här - WordPress.com
Växlande molnighet Risker och ekonomiska konsekvenser vid migration till en molntjänst Ted Vestergårdh Patrick Wolle Institutionen för data- och systemvetenskap Examensarbete 15 hp Data- och systemvetenskap Affärssystem och tjänstedesign (180 hp) Vårterminen 2015 Handledare: Fredrik Björck Granskare: Paul Johannesson English title: Partially cloudy– Risks and financial impact of migration to a cloud service Växlande molnighet Risker och ekonomiska konsekvenser vid migration till en molntjänst Ted Vestergårdh Patrick Wolle Abstract This study deals with an issue that is within the area of IT-security. IT-security is about protecting an organization's valuable assets like information, software and hardware. This area has got a new perspective depending on cloud services establishment in the society. The purpose of this study is to develop and improve the current lack of knowledge available regarding the IT-security with cloud services. This will be done by studying and analyzing which the most common risks associated with cloud services are and the costs that may arise if these occur. The problem today is that there are no previous studies, standards, tools or approaches regarding the financial impact that may occur an organization if a cloud-specific risk occurs. The issue and the problem has been answered by an empirical research and a analysis in which the data collection has been done through two different approaches, workshops and literature study. Within the workshops that have been established there is participating respondents who all are experts with years of experience in the field of information and IT security. The literature has been based on studies from renowned organizations in the IT sector. The results of the study presents a survey of the most common risks of cloud services and the cost components related to these. There are threats and risks of cloud services, all relating to both indirect and direct cost aspects. This is therefore also the answer to the question. The result will have portability in the field of IT security, cloud services, and risk analysis. The results of the study are of public benefit and interest of all organizations that want to improve security within their IT architecture. The conclusion consists of a service for organizations that have thoughts to migrate their IT architecture to cloud services. All respondents have been treated anonymously, and the study has not been contrary to government regulations in any form. Keywords IT-security, information security, cloud services, cloud customer, cloud service provider, component of cost, technical risk, risk of administration, risk of agreement Sammanfattning Denna studie behandlar ett problem som ligger inom området IT-säkerhet och handlar om att skydda en organisations värdefulla tillgångar i form av information samt mjuk- och hårdvara. Detta område har fått en ny skildring beroende på molntjänsters etablering i samhället. Syftet med denna studie är att utveckla och förbättra den rådande kunskapsbrist som finns gällande IT-säkerheten med molntjänster. Detta genom uppsatt frågeställning och studera samt analysera vilka som är de vanligaste förekommande riskerna med molntjänster och vilka kostnader som kan uppstå om dessa inträffar. Problemet utgörs av att det idag inte finns några tidigare studier, verktyg eller metoder kring vilka ekonomiska konsekvenser en organisation kan få av att en molnspecifik risk inträffar. Frågeställningen och problemet har besvarats med hjälp av en empirisk forskning och en analys där datainsamlingen har skett genom två olika tillvägagångssätt, workshops och litteraturstudie. Inom de workshops som har etablerats har deltagande respondenter varit sakkunniga med många års erfarenhet inom området för information- och IT-säkerhet. Litteraturstudien har grundats i studier från kända organisationer inom IT-sektorn. Resultatet av studien presenterar en kartläggning av de mest allmänna riskerna för molntjänster och vilka kostnadskomponenter som relaterar till dessa. Det finns hot och risker med molntjänster som alla relaterar till både indirekta och direkta kostnadsaspekter. Detta är således även svaret på frågeställningen. Resultatet kommer att ha en överförbarhet inom området gällande IT-säkerhet, molntjänster och riskanalys. Studiens resultat är av allmännytta och intresse inom samtliga organisationer som vill förbättra säkerheten inom sin IT-arkitektur då lärdom och idéer byts ut och diskuteras inom uppsatsens ämnesområde. Slutsatsen består av en underlättande tjänst för organisationer som någon gång tänkt tanken att migrera sin IT-arkitektur till molntjänster. Samtliga respondenter har behandlats anonymt och studien har inte heller stridit mot statliga regelverk i någon form. Nyckelord IT-säkerhet, informationssäkerhet, molntjänst, molntjänstekund, molntjänsteleverantör, kostnadskomponent, teknisk risk, administrativ risk, avtalsrisk Förord “A majority of American think "the cloud" is an actual cloud, specifically a "fluffy white thing," or the sky or something related to the weather” (Smith, 2012) Först och främst skulle vi vilja uttrycka ett stort och ödmjukt tack till organisationen och alla anställda hos Knowit Secure som på ett anslående sätt har bidragit till denna uppsats genom ett bemötande utom denna värld. Vi vill även rikta ett stort tack till vår handledare Fredrik J.Björck, filosofie dr samt granskare Paul Johannesson som tagit sig tid att läsa, ta till sig och underlätta framställandet av uppsatsen under perioden den har ägt rum. Utan er alla hade denna uppsats inte varit möjlig. Väl mött, Ted Vestergårdh & Patrick Wolle Innehållsförteckning! 1. Inledning .................................................................................................................................................... 1! 1.1 Bakgrund ............................................................................................................................................. 1! 1.2 Problemformulering............................................................................................................................. 2! 1.3 Forskningsfråga ................................................................................................................................... 3! 1.4 Syfte ..................................................................................................................................................... 3! 1.5 Avgränsning......................................................................................................................................... 3! 1.6 Vetenskaplig förankring ...................................................................................................................... 4! 2. Utökad bakgrund ....................................................................................................................................... 5! 2.1 Vad är molntjänster? ............................................................................................................................ 5! 2.1.1 Fem essentiella karakteristiska drag ............................................................................................. 5! 2.1.2 Leveransmodeller ......................................................................................................................... 6! 2.1.3 Installationsmodeller .................................................................................................................... 7! 2.2.4 Legala aspekter ............................................................................................................................. 8! 2.2.5 SWOT-Analys ............................................................................................................................ 10! 3. Metod ....................................................................................................................................................... 12! 3.1 Forskningsstrategi .............................................................................................................................. 13! 3.1.1 Vald forskningsstrategi: Kartläggning........................................................................................ 13! 3.1.2 Alternativa forskningsstrategier ................................................................................................. 13! 3.2 Forskningsmetod ............................................................................................................................... 14! 3.2.1 Vald forskningsmetod: Litteraturstudie & workshop ................................................................. 14! 3.2.2 Alternativa forskningsmetoder ................................................................................................... 15! 3.3 Analysmetod ...................................................................................................................................... 16! 3.3.1 Vald analysmetod ....................................................................................................................... 16! 3.3.2 Alternativa analysmetoder .......................................................................................................... 17! 3.4 Metodtillämpning .............................................................................................................................. 18! 3.4.1 Genomförande ............................................................................................................................ 18! 3.4.2 Urval ........................................................................................................................................... 19! 3.4.3 Försöksetiska aspekter ................................................................................................................ 20! 4. Resultat .................................................................................................................................................... 21! 4.1 Allmänna risker framtagna ur litteraturen ......................................................................................... 21! 4.1.1 Risker framtagna från litteraturstudien ....................................................................................... 22! 4.2 Kompletterandet av risker med utgångspunkt i workshops............................................................... 26! 4.3 Kostnadskomponenter ....................................................................................................................... 27! 5. Diskussion ............................................................................................................................................... 30! 5.1 Trovärdighet ...................................................................................................................................... 31! 5.2 Överförbarhet..................................................................................................................................... 32! 5.3 Objektivitet ........................................................................................................................................ 32! 5.4 Tillförlitlighet .................................................................................................................................... 32! 5.5 Begränsningar .................................................................................................................................... 33! 5.6 Resultatets relation till tidigare studier .............................................................................................. 33! 5.7 Framtida studier ................................................................................................................................. 33! 5.8 Etiska och samhälleliga konsekvenser .............................................................................................. 34! Litteraturförteckning .................................................................................................................................... 36! Bilaga 1 – Diskussionsunderlag .................................................................................................................. 39! Bilaga 2 – Slutprodukt ................................................................................................................................. 50! Figurförteckning2 Figur 1: Illustration över skillnaderna mellan leveransmodeller (Keifer, 2012) ........................................... 7! Figur 2: Illustration över skillnaderna mellan installationsmodeller (IDG, 2010) ........................................ 8! Figur 3: Datainsamlingens relation till resultat ........................................................................................... 12! Tabellförteckning2 Tabell 1: SWOT-analys ............................................................................................................................... 11! Tabell 2: Metodstruktur ............................................................................................................................... 12! Tabell 3: Sammanställning och relation mellan tidigare och nuvarande risker .......................................... 21! Tabell 4: SWOT-analysens relation till identifierade risker ........................................................................ 32! 1. Inledning Denna introduktion har strukturerats på ett sätt som ska ge läsaren en inledande beskrivning till uppsatsens ämnesområde. Kapitlet mynnar ut i uppsatsens problemområde, syfte, frågeställning och vetenskapliga förankring som alla ligger som grund för uppsatsens resultat och slutsats. 1.1 Bakgrund Den snabba utvecklingen av teknisk integration, nätverk och informationssystem har gett samhället och dess aktörer kompatibiliteten att tillhandahålla, lagra och processa data (Skyme, 2008). Wellnomics studie (Taylor, 2007) kring datoranvändning inom organisationer styrker det ökade användandet av datorer och hur det förändras både inom arbetssätt som inom arbetsformer. Denna förändring inom kommunikationsoch informationsteknologin och båda dessa aspekters sammanflöde, har lett till att kontrollen över en organisations informationssystem har blivit mer komplext. Förändringen medför nya organisationsstrukturer med ett större fokus kring organisationens helhet och man kan tydligt notera utvecklingen av extern samverkan som transformerar traditionellt monolitiska och hierarkiska organisationer till löst kopplade, centraliserade organisationsnätverk. Organisationer struktureras mer och mer upp efter samarbete, tjänster och externkunskap än via ett högt internalitetsfokus. För att vara en effektiv, konkurrenskraftig och tillgänglig organisation så måste fokus ligga kring användandet av nätverk, teknisk integration och informationssystem (Otter, 2003). Ett modernt och effektivt sätt att göra detta på idag är att migrera sin IT-arkitektur till molntjänster. Molntjänster låter organisationerna få tillgång till hårdvara och mjukvara via Internet istället för att vara lokalt installerat hos organisationen (Armbrust et al., 2009). Det finns många olika sätt att använda sig av en molntjänst och beroende på hur molntjänsten används differentierar sig även kostnaden för molntjänstekunden (Barnatt, 2010). Genom att låta externa parter ta hand om organisationens nätverk, tekniska integration, informationssystem mm. och istället fokusera på sin faktiska kärnverksamhet så kan organisationer minska sina kostnader (Röhne, 2008). Fler och fler organisationer har upptäckt dessa fördelar och förflyttar sin IT-arkitektur till molntjänster. I Gartners årliga studie över IT-trender har molntjänster placerat sig topp fem under de senaste åren och inför i år placerar sig molntjänster på en sjunde plats (Gartner, 2014). Statistiska centralbyråns senaste rapport presenterar att fyra av tio svenska organisationer köper molntjänster (SCB, 2014). Även utanför Sverige etablerar sig fler och fler företag hos molntjänster, detta visar Forbes i en undersökning där ca 54 % av de amerikanska organisationerna använder sig av någon form av molntjänst (Forbes, 2015). Alla organisationer har inte valt att migrera till molntjänster än. Detta beror på det kritiska som ett införande av en högre externalitet medför, vilket är en förändrad hotbild gällande säkerhetsaspekter och påverkan på informationssäkerheten. Informationssäkerhet är en stor del av IT-säkerhet och ett brett område som syftar till att skydda värdefull och känslig information i olika former för att garantera företagens säkerhet. Informationssäkerhet beskrivs ofta enligt fyra olika säkerhetsprinciper (Oscarson, 2001). Dessa är: 1 • Konfidentialitet Begreppet konfidentialitet avser att avsiktligt och oavsiktligt hålla informationen skyddad från obehöriga • Riktighet Begreppet riktighet avser att avsiktligt eller oavsiktligt förhindra modifiering av information. Det syftar även till att inte otillåtna förändringar kan göras av behöriga personer. • Tillgänglighet Begreppet tillgänglighet avser att informationen ska finnas tillgänglig för behöriga och icke tillgänglig för obehöriga vid rätt tid och på rätt plats • Spårbarhet Begreppet spårbarhet avser att informationen systematiskt ska gå att spåra till händelser som involverat informationen. Informationssäkerhetsområdet har de senaste åren, mycket beroende på den globalisering som sker, utvecklat sig från att i början bestå av forskning inom information till att nu även handla om tekniska lösningar och medvetenhet kring hur information ska hanteras (Oscarson, 2001). Om man inte känner till vilka risker som finns är det svårt att utforma ett kostnadseffektivt och säkert skydd. Därav är det viktigt att se till vilka risker som kan uppkomma utifrån ett hotfullt objekt (MSB, 2011). En undersökning gjord av Avanade visar att 29 % av de förfrågade är skeptiska till att använda sig av molnbaserade tjänster då de anser att säkerheten är bristfällig (Söderlind, 2010). Denna bristfällighet gäller IT-säkerhet i stort och okunskapen om vilka kostnader detta kan medföra så tvekar och avstår även organisationer migration (Bednarz, 2014). Barnatt som är en professor inom data- och systemvetenskap säger att det är naturligt att organisationer är oroliga över säkerheten inom molntjänster och att ingen kan påstå att molntjänster är hundraprocentigt säkert (Barnatt, 2010). 2009 genomförde National Data corporation en stor undersökning där hundratals IT- och företagschefer fick frågan om vad de ansåg vara mest riskfyllt i molnet. 88 % av de deltagande ansåg att informationsförlust var det mest kritiska dilemmat till att använda sig av molntjänster (Gens, 2009). Samtidigt som informationssamhället utvecklas med fart och pressade organisationer har möjlighet till kostnadsförminskning så skapas oförstånd och osäkerhet. Fokus läggs på den positiva kostnadsfrågan som råder istället för på säkerhetsfrågan som egentligen är det viktiga att ta hänsyn till. Kapitalet som organisationerna sparar på en molntjänst behöver egentligen inte vara i närheten jämfört mot de kostnader som kan uppstå vid en bristande säkerhet. För att organisationer ska vara medvetna om de uppkommande riskerna samt kostnaderna av dessa vid en migration till en molntjänst, krävs det att varje organisation gör en utredande riskanalys innan migrationen sker. Med molntjänster följer nya risker och hot. Ifall dessa inträffar innebär det kostnader som organisationerna inte har räknat med i den vinstaffär som de precis trott att de har gjort. 