren väljer att betrakta tjänsten. Framförallt leder ökad nivå av tillit, till molntjänstleverantören, till att organisationens upplevda risker minskar (Ahmed & Hossain, 2014). Om det inte finns tillit mellan dessa parter kan organisationer bli osäkra på trovärdigheten för molntjänstleverantören (Ahmed & Hossain, 2014).
Riskhantering bör inte ses som en defensiv aktivitet utan som ett arbete för att utveckla ett hanteringssätt som förbereder på att risker kan uppkomma och även åtgärder för dem (Paquette et al., 2010). Även om riskhantering i vissa fall inte lever
7
upp till det förväntade utfallet utgör riskhanteringen ändå en grund för hur risker kan hanteras (Paquette et al., 2010). Hur risker uppkommer och dess påverkan för organisationen förändras i många fall vid användningen av molnbaserade tjänster (Babu et al., 2013; Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013).
Beroende på organisationens situation kan risker i samband med användandet av molnbaserade affärssystem upplevas som antingen större eller mindre i jämförelse med ett traditionellt affärssystem (Babu et al., 2013). Frågan är inte längre om en organisation kommer att flytta till molnet, utan när den väl gör det har skapat planer för hur risker ska hanteras i samband med molntjänsten (Kalyvas, Overly & Karly, 2013). Risker kan inte elimineras utan de behöver hanteras och förminskas till en hanterbar nivå (Dahbur, Mohammad & Tarakji, 2011).
2.3.1 Riskhanteringsprocessen
Att hantera risker som kan uppkomma i samband med användandet av molnbaserade affärssystem grundar sig i att organisationer har förståelse för riskerna och att det finns välutvecklade hanteringssätt för att kunna förebygga och åtgärda dem (Babu et al., 2013; Dutta et al., 2013). En typ av riskhanteringsprocess som finns är att organisationer ska identifiera, analysera och utvärdera samt skapa åtgärder för risker (Babu et al., 2013; Olechowski et al., 2016; Purdy, 2010; Verbano
& Venturini, 2013), vilket bör genomföras innan en organisation anskaffar ett molnbaserat affärssystem (Babu et al., 2013). Även uppföljning bör vara en integrerad del av riskhanteringsprocessen för att kunna säkerställa att åtgärderna förblir effektiva (Purdy, 2010; Verbano & Venturini, 2013).
Riskhanteringsprocessen är ett tillvägagångssätt för hantering av alla typer av risker oavsett omfattning och kontext (Olechowski et al., 2016; Purdy, 2010; Verbano &
Venturini, 2013). När externa och interna händelser inträffar förändras kontexten och kunskapen om riskerna, därför bör riskhanteringsprocessen vara en iterativ process (Purdy, 2010; Verbano & Venturini, 2013).
Figur 1: Riskhanteringsprocessen.
Identifiering innebär att organisationer identifierar hur risken kan uppkomma, vilka områden som kan påverkas, vad som är orsaken och potentiella konsekvenser (Purdy, 2010). Identifiering bör omfatta risker oavsett om de kontrolleras av organisationen eller inte och alla risker måste beaktas för att de sedan ska kunna analyseras (Olechowski et al., 2016; Purdy, 2010). Analysering innebär att analysera
8
orsaker, konsekvenser och sannolikhet för risker som kan uppkomma (Purdy, 2010). Analyseringen ska även skapa underlag för utvärderingen, som innebär att utvärdera om risken bör åtgärdas samt hur den lämpligen ska åtgärdas. Befintliga kontroller bör även analyseras utifrån hur effektiva de är och hur väl de uppfyller sin funktion (Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013).
När en risk ska utvärderas finns det en uppsättning alternativ för att kunna förstå och avgöra vilken åtgärd som krävs (Purdy, 2010). Ett alternativ innebär att undvika risken genom att besluta att inte starta eller fortsätta med den aktivitet som ger upphov till den. Andra alternativ är att ändra sannolikheten för att risken uppstår eller att dela risken med en annan part exempelvis genom avtal (Purdy, 2010). Det bör finnas iteration mellan att utvärdera risker och åtgärder för dem. Åtgärder behöver beaktas i utvärderingen för att bedömningen av risken ska kunna göras på ett korrekt sätt, för att exempelvis kontrollera om risken redan har en åtgärd eller om det är något som behöver tilläggas (Purdy, 2010). Utvärderingen syftar till att ge stöd vid beslutsfattande, baserat på utfallet från analysen, om vilka risker som kräver åtgärder och vilken prioritet de getts (Olechowski et al., 2016; Purdy, 2010).
