skiss över dataflöden i teori och praktik

Doktorandprojekt: Hur man säkerställer dataflödesorienterade miljöer med flera leverantörer genom IKT-styrning och systemtänkande

Detta doktorandprojekt består av två delar: En pågående licentiatavhandling som beskriver problemen med IT-säkerhet med aktuell praxis för IKT-styrning, samt en framtida doktorsavhandling med fokus på lösningar.

Illustration av Lars Magnusson: Komplexiteten hos dataflöden ökar säkerhetsriskerna. Informationslogistik som den uppfattas jämfört med i verkligheten av cirka 15 organisationer.
Vänstra delen: Dataflödet som det uppfattas av ledningen.
Högra delen: Ett typiskt dataflöde ur verkligheten.

Fakta om projektet

Doktorand
Lars Magnusson
Handledare
Anita Mirijamdotter, Patrik Elm och Sarfraz Iqbal, Linnéuniversitetet
Deltagande organisationer
Linnéuniversitetet och den nationella forskarskolan Management och IT
Projektstart
Febr 2018
Ämne
Informatik (Institutionen för informatik, Fakulteten för teknik)

Mer om projektet

Idag är allt sårbart för databrott. Vi har all teknologi som behövs, men använder den fel eller inte alls. Om en organisation säger att den är säker, är den förmodligen redan hackad. Vi behöver mer moderna och verksamhetstäckande styrmetoder för att möta den snabba tillväxten av IT-brott. Vi behöver tänka smart och med hjälp av korrigerande systemmetoder som placerar teknik på rätt plats, i rätt tid och i rätt sammanhang.

Idag ställs IKT-styrning ännu en gång inför konsekvensen av att IT betraktas som ett avdelningsintresse och inte ett övergripande, organisatoriskt intresse. Det är en utveckling som främst drivs av affärsansvariga på avdelnings- eller sektornivå som behöver snabbare omställning till nya IT-funktioner än vad som finns tillgängligt hos den centrala IKT-organisationen. Chefer kontrakterar ofta från fall till fall specialiserade molntjänster som står utanför en ofta trög, nedärvd, intern IKT-strategi.

Lägg därtill den uppgraderade sekretessförordningen från EU som trädde i kraft 25 maj 2018, den allmänna dataskyddsförordningen (General Data Protection Regulation; GDPR). Denna förordning begränsar rätten att samla in och behandla personuppgifter och ger den registrerade alla rättigheter till hans/hennes data, oberoende av var och av vem dessa uppgifter samlas in. Det handlar om lagar som tvingar verksamheter som samlar in och behandlar data att ha total kontroll över all data som behandlas.

Detta inkluderar en detaljerad förståelse för dataflöden – inklusive vem som gjorde vad, var och när, och under vems ansvar – och hur data transporteras och lagras. Nu krävs flödeskartor för data/information som del av den obligatoriska systemdokumentationen för alla system, inklusive sådana som är utlagda i form av exempelvis molntjänster. Som ett resultat av detta kommer varje organisationsförändring, om man inte använder sig av modernare modeller för styrning, att kräva kostsamma och tidskrävande utvecklingsinsatser, speciellt för att anpassa nedärvda strategier till dagens situation.

För många organisationer innebär detta också en ökad risk, eftersom data idag är sammanlänkade och omvandlas på alla nivåer. Sedan 2010 har en allt ökande IT-brottslighet stulit cirka 7 miljarder personuppgifter, varav de flesta varit fullständiga kreditkortsuppgifter. Det amerikanska kreditgranskningsföretaget Equifax förlorade 135 miljoner dataposter under 2016–17, vilket har ställt företaget vid konkursens rand, och det finns fler exempel. Ponemon Institute har rapporterat att över 87 % av alla granskade organisationer har haft dataintrång. FBI säger "Om ni inte har blivit hackade ännu, kommer ni snart att bli det". Flera undersökningar har visat att majoriteten av de hackade organisationerna kunde ha motverkat intrången genom att använda välkända och systematiska "så gör man bäst"-metoder. Frågan är, varför gör man inte det?

Detta forskningsprojekt består av två delar. En pågående licentiatavhandling som beskriver frågorna med aktuell styrningspraxis, Current Enterprise IT Governance Effects on Information Security, samt en framtida, lösningsorienterad doktorsavhandling, Secure Data Flow Oriented Multi-Vendor ICT Governance Model. En stor del i båda är användningen av systemtänkande, främst Stafford Beers Viable System Model och de nya teorierna om informationslogistik som presenterades omkring år 2010 av forskare som Sandkuhl och Haftor & Kajtazi. Bakgrunden är att idag pratar alla system direkt eller indirekt med alla andra system, ofta på sätt som ledningen inte förstår, samtidigt som säkerhetsrisken ökar exponentiellt. Sakernas internet (Internet of Things) och artificiell intelligens är två områden som beräknas öka existerande dataflöden med cirka 5 000 % mellan 2018 och 2024. Att inte ha ett systematiskt tillvägagångssätt för att hantera datan kommer att sätta all denna information på spel.

Projektet är en del av forskningen i forskargruppen Linnaeus University Systems Community.