1.2 Problemformulering 2 Idag finns det redan många olika kostnadsberäkningar på vad organisationer har för möjlighet att tjäna och spara genom att migrera sin IT-arkitektur till en molntjänst (Diversity, 2011). Det finns även redan kända och specificerade risker och åtgärdsförslag relaterade till molntjänster. Problemet med detta är att det finns en mängd olika definitioner och beskrivningar gällande dessa risker. Många publicerade risker klassificeras annorlunda beroende på vilken riskanalys som är gjord. Utöver detta så finns det inte något generellt verktyg eller någon etablerad metod för att förstå eller skapa sig en fullständig uppfattning över den konsekvens ur ett kostnadsmässigt perspektiv som dessa risker kan medföra. Genom att molntjänster är en relativt ny integration i samhället så finns det både okunskap, lite tidigare forskning och osammanhängande studier som gör molntjänster till ett svårberäknat område (Babcock, 2014). De kostnader som kan tillkomma av att en risk inträffar är även oförutsägbara och därav svåra att kalkylera eller uppskatta. 1.3 Forskningsfråga Vilka är de mest allmänna riskerna med molntjänster idag och vilka ekonomiska konsekvenser medför dessa? Ekonomiska konsekvenser relaterar till de kostnader som en risk kan få ifall den inträffar och definieras inom denna studie som kostnadskomponenter. Dessa kostnadskomponenter kommer att gestaltas som kategorier av kostnader och inte som en totalsumma. 1.4 Syfte Syftet med studien är att öka förståelsen och kunskapen inom IT-säkerhetens samband och relation till molntjänster. Detta ska tillämpas genom ett samarbete med IT-säkerhetsbolaget Knowit Secure AB. Knowit Secure AB vill att denna uppsats ska leda till en slutprodukt i form av en tjänst som gentemot kund kan användas som ett etablerat hjälpmedel för att underlätta organisationers val av migrering till molntjänster utifrån ett säkerhetsperspektiv. För att denna tjänst ska vara möjlig att skapa så har olika delmål upprättats och ligger som stöd för att besvara forskningsfrågan. Dessa delmål är: 1. Att tydliggöra vilka risker som är vanligast förekommande med molntjänster. 2. Att ta fram relevanta kostnadskomponenter relaterade till riskerna i delmål 1. 3. Konkludera delmål 1 och 2 i en sammanställd tjänst/slutprodukt som Knowit Secure kan bruka. 1.5 Avgränsning Detta perspektiv ligger inom ramen för det övergripande forskningsområdet IT-säkerhet som inriktar sig mot system-, information-, dator- och nätverkssäkerhet, säkerhetsarkitektur, risk-, styrnings- och säkerhetshantering, IT-relaterad kriminalteknik och ett europeiskt perspektiv på IT-juridik (Möller, 2013). Målet är nedkortat att skapa en hantering av säkerhet och integritet som är pålitlig och motståndskraftig mot obehörig hantering av information. Inom detta område kommer en djupgående analys och diskussion kring det specifika objektet molntjänster att göras. Detta med begränsningen att enbart förhålla sig till molntjänsters negativa perspektiv och inte se över vad en organisation kan tjäna på att införa en molntjänst. Det företagen tjänar på en molntjänst förutsätts inom uppsatsen redan vara beräknat. Denna studie ska beakta de risker som kan uppkomma med molntjänster samt de kostnadskomponenter som 3 finns relaterade till dessa. Nyttan och externa kostnader ses alltså som redan kända. Studien behandlar inte någon specifik molntjänst utan utgår utifrån ett generellt synsätt gällande alla former av molntjänster. 1.6 Vetenskaplig förankring Som tidigare nämnt så skrivs uppsatsen inom ett område som är outforskat, aktivt och under snabb tillväxt. Den begränsade mängd tidigare vetenskapliga forskning som angripit molntjänster och uppkommande risker med dessa har använts inom denna studie. European union agency for network and information security, Microsoft, National institute of standards and technology och Cloud security alliance har alla studerat och angripit området ur olika infallsvinklar. Den här uppsatsen har lagt sin vetenskapliga tyngd samt förankring hos dessa fyra studier. Enisas avhandling fokuserar på ett flertal risker som skulle kunna inträffa vid användningen av en molntjänst samt vidarebygger detta genom en standardiserad riskberäkningsmatris (Enisa, 2009). Tanken är att mäta nivån av risken utifrån sannolikheten som består av ett antal färdigdefinierade sårbarheter kontra konsekvensen som i Enisas studie beräknas utifrån en färdigdefinierad lista på organisationstillgångar. Det är sammanfattat ett generiskt ramverk som inte tillhandahåller en praktisk metod. Enisas studie kan kategoriseras som en generisk kvalitativ slutledningsbedömning för molntjänster. Microsoft och NIST presenterar ett antal andra risker och incidenter som kan uppstå med molntjänster (Russinovich, 2014) (Jansen & Grance, 2011). Dessa två studier specificerar sig på mycket mer generella risker och har inte lika detaljerad information och beskrivning kring riskerna som Enisa har presenterat. CSA fokuserar på de administrativa risker som kan förekomma med molntjänster och har formulerat både frågeformulär, vägledningsuppsatser och andra former av småtjänster för att underlätta för organisationers integration med en molntjänsteleverantör (CSA, 2013). Gemensamt för alla dessa tidigare vetenskapliga avhandlingar är att det endast finns risker definierade. Det som inte dessa studier uppnår samt den stora skillnaden på denna studies forskningsfråga är att det inte har tagits upp någon kostnadsfråga om en specifik säkerhetspåverkad risk inträffar. Fokus inom denna studie är att skapa en vetenskaplig undersökning som kombinerar ett inträffande av en risk och vilka kostnader som följer för just den specifika situationen. På så sätt ger resultatet en ny inblick och infallsvinkel i hur organisationer kan hantera frågor relaterade till IT-säkerheten ur ett nytt riskperspektiv. 4 2. Utökad bakgrund Detta kapitel kommer att ge en övergripande förklaring till uppsatsens forskningsområde och analysobjekt, molntjänster. Avsnittet kommer att rikta sig mot grundläggande begrepp för att skapa en övergripande bild över vilka dimensioner och perspektiv det finns av molntjänster och objektets tillhörande risker samt kostnader. 2.1 Vad är molntjänster? Molntjänster eller “molnet” är idag odefinierat och det finns ingen riktigt alldaglig eller enhetlig förklaring till begreppet. Detta har även noterats av flera stora organisationer, EU-kommissionen förklarar molntjänster liknande; “it is essential to extract the core characteristics of CLOUD systems, so as to make sure that a common understanding of the work to be performed can be achieved. It can be noted thereby that various definitions exist that partially contradict each other. It can be noted that most of these definitions boil down to describing CLOUD computing as another means of offering services/resources/servers over the Internet” (European Commission, 2012). En orsak till den odefinierade förklaringen är bland annat en molntjänsts differentierade flexibilitet och mängd olika dimensioner som erbjuds (Melzer, 2011). En definition som används mycket bland studier och undersökningar som fokuserar på molntjänster och lägger sin grund i den gemensamma formuleringen är National Institute of Standard and Technology (Mell & Grance, 2011). NIST övergripande beskrivning av molntjänster syftar på ett objekt eller en modell som tillhandahåller tjänster överallt, genom simpla och flexibla sammankopplingar av delade, modifierbara och konfigurerbara datorresurser. Detta genom minimal interaktion och hantering med tjänsteleverantören. Detta är likt Fosters beskrivning där han sammanställer molntjänster ”A large-scale distributed computing paradigm that is driven by economies of scale, in which a pool of abstracted, virtualized, dynamically-scalable, managed computing power, storage, platforms, and services are delivered on demand to external customers over the internet” (Lirkov et al., 2013). Definitionen för att beskriva alla dimensioner av en molntjänst samt för att en molntjänst ska vara en molntjänst så utgår NIST ifrån fem essentiella karakteristiska drag, tre leveransmodeller samt tre installationsmodeller. 2.1.1 Fem essentiella karakteristiska drag Engelskans “Ondemand selfservice” och svenskans “Vid behov av självbetjäning” som syftar till att molntjänstekunden omedelbart vid behov ska kunna modifiera och konfigurera dataresurserna inom molntjänsten utan att behöva integrera med molntjänsteleverantören. Engelskans “Broad network access” och svenskans “Bred nätverkstillgång” som syftar till att en molntjänsts förmåga är tillgänglig via nätverket och tillhandahålls genom standardmekanismer för att underlätta användningen av tunnare eller tjockare klienter. Engelskans “Resource pooling” och svenskans “Resurspool” som syftar till att flera molntjänstekunders resurser tillhandahålls i en gemensam resurspool. Alla dessa former av resurser modifieras dynamiskt efter molntjänstekundens behov. 5 Engelskans “Rapid elasticity” och svenskans “Snabb elasticitet” som syftar till att genom automatik eller snabb manuell konfigurering så kan resurserna avsättas, frigöras eller skalas beroende på molntjänstekundens efterfrågan. Resurserna ska finnas tillgängliga i obegränsad eller mättad mängd, när som helst. Engelskans “Measured service” och svenskans “Utmätt tjänst” som syftar till att molntjänstesystemet ska kunna läsa av och utnyttja mätningar av hur mycket olika tjänster används och på så sätt automatiskt reglera och optimera resursanvändningen. Den här studien kommer inte att fokusera på dessa positiva egenskaper med molntjänster utan kommer att vinklas mot den negativa effekten som molntjänster medför. Dock är det av vikt att förstå dessa karaktäristiska drag först och främst för att uppfatta innebörden av vad en molntjänst är samt att förstå skillnaden mellan en molntjänst, en virtualiseringsmiljö och ett traditionellt IT-system. 2.1.2 Leveransmodeller Det finns en möjlighet för organisationer att använda sig av molntjänster enligt olika leveransmodeller. Det är upp till företagen att avgöra omfattningen. Det kan handla om att hela IT-arkitekturen levereras som molntjänst eller bara en ensam funktion. Dessa leveransmodeller delas in i tre olika definitioner; Software as a Service, Platform as a Service och Infrastructure as a Service. Software as a Service(SaaS) är en av dessa leveransmodeller som innebär att företaget eller privatpersoner tillhandahåller mjukvara via internet. Det är alltså en extern part som står för driften av tjänsten. På detta sätt kan leverantörer erbjuda bred funktionalitet som gör att företag helt eller delvis klarar sig med en sådan tjänst. Exempelvis erbjuds funktioner som ekonomimoduler, statistik, kommunikation och planeringshjälpmedel tillsammans med mycket annat. Något som gäller för alla leveransmodeller är syftet att spara pengar. Som ett steg i detta är upplägget att man hyr in produkten snarare än att företaget köper den. De hyr alltså rätten att använda den tillskillnad från tidigare då mjukvarupaket köptes direkt från förpackning där företagen kunde begränsas av antal licenser. Detta problem löser alltså SaaS då man abonnerar tjänsten och kan använda den därefter (Mell & Grance, 2011). I en SaaS-tjänst ingår även uppdateringar och underhåll, vilket därmed innebär att företaget som använder tjänsten själva inte står för sådana kostnader. Företaget kan även bortse från den hårdvara som krävs för att en sådan tjänst ska finnas tillgänglig, då detta ligger hos leverantören (Vepuri & Rahman, 2011). På så vis slipper företag även dessa kostnader. Det som sker är som sagt att företag hyr in tjänsten istället för att äga den och kan därmed reglera sina kostnader utefter användande. Det enda de egentligen behöver är en internetuppkoppling, så de därmed kan använda tjänsten (Vepuri & Rahman, 2011). SaaS är på många sett en bra lösning för företag, framförallt relaterat till kostnader. Däremot innebär det även vissa nackdelar som delvis relaterar till denna rapports problemområde. När företag väljer att flytta mer och mer av sin IT-arkitektur ut i molnet, innebär det inte bara minskade kostnader. Det innebär även minskad kontroll över sina tillgångar. Detta ställer höga krav på tjänsten och därmed leverantören. Det finns även en hel del risker med att flytta över sin arkitektur till extern part. Som kund är det lätt att tro att du är den enda som existerar för leverantören. Men i dessa fall är det helt tvärt om. Att molntjänster blir billigare är just för att leverantören erbjuder generella lösningar som många företag kan använda. Med många företag kommer än mer krav på leverantören, inte minst på prestanda. 6 Platform as a Service(PaaS) skiljer sig mot SaaS på så vis att leverantören inte tillhandahåller programvaran. Däremot erbjuder leverantören en plattform som företag kan köra sin egen programvara på (Jamil & Zaki, 2011). Leverantören erbjuder även hjälpmedel som verktyg och bibliotek som på så vis underlättar för kunder att bygga sin egen programvara. Det är i dessa fall upp till kunden själv att konfigurera och driftsätta tillskillnad från SaaS. De produkter som vanligtvis ingår när man talar om PaaS-tjänster är tillgång till servrar och nätverk men även många andra tjänster. (Mell & Grance, 2011) En PaaS-lösning innebär att företaget har mer kontroll av molntjänsten. Efter att inköp är gjort innebär det att företagen inte har möjlighet att påverka vilket operativsystem eller plattform som kommer att användas. Infrastructure as a Service(IaaS) är ett tjänsteupplägg som innebär att leverantören tillhandahåller infrastrukturen, dvs hårdvara. I detta ingår produkter som nätverksanslutningar, IP-adresser, serverutrymme mm. Detta innebär att företag själva står för största delen av IT-arkitekturen. Själva administrationen av denna infrastruktur lämnas däremot inte till kunden. Dock så är det kunden som kontrollerar sina lagringsutrymmen och operativsystem tillsammans med deras utvecklade programvaror (Jamil & Zaki, 2011). De har även själva möjligheten till vissa val, såsom brandväggar och liknande. (Mell & Grance, 2011) En lösning som denna lägger stort ansvar på företaget vad det gäller säkerheten men det skapar även nya valmöjligheter över vad de vill inkludera i molnet. Figur 1: Illustration över skillnaderna mellan leveransmodeller (Keifer, 2012) 2.1.3 Installationsmodeller När man talar om molntjänster finns det tre olika typer av moln. Det som skiljer dessa typer åt är begränsningar om vilka som ska ha tillgång till företagets moln (Carlin & Curran, 2011) De tre typerna är publika, privata och hybrida moln. 7 Publika moln innebär att molnet är uppbyggt på ett sätt som möjliggör åtkomst och användning för allmänheten (Jansen & Grance, 2011). Molnet i sig kan förvaltas och ägas på olika sätt och av olika aktörer, exempelvis en organisation eller ett statligt bolag. Det publika molnet är det som de flesta relaterar till när det kommer till molntjänster. Själva principen bygger på att tjänsterna tillhandahålls via delade resurser, såsom servrar och datorer som även ger åtkomst via offentliga nätverk (Mell & Grance, 2011). Detta genom en virtualiserad miljö. Infrastrukturen som erbjuds, delas mellan flera företag och lämpar sig då företag vill dela med sig av sin tjänst. Däremot då det handlar om att lagra känslig information är den publika åtkomsten ett sämre alternativ. Privata moln innebär vanligtvis att det ligger innanför organisationen, där enbart de datorer inom företaget har åtkomst till de molntjänster som tillhandahålls (Mell & Grance, 2011). Det försvårar alltså åtkomsten för obehöriga, vilket även är en del i det man vill uppnå med ett privat moln. Förvaltning och ägande kan i dessa fall ske inom organisationen eller av en extern part. På samma sätt som inom det publika molnet erbjuds resurser via en virtualiserad miljö. Det som dock skiljer i detta fall är att dessa resurser enbart är tillgängliga för den ensamma organisationen. Detta innebär ökad kontroll och därmed säkerhet. Hybrida moln innebär att de två tidigare nämnda molntyperna kombineras. Företaget tillhandahåller delvis ett internt moln, privat moln, vilket bara de anställda har tillgång till. Detta då det är där företagen förvarar känslig information som inte är öppen för allmän granskning. Det interna molnet kombineras sedan även med ett externt moln, publikt moln, där företaget behandlar resterande information. På detta sätt underlättas datatrafiken i nätverket (Carlin & Curran, 2011). Hybrida moln möjliggör på detta sätt att dela information samtidigt som företag kan skydda annan information. Figur 2: Illustration över skillnaderna mellan installationsmodeller (IDG, 2010) 2.2.4 Legala aspekter Även om molntjänster fortfarande är i ett utvecklingsstadium så har det hunnits etablerats en del juridiska 8 restriktioner som kollationerar branscher, enskilda organisationer och deras användning av molntjänster. Beroende på vilken bransch och organisation man är så måste dessa tas till hänsyn och anpassas vid en eventuell övergång till molntjänster. Denna studie har begränsat sig till de mest övergripande juridiska restriktionerna. Bortsett från dessa så finns det fler restriktioner som inte är generella och specifika beroende på vilken branschsektor organisationen tillhör. Eller att de stadgar sig i respektive individuell organisation samt hur organisationen valt att utforma eller förhålla sig till dessa. Detta avsnitt kommer att fokusera på de lagar och regler som är relaterade till molntjänsteleverantören och molntjänstekunden vid tillhandahållandet av en molntjänst. Edward och Frydlinger menar att det finns tre typer av legala kategorier att ta hänsyn till inom en organisation som vill migrera till en molntjänst (Edvardsson & Frydlinger, 2013). Indispositiva regler eller föreskrifter som begränsar företags eller organisationer handlingsutrymme och som inte kan avtalas bort. • • Dispositiva regler eller föreskrifter som skapar begränsningar men som parterna kan styra över genom avtal (exempelvis regler om lagval och tvistlösning). Frågor som inte alls är lagreglerade men som ändå berör risker som kan och bör hanteras genom avtal (exempelvis specifikation av tjänstens funktionalitet). Både indispositiva och dispositiva reglerna syftar till varje specifik organisation. Detta då det tillkommer lagar som måste värderas och bedömas utifrån verksamheten. Organisationer inom olika branscher skiljer sig och har alla olika krav på lagar och regler som måste följas. Organisationer inom hälso- och sjukvården regleras av patientdatalagen (Sveriges Riksdag, 2008). Säkerhetsskyddslagen som rör information som är ett hot mot rikets säkerhet och för terrorism (Notisum, 1996). Inom försäljningsorganisationer som har någon koppling mot konsumenter så regleras verksamheten av konsumentverkets juridiska krav (Konsumentverket, 2015). Edvardsson och Frydlinger menar att bortsett från dessa organisationsspecifika lagar och regler så är PUL den mest framträdande och omdiskuterade lagen relaterat till molntjänster (Edvardsson & Frydlinger, 2013). Personuppgiftslagen (1998:204), § 31 ”Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter som behandlas.” Åtgärderna ska baseras på en riskanalys. (Malmgren, 1998). Lagen trädde i kraft 1998 och syftar på att skydda människor mot personlig integritets kränkning vid behandling av personuppgifter. EU:s dataskyddsdirektiv ligger till grund för den svenska personlighetsuppgiftslagen och därav så har även alla andra medlemsstater likvärdigt skydd. Därför kan informationen överföras mellan dessa länder fritt utan begränsningar. Enligt datainspektionen så är den som tillhandahåller personuppgifterna ansvarig för dessas behandling, inom molntjänster refereras detta till molntjänstekunden (Datainspektionen, 2015). Molntjänsteleverantören och andra parter klassas endast som personuppgiftsbiträden. Personuppgiftsbiträden håller bara personuppgifterna och är inte ansvariga för dessa (Datainspektionen, 2015). Relaterat till PUL så finns Safe Harbor principerna. Det är en samling frivilliga regler om personlig integritet och dataskydd som har tagits fram och beslutats av USA:s handelsdepartement (Export, 2015). EU-kommissionen har bedömt att reglerna utgör en adekvat skyddsnivå. Det är därmed tillåtet att föra över personuppgifter från EU/EES till organisationer i USA som har anslutit sig till dessa regler. 