Utvärderingen kan även leda till beslut om att inte behandla risken på något annat sätt än genom befintliga kontroller (Olechowski et al., 2016; Purdy, 2010).
Uppföljning bör vara en integrerad del av riskhanteringsprocessen för att kunna säkerställa att åtgärderna förblir effektiva (Purdy, 2010; Verbano & Venturini, 2013). Det är viktigt att genomgående i riskhanteringsprocessen utvärdera och förstå organisationens externa kontext, eftersom den kan ha en betydande påverkan på hanteringen (Purdy, 2010). Extern kontext innebär den externa miljö som en organisation tar hjälp av för att uppnå sina mål, exempelvis andra organisationer men även lagar och regler. Organisationer behöver skapa förståelse för den externa kontexten för att kunna ta hänsyn till den under riskhanteringsprocessen (Purdy, 2010; Verbano & Venturini, 2013).
2.3.2 Att ställa krav på molntjänstleverantören
Något som är avgörande i framgången för molnbaserade affärssystem är att användare förstår vilka risker som finns för att kunna utveckla åtgärder för dem (Takabi et al., 2010). För att organisationer ska kunna skapa åtgärder för risker bör de ställa krav på molntjänstleverantören. Organisationer kan exempelvis ställa krav på att leverantören ska begränsa tillgången till data för endast väsentlig personal och att det ska genomföras bakgrundskontroller för de personer som anses vara väsentliga (Mosher, 2011). Bakgrundskontroller kan exempelvis vara information om syftet för tillgång till data och vilken befattningen de har hos molntjänstleverantören (Mosher, 2011). Användaren av en molntjänst ska ha full kontroll över vem som har rätt till att använda data och vad de får göra med den data som lagras i molntjänsten (Takabi et al., 2010). I samband med detta kan organisationer även ställa krav kring att det ska lämnas rapporter om när och vilka personer som haft åtkomst till datalagringscenterna (Mosher, 2011). Det är viktigt att kunna följa upp vilka användaridentiteter som har åtkomst till en organisations data för att undvika att det uppstår obehörig åtkomst (Vurukonda & Rao, 2016).
9
En organisation som har sekretessbelagd data bör föredra en molntjänstleverantör där deras data krypteras, detta för att minska risken att känslig information ska kunna spridas vidare (Gupta & Misra, 2016). Något som alla organisationer bör kräva är att deras molntjänstleverantör ska lagra och hantera deras data så att de följer de lagar och regler som finns (Bisong & Rahman, 2011). En organisation bör även identifiera var datalagringcentret som molntjänstleverantören använder sig av är placerat, eftersom det är där data fysiskt kommer att lagras och människor kan få tillgång det (Kalyvas et al., 2013). Utöver detta bör alla användare få kunskap om vem som ska underhålla datalagringscenterna. Om molntjänstleverantören själv inte ska underhålla datalagringscentret bör användaren ställa krav på leverantören.
Kraven kan exempelvis vara att den tredje parten följer alla avtal och att leverantören ansvarar för handlingar den tredje parten utför (Kalyvas et al., 2013).
2.3.3 Att skriva avtal med molntjänstleverantören
Organisationer kan för att säkerställa att åtgärder finns för risker skapa bindande avtal kring de kravställanden de gör på molntjänstleverantören och övervaka att leverantören följer kraven (Mosher, 2011). Det är viktigt att organisationen och molntjänstleverantören har avtalat om hur data ska hanteras och skapat hinder för att leverantören inte ska kunna använda deras data för andra avseenden (Takabi et al., 2010). Om molntjänstleverantören inte erbjuder fullständiga säkerhetskontroller för att skydda organisationens data kan det vara svårt att bygga och upprätthålla en trygg relation mellan parterna (Chou, 2015). Vid användandet av en molntjänst är det viktigt att kunna säkerställa användarens äganderätt av data. Molntjänstleverantörer bör därför kunna redogöra för detaljer angående detta samt visa att de samtycker till samtliga bestämmelser, lämpligen genom ett avtal (Kalyvas et al., 2013). Även om molntjänstleverantörer kan erbjuda ett brett utbud av säkerhetskontroller, vilket kan innefatta brandväggar, back-‐up servrar och kryptering, kan de ändå inte garantera immunitet från alla risker som kan uppkomma (Bhattacherjee & Park, 2014).
