Viestintäviraston ja tietoturvallisuuden arviointilaitosten yhteistoiminnan kehittämissuunnitelma
Allonen, Janne (2017)
Allonen, Janne
Laurea-ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2017112818516
https://urn.fi/URN:NBN:fi:amk-2017112818516
Tiivistelmä
Yhteiskuntamme digitalisoituu yhä nopeammin ja verkkoon kytkettyjä laitteita on ennustettu olevan kymmeniä miljardeja lähivuosina. Uusi teknologia, uudet innovaatiot ja palveluiden sähköistyminen luovat kybermarkkinoille uusia mahdollisuuksia. Samaan aikaan kyberrikollisuus on myös voimakkaassa nousussa ja asettaa yhteiskuntamme kriittisimmätkin toimijat alttiiksi erilaisille uhille ja häiriöille.
Yritysten osalta, niin julkisella- kuin yksityissektorillakin, Viestintävirastolla on suuri rooli yritysturvallisuuden parantamisessa. Viestintäviraston tehtävä on tarjota varmaa ja vaivatonta viestintää Suomessa. Viestintäviraston tehtävänä on myös ohjata ja valvoa tietoturvallisuuden arviointilaitoksia. Tietoturvallisuuden arviointilaitokset tarjoavat viranomaisille ja yrityksille luotettavaa ja puolueetonta tietoturvallisuuden arviointipalvelua. Tietojärjestelmätarkastukset ovat suuri osa tästä kokonaisuudesta.
Yhteistoiminta Viestintäviraston ja tietoturvallisuuden arviointilaitoksen välillä on varsin nuorta, eikä hyväksi todettuja menetelmiä ole muodostunut. Tämän kvalitatiivisen ja toiminnallisen opinnäytetyön tutkimuksen tuloksena syntyi kehittämissuunnitelma yhteistoiminnan parantamiseksi organisaatioiden välillä.
Opinnäytetyön tietoperusta pohjautuu pääsääntöisesti julkisiin asiakirjoihin, asia koskevaan lainsäädäntöön, Viestintäviraston laatimaan ohjeeseen tietoturvallisuuden arviointilaitoksille sekä Viestintäviraston määräyksiin ja muuhun ohjeistukseen. Opinnäytetyön tiedonkeruu suoritettiin sisällönanalyysin ja puolistrukturoidun teemahaastattelun avulla. Sisällönanalyysi kohdistui arviointilaitostoimintaan liittyvään dokumentaatioon eli raportteihin, todistuksiin ja lausuntoihin. Tutkimusta varten haastateltiin Viestintäviraston ja tietoturvallisuuden arviointilaitosten asiantuntijoita.
Opinnäytetyön tutkimuksen avulla voidaan todeta, että yhteistoiminta Viestintäviraston ja tietoturvallisuuden arviointilaitosten välillä ei ole vielä tällä hetkellä riittävän hyvällä tasolla. Yhteistoiminnan kehittäminen vaatii prosessien selkeyttämistä, koulutuksen lisäämistä, dokumentaation yhtenäistämistä, tapaamisten säännöllistämistä, valvonnan järkevöittämistä ja lisäresursoinnin tarpeellisuuden pohtimista. Tulosten analysointi suoritettiin itsenäisesti laatijan toimesta.
Opinnäytetyön pyrkimys oli lisätä laadukasta yhteistyötä Viestintäviraston ja tietoturvallisuuden arviointilaitosten välillä. Tämä tavoite myös saavutettiin. Tutkimus on tarpeellinen ja hyödyllinen kaikkien osapuolten näkökulmasta. Kehittämissuunnitelma esitellään yritysten johdolle ja jalkautetaan opinnäytetyöstä erillisenä prosessina Viestintävirastolle ja tietoturvallisuuden arviointilaitoksille opinnäytetyön valmistuttua.
Valtioneuvoston tuore selvitys Suomen kyberturvallisuuden nykytilasta kuvaa elintärkeiden toimintojen ja huoltovarmuuskriittisten yritysten kyberuhilta suojautumiskyvyn riittämättömänä ja häiriötilanteiden resilienssin heikkona. Tämä osoittaa tutkimuksen reliabiliteettia ja validiteettia sekä avaa myös mahdollisuuden jatkotutkimukselle näiden asioiden ympärillä.