9 I den tredje punkten som Edvardsson och Frydlinger tar upp, Frågor som inte alls är lagreglerade men som ändå berör risker som kan och bör hanteras genom avtal, så ligger fokus på överenskommelser mellan molntjänsteleverantören och molntjänstekunden (Edvardsson & Frydlinger, 2013). Service Level Agreement har sitt ursprung i telekommunikations- och IT-branschen och är ett kontrakt mellan tjänsteleverantören och dess externa och interna tjänstekunder. När en organisation använder sig av en molntjänst så måste administrativa och tekniska aspekter definieras mellan leverantören och kunden. Detta görs i ett så kallat Service Level Agreement (SLA). Hugo och Hulitzky beskriver ett Service Level Agreement som en överenskommelse som definierar vilka specifikationer tjänsten innehåller samt vilka krav som finns på leverantören och kunden (Hugos & Hulitzky, 2010). Ett SLA kan innehålla allt från tillgänglighetstider, antal molntjänstekunder som använder tjänsten samt statistik över servicevillkor (Rouse, 2015). Dessa avtal kan även i specifika fall innehålla kontroll över kostnader och ansvar vid kontraktsbrott. Dessa måste periodiskt uppdateras och granskas för att passa in i teknologiska eller organisatoriska förändringar. Exempelvis så kan en organisation hantera och säkra upp en negativ konsekvens genom ett välstrukturerat Service Level Agreement (Augustson & Sten, 1999). Sammanfattningsvis är ett SLA till fördel för både leverantören och kunden då det ger ett juridiskt bindande dokument som kan hantera uppstående svårigheter och problem mellan aktörerna. Det är en säkerhetspolicy som kan förhindra att vissa komplikationer uppstår innan de lyckas göra skada på kunden eller leverantören (Hugos & Hulitzky, 2010). Ett SLA ska innehålla alla viktiga mätetal samt kontrollpunkter och formellt ange villkoren om hur molntjänsten etableras mellan båda parter(Hugos & Hulitzky, 2010).! 2.2.5 SWOT-Analys SWOT-analysen är ett vanligt förekommande planeringshjälpmedel som är en akronym för engelskans motsvarighet till styrkor, svagheter, möjligheter och hot. Hjälpmedlets syfte är att urskilja dessa akronymer ur ett analysobjekt (Berry, 2015). Genom att använda en SWOT-analys inom denna studie så kan ovanstående fakta sammanställas för att ge en överskådlig bild som i sin tur kan användas som ett hjälpmedel för att bygga en övergripande helhet som underlättar förståelsen av molntjänster. SWOTanalysen utgår ifrån en organisations perspektiv med ett generellt synsätt på alla leverans- och installationsmodeller. Styrkor Svagheter Effektivt Flexibelt Kostnadspositivt Resursförminskande Mobilitet Kraftigare teknologi Ny marknad och “oprövad” teknologi Mobilitet Organisatoriska förändringar Många differentierade leverantörer Minskad kontroll Gemensam delning Kontinuerlig Internetuppkoppling 10 Möjligheter Hot Leverans- och installationsmodeller Organisations effektivisering Molntjänster är påväg att etableras i samhället Standarder är påväg att etableras i molntjänster Serviceförbättring Ekonomiska förbättringar Leverans- och installationsmodeller Automatisering minskar arbete Internutbildningar Serviceförsämring Påverkat varumärke Tabell 1: SWOT-analys Sammanfattning av SWOT-analys SWOT-analysen har som tidigare nämnt gjorts genom ett generellt synsätt på molntjänster. Liknande ord presenteras inom olika kategorier. Mobilitet är ett sådant exempel. Detta sker beroende på att en molntjänst mobilitet både kan ses som en styrka och en svaghet. Det beror på den säkerhet som kretsar i organisationen. Genom att använda sig av mobila lösningar så tillkommer det risker samtidigt som det ger en positiv effekt på verksamheten. Detta gäller även leverans- och installationsmodeller som också skiljer sig säkerhetsmässigt beroende på vilken typ av molntjänstekund eller molntjänsteleverantör som tillhandahåller detta. För någon kan det bli ett hot och för någon en möjlighet att exempelvis använda sig av en SaaS-tjänst. 11 3. Metod Detta kapitel adresserar den metodik och metodtillämpning uppsatsen har använt för att besvara frågeställningen. Här redogörs således forskningens använda strategi och analysmetod tillsammans med en beskrivning av studiens urval samt en övervägning av etiska aspekter som krävdes för studiens utförande. Figur 3: Datainsamlingens relation till resultat I detta metodavsnitt presenteras olika strategier och metoder som har diskuterats som eventuella hjälpmedel för att besvara forskningsfrågan. Flertalet diskussioner har gjorts för att på så vis välja de strategier och metoder som kan hjälpa studien att uppnå det bästa resultatet. Nedan presenteras en bild för att visualisera metodernas övergripande syfte och användningsområden. Vald forskningsstrategi: Kartläggning Forskningsstrategi: kap 3.1 Alternativa forskningsstrategier Vald forskningsmetod: Litteraturstudie & workshop Forskningsmetod: kap 3.2 Alternativa forskningsmetoder Vald analysmetod: Innehållsanalys & grundad teori Analysmetod: kap 3.3 Alternativa analysmetoder Tabell 2: Metodstruktur 12 3.1 Forskningsstrategi Det finns en rad olika forskningsstrategier som alla har sitt eget syfte. Valet av forskningsstrategi varierar beroende på rapportens utformning, karaktär och avsikt. Idag finns det en rad etablerade strategier för att stödja informationsinsamlingen (Johannesson & Perjons, 2012). Detta gör valet av strategi svårare och det kräver noga överväganden. På så sätt kan man hitta den strategi som är mest effektiv för det sammanhang rapporten tillhör. Med detta sagt blir vikten av ett tydligt mål och syfte med studien viktigt att ha klart för sig, för att sedan kunna välja. 3.1.1 Vald forskningsstrategi: Kartläggning Kartläggning är den vanligaste forskningsstrategin inom sociala sammanhang (Denscombe, 2010). Strategin är ett bra alternativ när man vill fånga in stora mängder data och vet vilken typ av information som eftersträvas. En negativ faktor med forskningsstrategin är att det lätt kan bli svåröverskådligt och komplext om det studerade området är för djupt (Denscombe, 2010). Med kartläggningar sker undersökningen ur ett bredare perspektiv, där ytlig data samlas in från ett stort antal respondenter. Detta just för att kunna generalisera resultatet över en stor mängd människor (Denscombe, 2010). Under insamlingen utsätts respondenterna för samma saker och hanteras på samma sätt. I detta fall finns det ingen anledning att skilja på respondenterna då syftet är att sträva efter en sammanslagning av alla olika vetenskapliga förankringar och en analys av utfallen hos dessa. Svaren som eftersöks är oberoende av position och det finns en tydlighet i vad för sorts data som denna uppsats kräver för att besvara frågeställningen. Detta gör kartläggning till ett bra alternativ då strategin har de egenskaper som krävs för att uppfylla syftet och hantera problemformuleringen på det mest korrekta och efterfrågande vis. Kartläggning är därför den valda forskningsstrategin för denna rapport. 3.1.2 Alternativa forskningsstrategier Forskningsstrategin fallstudier lämpar sig bäst då undersökningen bygger på en grupp individer. Det talas inom denna strategi om olika fall som sedan undersöks (Denscombe, 2010). Dessa fall som skapas har en faktor som skiljer sig åt. När fallen sedan granskas kan en jämförelse mellan dessa göras. Något som även är utstickande för fallstudier är förmågan att göra jämförelser över tid (Denscombe, 2010). Det går enkelt att se hur något skiljer sig efter att en tid har gått, genom att just se över fallen som skapats. Detta gör alltså fallstudier till en jämförande forskningsstrategi. För denna studie anses det vara viktigt att respondenterna samt litteraturen hanteras på precis samma sätt utan några förutfattade meningar eller bestämda grunder. Detta för att kunna se likheter, mönster och fånga upp det mest relevanta. Det finns alltså ingen uppenbar anledning att göra dessa jämförelser som fallstudier erbjuder som forskningsstrategi. En annan alternativ forskningsstrategi är experiment. Experiment är en forskningsstrategi av jämförande karaktär. Det lämpar sig vid tillfällen då forskaren vill ta reda på skillnader mellan olika objekt eller utföranden. Fördelen med experiment är att resultatet når en hög precision och är detaljerat (Denscombe, 2010). För att kunna uppnå dessa resultat med strategin, är den utformad och indelad i två olika grupper av försökspersoner där en faktor skiljer dessa åt. Det är sedan upp till forskaren är att analysera olika reaktioner som försökspersonerna ger. Med dessa kan sedan jämförelser göras mellan grupperna (Denscombe, 2010). Det som då utgör resultatet är de skillnader som uppstod mellan försökspersonerna och att dessa går att koppla till den faktor som skiljde sig mellan grupperna. I detta fall kommer inte experiment att användas. Framförallt då det inte eftersöks några jämförelser utan snarare ren fakta från 13 försökspersoner och andra som på annat sätt kan bidra. Det finns ingen uppenbar anledning att utföra sådana jämförelser som experiment erbjuder. För att kunna besvara forskningsfrågan finns det heller ingen anledning att skilja på försökspersonerna. 3.2 Forskningsmetod Efter vald forskningsstrategi krävs det även ett metodval. Detta för att se hur data ska insamlas. När detta val görs är det utifrån rapportens syfte, för att på så vis få en datainsamling som är tillförlitlig. Planering i detta skede är mycket viktigt och att ha en struktur för att insamlad data inte ska vara oanvändbar. Det är då viktigt att fastställa vilken typ av data som eftersöks (Denscombe, 2010). Det finns två typer av datainsamling, nämligen kvalitativa och kvantitativa metoder (Bryman, 2002). Den kvantitativa har som huvudsyfte att testa teorier medan den kvalitativa genererar dessa. Med en kvantitativ metod samlas numerisk data in som sedan kan användas i mätningar eller jämförelser (Bryman, 2002). Med en kvalitativ metod läggs vikten på individens tolkning av omgivningen (Bryman, 2002). För rapportens ändamål har det beslutats att använda en kvalitativ metod. På så vis fångas individens erfarenheter och det bidrar till en förståelse som blir djupare. 3.2.1 Vald forskningsmetod: Litteraturstudie & workshop Denna studie kommer att använda litteraturstudie som primär forskningsmetod för att identifiera de vanligaste riskerna med molntjänster. Workshops har valts som sekundär forskningsmetod och kommer att användas som ett komplement till litteraturstudien för att försäkra och fånga eventuella brister och säkerställa resultatet. Workshops kommer även att användas som forskningsmetod för analys och framtagande av kostnadskomponenterna. En litteraturstudie innebär att det görs en sammanställning av befintlig forskning inom ett valt område. Detta är en lämplig metod då det redan har gjorts mycket forskning kring identifikation av riskerna med molntjänster. Den befintliga forskningen bör i regel vara ny och det gäller att förhålla sig till den information som litteraturen disponerar (Nilsson, 2005). För att undvika detta problem och försäkra att litteraturen är trovärdig och inte förvanskad så läggs grunden i fyra vetenskapliga artiklar som alla har ett publiceringsdatum inom de senaste sex åren och med en relevans till forskningsfrågan och syftet med studien. Valet av dessa fyra artiklar gjordes för att få ett så brett urval som möjligt. Dessa fyra vetenskapliga artiklar är av kvalitativ och kvantitativ art, relaterar och berör riskerna med molntjänster och har därför valts som fördjupningsunderlag för att presentera ett resultat. Litteraturstudien kommer att kombineras med workshops. Detta för att verifiera riskerna utifrån ett perspektiv rådande trovärdigheten men även för att diskutera vilka kostnadskomponenter som relaterar till riskerna. En workshop är en effektiv metod för att hitta nya lösningar eller möjligheter, åtgärda problem, utveckla projekt eller för att testa nya metoder (Komparena, 2002). En workshop kan förklaras som en verkstad eller möte där det förs en diskussion med deltagare med kompetens inom området för att aktivt diskutera temat (Komparena, 2002). Det finns ett antal viktiga aspekter att se över när en workshop utförs. Dessa är bland annat planering, aktiviteter, tid och storlek (Bobo et al., 2010). Det är viktigt att det finns tydliga mål som workshopen eftersträvar. Vad är det som deltagarna förväntas att tillföra och varför? Exempelvis om en tidningsredaktion för en workshop så kan deltagarna få representera läsare för tidningen och då blir det uppsatta målet läsarnas syn på tidningen istället för vad tidningen egentligen erbjuder. Detta är lättast att lösa genom att ha tydliga roller för workshopen. Det är lätt att tiden går för 14 fort och att diskussionen stressas igenom av att ostrukturerade diskussioner hålls vilket kan få konsekvenser som att diskussion hamnar i fel fokus, att tiden tar slut eller att för lite data samlas in (Bobo et al., 2010)Detta går att lösa genom att dela ut relaterat material i förväg så att alla deltagare är förberedda och redo för vad som ämnet kommer röra vid. Det är viktigt att alla deltagare får komma till tals, dessutom i denna studie där en stor del av resultatet kommer att utgå ifrån deras åsikt. Känner man till lite om deltagarna så är det även enklare att bedöma tidsomfattningen som kommer att krävas för (Bobo et al., 2010) För att i denna rapport fånga den expertis som efterfrågas och få ett så heltäckande underlag som möjligt kommer datainsamling ske via workshops. Detta för att det krävs en övergripande analys över redan insamlat material för att lyckas urskilja det som uppsatt forskningsfråga behöver för att besvaras. De personer som kommer att delta är alla experter inom sitt område, vilket bidrar med att öka tillförlitligheten av denna rapport. Genom workshops så kan riskerna analyseras utifrån mönster, beteenden och förklaringar och på så sätt visa vägar och komplettera kunskaper för att till sist besvara uppsatsens frågeställning. 3.2.2 Alternativa forskningsmetoder Intervjuer hade kunnat vara ett annat alternativ att utföra på sakkunniga personer inom områdena molntjänster och IT-säkerhet. Enligt Denscombe finns det tre olika typer av intervjuer. Han talar om strukturerade, semistrukturerade och ostrukturerade (Denscombe, 2010). Intervjuer som är av strukturerad karaktär är en metod där det förväntas kvantitativ data, där den uppsatta strukturen är av stor vikt och även forskaren är med och påverkar (Bryman, 2002). Det som även karaktäriserar en strukturerad intervju är det faktum att respondenten inte tillåts något utrymme att tala fritt. Allt sker under kontrollerade former (Denscombe, 2010). Semi- och ostrukturerade intervjuer syftar till att fånga mer kvalitativ data. Inom dessa är målet att fånga respondentens uppfattningar och erfarenheter (Bryman, 2002). I dessa fall tillåts intervjupersonen att tala fritt efter personens egna tankar. Utefter uppbyggnaden av kvalitativa intervjuer hjälper dessa forskaren att få svar på komplexa frågor (Denscombe, 2010). Inom ostrukturerade intervjuer är respondentens frihet störst. Forskaren vill i dessa fall påverka så lite som möjligt och det kan därför jämföras med en vanlig konversation (Bryman, 2002). Däremot har semistrukturerade intervjuer en lista med bestämda frågor, men det tillåts fortfarande frihet i svaren. Själva processen i de sistnämnda intervjutyperna är flexibel. Inom de kvalitativa intervjutyperna är forskarens mål att fånga mönster, förklaringar och beteenden i respondentens svar (Bryman, 2002). Detta utifrån vad som anses vara viktigt. Intervjuer hade kunnat vara ett bra alternativ i detta fall. Dock så är det svårt att analysera ett objekt utifrån redan uppsatta frågor och struktur. Möjligen att kompletteringen av riskerna hade kunnat göras med intervjuer men att analysera fram kostnadskomponenter hade varit komplext. Målet i denna studie är just att tänka fritt utanför boxen och på så sätt uppnå en så heltäckande analys och framställning av kostnadskomponenter med utgångspunkt i litteraturstudiens framtagna risker. Ytterligare en alternativ forskningsmetod hade kunnat vara enkäter. Enkäter är en vanlig metod och kan användas på många olika sätt. Detta då utformning och syfte kan variera (Denscombe, 2010). När det handlar om stora mängder kvantitativ data från ett stort urval är enkäter ett bra alternativ, då de är enkla att analysera och lockar fler respondenter. Däremot är det inte lika effektivt att samla kvalitativ data med hjälp av enkäter (Bryman, 2002). I enkäten bör specifikt utvalda frågor inkluderas som är utformade för att få ut så mycket information som möjligt. Dock inte till bekostnad av att respondenten inte svarar. Det 15 är även en nackdel med enkäter att de i vissa fall inte fångar vad personer egentligen vill svara. För att en enkät ska vara effektiv för respondenten att fylla i kräver detta ofta fördefinierade svar. Då kan just det problemet uppstå tillsammans med en frustration att ens eget alternativ inte finns tillgängligt (Denscombe, 2010). Vad det gäller denna studies behov av data hade enkäter konkluderat i en alltför ytlig data som eventuellt skulle kunna resultera i att den djupdykning och förståelse som eftersträvas inte uppfylls. Det hade kunnat leda till att forskningsfrågan inte hade kunnat besvaras. I denna rapport finns det inget direkt intresse av att jämföra försökspersonernas svar. I rapporten är målet att komplettera det som framkommer med tankar från sakkunniga, och därmed få en så bra helhetsbild som möjligt. 3.3 Analysmetod När data är insamlad med hjälp av ovanstående metoder så är det dags att analysera dessa. Detta görs med hjälp av en eller flera analysmetoder. I denna rapport har det handlat om kvalitativ data från två olika forskningsmetoder som skiljer sig i både utförandet och data som inkommer, vilket innebär att två kvalitativa analysmetoder måste användas. 3.3.1 Vald analysmetod: Innehållsanalys & grundad teori För att analysera de fyra vetenskapliga artiklarnas data, som insamlades via forskningsmetoden litteraturstudie, har innehållsanalys använts. Syftet med denna metod har varit att få en tydligare analysgenomgång samt struktur av insamlad data från olika källor för att sammanföra dessa till en helhet. För att analysera insamlad data från litteraturstudien har en innehållsanalys gjorts. Det är en kvalitativ analysmetod vilken har en förmåga att fånga aspekter som är gömda och inte har lagts märke till. Det som metoden gör är att kvantifiera insamlad data och sedan analysera den (Denscombe, 2010). Det första steget handlar om att välja materialet och behandla detta för att på så sätt få en helhetsbild. Sedan bryts texten ner i mindre beståndsdelar relaterat till syftet forskaren har. Efter detta skall data kategoriseras och forskaren bör ha tydliga idéer över hur kategoriseringen ska se ut. Förhoppningsvis skapar detta nyckelord eller andra saker att analysera. Sedan ska beståndsdelarna sättas samman med kategorierna för att skapa ett tydligt innehåll. Nästa steg går ut på att se frekvensen av beståndsdelarna. I det sista steget analyseras texten utifrån den framräknade frekvensen av beståndsdelarna i jämförelse med andra beståndsdelar av texten (Denscombe, 2010). Denna analysmetod går att repetera av andra forskare vilket gör att analysen kan ses ur olika vinklar och på olika sätt flera gånger. På detta sätt finns risken att texten förlorar sitt syfte och därmed förloras budskapet ur sitt ursprungliga syfte. Detta är verkligen någonting författarna har försökt undvika då det finns många olika sätt att se på de risker som presenterats inom litteraturstudien. Att få fram underförstådda tankar är ett problem med innehållsanalys. Det gör att innehållsanalys passar när kommunikationen är mer konkret, enkel och förutsägbar (Denscombe, 2010). Detta passar denna studie då det är konkreta risker som tas upp i alla de vetenskapliga förankringarna. För att analysera insamlad data för workshops har denna studie använt delar utav grundad teori. Grundad teori är en kvalitativ analysmetod som lämpar sig för intervjuer av kvalitativ karaktär (Denscombe, 2010). Syftet med analysmetoden är att fånga innebörden och meningen av innehållet genom att hitta teorier och koncept i insamlad data (Denscombe, 2010). Analysmetoden har en iterativ utgångspunkt där forskaren varierar insamling och analys av data (Bryman, 2002). När man talar om grundad teori delar man upp processen i tre steg. Som ett första steg transkriberas insamlad data. Det transkriberade protokollet gås sedan igenom flertalet gånger för att på så vis fånga olika detaljer samt få en känsla över det som sagts. 