Organisationer behöver få kunskap om hur molntjänsten fungerar och hur molntjänstleverantören arbetar för att organisationen ska kunna försäkra sig om att leverantören kan leva upp till det som har avtalats (Bisong & Rahman, 2011;
Venters & Whitley, 2012). Det är viktigt att det finns en öppenhet mellan organisationen och molntjänstleverantören. Genom en öppen relation kan organisationer få kunskap om molntjänstleverantörens säkerhetskontroller och hur de levererar denna säkerhet (Bisong & Rahman, 2011).
2.3.4 Problem som kan uppkomma i samband med riskhantering
Att identifiera alla dokument och uppgifter som är relevanta i ett avtal är inte alltid enkelt. I vissa fall kan delar av uppgifterna förmedlas av molntjänstleverantören, exempelvis att specifikationer för tjänsten tillhandahålls genom internet på webbsidor som nås genom molntjänsten (Kalyvas et al., 2013). Det innebär att den informationen inte är direkt avtalad utan bara förmedlad av molntjänstleverantören som när som helst kan ändra informationen. I vissa fall kan molntjänstleverantören vägra att informera vid sådana ändringar och ansvaret läggs då över på användaren att kontinuerligt övervaka om förändringar sker (Kalyvas et al., 2013). I
10
och med detta bör en grundläggande handling från användarens sida i samband med avtal vara att identifiera all relevant information som bör skrivas in i avtalet.
Sådan information kan exempelvis inkludera support och specifikationer för tjänsten som redan kan vara förmedlade av molntjänstleverantören (Kalyvas et al., 2013). All information ska sedan samlas i ett avtal som ska undertecknas av båda parter, först då vet användaren vad de kan förvänta sig av tjänsten (Kalyvas et al., 2013).
2.4 Sammanfattning av litteraturstudie
För att kunna hantera risker som kan uppkomma i samband med användandet av molnbaserade affärssystem bör organisationer erhålla förståelse för risker samt ha välutvecklade planer för att kunna förebygga dem (Babu et al., 2013; Dutta et al., 2013). En avgörande faktor för att etablera en framgångsrik molnmiljö är att det finns tillit mellan organisationen och molntjänstleverantören (Ahmed & Hossain, 2014). Om organisationen har tillit till leverantören kan det påverka hur användaren väljer att betrakta tjänsten (Ahmed & Hossain, 2014). Ett sätt att hantera risker är riskhanteringsprocessen som innebär att organisationer ska identifiera, analysera och utvärdera samt skapa åtgärder för risker (Babu et al., 2013; Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013), vilket bör genomföras innan en organisation anskaffar ett system (Babu et al., 2013). Även uppföljning bör vara en integrerad del av riskhanteringsprocessen för att säkerställa att åtgärder förblir effektiva (Purdy, 2010; Verbano & Venturini, 2013).
Riskhanteringsprocessen bör vara iterativ (Purdy, 2010; Verbano & Venturini, 2013) och är ett tillvägagångssätt för alla typer av risker oavsett omfattning och kontext (Olechowski et al., 2016; Purdy, 2010; Verbano & Venturini, 2013).
Det är genomgående viktigt i riskhanteringsprocessen att organisationer har förståelse för riskerna (Babu et al., 2013). Om förståelse finns kan organisationer identifiera, analysera och utvärdera risker för att därefter kunna säkerställa att rätt åtgärder skapas för dem (Purdy, 2010). Att identifiera en risk innebär att skapa förståelse för hur risken kan uppkomma och potentiella konsekvenser (Purdy, 2010) även risker i en extern miljö bör tas hänsyn till (Olechowski et al., 2016;
Purdy, 2010). När risker har identifierats behöver organisationer därefter analysera dem för att kunna skapa rätt åtgärder. Analysering innebär att analysera orsaker, konsekvenser och sannolikhet för risker som kan uppkomma (Purdy, 2010). Genom att analysera och prioritera risker skapas ett underlag inför utvärderingen och rätt åtgärder kan därefter väljas (Olechowski et al., 2016; Purdy, 2010; Verbano &
Venturini, 2013).
