Yrityksen toiminnanohjausjärjestelmän käyttövaltuushallinnan kehittäminen arvon näkökulmasta
Jusufi, Festina (2023)
Jusufi, Festina
2023
Tuotantotalouden DI-ohjelma - Master's Programme in Industrial Engineering and Management
Johtamisen ja talouden tiedekunta - Faculty of Management and Business
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2023-04-04
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202303273218
https://urn.fi/URN:NBN:fi:tuni-202303273218
Tiivistelmä
Toiminnanohjausjärjestelmät ovat tietojärjestelmiä, joilla yritysten eri prosessit ja toiminnot voidaan integroida, ja siten niitä on jo pitkään hyödynnetty toiminnan tukena. Järjestelmissä käsitellään yritysten liiketoimintakriittistä dataa ja informaatiota, ja tästä syystä turvallisuudesta on kehittynyt tärkeä teema toiminnanohjausjärjestelmien parissa, muodostuen myös yhdeksi maailmanlaajuisten organisaatioiden pääongelmaksi. Tästä huolimatta tutkimusta aihepiiristä on huomattavan vähän. Tässä työssä vastataan tähän puutteeseen tarkastelemalla toiminnanohjausjärjestelmän käyttövaltuushallinnan kehittämistä arvon näkökulmasta.
Tutkimuksessa selvitetään, millaista liiketoiminnallista arvoa asiakasyritykset tavoittelevat toiminnanohjausjärjestelmän käyttövaltuushallinnan kehityksellä, mitä tekijöistä asiakasyritykset pitävät projekteissa tärkeinä ja miten palveluntarjoaja voi tukea asiakasta arvon toteutumisen näkökulmasta. Käyttövaltuushallinta itsessään on osa suurempaa turvallisuuden alaa, identiteetin- ja pääsynhallintaa, ja se näkyy käyttäjälle selkeimmin käyttövaltuuksissa, eli mitä käyttäjä pystyy konkreettisesti tekemään järjestelmässä. Käyttäjä tulee tunnistaa ennen järjestelmään pääsyä ja käyttäjällä tulee olla käyttövaltuuksia (eli käyttöoikeuksia) itse järjestelmän sisällä, jotta toimintojen suorittamien järjestelmässä olisi mahdollista. Käyttövaltuushallinta on kuitenkin useimmiten puutteellista toiminnanohjausjärjestelmissä ja tämä edelleen altistaa yrityksiä tieto-turvauhille. Käyttövaltuushallinnan puutteellisuus voi johtaa vakaviin väärinkäytöksiin ja jopa petoksiin, ja tästä syystä se muodostui työn tutkimusongelmaksi.
Työ toteutettiin laadullisena tutkimuksena ja datankeruu suoritettiin puolistrukturoiduilla haastatteluilla ja havainnoinnilla. Haastattelun kohteena oli kolme eri asiakasyritysten edustajaa, joiden yrityksessä oli suoritettu tai suoritettiin parhaillaan käyttövaltuushallinnan kehitystä toiminnanohjausjärjestelmässä. Lisäksi työssä haastateltiin kahta eri konsulttia, jotka toimivat palveluntarjoajalla käyttövaltuushallinnan kehitysprojekteissa asiantuntijoina. Pienen otannan vuoksi työssä myös päädyttiin havainnoimaan neljättä asiakasyritystä, jossa oli työn toteutuksen aikana parhaillaan käynnissä käyttövaltuushallinnan kehitysprojekti. Työssä käytettiin abduktiivista lähestymistapaa, joten aineiston analyysissä hyödynnettiin sekä kirjallisuuskatsauksessa että aineistosta esiin nousevia teemoja.
Tutkimuksen avulla saatiin vahvistusta tutkimusongelman olemassaoloon. Tutkimuksen mukaan toiminnanohjausjärjestelmien turvallisuuden ja käyttövaltuushallinnan ennaltaehkäisevää merkitystä ei usein tunnisteta. Suurin motiivi kehittää käyttövaltuushallintaa on muodostunut asiakkaille IT-tarkastusten havaintojen myötä. Tärkeimmät tavoiteltavat hyödyt käyttövaltuushallinnassa ovat tutkimuksen perusteella roolirakenteiden, hallintamallien ja konseptien ylläpidettävyys sekä helppokäyttöisyys, riskien vähentäminen ja kustannusten pienentäminen. Tuloksissa kuitenkin korostuu tasapaino riittävän suojauksen kustannusten ja hyväksytyn riskitason välillä. Lisäksi työssä tunnistettiin käyttövaltuushallinnan kehityksen merkittävimmäksi uhraukseksi toiminnan ketteryyden menetyksen. Mitä palveluntarjoajan käyttöön ja rooliin projektissa tulee, asiakkaat pitivät tärkeimpänä palveluntarjoajan asiantuntijuutta ja innovatiivisuutta. Lisäksi projekteissa oli tärkeää hyvät projektinhallinnalliset menetelmät ja projektitiimin oikea kokoonpano. Arvon näkökulmasta tutkimuksessa tunnistettiin sekä palveluntarjoajan, että asiakkaan roolin olevan merkittäviä arvon luomisessa ja sen toteutumisessa. Aihealuetta on kuitenkin syytä tutkia lisää myös tulevaisuudessa yleistettävimpien tulosten saamiseksi.