16 De eventuella insikterna som uppkommer dokumenteras för att i slutändan kunna ta fasta på olika analysämnen som kan vara av intresse och betydelse under senare skeden av forskningsprocessen (Denscombe, 2010). Sedan är meningen att materialet ska kodas för att på så vis generera generella mönster. Utifrån dessa mönster kan kategorier skapas (Denscombe, 2010). Kodningen går att göra på tre olika sätt och i denna studie är det öppen kodning som har använts. Resultatet av en öppen kodning är att all data identifieras för att sedan på ett informellt sätt namnges (Bryman, 2002). Dock är kodningen bara en del i analysprocessen. När man sedan har komponerat sina kategorier får forskaren en förståelse som förhoppningsvis kan resultera i rapportens slutsatser (Denscombe, 2010). Inom denna studie kommer vikten ligga i att hitta dessa kategorier för att sedan kunna utläsa vad som eventuellt har missats under den egna datainsamlingen. Grundad teori är en lämplig metod för detta då den framförallt är bra på att generera dessa kategorier (Bryman, 2002). Dessa kategorier kommer sedan att framställas som en komplettering till de kostnadskomponenter och risker som rapporten syftar till att identifiera, för att på så vis få en bra helhetsbild. Det är alltså detta som analysmetoden syftar till att hitta snarare än de teorier som den används för i andra fall. 3.3.2 Alternativa analysmetoder Narrativanalysen är en analysmetod som hanterar kvalitativ data. Det finns tre krav när en narrativ analys utförs. • Ska ha ett budskap • Ska ha en ”storyline” som går från dåtid till nutid • Ska involvera människor, referera till känslor och erfarenheter. Gärna i kontakt av sociala evenemang och människointegration. I kvalitativ analysering handlar en narrativ analys om att analysera ur en berättarvinkel som man studerar utifrån två perspektiv (Denscombe, 2010). Det ena handlar om den sociala världen, hur data påverkar världen (Denscombe, 2010). Detta kan ge inblick i etiska och moraliska aspekter om huruvida det är korrekt utifrån historian eller inte. Även generationsmässigt kan detta påverkas om hur det såg ut förut jämfört med nu. Den andra aspekten handlar om den sociala världen ur en persons perspektiv (Denscombe, 2010). Man studerar hur historierna är uppbyggda för att representera enskilda personer. Det handlar inte om myter eller sanning utan mer om hur historian fungerar. Man studerar historians påverkan på den sociala världen med fokus på meningen och ideologin med historian (Denscombe, 2010). Alltså, hur historian kopplas till kultur och historisk kontext som är bevisad. Skulle uppsatsen ske utifrån ett journalistiskt perspektiv och insamlad data består av en känslomässigare karaktär så känns detta som en fördelaktig analysmetod. Möjligen att metoden skulle passa till någon av forskningsmetoderna då risker handlar om människors erfarenheter av världen precis som narrativanalys utgår ifrån. Den insamlade data är alldeles för teknisk och därför inte från en tillräckligt ontologisk eller epistemologisk utgångspunkt för att vara relevant för denna analysmetod. 17 3.4 Metodtillämpning 3.4.1 Genomförande 3.4.1.1 Genomförandet av litteraturstudien Den aktuella frågeställningen har i denna rapport tagit hjälp av två olika forskningsmetoder, nämligen litteraturstudie och workshop. Detta delvis för att viss kunskap inom ämnet inte fanns internt på Knowit Secure, vilket krävde efterforskningar i olika vetenskapliga studier. Workshops användes för att förtydliga riskerna men även för att besvara frågeställningens andra del om vilka ekonomiska konsekvenser som kan tillkomma ifall någon av dessa risker skulle inträffa. Frågeställningen är tänkt att besvaras med hjälp av insamlad data av dessa två forskningsmetoder. Under genomförandet av kartläggningen och forskningsmetoden litteraturstudie så kompletterades de redan två tillgivna vetenskapliga studierna, se urval rubrik 3.4.2. Detta genom grundläggande sökningar inom Googles databas. Denscombe uppmanar att sökningen till en början ska vara bred och förutsättningslös för att till en början få ett brett spektrum (Denscombe, 2010). Sökorden bestod till en början av ”cloud computing”, ”cloud services” och ”molntjänster”. Dessa kombinerades sedan ihop med ”risks with cloud computing”, ”risks with cloud serivces” och ”risker med molntjänster”. CSA och Microsoft valdes beroende på relevansen till ämnet och i jämförelse med Enisa och NIST studie. Alla dessa fyra studier som ingick i forskningsmetoden presenterade risker som molntjänster anses medföra, men även generella risker med ett företags IT-arkitektur. Dessa risker skiljde sig delvis studierna emellan, genom att vissa risker var nedbrutna i mindre delar än andra. Det som sedan gjordes i denna rapport var att sammanfoga relevanta risker tillsammans med att ta fram risker som ansågs mest allmänna för ett företag som önskar migrera till en molntjänst. Sammanfogandet och analysen gjorde med hjälp av analysmetoden innehållsanalys, se rubrik 3.3.1. Utförandet av innehållsanalysen kan göras på två olika sätt enligt Bryman (Bryman, 2002). • • Manifest innehållsanalys: Som innebär att forskaren ser vad texten handlar om, det som står skrivet är det som är svaret. Latent innehållsanalys: Som innebär att forskaren studerar det bakomliggande med orden och meningarna och tolkar innehållets djupare bakomliggande svar. Den här innehållsanalysen har gjorts enligt en manifest innehållsanalys. De vetenskapliga förankringarnas textmassa bearbetades igenom, vilket innebar att vi grundligt letade genom de risker som presenterades i dessa arbeten och den text som beskrev riskerna. Den text som var relevant för risken skrevs ned i ett textdokument. Därefter sammanfördes beskrivningarna till en övergripande beskrivning som fick bli den slutgiltiga för den sammanställda risken. Detta presenteras i övergripande form i resultatavsnittet som Tabell 3. Alla kategorier är på så sätt framtagna ur de frekvenser som fanns under specifik risk inom varje vetenskaplig studie som använts. Dessa frekvenser har sammanställts inom de presenterade kategorierna. Detta medför att det fortfarande återstår risker inom kategorin IT-säkerhet som ej har behandlats av denna rapport. Dessa har bortsetts då de inte är tillräckligt återkopplade för att kännas relevanta att besvara forskningsfrågan och på så sätt inte lämparbara för uppsatsens syfte. 3.4.1.2 Genomförandet av workshops Innan workshopen ägde rum så planerades ett material för att ligga som grund för de deltagande. Detta för att alla deltagande skulle få ett så bra underlag som möjligt för kommande workshop. Med ett bra underlag så kan utfallet av insamlad data påverkas på ett positivt sätt men även för att inbringa ett så bra komplement som möjligt till litteraturstudiens utformning och skapa ett objektivt intryck till det som redan åstadkommits. Det fanns därmed möjlighet för respondenten att ifrågasätta redan presenterat ämne och resultat. Detta underlag mailades ut tillsammans med en konversation kring vilket datum som 18 workshopen skulle äga rum. Se Bilaga 1 för diskussionsunderlag. Detta innebar att det fanns fördefinierade frågor, men med utrymme för vissa följdfrågor eller viss djupdykning inom något som ansågs generera data av intresse. Workshops planerades och utfördes genom att utgå ifrån fem uppsatta grundregler som följdes strikt under forskningsmetoden. Detta för att på ett så strukturerat sätt som möjligt utföra workshopen samtidigt som att motverka de problemen och de negativa följderna som en workshop kan inbringa. • • • • • Alla är ansvariga för resultatet Var kreativ och våga tala Ha en strukturerad konversation i taget där alla får chansen att deltaga Sträva efter konsensus Respektera uppsatta tider De workshops som utfördes var av antalet två och hade en maximal tidsbegränsning på 60 minuter, bestod av öppna diskussioner för samtliga deltagande och genomfördes på svenska. Materialet från båda workshops antecknades traditionellt utifrån diskussionsunderlaget. Detta med fördel i att syftet var att analysera redan identifierade objekt. Detta material transkriberades sedan för att förenkla den kommande analysen, med hjälp av grundad teori. Denna analysmetod var ett hjälpmedel för att fånga det som deltagarna förmedlade och ta fasta på de kompletteringar som eftersöktes, vilket även var syftet av utförda workshops. Grundad teori, som beskrivs i kapitel 3.3 för forskningsmetoder, är ett redskap där det som sägs, inte nödvändigtvis tolkas bokstavligt, utan där det eftersträvas att hitta det som sägs mellan raderna. Detta var grundtanken kring analysen och framtagandet av kostnadskomponenterna men även något som använts för att kunna fånga de kompletteringar som eftersöktes och få en indikation från respondenterna och organisationen Knowit Secure att arbetet var på rätt väg. Den kunskap som erhölls ifrån den första workshopen användes som underlag inom workshop två när diskussion och analysarbete inte gjorde framsteg. Att utföra ett fler workshops ansågs inte av relevans då materialet hade blivit mättat och även ur sekretessaspekter från Knowit Secure. Syftet i denna rapport var inte att presentera generaliserad statistik av något slag utan istället som första del komplettera och korrektera insamlad data från litteraturstudien och därav blev den insamlade data fort mättad, då ingen respondent kunde ange nya kostnadskomponenter än redan definierade. 3.4.2 Urval Urvalet av litteratur baserades med grund inom IT-säkerhet och informationssäkerhet. Detta för att vara så representativ som möjligt för uppsatsens syfte. Litteraturen utgick från fyra stycken vetenskapliga studier. Studiernas förankring är alla från omtalade organisationer med stor kompetens inom ämnena IT-säkerhet och molntjänster. Enisa och NIST presenterades av Knowit Secure som grundlitteratur för att utveckla och genomföra denna uppsats. De två andra vetenskapliga studierna valdes fram genom sökfunktioner inom Googles databas och i jämförande relation till Enisa och NIST. Urvalet av den mänskliga interaktion som ingick i denna studie avsågs bestå av sakkunniga inom ämnet informationssäkerhet med inblick och kunskap inom molntjänster tillräcklig för att kunna komplettera framtaget material från litteraturstudien. För att uppnå detta har personerna i fråga inte slumpmässigt selekterats, utan handplockats, vilket Denscombe beskriver som ”non-probability sample” (Denscombe, 2010). Den större skara respondenter som valts ut utgjordes av tre stycken sakkunniga med lång erfarenhet inom ämnet och med en aktiv tjänst hos Knowit Secure. Dessa respondenter kompletterades med en sakkunnig från Stockholms Universitet som gjort forskningsanspråk och har globalt exponerad 19 vetskap inom det relevanta området. Detta för att få ännu ett perspektiv på problemområdet. De två kriterier som har använts för att definiera urvalet som representativt var följande: • • Personen ska ha minst 10 års erfarenhet inom branschen informationssäkerhet och hantera frågor inom detta på en teknisk eller/och administrativ nivå. Personen ska ha grundläggande kunskaper inom ekonomi och bred insikt inom molntjänster och outsourcing. 3.4.3 Försöksetiska aspekter Genom att använda en forskningsmetod med mänsklig interaktion är det viktigt att försäkra respondenterna om alla etiska aspekter. Denscombe nämner kontinuerligt i sin bok att etiska aspekter är mycket viktigt att ta i beaktande (Denscombe, 2010). Respondenternas medgivande till workshopen behandlades och bekräftades genom att innan inbokad tid tala om villkoren gällande workshopen. Speciellt inom denna studie är detta av betydande vikt då insamlad data är känslig för deltagarna och företaget. För att få den bästa stommen inom försöksetik och behandla respondenterna på bästa möjliga sätt har denna studie utgått från Denscombes aspekter samt vetenskapsrådet fyra etiska principer (Vetenskapsrådet, 2002). Vetenskapsrådets fyra etiska principer preciseras nedan. Informationskrav: Alla respondenter är informerade om undersökningens mål och syfte samt vilken roll respondenten har genom att ställa upp som deltagare. Alla personer har i början av workshopen meddelats kring målet och syftet av studien. Konfidentialitetskrav: Alla respondenter garanteras anonymitet i undersökningen och ska inte bli utlämnade på något sätt. Informationen de delger kommer enbart att användas i denna studie. Utifrån detta kommer därför inte några deltagare att bifogas inom denna studie. Samtyckeskrav: Alla respondenter är medvetna om dess rättigheter och att det alltid är helt frivilligt att medverka i studien. De har även fått tydlig information om möjligheten att avbryta sin medverkan när som helst. Detta meddelades personerna innan workshopen startades. Nyttjandekrav: Respondenternas utlämnade information kommer inte att komma i kontakt med någon utanför denna studie. Vi tar ansvar för att hantera materialet och ingen annan kommer komma i kontakt med det. Ingen utelämnad information kommer att kunna spåras efter undersökningen och all information som inte är relevant för studien kommer att raderas. 3.4.3.1 Övriga etiska aspekter I och med samarbetet med Knowit Secure AB så skapades ett sekretessavtal innan uppsatsen påbörjades för att insamlad information, uppsatsens resultat och dess uppföljning hanteras på ett lämpligt och säkert sätt gentemot alla inblandade parter. Detta sekretessavtal har godkänts av båda författarna individuellt och innehåller sekretessbelägg som att inte dela med sig av konfidentiell information som erhållits från Knowit samt att inte använda sig av konfidentiell information för andra ändamål än uppsatsen. 20 4. Resultat I detta kapitel presenteras det resultat som studien har genererat samtidigt som en analys av resultatet framförs. Sammanfattningen av riskerna och presenterade kostnadskomponenter har grundats i de transkriberingar av workshops som har gjorts. Dessa kan även återfinnas förenade och framställda i uppsatsens slutprodukt som finns tillgänglig exemplifierad i uppsatsens bilagor. 4.1 Allmänna risker framtagna ur litteraturen I tabellen nedan presenteras de risker som återkopplas inom allt studerat material i litteraturstudien till den här uppsatsens sammanställning och definition. Tabellen visar hur den litteraturen som har använts inom forskningsmetoden litteraturstudie har använts för att sammanställa riskerna som presenteras och används inom denna uppsats. Under varje litteraturkategori hänvisas till den benämningen som har använts inom den specifika litteraturen för att under kategorin sammanställd visa uppsatsens resultat. Enisa Microsoft Cloud security NIST Sammanställd alliance Cloud service Insufficient due Loss of Administrativ termination of diligence control nyetablering failure Loss of Data loss Data loss Data Förlust av governance ownership äganderätt Natural disaster Data loss Availability Naturkatastrof Theft of computer Data breach Loss of Fysiskt minskad equipment control kontroll Isolation failure Multitenancy Shared technology Shared Delade resurser vulnerabilities multitenant environment Malicious insider Malicious insider Malicious insider Insider access Elakartad infiltratör Data breach Teknisk nyetablering Backups lost, Data loss Back-up and Säkerhetskopiering stolen recovery Lock-in & Lock-in Inlåsning Compliance challenges Compromise Data breach Organisatorisk service engine förändring Data in transit Data breach Data breaches Attack surface Nätverksattack & Data isolation Loss of encryption Data breach Data breaches Data isolation Krypteringsproblem keys EDOS Economical denial of service Undertaking Data breach Software Elakartad mjukvara malicious probs or isolation scans Cloud provider Service Försvagad acquisition agreements överenskommelse Tabell 3: Sammanställning och relation mellan tidigare och nuvarande risker 21 Varje risk utformas med en spårbarhet visualiserat “R.X”. Spårbarheten har satts upp för att underlätta relationen mellan riskerna och refererandet till specifik risk utifrån olika perspektiv. Genom att gruppera risker på ett strukturerat sätt så uppmärksammas liknande risker, dubbletter reduceras och de blir mer lätthanterliga genom studiens gång (MSB, 2011). Valet av riskområden har gjorts med noga överväganden över nästa kapitel som handlar om att ta fram kostnadskomponenter. Om riskområdena struktureras efter aktörsmässiga perspektiv så blir det även lättare att kategorisera in kostnadskomponenterna efter vardera riskområde och ett underlättande tillvägagångssätt för att hantera risken. Detta har studien tagit i åtanke vid kategoriseringen och genom en kategorisering efter aktörsmässiga perspektiv så skapas även en struktur som ger en simpel överblick över vart riskernas problemområde uppstår och går att åtgärda. Riskernas gruppering ser ut som följer; Riskområde: Teknikrelaterade risker Säkerheten och åtgärderna av detta riskområde hanteras av teknisk kompetens. Riskområde: Avtalsrelaterade risker Säkerheten och åtgärderna av detta riskområde hanteras av juridisk kompetens. Riskområde: Administrationsrelaterade risker Säkerheten och åtgärderna av detta riskområde hanteras av administrativ kompetens. Att en risk inträffar och vad konsekvensen blir av att den inträffar beror på olika faktorer och åtgärderna för att förebygga risken kommer att variera beroende på vilket riskområde den tillhör. Genom att följa denna gruppering så kan studiens slutresultat presenteras och underlätta tjänstens syfte så att molntjänstekunden tydligt kan se vart risken ska behandlas samt var åtgärderna för att motverka risken ska etableras. 4.1.1 Risker framtagna från litteraturstudien Nedan följer de risker som har framtagits av litteraturstudien och en förklaring till vad de innebär och hur de påverkar säkerheten inom en organisation. Riskområde: Avtalsrelaterade risker R.1 Förlust av äganderätt Förlust av äganderätt innebär att molntjänsteleverantören gör anspråk på det som produceras inom tjänsten. Detta kan inträffa både under tillhandahållandet av molntjänsten men även när molntjänsteleverantören och molntjänstekunden har brutit avtalet då borttagen data inte behöver vara borttagen fullt ut. Organisationens immateriella rättigheter till det som produceras och är lagrat hos molntjänsteleverantören riskerar att förloras. Anledningen till att denna risk uppstår är genom dålig kartläggning över molntjänsteleverantörens villkor eller okontrollerade uppsatta avtal. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet påverkas. R.2 Försvagad överenskommelse Både tekniska och administrativa aspekter måste ses över vid en migration eller övergång till 22 molntjänster. Med ett traditionellt IT-system så behöver organisationer nästan enbart ta hänsyn till sig själva. Nu måste organisationer forma samt acceptera ett avtal som båda parter är överens om, annars så hotas de båda att bli riskbeträdda vid övergången till en molntjänst. Det kan bland annat fokusera på leveranskravet och konsekvensen ifall molntjänsteleverantören inte lyckas att leverera. Denna risk påverkas av den lilla mängd juridiska restriktioner som finns inom området vilket försvårar en molntjänstekunds relationsuppsättning gentemot en molntjänsteleverantör. Dolda kostnader är en konsekvens som kan tillkomma av detta. Detta är en licensaspekt och består av förborgade avgifter samt kostnader som molntjänsteleverantören kräver av organisationer. Detta kan exempelvis vara vid installation, integration, transaktionsvolymer eller andra anpassningar relaterat till resurserna. Det gäller att se över avtalet emellan och ta reda på kostnadsaspekterna och prissättningen som molntjänsteleverantören använder sig av. Konsekvensen av detta kan leda till att informationssäkerhetsaspekten tillgänglighet påverkas. Riskområde: Administrationsrelaterade risker R.3 Säkerhetskopiering Att använda säkerhetskopiering med molntjänster är en skillnad mot att lagra det med traditionella ITsystem. Genom användningen av molntjänster så erbjuds ett större urval av lagringsmöjligheter. Antingen så låter man molntjänsteleverantören hantera säkerhetskopieringen, annars så gör molntjänstekunden det själv eller så gör båda aktörerna detta. Den utökade risken med säkerhetskopiering inom molntjänster är att det finns ännu fler platser där data finns lagrad och att tillgängligheten kan påverkas då det inte går att nå säkerhetskopieringen genom den minskade kontrollen organisationen har vid lagrandet hos molntjänsteleverantören. