Eduix Oy:n tietoturvariskianalyysi
Pyylampi, Taru (2018)
Pyylampi, Taru
Tampereen ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201805066695
https://urn.fi/URN:NBN:fi:amk-201805066695
Tiivistelmä
Opinnäytetyönä toteutettiin tietoturvariskianalyysi tietojärjestelmiä ja asiantuntijapalveluita tarjoavalle Eduix Oy:lle. Taustatietoina käytettiin muun muassa ISO/IEC 27001:2013 -standardia, jossa on määritelty vaatimukset informaatioteknologian turvallisuustekniikoille ja tietoturvallisuuden hallintajärjestelmälle. Työn tavoitteena oli kerätä organisaatiossa havaittuja sekä olemassa olevia tietoturvauhkia mahdollisimman laaja-alaisesti sekä täyttää ISO/IEC 27001:2013 -standardin vaatimukset tietoturvariskien arvioinnin osalta. Työssä käytettiin pääasiassa kvalitatiivista riskianalyysimenetelmää ja organisaatiossa havaittujen tietoturvauhkien keräämiseen hyödynnettiin henkilöstölle osoitettua tietoturvauhkakyselyä. Kyselyn avulla kartoitettiin myös Eduix Oy:n tämänhetkistä tietoturvatilannetta. Tietoturvauhkakyselyn aikana henkilöstölle esitettiin tietoturvatietoiskuja, minkä tarkoituksena oli parantaa yrityksen työntekijöiden tietoturvatietoisuutta ja näin havaita laajemmin olemassa olevia tietoturvahaavoittuvuuksia.
Tietoturvauhkakyselyn tuloksista ilmeni henkilöstön havaitsemat tietoturvauhat, jotka liittyivät tiedon luottamuksellisuuteen, eheyteen ja saatavuuteen. Kyselyyn vastasi noin puolet Eduix Oy:n henkilöstöstä ja kyselyn tulokset osoittivat tietoturvallisuuden kehityskohteet. Tulokset olivat myös osiltaan yhteneväisiä ISO/IEC 27001:2013 -standardin tietoturvavaatimusten kanssa. Tietoturvatilanteen kartoitus osoitti Eduix Oy:n huolehtivan tietoturvallisuudesta enimmäkseen hyvin, vaikkakin ISO/IEC 27001:2013 -standardin vaatimusten täyttämiseksi on myös lisättävä joitakin tietoturvallisuuden hallintamenetelmiä. Tietoturvatietoiskujen osalta havaittiin Eduix Oy:n henkilöstön kiinnostus tietoturvallisuutta kohtaan ja halu osallistua tietoturvallisuuden hallintajärjestelmän kehittämiseen.
Tietoturvauhkakyselyssä esille tulleet ja yleisesti olemassa olevat tietoturvauhat koottiin tietoturvariskien arviointitaulukkoon ja jokaisen taulukkoon kerätyn tietoturvauhan haavoittuvuudet, todennäköisyys ja vaikutukset Eduix Oy:lle analysoitiin tarkemmin tietoturvariskianalyysissä. Tietoturvariskianalyysissä pohdittiin myös riskiä alentavia hallintatoimenpiteitä ja nämä hallintatoimenpiteet käytännön esimerkkeineen koostettiin erilliseen dokumenttiin. Eduix Oy:n ylimmälle johdolle luovutettiin kooste tietoturvauhkakyselyn tuloksista, tietoturvariskien arviointitaulukko, tietoturvariskianalyysi sekä ehdotelma tietoturvallisuuden hallintatoimenpiteistä ja nämä dokumentit ovat opinnäytetyön salassa pidettäviä liitteitä. Tietoturvariskianalyysin jälkeen tarkoituksena on toteuttaa ehdotetuista hallintatoimenpiteistä soveltuvimmat ja kehittää tietoturvallisuuden hallintajärjestelmää yhdessä eri liiketoimintayksikköjen edustajien kanssa, jotta lopulta Eduix Oy voisi sertifioitua ISO/IEC 27001:2013 -standardia vasten.
Tietoturvauhkakyselyn tuloksista ilmeni henkilöstön havaitsemat tietoturvauhat, jotka liittyivät tiedon luottamuksellisuuteen, eheyteen ja saatavuuteen. Kyselyyn vastasi noin puolet Eduix Oy:n henkilöstöstä ja kyselyn tulokset osoittivat tietoturvallisuuden kehityskohteet. Tulokset olivat myös osiltaan yhteneväisiä ISO/IEC 27001:2013 -standardin tietoturvavaatimusten kanssa. Tietoturvatilanteen kartoitus osoitti Eduix Oy:n huolehtivan tietoturvallisuudesta enimmäkseen hyvin, vaikkakin ISO/IEC 27001:2013 -standardin vaatimusten täyttämiseksi on myös lisättävä joitakin tietoturvallisuuden hallintamenetelmiä. Tietoturvatietoiskujen osalta havaittiin Eduix Oy:n henkilöstön kiinnostus tietoturvallisuutta kohtaan ja halu osallistua tietoturvallisuuden hallintajärjestelmän kehittämiseen.
Tietoturvauhkakyselyssä esille tulleet ja yleisesti olemassa olevat tietoturvauhat koottiin tietoturvariskien arviointitaulukkoon ja jokaisen taulukkoon kerätyn tietoturvauhan haavoittuvuudet, todennäköisyys ja vaikutukset Eduix Oy:lle analysoitiin tarkemmin tietoturvariskianalyysissä. Tietoturvariskianalyysissä pohdittiin myös riskiä alentavia hallintatoimenpiteitä ja nämä hallintatoimenpiteet käytännön esimerkkeineen koostettiin erilliseen dokumenttiin. Eduix Oy:n ylimmälle johdolle luovutettiin kooste tietoturvauhkakyselyn tuloksista, tietoturvariskien arviointitaulukko, tietoturvariskianalyysi sekä ehdotelma tietoturvallisuuden hallintatoimenpiteistä ja nämä dokumentit ovat opinnäytetyön salassa pidettäviä liitteitä. Tietoturvariskianalyysin jälkeen tarkoituksena on toteuttaa ehdotetuista hallintatoimenpiteistä soveltuvimmat ja kehittää tietoturvallisuuden hallintajärjestelmää yhdessä eri liiketoimintayksikköjen edustajien kanssa, jotta lopulta Eduix Oy voisi sertifioitua ISO/IEC 27001:2013 -standardia vasten.