Enterprise Resource Planning (ERP) systems are information systems that can be used to integrate the various processes and functions of companies, and thus they have long been used to support operations. ERP systems deal with business-critical data and information of companies, which is why security has become an important theme in ERP environments, be-coming one of the main problems of global organizations. Despite this, there is remarkably little research on the subject. This work responds to this shortcoming by examining the development of the ERP system's authorization management from the perspective of value.
The aim of the study is to find out what kind of business value companies are trying to achieve through the development of authorization management of the ERP system, what factors the companies consider important in the projects, and how an external service provider can support the customer from the aspect of value realization. Authorization management itself is part of a larger field of security, Identity and Access Management, and it is most clearly visible to the user in access rights, that is, what the user can concretely do in the system. The user must be identified before entering the system and the user must have access rights within the system itself in order to enable the performance of functions in the system. However, authorization management is often deficient in ERP systems, and this further exposes companies to information security threats. The lack of authorization management can lead to serious misconduct and even fraud, and for this reason it is the research problem in this study.
The study was carried out as a qualitative study and the data collection was conducted through semi-structured interviews and observation study. Three representatives of different customer companies were interviewed. The companies are currently developing their authorization management in their ERP system or have had a development project in the past. In addition, two different consultants were interviewed. The consultants work as experts in the service provider's authorization management development projects. Due to the small sampling, observation was also carried out for a company, that was currently running a development project for authorization management during the study. An abductive approach was used in the data analysis; therefore, the analysis themes emerged both from the literature review and the interview and observation data.
The study achieved to confirm the existence of the research problem. The study found that the preventive importance of security and authorization management of ERP systems is rarely recognized. The main motive for developing authorization management has been formed for customers through the findings of IT audits. The main benefits to be gained from authorization management, as identified in the study, are maintainability of role structures, governance models and concepts, ease of use, risk reduction and cost reduction. However, the results highlight the balance between the cost of adequate protection and the level of risk accepted. In addition, the work identified the loss of operational agility as the most significant sacrifice in the development of authorization management. As for the use and role of the service provider in the project, customers considered the expertise and innovativeness of the service provider to be the most important factors. In addition, good project management methods and the correct com-position of the project team were important in the projects. From the perspective of value, the study identified the role of both the service provider and the customer as significant in creating value and its realization. Further research in this area is needed in order to obtain more generalizable results.
Tutkimuksessa selvitetään, millaista liiketoiminnallista arvoa asiakasyritykset tavoittelevat toiminnanohjausjärjestelmän käyttövaltuushallinnan kehityksellä, mitä tekijöistä asiakasyritykset pitävät projekteissa tärkeinä ja miten palveluntarjoaja voi tukea asiakasta arvon toteutumisen näkökulmasta. Käyttövaltuushallinta itsessään on osa suurempaa turvallisuuden alaa, identiteetin- ja pääsynhallintaa, ja se näkyy käyttäjälle selkeimmin käyttövaltuuksissa, eli mitä käyttäjä pystyy konkreettisesti tekemään järjestelmässä. Käyttäjä tulee tunnistaa ennen järjestelmään pääsyä ja käyttäjällä tulee olla käyttövaltuuksia (eli käyttöoikeuksia) itse järjestelmän sisällä, jotta toimintojen suorittamien järjestelmässä olisi mahdollista. Käyttövaltuushallinta on kuitenkin useimmiten puutteellista toiminnanohjausjärjestelmissä ja tämä edelleen altistaa yrityksiä tieto-turvauhille. Käyttövaltuushallinnan puutteellisuus voi johtaa vakaviin väärinkäytöksiin ja jopa petoksiin, ja tästä syystä se muodostui työn tutkimusongelmaksi.