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet och tillgänglighet påverkas. R.4 Elakartad infiltratör Ur ett säkerhetsperspektiv så kan molntjänstekunderna riskera att drabbas på något negativt sätt av obehöriga som arbetar, är kontrakterade eller har någon annan form av koppling till den tillhandahållna molntjänsten. CERTs definition av en elakartad infiltratör “A malicious insider threat to an organization is a current or former employee, contractor, or other business partner who has or had authorized access to an organization's network, system, or data and intentionally exceeded or misused that access in a manner that negatively affected the confidentiality, integrity, or availability of the organization's information or information systems.” (CERT, 2015). Konsekvensen av detta kan leda till informationssäkerhetsaspekterna tillgänglighet, konfidentialitet och riktighet påverkas. R.5 Administrativ nyetablering Genom att många molntjänsteleverantörer är nystartade affärsverksamheter inom etablerade företag eller finansierade genom riskkapital så finns det en risk för att molntjänsteleverantören väljer att upphöra med tjänsten eller inte kan fortsätta leverera av förklarliga skäl. Tredjepartsleverantörer kan ha etablerade avtal med molntjänsteleverantören som inte är känt för molntjänstekunden för att det krävs olika kompetenser att upprätthålla en molntjänst. Molntjänstekunden är därmed ovetandes om dessa direktiv och kan inte med säkerhet upprätthålla att lagar, regler och intern säkerhet följs. Det är rimligt att förvänta sig att det kommer att ske en viss utslagning av dessa verksamheter. Det är även troligt att det kommer ske 23 konsolideringar och försäljningar av molntjänster och detta påverkas av de bristande juridiska restriktioner som finns inom branschen. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet och tillgänglighet påverkas. R.6 Naturkatastrof Geografiska platser kan ha dåliga förutsättningar för att en molntjänsteleverantör ska tillhandahålla sin molntjänst. Det som skiljer sig i denna risk jämfört mot ett traditionellt IT-system är att organisationen inte har någon kontroll över om det har gjorts riskanalyser angående naturkatastrofer, med en annan formulering, minskad kontroll. Det gäller därför att ha information över vart den fysiska infrastrukturen är placerad och hur det ser ut där data skyddas och kontrolleras. Naturkatastrofer handlar inte enbart om jordbävningar som många förknippar det med, utan även översvämningar är en relativt vanlig naturkatastrof med en vanligare uppkomst på flera ställen. Konsekvensen av detta kan leda till att informationssäkerhetsaspekten tillgänglighet påverkas. R.7 Krypteringsproblem Ett vanligt och standardiserat sätt att skydda data på är genom kryptering. Ett av problemen som uppstår med molntjänster och kryptering är att det finns en till lokalitet att lagra krypteringsnyckeln på. Molntjänsteleverantören är i behov av att kunna utföra eventuella säkerhetskontroller och felhantering vilket gör att molntjänsteleverantören behöver tillgång till nyckeln. Bortsett från detta så kvarstår redan tidigare risker med kryptering eller andra former av skydd så som datamaskering eller tokenization. Konsekvensen av detta leder till att informationssäkerhetsaspekterna tillgänglighet, riktighet och konfidentialitet påverkas. R.8 Fysiskt minskad kontroll Fysiskt minskad kontroll innebär att all fysisk utrustning finns utanför en organisations väggar. Det gäller att molntjänsteleverantörens säkerhet på den fysiska platsen är intakt för att skydda hårdvaran mot obehöriga. En molntjänsteleverantör måste kunna erbjuda fysisk säkerhet, vilket kan vara i form av kameror, stängsel och andra förebyggande åtgärder för att skydda molntjänstekunden från obehöriga. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna tillgänglighet, riktighet och konfidentialitet påverkas. R.9 Organisatorisk förändring Genom att använda sig av en molntjänst så tillkommer det även nya sätt för en organisation att arbeta på. Organisationer kan få det svårare att hantera sin löpande verksamhet om den ligger utanför den egna kontrollen och policyuppsättningar, administrativa alternativ samt organisationsmål och arbetsprocesser kan påverkas negativt. Administrativa risker kan påverka de tekniska riskerna. Den mänskliga faktorn kommer att få en helt ny innebörd inom molntjänster då organisationen och dess medarbetare måste vara medvetna om att små misstag kan få förödande konsekvenser. Tydliga informella administrativa mål, perspektiv och effektiviseringsåtgärder behöver studeras för att minska riskerna vid ett införande av en molntjänst. Utifrån detta behöver man sedan titta till vilka interna policys som bör sättas upp för att minska uppstående risker. Gamla policyuppsättningar behöver inte ersättas men nya tillägg och modifieringar krävs för att återfå kontrollen som organisationer har med traditionella IT-system. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet påverkas. 24 Riskområde: Teknikrelaterade risker R.10 Teknisk nyetablering Molntjänster utvecklar sig snabbt och är ett relativt nytt användningsområde för organisationer. Detta ökar risken för att det ska finnas sårbarheter i den tekniska grundstrukturen. Att säkerställa implementeringen av en molntjänst bör vara ett krav. Sårbarheter kan snabbt utnyttjas av obehöriga som sitter inne med både kunskap och verktyg. API:er, kodningar, krypteringar mm. kan vara sårbara genom en dålig uppbyggnad. Inom traditionella övergångar mellan system så tar oftast implementationer lång tid i jämförelse med molntjänsteimplementationer som går fortare. Detta ökar risken för uppståndelsen av tekniska missar eller fel i konfigurationen. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet påverkas. R.11 Nätverksattack Datatransporten inom molntjänster sker på ett annat sätt i jämförelse mot ett traditionellt IT-system. I och med användningen av en molntjänst så finns det mycket mer data i rörelse i den kontinuerliga transporten genom att mer data hämtas och sänds från en extern part än slutet inom organisationen. Worldwide Infrastructure Security Report visar på att nätverksattacksformen DOS-attack är en ökad risk inom molntjänster (Bourne, 2013). Det finns även fler former av nätverksattacker som kan inträffa. Just beroende på att systemet alltid är tillgängligt genom en ständig uppkoppling till Internet eller att molntjänster möjliggör mobilitet. Rapporten indikerar även på att 94 % av undersökningens datacenter har rapporterat säkerhetsbristande nätverksattacker. Detta ökar risken för att avlyssningar och andra former av nätverksattacker ska inträffa. Konsekvensen av detta leder till att informationssäkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet påverkas. R.12 Delade resurser Den stora anledningen till att en molntjänsts skalbarhet och ekonomiska fördelar är möjlig är genom en delad infrastruktur, plattform och applikation. Det homogena systemet med en delad CPU, firmware/microcode, hypervisor, webbserver, API mm. är dock en sårbarhet. Om det finns någon mindre sårbarhet i något av dessa fragment så kan hela molntjänsten påverkas. Lyckas en obehörig att ta sig in i systemet så kan hela molntjänsten infekterats och det bildas en risk som rör alla organisationer som använder sig av molntjänsten. Detta gör att molntjänster med delade resurser blir ett ”rich target” för obehöriga då det finns mer data att nå. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna tillgänglighet, konfidentialitet och riktighet påverkas. R.13 Inlåsning Idag finns det inte mycket standarder, metoder eller verktyg för att hantera och stödja migration av data till, emellan eller från en molntjänsteleverantör. Detta resulterar i att organisationer kan stöta på problem vid skiftande av molntjänsteleverantör eller återgång till ett traditionellt IT-system. Portabiliteten är alltså en riskfaktor som riskerar att påverkas negativt genom molntjänster. Migrationen av data kan hindras av tekniska låsningar. Inlåsningen kan även gälla de tekniska standarder, regelverk eller interna skräddarsydda uppbyggnader som molntjänsteleverantören kräver att organisationen utformar sin infrastruktur ifrån. Konsekvensen av detta kan leda till att informationssäkerhetsaspekten tillgänglighet påverkas. 25 R.14 Economical denial of service, EDOS EDOS-attack är en annan form av DoS-attack och specificerad inom molntjänstesammanhang. Attackens syfte är att skala upp och använda eller utnyttja resurser i molnet hos en organisation. Exempelvis om en molntjänstekund betalar för en http-request så kan en sådan DOS-attack göra effekt. Eller att en infiltratör använder sig av en organisations molntjänst för eget bruk. Detta påverkar molntjänstekundens kostnader och säkerhet negativt. Konsekvensen av detta leder till att informationssäkerhetsaspekten tillgänglighet påverkas. R.15 Elakartad mjukvara En vanlig risk som även finns för traditionella IT-system. Risken handlar om programvaror som kan skada organisationen. Inom molntjänster så sker transporten av data oftast genom webbläsare och annan form av fjärrkommunikationsmjukvara som riskerar att vara försvagade. Det går inte riktigt att undkomma sårbarheten då det är nödvändigt för organisationer att använda sig av dessa externa programvaror för att få hela molntjänsteinfrastrukturens helhet att fungera. Notera även att molntjänster ger de anställda möjlighet att utnyttja tjänster som inte är sanktionerade av organisationen. Det är därför viktigt att ha generella regler för hur tjänster får användas och vilka tjänster som är kontrollerade och godkända av företaget. Konsekvensen av detta leder till att informationssäkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet påverkas. 4.2 Kompletterandet av risker med utgångspunkt i workshops Under de workshops som anordnades diskuterades de redan definierade riskerna som togs fram via litteraturstudien. Detta för att få återkoppling på resultatet då riskerna är grunden för att sedan ta fram relevanta kostnadskomponenter. Denna process resulterade i viss omstrukturering av riskerna. Risk 2(R.2), Försvagad överenskommelse, tillkom efter workshop 1. Anledningen till detta var en diskussion gällande överenskommelsefrågor samt frågor rörande SLA. Risken ansågs alltså av den första respondenten vara relevant och bör därför finnas med. Sedan förekom två risker som var lika varandra, R.4, Tredjeparts leverantörer och R.5, Administrativ nyetablering, varpå en diskussion uppkom om dessa kunde sättas samman. Detta resulterade i risk 5(R.5), Administrativ nyetablering med innehållet av R.4. Slutligen tog även en risk bort. Detta var även det ett resultat från diskussioner som uppkom under workshop 1. Anledningen var att risken ansågs för generell och lämpade sig inte med de andra upptäckta riskerna. Det är även en risk som produkten från denna rapport ämnar förebygga och är därmed inte med i omfånget för detta arbete. Risken i fråga finns beskriven nedan. R.16 Fel val av molntjänsteleverantör Själva anskaffandet av en molntjänst är det absolut viktigaste valet vid en övergång till molntjänsteleverantören. Det just i detta val som en organisation behöver ha full kontroll på konsekvensen av migrationen. En organisation kan tänka på att en implementering av ett traditionellt ITsystem tar mycket längre tid. Organisationer bör istället lägga all denna tid på att studera molntjänsteleverantören och implementera, då implementationen för molntjänster går fort. 26 4.3 Kostnadskomponenter Kostnadskomponenterna som tas upp under denna rubrik baseras på de workshops som utförts. Under dessa var utgångspunkten de riskområden som tidigare tagits fram och syftet var att fånga relevanta kostnadskomponenter. Under varje riskområde finns ett antal risker. Dessa gick stegvis igenom för att skapa en diskussion där respondenten själv hade möjlighet att analysera riskerna för att sedan komma med eventuella komponenter. Detta resulterade i diskussioner gällande direkta och indirekta kostnader för att sedan gå mer på djupet och identifiera kostnader. Varje kostnadskomponent har precis som riskerna utformats med en spårbarhet visualiserat ”K.X”. Detta av samma anledning som riskerna, för att underlätta refererande och relation mot kostnadskomponenten genom studiens gång. Redan i den första workshop som hölls var respondenten snabbt inne på att det inte går att specificera komponenterna för mycket då det skulle förhindra att använda produkten på ett stort antal företag inom olika branscher då förutsättningarna och uppbyggnaden av organisationen skiljer sig mellan företag till företag. Istället fokuserades det på att hålla komponenterna generella och applicerbara på alla de risker som tas upp. I den andra workshopen var upplägget likadant. Resultatet av denna var likt resultat av den första och alla de komponenter som framgick från den första respondenten kom även på tal under denna workshop. Även idén om att kostnadskomponenterna bör vara generella diskuterades och ansågs även i detta fall vara av värde för slutresultatet. I den workshop som hölls med sakkunniga från Knowit Secure AB diskuterades det om att slå ihop kreditkostnader med alternativkostnader. Om denna tjänst skulle sättas i drift så skulle båda kostnadskomponenterna vara tunga och abstrakta diskussionsområden som följer varandra. Argumentet var att kostnadskomponenterna kan diskuteras ihop och har liknande relation till varandra genom att priset på räntan i K.3 styrs av investeringsbedömningen i K.4 ur ett perspektiv gällande investeringsbedömning och på så sätt skulle dessa kunna diskuteras gemensamt. Diskussionen resulterade i att för enkelhetens skull skilja på dessa tillsvidare. Nedan följer de kostnadskomponenter som togs fram via de workshops som arrangerades. Dessa kostnadskomponenter har nämnts av samtliga respondenter, vilket talar för att det är komponenter av relevans och bör därför finnas med. Dessa kostnadskomponenter har framtagits utifrån att diskutera riskernas förekomst. Vilket gör att varje kostnadskomponent kommer att relatera olika beroende på specifik risk som inträffar. Detta har tagits till hänsyn under datainsamlingen och visualiserats i denna uppsats genom att hänvisa om kostnadskomponenten är primär och en sekundär beroende på den inverkan kostnadskomponenten gör på specifik risk. Detta presenteras i slutprodukten med betäckningen S och P som är relaterade förkortningar för sekundär och primär. K.1 Förlorade intäkter Denna kostnadskomponent är relaterad till de förlorade intäkter en risk innebär om den inträffar. Det kan handla om att produkten eller tjänsten inte finns tillgänglig och därmed kan inte arbete utföras eller tjänsten tillhandahållas som den ska. På så vis kommer detta innebära förlorade intäkter. Detta kan dock påverkas av när risken inträffar på det viset att det nödvändigtvis inte berör kunder. Även när på året risken inträffar, på så vis att intäkterna för ett företag ser olika ut. Denna kostnadskomponent är svår att 27 bryta ner i mer specifika delar då den kan variera beroende vilket företag det rör sig om. Det går alltså inte att avgöra utan tillgång till ett specifikt fall, dvs ett specifikt företag. Dock är det en kostnad som är generell och kan appliceras på alla risker denna rapport täcker in. Hur mycket pengar det rör sig om beror på vad värdet för produkten eller tjänsten är för att den inte finns tillgänglig. K.2 Ökade kostnader för produkt/tjänst Denna kostnadskomponent är relaterad till de kostnader som krävs för att upprätthålla produkten eller tjänsten. Om en risk inträffar är en rimlig följd att produkten inte fungerar i sin helhet. Därför krävs det vissa kostnader för att kunna tillhandahålla produkten. Det kan handla om att ta hjälp av externa parter som kan bidra med sin expertis eller vara, för att på så vis kunna leverera tjänsten. Kostnadskomponenten är alltså kostnader för produktionen av din produkt eller tjänst för att denna ska kvarstå i sin helhet. Denna kostnadskomponent är svår att bryta ner i mer specifika delar då den kan variera beroende vilket företag det rör sig om. Det går alltså inte att avgöra utan tillgång till ett specifikt fall, dvs ett specifikt företag. Dock är det en kostnad som är generell och kan appliceras på alla risker denna rapport täcker in. Hur mycket pengar det rör sig om beror på omfattningen av avbrottet i tjänsten och vad som krävs för att kunna tillhandahålla den fullt ut. K.3 Kreditkostnad/Ränta Denna kostnadskomponent är en kostnad som genereras då förlorade intäkter leder till att företaget inte själva kan betala. Med detta tillkommer räntor och kreditkostnader, då du inte kan färdigställa och leverera tjänsten. Det beror på att företaget själva har utlägg som ska betalas då pengar från deras kunder kommer in. När dessa då uteblir uppkommer sådana kostnader. Denna kostnadskomponent är svår att bryta ner i mer specifika delar då den kan variera beroende vilket företag det rör sig om. Det går alltså inte att avgöra utan tillgång till ett specifikt fall, dvs ett specifikt företag. Dock är det en kostnad som är generell och kan appliceras på alla risker denna rapport täcker in. Hur mycket pengar det rör sig om beror på vad företaget går miste om i form av intäkter och om dessa påverkar företagets betalningsförmåga. Självklart beror det även på företagets avtal mot leverantörer. K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader Denna kostnadskomponent är en indirekt kostnad och därmed svårräknad. Det den innefattar är saker som företaget hade kunnat lägga på annat av nytta, än att betala saker relaterat till riskens inträffande. Det kan handla om investeringar som ej kan genomföras på grund av de kostnader risken medförde. Denna kostnadskomponent är svår att bryta ner i mer specifika delar då den kan variera beroende vilket företag det rör sig om. Det går alltså inte att avgöra utan tillgång till ett specifikt fall, dvs ett specifikt företag. Dock är det en kostnad som är generell och kan appliceras på alla risker denna rapport täcker in. Hur mycket pengar det rör sig om beror alltså på hur mycket det företaget alternativt lagt pengarna på skulle genererat. K.5 Kostnader kopplat till regelbrott, skadestånd och författning Denna kostnadskomponent är relaterad till de kostnader som kan uppstå av att restriktioner som organisationen är tvungen att följa överträds om en risk inträffar. Denna kostnadskomponent går att specificera mer och går att bryta ned i delar utan att komponenten skulle påverka det specifika fallet negativt. Dessa kostnader kan definieras som specifika för organisationen eller branschen, juridiskt 28 uppsatta efter rike, union eller samhälle alternativt kostnader för brott mot avtal och överenskommelser. Hur mycket pengar det rör sig om beror på vilken överträdelse som skett samt vad som gäller för det avtalet. Kostnader för brott mot branschspecifika restriktioner Detta är specificerat för den bransch eller den specifika organisation som organisationen tillhör. Kostnader för brott mot juridiska restriktioner Detta är specificerat för det samhälle och region organisationen tillhör. Kostnader för brott mot molntjänsteuppsatta restriktioner Detta är specificerat för uppsatta avtal och överenskommelser som organisation och molntjänsteleverantör har sinsemellan. K.6 Återställningskostnader Denna kostnadskomponent är en direkt kostnad som infaller då en risk inträffat. Komponenten i sig relaterar till de kostnader det innebär att återställa den skada som risken åsamkat för att sedan ha en fullt fungerande tjänst. För denna kostnadskomponent skiljer det sig mycket åt mellan olika risker. När det däremot kommer till risker som resulterar i dataintrång är åtgärderna för återställningskostnaderna desamma, då det innebär liknande övergripande process för att åtgärda, oavsett risk. När det kommer till återställning handlar det oftast om aktiviteter för att säkerheten ska återgå till ett tillfredställande tillstånd. Med detta ingår även aktiviteter som att informera berörda individer som på ett eller annat sätt påverkats. Nedan presenteras mer specifika kostnadskomponenter för att återställa data. Summorna handlar om omfattningen av eventuell dataförlust. Återställa dataförlust Spåra och utforska data som påverkats och hur den har påverkats Återställ och kontrollera att säkerheten är upprättad Återställ den data som har förlorats Informera drabbade individer vars uppgifter äventyrats K.7 Goodwill/omätbara kostnader Denna kostnadskomponent är en indirekt kostnad och är därmed svårberäknad. Den är dock kritisk då den är kopplad till ett företags varumärke. Om en risk inträffar är det i många fall olika individer och kunder som påverkas. Detta kan bero på att en kund inte har tillgång till den tjänst ett företag ska leverera eller att obehörig haft tillgång till kunddata. Detta påverkar givetvis kundnöjdheten vilket även kommer att påverka företagets varumärke och goodwill. Detta både på lång och kort sikt. “It takes many good deeds to build a good reputation, and only one bad one to lose it.” (Franklin, 2015). Denna kostnadskomponent är svår att bryta ner i mer specifika delar då den kan variera beroende vilket företag det rör sig om. Det går alltså inte att avgöra utan tillgång till ett specifikt fall, dvs ett specifikt företag. Dock är det en kostnad som är generell och kan appliceras på alla risker denna rapport täcker in. Hur mycket pengar det rör sig om beror delvis på vilken risk som inträffat men även i vilken omfattning. Sedan är det en fråga om vilka som påverkats av riskens inträffande. 