Asiasanat: Kehittämissuunnitelma, Kyberturvallisuus, Tietoturvallisuuden arviointilaitos, Tietojärjestelmätarkastus, Viestintävirasto
Yritysten osalta, niin julkisella- kuin yksityissektorillakin, Viestintävirastolla on suuri rooli yritysturvallisuuden parantamisessa. Viestintäviraston tehtävä on tarjota varmaa ja vaivatonta viestintää Suomessa. Viestintäviraston tehtävänä on myös ohjata ja valvoa tietoturvallisuuden arviointilaitoksia. Tietoturvallisuuden arviointilaitokset tarjoavat viranomaisille ja yrityksille luotettavaa ja puolueetonta tietoturvallisuuden arviointipalvelua. Tietojärjestelmätarkastukset ovat suuri osa tästä kokonaisuudesta.
Yhteistoiminta Viestintäviraston ja tietoturvallisuuden arviointilaitoksen välillä on varsin nuorta, eikä hyväksi todettuja menetelmiä ole muodostunut. Tämän kvalitatiivisen ja toiminnallisen opinnäytetyön tutkimuksen tuloksena syntyi kehittämissuunnitelma yhteistoiminnan parantamiseksi organisaatioiden välillä.
Opinnäytetyön tietoperusta pohjautuu pääsääntöisesti julkisiin asiakirjoihin, asia koskevaan lainsäädäntöön, Viestintäviraston laatimaan ohjeeseen tietoturvallisuuden arviointilaitoksille sekä Viestintäviraston määräyksiin ja muuhun ohjeistukseen. Opinnäytetyön tiedonkeruu suoritettiin sisällönanalyysin ja puolistrukturoidun teemahaastattelun avulla. Sisällönanalyysi kohdistui arviointilaitostoimintaan liittyvään dokumentaatioon eli raportteihin, todistuksiin ja lausuntoihin. Tutkimusta varten haastateltiin Viestintäviraston ja tietoturvallisuuden arviointilaitosten asiantuntijoita.
Opinnäytetyön tutkimuksen avulla voidaan todeta, että yhteistoiminta Viestintäviraston ja tietoturvallisuuden arviointilaitosten välillä ei ole vielä tällä hetkellä riittävän hyvällä tasolla. Yhteistoiminnan kehittäminen vaatii prosessien selkeyttämistä, koulutuksen lisäämistä, dokumentaation yhtenäistämistä, tapaamisten säännöllistämistä, valvonnan järkevöittämistä ja lisäresursoinnin tarpeellisuuden pohtimista. Tulosten analysointi suoritettiin itsenäisesti laatijan toimesta.
Opinnäytetyön pyrkimys oli lisätä laadukasta yhteistyötä Viestintäviraston ja tietoturvallisuuden arviointilaitosten välillä. Tämä tavoite myös saavutettiin. Tutkimus on tarpeellinen ja hyödyllinen kaikkien osapuolten näkökulmasta. Kehittämissuunnitelma esitellään yritysten johdolle ja jalkautetaan opinnäytetyöstä erillisenä prosessina Viestintävirastolle ja tietoturvallisuuden arviointilaitoksille opinnäytetyön valmistuttua.
Valtioneuvoston tuore selvitys Suomen kyberturvallisuuden nykytilasta kuvaa elintärkeiden toimintojen ja huoltovarmuuskriittisten yritysten kyberuhilta suojautumiskyvyn riittämättömänä ja häiriötilanteiden resilienssin heikkona. Tämä osoittaa tutkimuksen reliabiliteettia ja validiteettia sekä avaa myös mahdollisuuden jatkotutkimukselle näiden asioiden ympärillä.
Asiasanat: Kehittämissuunnitelma, Kyberturvallisuus, Tietoturvallisuuden arviointilaitos, Tietojärjestelmätarkastus, Viestintävirasto