Työ toteutettiin laadullisena tutkimuksena ja datankeruu suoritettiin puolistrukturoiduilla haastatteluilla ja havainnoinnilla. Haastattelun kohteena oli kolme eri asiakasyritysten edustajaa, joiden yrityksessä oli suoritettu tai suoritettiin parhaillaan käyttövaltuushallinnan kehitystä toiminnanohjausjärjestelmässä. Lisäksi työssä haastateltiin kahta eri konsulttia, jotka toimivat palveluntarjoajalla käyttövaltuushallinnan kehitysprojekteissa asiantuntijoina. Pienen otannan vuoksi työssä myös päädyttiin havainnoimaan neljättä asiakasyritystä, jossa oli työn toteutuksen aikana parhaillaan käynnissä käyttövaltuushallinnan kehitysprojekti. Työssä käytettiin abduktiivista lähestymistapaa, joten aineiston analyysissä hyödynnettiin sekä kirjallisuuskatsauksessa että aineistosta esiin nousevia teemoja.
Tutkimuksen avulla saatiin vahvistusta tutkimusongelman olemassaoloon. Tutkimuksen mukaan toiminnanohjausjärjestelmien turvallisuuden ja käyttövaltuushallinnan ennaltaehkäisevää merkitystä ei usein tunnisteta. Suurin motiivi kehittää käyttövaltuushallintaa on muodostunut asiakkaille IT-tarkastusten havaintojen myötä. Tärkeimmät tavoiteltavat hyödyt käyttövaltuushallinnassa ovat tutkimuksen perusteella roolirakenteiden, hallintamallien ja konseptien ylläpidettävyys sekä helppokäyttöisyys, riskien vähentäminen ja kustannusten pienentäminen. Tuloksissa kuitenkin korostuu tasapaino riittävän suojauksen kustannusten ja hyväksytyn riskitason välillä. Lisäksi työssä tunnistettiin käyttövaltuushallinnan kehityksen merkittävimmäksi uhraukseksi toiminnan ketteryyden menetyksen. Mitä palveluntarjoajan käyttöön ja rooliin projektissa tulee, asiakkaat pitivät tärkeimpänä palveluntarjoajan asiantuntijuutta ja innovatiivisuutta. Lisäksi projekteissa oli tärkeää hyvät projektinhallinnalliset menetelmät ja projektitiimin oikea kokoonpano. Arvon näkökulmasta tutkimuksessa tunnistettiin sekä palveluntarjoajan, että asiakkaan roolin olevan merkittäviä arvon luomisessa ja sen toteutumisessa. Aihealuetta on kuitenkin syytä tutkia lisää myös tulevaisuudessa yleistettävimpien tulosten saamiseksi.
Enterprise Resource Planning (ERP) systems are information systems that can be used to integrate the various processes and functions of companies, and thus they have long been used to support operations. ERP systems deal with business-critical data and information of companies, which is why security has become an important theme in ERP environments, be-coming one of the main problems of global organizations. Despite this, there is remarkably little research on the subject. This work responds to this shortcoming by examining the development of the ERP system's authorization management from the perspective of value.
The aim of the study is to find out what kind of business value companies are trying to achieve through the development of authorization management of the ERP system, what factors the companies consider important in the projects, and how an external service provider can support the customer from the aspect of value realization. Authorization management itself is part of a larger field of security, Identity and Access Management, and it is most clearly visible to the user in access rights, that is, what the user can concretely do in the system. The user must be identified before entering the system and the user must have access rights within the system itself in order to enable the performance of functions in the system. However, authorization management is often deficient in ERP systems, and this further exposes companies to information security threats. The lack of authorization management can lead to serious misconduct and even fraud, and for this reason it is the research problem in this study.
The study was carried out as a qualitative study and the data collection was conducted through semi-structured interviews and observation study. Three representatives of different customer companies were interviewed. The companies are currently developing their authorization management in their ERP system or have had a development project in the past. In addition, two different consultants were interviewed. The consultants work as experts in the service provider's authorization management development projects. Due to the small sampling, observation was also carried out for a company, that was currently running a development project for authorization management during the study. An abductive approach was used in the data analysis; therefore, the analysis themes emerged both from the literature review and the interview and observation data.
The study achieved to confirm the existence of the research problem. The study found that the preventive importance of security and authorization management of ERP systems is rarely recognized. The main motive for developing authorization management has been formed for customers through the findings of IT audits. The main benefits to be gained from authorization management, as identified in the study, are maintainability of role structures, governance models and concepts, ease of use, risk reduction and cost reduction. However, the results highlight the balance between the cost of adequate protection and the level of risk accepted. In addition, the work identified the loss of operational agility as the most significant sacrifice in the development of authorization management. As for the use and role of the service provider in the project, customers considered the expertise and innovativeness of the service provider to be the most important factors. In addition, good project management methods and the correct com-position of the project team were important in the projects. From the perspective of value, the study identified the role of both the service provider and the customer as significant in creating value and its realization. Further research in this area is needed in order to obtain more generalizable results.