29 5. Diskussion Detta kapitel fungerar som en avstämning mot de uppsatta målen denna rapport haft och hur dessa uppfyllts. Det är diskussioner om hur dessa efterlevts tillsammans med vad som gått bra respektive mindre bra under uppsatsens gång. Tillsammans med detta förekommer diskussioner om vad som eventuellt hade kunnat göras annorlunda och även vad som skulle kunna göras inom området i framtiden. Målet med rapporten har varit att skapa en tjänst till företaget Knowit Secure. Denna tjänst fokuserar på de allmänna risker som finns med molntjänster och de ekonomiska konsekvenser dessa medför. Syftet är sedan att företaget ska använda tjänsten i sitt arbete mot kunder som överväger att implementera en molntjänst. De mål som denna rapport syftar till att uppfylla har på ett tillfredställande sätt uppnåtts. De allmänna riskerna har via litteraturstudien kunnat tas fram för att sedan arbeta vidare med de kostnadskomponenter som dessa innebär. Visserligen hade det varit önskvärt från början att dessa kostnadskomponenter varit mer specifika än de i slutändan resultera i. Detta var dock något som ändrades under vägens gång då det framgick att alltför specifika kostnadskomponenter inte går att applicera på alla typer av företag i alla branscher. Resultatet blev istället att komponenterna blev mer generella men ändå heltäckande för de konsekvenser som riskerna innebär. På så vis skapades möjligheten för Knowit Secure att applicera denna produkt på alla typer av företag oavsett bransch. Detta var delvis något som framgick via litteraturstudien men framförallt via workshops, då det uppenbarades att en generell lösning var mer lönsam än en specifik. Det som utmärker detta arbete är inte kartläggningen av riskerna, utan de kostnadskomponenter som kopplats till dessa. Det är delvis det som utgör originaliteten men även bidrar till att det kan bli en användbar tjänst. Däremot täcker rapporten enbart de mest allmänna riskerna. För att få en fullkomligt fullbordad tjänst hade det varit önskvärt att täcka in fler risker och därmed fler kostnadskomponenter. Detta är något denna rapport lämnar utrymme för, om Knowit Secure finner detta önskvärt. Något som hade kunnat göras annorlunda i detta arbete är metodvalen. Visserligen är det svårt att spekulera i om detta hade genererat ett bättre resultat. Hade man istället arrangerat fokusgrupper hade det kunnat resultera i diskussioner mellan respondenterna där alla har möjlighet att utveckla varandras idéer. På så vis hade det eventuellt kunnat generera fler kostnadskomponenter eller specificera dessa på ett mer djupgående sätt och dessutom lagt mer tyngd i resultatet. I detta fall var det dock inte möjligt rent praktiskt. Sedan hade det även varit önskvärt att testa tjänsten under rapportens gång för att sedan kunna revidera denna vid behov. Detta hade även kunnat göras via workshops där man agerat som om respondenterna var kunden. Då hade man fått en indikation på hur det hade fungerat i verkligheten då workshopformatet är det troliga sättet att i framtiden arbeta med denna tjänst mot kund. Ett annat diskussionsämne som uppkommit under rapporten, är vikten av utarbetade processer som är anpassade för det eventuellt nya systemet. Delvis för att effektivisera användandet av ett nytt system men även för att öka säkerheten. Det som är viktigt är då att utarbeta processer som passar företaget men även systemet. Dessa måste sedan kommuniceras ut till användarna så att dessa bekantar sig och kan följa de uppsatta arbetssätten. Om då inte detta kommuniceras ut kan sannolikheten för att risker inträffar, öka. Detta då användarna själva av ren okunskap använder systemet på ett sätt som främjar en bristande säkerhet och möjliggör därmed vissa risker. Att ändra processer är dock inte något som är en självklarhet och inte heller enkelt. Det kräver delvis utvärderingar av vad som behöver förändras men även vad som skiljer sig i det nya systemet. Detta skulle i praktiken kunna innebära att företaget förlorar olika konkurrensfördelar de har med dagens processer, just för att upprätthålla säkerheten. I vissa fall kan det ifrågasättas vad som värderas högst. Att behålla sina konkurrensfördelar eller att ha en tillfredställande säkerhet. Detta är alltså en fråga företag bör ta reda på innan de ger sig in i molnvärlden. 30 Ett problem som är förknippat med molntjänster är alltså säkerheten, och det är delvis de som denna rapport behandlar. Men oavsett vad vissa tycker är det uppenbart att fler och fler företag söker sig till dessa tjänster. Om en risk inträffar är det en aktör som står ansvarig, men frågan är vem. Visserligen täcks delar av detta in i det avtal som finns mellan kund och leverantör. Dock inte i alla situationer och det råder skilda meningar om var ansvaret för säkerheten ligger. Dessa tveksamheter är en uppenbar risk och bör därför utredas innan ett företag implementerar en molntjänst. Att hyra in infrastruktur innebär alltså inte att hyra in ansvarsskyldighet från leverantören. 5.1 Trovärdighet Validitet handlar i korta drag om att rätt sak mäts på rätt sätt. När det kommer till kvalitativ datainsamling är detta ett begrepp som på ett annat sätt måste tas hänsyn till. Detta då det finns en viss problematik att validera kvalitativ data och visa att den är korrekt (Denscombe, 2010). Data som samlats in via forskningsmetoden måste alltså skildra verkligheten. Denscombe talar om två begrepp som kan appliceras för att försäkra sig om en god validitet, nämligen triangulering och validering av respondenter (Denscombe, 2010). Enligt Denscombe handlar triangulering om att se saker från olika perspektiv (Denscombe, 2010). I detta fall har synen kommit från flera perspektiv, då olika aktörer varit inblandade med olika kompetenser tillsammans med olika elektroniska källor från litteraturstudien. När Denscombe sedan talar om validering av respondenter syftar han till möjligheten att återkoppla till dessa efter datainsamlingen för att respondenterna på så vis kan bekräfta validiteten (Denscombe, 2010). I denna studie har den möjligheten funnits då resultatet från de workshops som utfördes har kunnat presenteras för dessa respondenter, som därmed kunnat bekräfta validiteten. Detta även på delar som uppkommit efter workshops och studiens resultat har under hela processen kunnat diskuteras mot sakkunniga, inklusive respondenterna. I denna rapport handlar det om kvalitativ data som bland annat tagits fram via workshops. När man då talar om trovärdigheten för det insamlade materialet är det svårare att bedöma denna, just på grund av att den är av kvalitativ karaktär (Denscombe, 2010). En SWOT-analys finns presenterad i kapitel 2, Utökad bakgrund, som sammanställer molntjänster som en helhet. I tabellen nedan visas relationen mellan uppsatsens resulterade risker och delen svagheter i SWOT-analysen. SWOT-analysen låg som beskrivet inte till grund för riskerna utan som en sammanställning av molntjänster. Genom nedanstående tabell hänvisas riskerna till bakgrunden och på så sätt verifieras riskernas validitet och relevans i detta sammanhang. Detta påvisar en trovärdighet och tillförlitlighet i de framtagna riskerna samtidigt som det påvisar att de är generiska och allmänna då den utökade bakgrunden består av en övergripande presentation av molntjänster. Svagheter Relaterade risker Ny relativt oprövad teknik Teknisk nyetablering, Försvagad överenskommelse, Administrativ nyetablering, Tredjeparts leverantörer Många differentierade leverantörer Inlåsning, Administrativ nyetablering Minskad kontroll Inlåsning, Nätverksattack, Krypteringsproblem, Förlust av äganderätt, Elakartad infiltratör, EDOS, Dolda kostnader, Säkerhetskopiering, Fysisk minskad kontroll, Naturkatastrof, Elakartad mjukvara 31 Gemensam delning Delade resurser, Säkerhetskopiering, Elakartad infiltratör, Nätverksattack Kontinuerlig Internetuppkoppling Nätverksattack, EDOS Organisatorisk förändring Organisatorisk förändring, Elakartad mjukvara Mobilitet Nätverksattack, Organisatorisk förändring Tabell 4: SWOT-analysens relation till identifierade risker 5.2 Överförbarhet Denscombe talar om att överförbarhet och generalisering är en fråga för kvalitativ forskning. Med en kartläggning görs ofta ett obundet slumpmässigt urval som resulterar i ett övergripande svar (Denscombe, 2010). I kapitel 1.5, avgränsningar, och kapitel 3.4, metodtillämpning, så beskrivs det att denna uppsats tillämpningsområde behandlar det negativa perspektivet av molntjänster och denna studie gör sig överförbar till liknande område. Resultatet ankommer med sammanställda risker från ett flertal kända studier kring molntjänster vilket kan underlätta framtida studier i områden som behöver analysera molntjänster och dess risker. Då uppsatsens syfte är att Knowit Secure ska kunna använda produkten från denna rapport är överförbarheten avgörande. För att få resultatet överförbart har datainsamlingen gjorts grundlig med flera olika aktörer, källor, som lett till samma resultat. Alla ingående källor i litteraturstudien presenterade risker. Dessa var beskrivna på olika sätt med olika rubriceringar. Däremot berörde alla dessa källor varje enskild risk som detta arbete presenterar. Det tyder på att riskerna är grundligt framtagna och av relevans inom ämnet molntjänster. Det gör att riskerna kan användas för kommande studier inom molntjänster. Något som däremot hade kunnat stärka överförbarheten ytterligare är att omfattningen på datainsamlingen hade kunnat utökas. Fler studier hade kunnat ingå i litteraturstudien och även fler respondenter hade kunnat ingå i workshops. 5.3 Objektivitet Genomförandet av forskningsmetoden workshops genomfördes med en öppen diskussion vilket även bidrog till en objektiv datainsamling då syftet var av analys och utan ett förväntat resultat och på så sätt har det genomförts med ett öppet sinne (Denscombe, 2010) . Litteraturstudiens genomförande gjordes inte med avsikt att jämföra studierna utan fokuserade på att studera vilka som var de mest nämnvärda och diskuterade riskerna. Respondenterna som har medverkat inom uppsatsen har explicit inte jämförts med varandra utan har istället bidraget till att sammanställa den insamlade data i syfte för deras egen vinning inom området informationssäkerhet. Slutprodukten som skapas kommer att ses över av sakkunniga inom Knowit Secure och det skulle inte finnas någon mening eller vinning att utveckla produkten utan någon objektivitet. Denna objektivitet kan i uppsatsens bevisas i inom resultatets presentation av riskerna. Då varje risk finns lämpad och beskriven i ett flertal av de vetenskapliga förankringarna. 5.4 Tillförlitlighet Kvalitativ forskning lägger sin grund i tillförlitligheten istället för pålitligheten (Trochim, 2006). Begreppet bygger på att insamlad data ses över med perspektiv av forskningens förändrade tillstånd. Forskningen är med andra ord ansvarig för att beskriva de förändringar som möjligen har skett under datainsamlingen och ifall data i så fall har påverkats (Trochim, 2006). Detta för att andra forskare ska kunna få fram samma resultat utifrån samma sorts förutsättningar (Denscombe, 2010). Denna uppsats har förklarat i både metodkapitlet samt bifogat bilagor med den information som har getts ut under datainsamlingen. Detta gör att det går att återfinna inom uppsatsen samma sorts underlag som denna studie har utgått ifrån samt bygger sina slutsatser efter. 32 5.5 Begränsningar I denna rapport var datainsamlingen relativt begränsad på så vis att det enbart var ett fåtal personer som ingick. Det hade kunnat göras lite mer omfattande och därmed skapat ett bredare och mer tillförlitligt resultat. Det hade även varit möjligt att se till andra datainsamlingsmetoder som hade kunnat komplettera alternativt ersätta workshops. Exempelvis hade kompletterade intervjuer kunnat göras med samma respondenter för att följa upp det sammanställda resultatet. Visserligen gjordes liknande avstämningar under processens gång men inte i strukturerad form. Den slutprodukt som denna rapport genererat hade även kunnat testas mot respondenter i workshopform. Detta hade på så vis visat om det är en fungerande produkt och även gett återkoppling för eventuella revideringar. Detta lämnas nu över till Knowit som efter behov får göra denna bedömning. En liknande produkt som denna rapport presenterar, hade även kunnat göras på ett liknande sätt för övrig systemarkitektur och inte bara molntjänster. Att inhandla olika system oavsett moln eller inte så står företag inför vissa risker. Det är en begränsning i denna rapport då den inte täcker in detta. Dock så beror det på att det ligger utanför den omfattning som Knowit ville ha. 5.6 Resultatets relation till tidigare studier I den litteraturstudie som genomfördes märktes det att de finns mycket olika studier inom ämnet informationssäkerhet. Den problematik kring säkerheten med molntjänster bekräftades även, vilket visar på att denna rapport ligger i linje med tiden. Resultatet från denna studie skiljer sig på flertalet sätt mot andra, men bygger samtidigt delvis på tidigare forskning. Riskerna som tagits fram bygger på den litteraturstudie som genomförts och därmed bygger riskerna på tidigare forskning. Dock är riskerna sammansatta av dessa studiers risker, för att de på så vis kan användas i detta sammanhang. Denna sammanställning kan ses i Tabell 3, och det är även det som är en skillnad mot tidigare studier. Sedan har kostnadskomponenterna tagits fram, som i sig inte är unika. Däremot har de i denna rapport en direkt koppling till riskerna, vilket inte har kunnat identifieras hos andra rapporter. Detta skulle då innebära den stora skillnaden från denna rapport mot andra och gör den unik i sitt slag. Även de komponenter och de risker som andra studier presenterar, har ingen direkt koppling till molntjänster som i detta arbete. 5.7 Framtida studier Resultatet av denna rapport tar fram allmänna risker som molntjänster kan medföra. Dessa risker kan fungera som underlag för andra studier i framtiden. Då molntjänstemarknaden är relativt ny och outforskad finns det utrymme för vidare forskning inom detta område. Speciellt med tanke på att många företag uttrycker sin orolighet kring säkerheten. Då kan dessa risker användas som underlag eller utvecklas vidare. Antalet respondenter hade även kunnat utökas, och slutprodukten hade även kunnat testas i sin helhet för att se att den fungerar på ett tillfredställande sätt. Detta hade kunnat leda till att stärka validiteten men även överförbarheten. Något som hade varit intressant och som denna rapport kan vara grunden till, är en liknande produkt utan att enbart avgränsa sig till molntjänster. I framtida forskning skulle forskarna kunna utöka omfånget och fokusera på risker och kostnadskomponenter som rör implementation av system generellt. Exempelvis vilka risker som kan tillkomma vid inköpandet av ekonomisystem eller affärssystem, och komponenter kopplade till dessa. Riskerna i detta arbete kanske inte kan användas i sig, men själva idén går att applicera och sedan även kostnadskomponenterna. Det är även en möjlighet att utveckla denna tjänst genom att utöka antalet risker med molntjänster, från de mest allmänna som detta arbete täcker in, till en mer bredare skala. 33 5.8 Etiska och samhälleliga konsekvenser För denna rapports resultat finns det inga direkta konsekvenser av samhällelig eller etisk karaktär. Studiens utförande gjordes i enlighet med vetenskapsrådets etiska principer, där alla deltagande respondenter förblir anonyma och därmed äventyras inte deras integritet. På så vis har denna studie utövat en god forskningsetik utan samhälleliga konsekvenser som anknyts till uppsatsens genomförande. Vidare finns inga negativa aspekter i form av kränkning av yttrandefriheten eller negativ påverkan på miljöaspekter. Däremot har produkten från denna rapport tagits fram med ett syfte att utveckla och främja en god ITsäkerhet, informationssäkerhet och förbättrad kunskap kring molntjänster. Dock är rapportens resultat ingen garanti för att detta uppfylls. 34 6. Slutsats Uppsatsens frågeställning ”Vilka är de mest allmänna riskerna med molntjänster idag och vilka ekonomiska konsekvenser medför dessa?” har ämnat besvara problematiken inom ett område där publicerad forskning till viss del tidigare inte bedrivits. Knowit Secure har länge haft ett behov av denna sorts forskning för att underlätta sina konsulttjänster hos organisationer som haft intentioner på att förflytta sin IT-arkitektur ut till en molntjänst. Den slutsats som kan dras av denna studie är hämtad ur resultatet från litteraturstudien och utförda workshops. Vilket är att en migration till en molntjänst är hotfullt och att det kan förekomma ett flertal ekonomiska konsekvenser om någon av de molntjänsterelaterade riskerna skulle inträffa. De hotfulla riskerna som presenteras är alla de vanligaste och mest framkommande inom litteraturstudien. Detta verifierades även under de anordnade workshops. Kostnadskomponenter som presenteras täcker in allt från en organisations förlust av direkta och indirekta kostnader. För att beräkna och värdesätta dessa risker så krävs det ett specifikt fall för att kunna utvärdera den uppstående påverkan mer detaljerat. Detta var även en av Knowit Secures önskningar gällande just denna produkt då den ska vara applicerbar på alla typer av organisationer och därav krävdes det även en viss form av generaliseringsnivå under den analys som gjorts. Produkten som slutligen överlämnas till Knowit Secure är en sammanställning av denna uppsats resultat och konklusion. I slutliga diskussioner med Knowit Secures ledningsgrupp så har kommentarer gällande vidareutveckling av tjänsten preciserats för att så småningom nå ett fullbordat och användbart tjänsteunderlag mot organisationens kunder. 