Organisationer behöver utvärdera risker för att kunna avgöra huruvida riskerna behöver åtgärder och hur de då lämpligen ska åtgärdas (Olechowski et al., 2016;
Purdy, 2010; Verbano & Venturini, 2013). Organisationer bör ställa krav på molntjänstleverantören och skapa bindande avtal kring hur riskerna ska åtgärdas (Mosher, 2011). All relevant information ska samlas i ett avtal som undertecknas av både organisationen och molntjänstleverantören (Kalyvas et al., 2013). Det är först när avtalet är undertecknat som organisationen vet vad de kan förvänta sig av molntjänsten (Kalyvas et al., 2013).
11
Litteraturstudien har resulterat i teman som beskriver en process för hur risker som kan uppstå i samband med användandet av molnbaserade affärssystem kan hanteras.
• Identifiering av risker
o Identifiera potentiella konsekvenser för risker
• Analysering av risker o Prioritera risker
o Skapa förståelse för organisationens externa kontext
• Utvärdering av risker och val av åtgärder o Ställa krav på molntjänstleverantören o Avtala om hur risker ska åtgärdas
o Säkerställa att all relevant information finns med i avtalet
• Uppföljning av risker
o Säkerställa att åtgärderna är effektiva
12
3 Metod
I detta kapitel beskrivs studiens tillvägagångssätt. Kapitlet redogör för den forskningsansats som valts, hur litteraturstudien genomförts, urvalet för undersökningen, datainsamlingsmetod och analysmetod samt etiska riktlinjer.
Avslutningsvis presenteras en diskussion över de val som gjorts i metodkapitlet.
3.1 Forskningsansats
Studien har haft för avsikt att skapa förståelse för hur organisationer hanterar risker som kan uppkomma i samband med användandet av molnbaserade affärssystem. En kvalitativ forskningsansats syftar till att skapa förståelse och ge en detaljerad beskrivning av vad som har ägt rum i den miljö som har studerats (Bryman, 2011;
Jacobsen, 2010; Myers, 2013). I denna studie har en kvalitativ forskningsansats även valts för att kunna förstå kontexten där beslut och handlingar har utförts i samband med riskhantering. Kontexten förklarar varför en människa har agerat som den har gjort och förstås främst genom att samtala med människor (Myers, 2013). Genom intervjuer kan studien erhålla kvalitativ data, som hjälper till att besvara frågeställningen; “Hur hanterar organisationer risker som kan uppkomma i samband med användandet av molnbaserade affärssystem?”. Att utföra intervjuer, som är en datainsamlingsmetod inom kvalitativ forskning, ger möjligheten att samla in detaljrik data (Braun & Clarke, 2006; Myers, 2013).
3.2 Litteraturstudie
Litteratur inom relevanta ämnesområden har studerats för att kunna besvara studiens frågeställning. Den litteratur som studien utgår från har varit sekundärdata i form av vetenskapliga artiklar och böcker. Sekundärdata kan beskrivas som data som tidigare har publicerats av andra forskare och författare (Myers, 2013). De vetenskapliga artiklar som har valts ut i studien har varit publicerade i olika journaler och konferensdokument. Om litteratur som studerats kommer ifrån olika journaler och författare kan litteraturstudien erhålla en högre kvalitet (Webster &
Watson, 2002). Litteratur till studien har samlats in genom sökningar i artikeldatabaserna Google Scholar och Högskolan i Halmstads discoverytjänst, Summon. Sökningen efter vetenskapliga artiklar och böcker genomfördes med fokus på studiens nyckelord; cloud computing, cloud based erp, cloud based erp risks, cloud based erp risk management och risk management. Ytterligare artiklar har framkommit inom ämnesområdena genom att det har studerats referenslistor i artiklar som valdes att användas i studien. En avgränsning gjordes för litteraturen genom att endast använda artiklar som har publicerats från år 2010 och framåt.
Anledningen till detta var att göra litteraturstudien mer aktuell, då molnbaserade affärssystem är något som med tiden får ökad uppmärksamhet (Peng & Gala, 2014).
I litteraturstudien presenteras molnbaserade affärssystem och risker som kan uppkomma i samband med molnbaserade affärssystem för att förklara studiens kontext. Därefter presenteras riskhantering i samband med molnbaserade affärssystem för att ge förståelse för vad riskhantering innebär och varför det bör tillämpas. En del av litteraturen syftar till specifik förståelse för hur riskhantering