35 Litteraturförteckning Armbrust, M. et al., 2009. Above the Clouds: A Berkeley View of Cloud Computing. Berkeley: UC Berkeley Reliable Adaptive Distributed Systems Laboratory. Augustson, M. & Sten, V.B., 1999. Outsourcing av IT-tjänster. Stockholm: Industrilitteratur. Babcock, C., 2014. Cloud ROI: Why It´s Still Hard To Measure. [Online] Available at: http://www.informationweek.com/cloud/infrastructure-as-a-service/cloud-roi-why-its-still-hard-tomeasure---/d/d-id/1297746?page_number=3 [Accessed 3 april 2015]. Barnatt, C., 2010. A brief guide to cloud computing: an essential introduction to the next revolutions in computing. London: Robinson publishing. Bednarz, A., 2014. What giant companies WON’T put in the cloud. [Online] Available at: http://www.networkworld.com/article/2691762/cloud-computing/what-giant-companies-won-t-put-in-thecloud.html [Accessed 29 mars 2015]. Berry, T., 2015. What Is a SWOT Analysis? [Online] Available at: http://articles.bplans.com/how-toperform-swot-analysis/ [Accessed 6 april 2015]. Bobo, K., Jackie, K. & Steve, M., 2010. Organizing for Social Change: A Manual for Activists in the 1990s. 4th ed. The Forum Press. Bourne, J., 2013. Cloud increases chance of denial-of-service attacks, report warns. [Online] Available at: http://www.cloudcomputing-news.net/news/2013/jan/29/cloud-increases-chance-denial-serviceattacks-report-warns/ [Accessed 9 april 2015]. Bryman, A., 2002. Samhällsvetenskapliga metoder. 2nd ed. Malmö: Liber. Carlin, S. & Curran, K., 2011. Cloud Computing Security. International Journal of Ambient Computing and Intelligence. CERT, 2015. Insider Threat. [Online] Available at: http://www.cert.org/insider-threat/index.cfm [Accessed 25 april 2015]. CSA, 2013. Alliance, Cloud Security. [Online] Available at: https://cloudsecurityalliance.org/download/the-notorious-nine-cloud-computing-top-threats-in-2013/ [Accessed 6 april 2015]. Datainspektionen, 2015. Molntjänster och personuppgiftslagen. [Online] Available at: http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/molntjanster/ [Accessed 23 april 2015]. Denscombe, M., 2010. The Good Research Guide. 4th ed. Berkshire: Open University Press. Diversity, 2011. CLOUDONOMICS: The Economics of Cloud Computing. [Online] Available at: http://broadcast.rackspace.com/hosting_knowledge/whitepapers/CloudonomicsThe_Economics_of_Cloud_Computing.pdf [Accessed 28 mars 2015]. Edvardsson, T. & Frydlinger, D., 2013. Molntjänster. Juridik, affärer och säkerhet. 1st ed. Norstedts Juridik AB. Enisa, 2009. Cloud Computing; Benefits, risks and recommendations for information security. [Online] Enisa Available at: https://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloudcomputing-risk-assessment/at_download/fullReport [Accessed 2 april 2015]. European Commission, 2012. Advances in Clouds: Research in Future Cloud Computing. [Online] Available at: http://cordis.europa.eu/fp7/ict/ssai/docs/future-cc-2may-finalreport-experts.pdf [Accessed 2 april 2015]. Export, 2015. Eligibility for Self-Certification. [Online] Available at: http://www.export.gov/safeharbor/ [Accessed 23 april 2015]. 36 Forbes, 2015. The Cloud Hits the Mainstream: More than Half of U.S. Businesses Now Use Cloud Computing. [Online] Available at: http://www.forbes.com/sites/reuvencohen/2013/04/16/the-cloud-hitsthe-mainstream-more-than-half-of-u-s-businesses-now-use-cloud-computing/ [Accessed 29 mars 2015]. Franklin, B., 2015. BrainyQuote. [Online] Available at: http://www.brainyquote.com/quotes/quotes/b/benjaminfr385547.html [Accessed 4 maj 2015]. Gartner, 2014. Gartner Identifies the Top 10 Strategic Technology Trends for 2015. [Online] Available at: http://www.gartner.com/newsroom/id/2867917 [Accessed 29 mar 2015]. Gens, F., 2009. New IDC IT Cloud Services Survey: Top Benefits and Challenges. [Online] Available at: http://blogs.idc.com/ie/?p=730 [Accessed 9 april 2015]. Hugos, M.H. & Hulitzky, D., 2010. Business in the cloud: what every business needs to know about cloud computing. 1st ed. Hoboken: Wiley. IDG, 2010. Så fungerar molnet. [Online] Available at: http://techworld.idg.se/2.2524/1.290664/safungerar-molnet [Accessed 16 april 2015]. Jamil, D. & Zaki, H., 2011. Cloud Computing Security. International Journal of Ambient Computing and Intelligence. Jansen, W. & Grance, T., 2011. NIST. [Online] Available at: http://csrc.nist.gov/publications/nistpubs/800-144/SP800-144.pdf [Accessed 25 mars 2015]. Johannesson, P. & Perjons, E., 2012. A Design Primer. 1st ed. Stockholm: CreateSpace Independent Publishing Platform. Keifer, S., 2012. Explaining Platform as a Service. [Online] Available at: https://outsideinmarketing.wordpress.com/2012/01/31/explaining-platform-as-a-service-part-2/ [Accessed 17 april 2015]. Komparena, 2002. En samling kompetenta individer blir inte med automatisk en bra eller effektiv grupp. [Online] Available at: http://www.nada.kth.se/kurser/kth/2D1365/OH/Workshop02.pdf [Accessed 1 maj 2015]. Konsumentverket, 2015. Konsumentverkets författningssamling. [Online] Available at: http://www.konsumentverket.se/Vart-arbete/Lagar-och-regler/Forfattningssamling/ [Accessed 22 april 2015]. Lirkov, I., Margenov, S. & Wasniewski, J., 2013. Large-Scale Scentific Computing. Sozopol, 2013. Springer. Möller, S., 2013. Kursblocket Information Security (SEC). [Online] Available at: http://dsv.su.se/utbildning/alla-utbildningar/magisterprogram/sec-1.112144 [Accessed 7 april 2015]. Malmgren, S., 1998. Personuppgiftslag. [Online] Available at: https://lagen.nu/1998:204 [Accessed 25 april 2015]. Mearian, L., 2013. No, Your data isn´t secure in the cloud. [Online] Available at: http://www.computerworld.com/article/2483552/cloud-security/no--your-data-isn-t-secure-in-thecloud.html [Accessed 30 mars 2015]. Mell, P. & Grance, T., 2011. NIST. [Online] Available at: http://csrc.nist.gov/publications/nistpubs/800145/SP800-145.pdf [Accessed 26 mars 2015]. Melzer, J., 2011. Viktigaste du behöver veta om molntjänster. [Online] Available at: http://www.nyteknik.se/nyheter/it_telekom/allmant/article3351597.ece [Accessed 3 april 2015]. MSB, 2011. Riskanalys. [Online] Available at: https://www.informationssakerhet.se/Global/Metodstöd%20för%20LIS/Riskanalys.pdf [Accessed 3 maj 2015]. 37 Nilsson, M., 2005. Den systematiska litteraturstudien som vetenskapligt fördjupningsarbete i omvårdnad. Stockholm: Ersta Sköndal Högskola - Institutionen för vårdvetenskap. Notisum, 1996. Säkerhetsskyddslag. [Online] Available at: http://www.notisum.se/rnp/sls/lag/19960627.htm [Accessed 20 april 2015]. Oscarson, P., 2001. Informationssäkerhet i verksamheter: begrepp och modeller som stöd för förståelse av informationssäkerhet och dess hantering i verksamheter. Avhandling 51. Linköping: Linköpings Universitet datavetenskap. Otter, C., 2003. Ute och inne i svenskt arbetsliv. Stockholm: Elanders Gotab. Röhne, J., 2008. Lyckas med outsourcing - och behåll din inre frid. [Online] Available at: http://cio.idg.se/2.1782/1.113444 [Accessed 28 mars 2015]. Rouse, M., 2015. What is service-level agreement(SLA)? [Online] Available at: http://searchitchannel.techtarget.com/definition/service-level-agreement [Accessed 8 april 2015]. Russinovich, M., 2014. Public Cloud Security: Surviving in a Hostile Multitenant Environment. [Online] Available at: http://www.itproportal.com/2014/10/16/video-public-cloud-security-surviving-in-a-hostilemultitenant-environment-mark-russinovich/ [Accessed 7 april 2015]. Söderlind, M., 2010. Så fungerar molnet. [Online] Available at: http://cloud.idg.se/2.16150/1.290664/safungerar-molnet#articleComments [Accessed 5 april 2015]. SCB, 2014. Företagens användning av IT 2014. [Online] Available at: http://www.scb.se/Statistik/_Publikationer/NV0116_2014A01_BR_IT02BR1402.pdf [Accessed 29 mars 2015]. Skyme, J., 2008. Inside Knowledge. [Online] Available at: http://www.skyrme.com/kmarticles/kmit2008.pdf [Accessed 27 mars 2015]. Smith, N., 2012. Americans Are Clueless About Clouds. [Online] Available at: http://www.businessnewsdaily.com/3061-cloud-computing-confusion.html [Accessed 3 april 2015]. Sveriges Riksdag, 2008. Patientdatalag. [Online] Available at: http://www.riksdagen.se/sv/DokumentLagar/Lagar/Svenskforfattningssamling/Patientdatalag-2008355_sfs-2008-355/ [Accessed 20 april 2015]. Taylor, K., 2007. Wellnomics Limited. [Online] Available at: http://www.wellnomics.com/assets/Uploads/WorkPace/News/Wellnomics-white-paper-Comparison-ofComputer-Useacross-different-Countries.pdf [Accessed 27 mars 2015]. Trochim, W.M.K., 2006. Qualitative Validity. [Online] Available at: http://www.socialresearchmethods.net/kb/qualval.php [Accessed 10 maj 2015]. Vepuri, H. & Rahman, M., 2011. Implications of Cloud Computing in it organizations. Jönköping: Tekniska Högskolan Jönköping. Vetenskapsrådet, 2002. Forskningsetiska principer inom humanistisk-samhällsvetenskaplig forskning. Stockholm: Vetenskapsrådet. 38 Bilaga 1 – Diskussionsunderlag Diskussionsunderlag för workshop All informations som utelämnas under denna workshop kommer att stadgas i Vetenskapsrådets fyra etiska principer Informationskrav: Alla respondenter är informerade om undersökningens mål och syfte samt vilken roll respondenten har genom att ställa upp som deltagare. Alla personer har i början av workshopen meddelats kring målet och syftet av studien. Konfidentialitetskrav: Alla respondenter garanteras anonymitet i undersökningen och ska inte bli utlämnade på något sätt. Informationen de delger kommer enbart att användas i denna studie. Utifrån detta kommer därför inte några deltagare att bifogas inom denna studie. Samtyckeskrav: Alla respondenter är medvetna om dess rättigheter och att det alltid är helt frivilligt att medverka i studien. De har även fått tydlig information om möjligheten att avbryta sin medverkan när som helst. Detta meddelades personerna innan workshopen startades. Nyttjandekrav: Respondenternas utlämnade information kommer inte att komma i kontakt med någon utanför denna studie. Vi tar ansvar för att hantera materialet och ingen annan kommer komma i kontakt med det. Ingen utelämnad information kommer att kunna spåras efter undersökningen och all information som inte är relevant för studien kommer att raderas. Mål för att strukturera utformningen av workshops • • • • • Alla är ansvariga för resultatet Var kreativ och våga tala Ha en strukturerad konversation i taget där alla får chansen att deltaga Sträva efter konsensus Respektera uppsatta tider Stödfrågor 1. Är dessa risker lämpligt beskrivna för att kunna användas som underlag inom en tjänst? Om nej, vad saknas? 2. Är dessa risker tillräckligt övergripande för att behandla molntjänster som helhet? 3. Vad tänker du på när du hör ordet kostnadskomponent? 4. Vilka konsekvenser ser du ur ett ekonomiskt perspektiv relaterat till denna risk? 5. Kan kostnadskomponenterna specificeras mer utan organisationsspecifika detaljer? Om ja, vilken/vilka skulle kunna utvecklas och hur? 6. Kan kostnadskomponenterna delas upp i mer detaljerade delar eller definieras annorlunda? 7. Finns det fler kostnadskomponenter att ta hänsyn till kontra dessa risker ur ett generellt perspektiv?(Återupprepning) 8. Ser du några andra delar av riskhanteringen inom molntjänster som kan vara av relevans att ha med som underlag per risk? 39 Risker R.1 Förlust av äganderätt Förlust av äganderätt innebär att molntjänsteleverantören gör anspråk på det som produceras inom tjänsten. Detta kan inträffa både under tillhandahållandet av molntjänsten men även när molntjänsteleverantören och molntjänstekunden har brutit avtalet då borttagen data inte behöver vara borttagen fullt ut. Organisationens immateriella rättigheter till det som produceras och är lagrat hos molntjänsteleverantören riskerar att förloras. Anledningen till att denna risk uppstår är genom dålig kartläggning över molntjänsteleverantörens villkor eller okontrollerade uppsatta avtal. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet påverkas. R.2 Försvagad överenskommelse Både tekniska och administrativa aspekter måste ses över vid en migration eller övergång till molntjänster. Med ett traditionellt IT-system så behöver organisationer nästan enbart ta hänsyn till sig själva. Nu måste organisationer forma samt acceptera ett avtal som båda parter är överens om, annars så hotas de båda att bli riskbeträdda vid övergången till en molntjänst. Det kan bland annat fokusera på leveranskravet och konsekvensen ifall molntjänsteleverantören inte lyckas att leverera. Denna risk påverkas av den lilla mängd juridiska restriktioner som finns inom området vilket försvårar en molntjänstekunds relationsuppsättning gentemot en molntjänsteleverantör. Dolda kostnader är en konsekvens som kan tillkomma av detta. Detta är en licensaspekt och består av förborgade avgifter samt kostnader som molntjänsteleverantören kräver av organisationer. Detta kan exempelvis vara vid installation, integration, transaktionsvolymer eller andra anpassningar relaterat till resurserna. Det gäller att se över avtalet emellan och ta reda på kostnadsaspekterna och prissättningen som molntjänsteleverantören använder sig av. Konsekvensen av detta kan leda till att informationssäkerhetsaspekten tillgänglighet påverkas. R.3 Säkerhetskopiering Att använda säkerhetskopiering med molntjänster är en skillnad mot att lagra det med traditionella ITsystem. Genom användningen av molntjänster så erbjuds ett större urval av lagringsmöjligheter. Antingen så låter man molntjänsteleverantören hantera säkerhetskopieringen, annars så gör molntjänstekunden det själv eller så gör båda aktörerna detta. Den utökade risken med säkerhetskopiering inom molntjänster är att det finns ännu fler platser där data finns lagrad och att tillgängligheten kan påverkas då det inte går att nå säkerhetskopieringen genom den minskade kontrollen organisationen har vid lagrandet hos molntjänsteleverantören. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet och tillgänglighet påverkas. R.4 Tredjepartsleverantör Tredjepartsleverantörer kan ha etablerade avtal med molntjänsteleverantören som inte är känt för molntjänstekunden för att det krävs olika kompetenser att upprätthålla en molntjänst. Molntjänstekunden är därmed ovetandes om dessa direktiv och kan inte med säkerhet upprätthålla att lagar, regler och intern säkerhet följs. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet påverkas. 40 R.5 Administrativ nyetablering Genom att många molntjänsteleverantörer är nystartade affärsverksamheter inom etablerade företag eller finansierade genom riskkapital så finns det en risk för att molntjänsteleverantören väljer att upphöra med tjänsten eller inte kan fortsätta leverera av förklarliga skäl. Det är rimligt att förvänta sig att det kommer att ske en viss utslagning av dessa verksamheter. Det är även troligt att det kommer ske konsolideringar och försäljningar av molntjänster och detta påverkas av de bristande juridiska restriktioner som finns inom branschen. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet och tillgänglighet påverkas. R.6 Elakartad infiltratör Ur ett säkerhetsperspektiv så kan molntjänstekunderna riskera att drabbas på något negativt sätt av obehöriga som arbetar, är kontrakterade eller har någon annan form av koppling till den tillhandahållna molntjänsten. CERTs definition av en elakartad infiltratör “A malicious insider threat to an organization is a current or former employee, contractor, or other business partner who has or had authorized access to an organization's network, system, or data and intentionally exceeded or misused that access in a manner that negatively affected the confidentiality, integrity, or availability of the organization's information or information systems.” (CERT, 2015). Konsekvensen av detta kan leda till informationssäkerhetsaspekterna tillgänglighet, konfidentialitet och riktighet påverkas. R.7 Naturkatastrof Geografiska platser kan ha dåliga förutsättningar för att en molntjänsteleverantör ska tillhandahålla sin molntjänst. Det som skiljer sig i denna risk jämfört mot ett traditionellt IT-system är att organisationen inte har någon kontroll över om det har gjorts riskanalyser angående naturkatastrofer, med en annan formulering, minskad kontroll. Det gäller därför att ha information över vart den fysiska infrastrukturen är placerad och hur det ser ut där data skyddas och kontrolleras. Naturkatastrofer handlar inte enbart om jordbävningar som många förknippar det med, utan även översvämningar är en relativt vanlig naturkatastrof med en vanligare uppkomst på flera ställen. Konsekvensen av detta kan leda till att informationssäkerhetsaspekten tillgänglighet påverkas. R.8 Krypteringsproblem Ett vanligt och standardiserat sätt att skydda data på är genom kryptering. Ett av problemen som uppstår med molntjänster och kryptering är att det finns en till lokalitet att lagra krypteringsnyckeln på. Molntjänsteleverantören är i behov av att kunna utföra eventuella säkerhetskontroller och felhantering vilket gör att molntjänsteleverantören behöver tillgång till nyckeln. Bortsett från detta så kvarstår redan tidigare risker med kryptering eller andra former av skydd så som datamaskering eller tokenization. Konsekvensen av detta leder till att informationssäkerhetsaspekterna tillgänglighet, riktighet och konfidentialitet påverkas. R.9 Fysiskt minskad kontroll Fysiskt minskad kontroll innebär att all fysisk utrustning finns utanför en organisations väggar. Det gäller att molntjänsteleverantörens säkerhet på den fysiska platsen är intakt för att skydda hårdvaran mot obehöriga. En molntjänsteleverantör måste kunna erbjuda fysisk säkerhet, vilket kan vara i form av kameror, stängsel och andra förebyggande åtgärder för att skydda molntjänstekunden från obehöriga. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna tillgänglighet, riktighet och konfidentialitet påverkas. 41 R.10 Organisatorisk förändring Genom att använda sig av en molntjänst så tillkommer det även nya sätt för en organisation att arbeta på. Organisationer kan få det svårare att hantera sin löpande verksamhet om den ligger utanför den egna kontrollen och policyuppsättningar, administrativa alternativ samt organisationsmål och arbetsprocesser kan påverkas negativt. Administrativa risker kan påverka de tekniska riskerna. Den mänskliga faktorn kommer att få en helt ny innebörd inom molntjänster då organisationen och dess medarbetare måste vara medvetna om att små misstag kan få förödande konsekvenser. Tydliga informella administrativa mål, perspektiv och effektiviseringsåtgärder behöver studeras för att minska riskerna vid ett införande av en molntjänst. Utifrån detta behöver man sedan titta till vilka interna policys som bör sättas upp för att minska uppstående risker. Gamla policyuppsättningar behöver inte ersättas men nya tillägg och modifieringar krävs för att återfå kontrollen som organisationer har med traditionella IT-system. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet påverkas. R.11 Teknisk nyetablering Molntjänster utvecklar sig snabbt och är ett relativt nytt användningsområde för organisationer. Detta ökar risken för att det ska finnas sårbarheter i den tekniska grundstrukturen. Att säkerställa implementeringen av en molntjänst bör vara ett krav. Sårbarheter kan snabbt utnyttjas av obehöriga som sitter inne med både kunskap och verktyg. API:er, kodningar, krypteringar mm. kan vara sårbara genom en dålig uppbyggnad. Inom traditionella övergångar mellan system så tar oftast implementationer lång tid i jämförelse med molntjänsteimplementationer som går fortare. Detta ökar risken för uppståndelsen av tekniska missar eller fel i konfigurationen. Konsekvensen av detta kan leda till att informationssäkerhetsaspekterna konfidentialitet, riktighet och tillgänglighet påverkas. R.12 Nätverksattack Datatransporten inom molntjänster sker på ett annat sätt i jämförelse mot ett traditionellt IT-system. I och med användningen av en molntjänst så finns det mycket mer data i rörelse i den kontinuerliga transporten genom att mer data hämtas och sänds från en extern part än slutet inom organisationen. Worldwide Infrastructure Security Report visar på att nätverksattacksformen DOS-attack är en ökad risk inom molntjänster (Bourne, 2013). Det finns även fler former av nätverksattacker som kan inträffa. Just beroende på att systemet alltid är tillgängligt genom en ständig uppkoppling till Internet eller att molntjänster möjliggör mobilitet. Rapporten indikerar även på att 94 % av undersökningens datacenter har rapporterat säkerhetsbristande nätverksattacker. Detta ökar risken för att avlyssningar och andra former av nätverksattacker ska inträffa. Konsekvensen av detta leder till att informationssäkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet påverkas. R.13 Delade resurser Den stora anledningen till att en molntjänsts skalbarhet och ekonomiska fördelar är möjlig är genom en delad infrastruktur, plattform och applikation. Det homogena systemet med en delad CPU, firmware/microcode, hypervisor, webbserver, API mm. är dock en sårbarhet. Om det finns någon mindre sårbarhet i något av dessa fragment så kan hela molntjänsten påverkas. Lyckas en obehörig att ta sig in i systemet så kan hela molntjänsten infekterats och det bildas en risk som rör alla organisationer som använder sig av molntjänsten. Detta gör att molntjänster med delade resurser blir ett ”rich target” för obehöriga då det finns mer data att nå. Konsekvensen av detta kan leda till att 42 informationssäkerhetsaspekterna tillgänglighet, konfidentialitet och riktighet påverkas. R.14 Inlåsning Idag finns det inte mycket standarder, metoder eller verktyg för att hantera och stödja migration av data till, emellan eller från en molntjänsteleverantör. Detta resulterar i att organisationer kan stöta på problem vid skiftande av molntjänsteleverantör eller återgång till ett traditionellt IT-system. Portabiliteten är alltså en riskfaktor som riskerar att påverkas negativt genom molntjänster. Migrationen av data kan hindras av tekniska låsningar. Inlåsningen kan även gälla de tekniska standarder, regelverk eller interna skräddarsydda uppbyggnader som molntjänsteleverantören kräver att organisationen utformar sin infrastruktur ifrån. Konsekvensen av detta kan leda till att informationssäkerhetsaspekten tillgänglighet påverkas. R.15 Economical denial of service, EDOS EDOS-attack är en annan form av DoS-attack och specificerad inom molntjänstesammanhang. Attackens syfte är att skala upp och använda eller utnyttja resurser i molnet hos en organisation. Exempelvis om en molntjänstekund betalar för en http-request så kan en sådan DOS-attack göra effekt. Eller att en infiltratör använder sig av en organisations molntjänst för eget bruk. Detta påverkar molntjänstekundens kostnader och säkerhet negativt. Konsekvensen av detta leder till att informationssäkerhetsaspekten tillgänglighet påverkas. R.16 Elakartad mjukvara En vanlig risk som även finns för traditionella IT-system. Risken handlar om programvaror som kan skada organisationen. Inom molntjänster så sker transporten av data oftast genom webbläsare och annan form av fjärrkommunikationsmjukvara som riskerar att vara försvagade. Det går inte riktigt att undkomma sårbarheten då det är nödvändigt för organisationer att använda sig av dessa externa programvaror för att få hela molntjänsteinfrastrukturens helhet att fungera. Notera även att molntjänster ger de anställda möjlighet att utnyttja tjänster som inte är sanktionerade av organisationen. Det är därför viktigt att ha generella regler för hur tjänster får användas och vilka tjänster som är kontrollerade och godkända av företaget. Konsekvensen av detta leder till att informationssäkerhetsaspekterna konfidentialitet, tillgänglighet och riktighet påverkas. R.17 Fel val av molntjänsteleverantör Själva anskaffandet av en molntjänst är det absolut viktigaste valet vid en övergång till molntjänsteleverantören. Det just i detta val som en organisation behöver ha full kontroll på konsekvensen av migrationen. En organisation kan tänka på att en implementering av ett traditionellt ITsystem tar mycket längre tid. Organisationer bör istället lägga all denna tid på att studera molntjänsteleverantören och implementera, då implementationen för molntjänster går fort. 43 Bilaga 2 – Slutprodukt Riskområde: Avtalsrelaterade risker Risk R.1 Förlust av äganderätt Förlust av äganderätt innebär att molntjänsteleverantören gör anspråk på det som produceras inom tjänsten. Detta kan inträffa både under tillhandahållandet av molntjänsten men även när molntjänsteleverantören och molntjänstekunden har brutit avtalet då borttagen data inte behöver vara borttagen fullt ut. Organisationens immateriella rättigheter till det som produceras och är lagrat hos molntjänsteleverantören riskerar att förloras. Anledningen till att denna risk uppstår är genom dålig kartläggning över molntjänsteleverantörens villkor eller okontrollerade uppsatta avtal. Inledande instruktioner för Template Denna tjänst är ett hjälpmedel för företag att få en illustration av de kostnader en molntjänst kan innebära om de presenterade riskerna nedan inträffar. Följande kommer att fungera som en workshop där riskområdet är en indikation på vilken kompetens som är lämplig att tillgå för den berörda organisationen. Knowit Secure AB kommer steg för steg att gå igenom detta häfte för att föra en diskussion som förhoppningsvis leder till en viss klarhet inom molntjänsters säkerhet och visa på de kostnader som kan uppstå utöver det man som företag tjänar på att införskaffa en sådan tjänst. Diskussionen kommer utgå från det specifika fallet, det vill säga er som företag. För varje risk kommer diskussionen leda till att en riskanalysmatris kan fyllas i efter hur just risken kan kopplas till er i den situationen ni befinner er i, för att sedan se vilken risk som är kritisk. För varje sida i detta dokument ingår följande; ! Riskområde:, Förklarar, vilken, kompetens, som, är, lämplig, att, tillgå, för, att, förebygga,risken, ! Risk:,Förklaring,till,risken,och,dess,innebörd, ! Påverkad, informationssäkerhetsaspekt:, Visar, vilken, aspekt, som, kan, påverkas, negativt, ! Kostnadskomponenter:,De,kostnadskomponenter,som,risken,kan,innebära,följt, av, en, bokstav, per, risk., P, =, Primär, S, =, Sekundär., Betäckningen, visar, på, de, komponenter,som,primärt,relaterar,till,risken., ! Kommentarer:,Här,antecknas,det,väsentliga,från,de,diskussioner,som,förs,per, risk.,Viktigt,är,att,analysera,hur,varje,risk,relaterar,till,det,specifika,fallet,,hur,ni, som,företag,kan,påverkas,av,risken., ! Riskanalysmatris:,Slutligen,efter,diskussion,ska,en,matris,fyllas,i,där,en,av,nio, rutor,ska,kryssas,i.,Detta,avgörs,genom,att,se,till,sannolikheten,att,denna,risk, inträffar, i, ert, fall,, samt, den, konsekvens, detta, skulle, innebära, för, er, som, företag.,Skalorna,är,”Låg”,,”Medel”,och,”Hög”.,Detta,kommer,ge,en,indikation, på,hur,allvarlig,denna,risk,och,dess,ekonomiska,konsekvenser,är,för,er., Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet ✔ ✔ Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer 2 P S S S P S S Riskområde: Avtalsrelaterade risker Riskområde: Administrationsrelaterade risker Risk R.2 Försvagad överenskommelse Risk R.3 Säkerhetskopiering Att använda säkerhetskopiering med molntjänster är en skillnad mot att lagra det med traditionella IT-system. Genom användningen av molntjänster så erbjuds ett större urval av lagringsmöjligheter. Antingen så låter man molntjänsteleverantören hantera säkerhetskopieringen, annars så gör molntjänstekunden det själv eller så gör båda aktörerna detta. Den utökade risken med säkerhetskopiering inom molntjänster är att det finns ännu fler platser där data finns lagrad och att tillgängligheten kan påverkas då det inte går att nå säkerhetskopieringen genom den minskade kontrollen organisationen har vid lagrandet hos molntjänsteleverantören. Både tekniska och administrativa aspekter måste ses över vid en migration eller övergång till molntjänster. Med ett traditionellt IT-system så behöver organisationer nästan enbart ta hänsyn till sig själva. Nu måste organisationer forma samt acceptera ett avtal som båda parter är överens om, annars så hotas de båda att bli riskbeträdda vid övergången till en molntjänst. Det kan bland annat fokusera på leveranskravet och konsekvensen ifall molntjänsteleverantören inte lyckas att leverera. Denna risk påverkas av den lilla mängd juridiska restriktioner som finns inom området vilket försvårar en molntjänstekunds relationsuppsättning gentemot en molntjänsteleverantör. Dolda kostnader är en konsekvens som kan tillkomma av detta. Detta är en licensaspekt och består av förborgade avgifter samt kostnader som molntjänsteleverantören kräver av organisationer. Detta kan exempelvis vara vid installation, integration, transaktionsvolymer eller andra anpassningar relaterat till resurserna. Det gäller att se över avtalet emellan och ta reda på kostnadsaspekterna och prissättningen som molntjänsteleverantören använder sig av. Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader S P S P S S S Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet ✔ Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer Kommentarer 3 S S S S S P S Riskområde: Administrationsrelaterade risker Riskområde: Administrationsrelaterade risker Risk R.4 Elakartad infiltratör Ur ett säkerhetsperspektiv så kan molntjänstekunderna riskera att drabbas på något negativt sätt av obehöriga som arbetar, är kontrakterade eller har någon annan form av koppling till den tillhandahållna molntjänsten. CERTs definition av en elakartad infiltratör “A malicious insider threat to an organization is a current or former employee, contractor, or other business partner who has or had authorized access to an organization's network, system, or data and intentionally exceeded or misused that access in a manner that negatively affected the confidentiality, integrity, or availability of the organization's information or information systems.”. Risk R.5 Administrativ nyetablering Genom att många molntjänsteleverantörer är nystartade affärsverksamheter inom etablerade företag eller finansierade genom riskkapital så finns det en risk för att molntjänsteleverantören väljer att upphöra med tjänsten eller inte kan fortsätta leverera av förklarliga skäl. Tredjepartsleverantörer kan ha etablerade avtal med molntjänsteleverantören som inte är känt för molntjänstekunden för att det krävs olika kompetenser att upprätthålla en molntjänst. Molntjänstekunden är där med ovetandes om dessa direktiv och kan inte med säkerhet upprätthålla att lagar, regler och intern säkerhet följs. Det är rimligt att förvänta sig att det kommer att ske en viss utslagning av dessa verksamheter. Det är även troligt att det kommer ske konsolideringar och försäljningar av molntjänster och detta påverkas av de bristande juridiska restriktioner som finns inom branschen. Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet ✔ ✔ Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer P S S P S P S Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet Tillgänglighet Spårbarhet ✔ ✔ Kostnadskomponenter K.1 Förlorade intäkter P K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta P K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning P K.6 Återställningskostnader P K.7 Goodwill/omätbara kostnader Kommentarer 4 S S S Riskområde: Administrationsrelaterade risker Riskområde: Administrationsrelaterade risker Risk R.6 Naturkatastrof Geografiska platser kan ha dåliga förutsättningar för att en molntjänsteleverantör ska tillhandahålla sin molntjänst. Det som skiljer sig i denna risk jämfört mot ett traditionellt IT-system är att organisationen inte har någon kontroll över om det har gjorts riskanalyser angående naturkatastrofer, med en annan formulering, minskad kontroll. Det gäller därför att ha information över vart den fysiska infrastrukturen är placerad och hur det ser ut där data skyddas och kontrolleras. Naturkatastrofer handlar inte enbart om jordbävningar som många förknippar det med, utan även översvämningar är en relativt vanlig naturkatastrof med en vanligare uppkomst på flera ställen. Risk R.7 Krypteringsproblem Ett vanligt och standardiserat sätt att skydda data på är genom kryptering. Ett av problemen som uppstår med molntjänster och kryptering är att det finns en till lokalitet att lagra krypteringsnyckeln på. Molntjänsteleverantören är i behov av att kunna utföra eventuella säkerhetskontroller och felhanteringar vilket gör att molntjänsteleverantören behöver tillgång till nyckeln. Bortsett från detta så kvarstår redan tidigare risker med kryptering eller andra former av skydd så som datamaskering eller tokenization. Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader P S S S S S S Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet ✔ ✔ Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer Kommentarer 5 S S S S S P P Riskområde: Administrationsrelaterade risker Riskområde: Administrationsrelaterade risker Risk R.8 Fysiskt minskad kontroll Fysiskt minskad kontroll innebär att all fysisk utrustning finns utanför en organisations väggar. Det gäller att molntjänsteleverantörens säkerhet på den fysiska platsen är intakt för att skydda hårdvaran mot obehöriga. En molntjänsteleverantör måste kunna erbjuda fysisk säkerhet, vilket kan vara i form av kameror, stängsel och andra förebyggande åtgärder för att skydda molntjänstekunden från obehöriga. Risk R.9 Organisatorisk förändring Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet ✔ ✔ Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer P P S S S S S Genom att använda sig av en molntjänst så tillkommer det även nya sätt för en organisation att arbeta på. Organisationer kan få det svårare att hantera sin löpande verksamhet om den ligger utanför den egna kontrollen och policyuppsättningar, administrativa alternativ samt organisationsmål och arbetsprocesser kan påverkas negativt. Administrativa risker kan påverka de tekniska riskerna. Den mänskliga faktorn kommer att få en helt ny innebörd inom molntjänster då organisationen och dess medarbetare måste vara medvetna om att små misstag kan få förödande konsekvenser. Tydliga informella administrativa mål, perspektiv och effektiviseringsåtgärder behöver studeras för att minska riskerna vid ett införande av en molntjänst. Utifrån detta behöver man sedan titta till vilka interna policys som bör sättas upp för att minska uppstående risker. Gamla policyuppsättningar behöver inte ersättas men nya tillägg och modifieringar krävs för att återfå kontrollen som organisationer har med traditionella IT-system. Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet ✔ ✔ Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer 6 S P S P S P S Riskområde: Teknikrelaterade risker Riskområde: Teknikrelaterade risker Risk R.10 Teknisk nyetablering Molntjänster utvecklar sig snabbt och är ett relativt nytt användningsområde för organisationer. Detta ökar risken för att det ska finnas sårbarheter i den tekniska grundstrukturen. Att säkerhetsställa implementeringen av en molntjänst bör vara ett krav. Sårbarheter kan snabbt utnyttjas av obehöriga som sitter inne med både kunskap och verktyg. API:er, kodningar, krypteringar mm. kan vara sårbara genom en dålig uppbyggnad. Inom traditionella övergångar mellan system så kan en implementation ta lång tid jämförelse med nu där organisationer kan implementera en molntjänst på dagar, veckor eller månader, så ökar risken för uppståndelsen av tekniska missar eller konfigureringsfel. Risk R.11 Nätverksattack Datatransporten inom molntjänster sker på ett annat sätt i jämförelse mot ett traditionellt IT-system. I och med användningen av en molntjänst så finns det mycket mer data i rörelse i den kontinuerliga transporten genom att mer data hämtas och sänds från en extern part än slutet inom organisationen. Worldwide Infrastructure Security Report visar på att nätverksattacken DOS-attack är en ökad risk inom molntjänster. Just beroende på att det alltid är tillgängligt genom en ständig uppkoppling till Internet eller att molntjänster oftast erbjuder auktoritet via mobilitet. Rapporten indikerar även på att 94 % av undersökningens datacenter har rapporterat säkerhetsbristande attacker. Detta ökar risken för att avlyssningar och andra former av nätverksattacker ska inträffa. Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet ✔ ✔ Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet ✔ ✔ Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer P S S S S P P Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer 7 P P S S S P P Riskområde: Teknikrelaterade risker Riskområde: Teknikrelaterade risker Risk R.12 Delade resurser Den stora anledningen till att en molntjänsts skalbarhet och ekonomiska fördelar är möjlig är genom en delad infrastruktur, plattform och applikation. Det homogena systemet med en delad CPU, firmware/microcode, hypervisor, webbserver, API mm. är dock en sårbarhet. Om det finns någon mindre sårbarhet i någon av dessa fragment så kan hela molntjänsten påverkas. Lyckas en obehörig att ta sig in i systemet så kan hela molntjänsten infekterats och det bildas en risk som rör alla organisationer som använder sig av molntjänsten. Detta gör att molntjänster med delade resurser blir ett ”rich target” för obehöriga då det finns mer data att nå. Risk R.13 Inlåsning Idag finns det inte mycket standarder, metoder eller verktyg för att hantera och stödja migration av data till, emellan eller från en molntjänsteleverantör. Detta resulterar i att organisationer kan stöta på problem vid skiftande av molntjänsteleverantör eller återgång till ett traditionellt IT-system. Portabiliteten är alltså en riskfaktor som riskerar att påverkas negativt genom molntjänster. Migrationen av data kan hindras av tekniska låsningar. Inlåsningen kan även gälla de tekniska standarder, regelverk eller interna skräddarsydda uppbyggnader som molntjänsteleverantören kräver att organisationen utformar sin infrastruktur ifrån. Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet ✔ ✔ Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer S P S S S P P Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer 8 S P S P S P S Riskområde: Teknikrelaterade risker Riskområde: Teknikrelaterade risker Risk R.14 Economical denial of service, EDOS EDOS-attack är en annan form av DoS-attack och specificerad inom molntjänstesammanhang. Attackens syfte är att skala upp och använda eller utnyttja resurser i molnet hos en organisation. Exempelvis om en molntjänstekund betalar för en http-request så kan en sådan DOS-attack göra effekt. Eller att en infiltratör använder sig av en organisations molntjänst för eget bruk. Detta påverkar molntjänstekundens kostnader och säkerhet negativt. Risk R.15 Elakartad mjukvara En vanlig risk som även finns för traditionella IT-system. Risken handlar om programvaror som kan skada organisationen. Inom molntjänster så sker transporten av data oftast genom webbläsare och annan form av fjärrkommunikationsmjukvara som riskerar att vara försvagade. Det går inte riktigt att undkomma sårbarheten då det är nödvändigt för organisationer att använda sig av dessa externa programvaror för att få hela molntjänsteinfrastrukturens helhet att fungera. Notera även att molntjänster ger de anställda möjlighet att utnyttja tjänster som inte är sanktionerade av organisationen. Det är därför viktigt att ha generella regler för hur tjänster får användas och vilka tjänster som är kontrollerade och godkända av företaget. Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet Tillgänglighet Spårbarhet ✔ Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer Påverkad informationssäkerhetsaspekt Konfidentialitet Riktighet ✔ ✔ P P P S S P S Tillgänglighet ✔ Spårbarhet Kostnadskomponenter K.1 Förlorade intäkter K.2 Ökade kostnader för produkt/tjänst K.3 Kreditkostnad/Ränta K.4 Kostnader som istället kunde läggas på fördelar/Alternativ kostnader K.5 Kostnader kopplat till regelbrott, skadestånd och författning K.6 Återställningskostnader K.7 Goodwill/omätbara kostnader Kommentarer 9 P P S P P P S
© Copyright 2024