Strategian merkitys tietoturvan johtamisessa
Heinonen, Henri (2020)
Heinonen, Henri
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020060417173
https://urn.fi/URN:NBN:fi:amk-2020060417173
Tiivistelmä
Tutkimuksen tavoitteena oli selvittää strategian merkitystä tietoturvan johtamisessa suomalaisessa yritysmaailmassa. Taustana oli tutkimuksen tekijän oma mielenkiinto kyberturvallisuutta kohtaan sekä tarve muodostaa kokonaiskuva tilanteesta tukemaan omien työtehtävien kehittämistä.
Tutkimuksen toteuttamistavaksi valittiin teemahaastattelu. Teemahaastattelu valikoitui toteutustavaksi, koska laadullisella tutkimusmetodilla on mahdollista saavuttaa ennakko-oletuksiin sitoutumatonta tietoa. Teemahaastatteluista saadun laadullisen aineiston pohjalta on mahdollista tehdä jatkopäätelmiä, joiden perusteella voidaan tehdä monipuolisia ja kehittämiseen tähtääviä johtopäätöksiä. Teemahaastattelujen teemat pohjautuivat tutkimuksen aikana kerättyyn teoreettiseen viitekehykseen ja niiden pohjalta pyrittiin selvittämään sekä tietoturvallisuuden strategisen johtamisen ilmentymiä että organisaatioille merkityksellisen strategian osatekijöitä.
Tutkimuksen tulokset osoittivat, että strategian merkitys tietoturvan johtamisessa vaihtelee organisaatioittain. Tuloksista voitiin päätellä, että useimmissa organisaatioissa kuitenkin huomioitiin teoreettisesta viitekehyksestä löytyviä tietoturvallisuuden strategisen johtamisen teemoja ainakin jollakin tasolla. Ei kuitenkaan aina tavoitteellisesti tai tiedostaen.
Yritysten tulisi kiinnittää enemmän huomiota tietoturvallisuuden strategiseen johtamiseen eri viitekehysten antamien suositusten mukaisesti. Yritysten tietoturvan taso liittyy vahvasti myös kansalliseen kyberturvallisuuteen, jolloin organisaatioiden kyky tunnistaa muutoksia sisäisessä ja ulkoisessa toimintaympäristössä sekä kyky reagoida näihin muutoksiin vaikuttaa myös kansallisen kyberturvallisuuden tasoon.
Tutkimuksen toteuttamistavaksi valittiin teemahaastattelu. Teemahaastattelu valikoitui toteutustavaksi, koska laadullisella tutkimusmetodilla on mahdollista saavuttaa ennakko-oletuksiin sitoutumatonta tietoa. Teemahaastatteluista saadun laadullisen aineiston pohjalta on mahdollista tehdä jatkopäätelmiä, joiden perusteella voidaan tehdä monipuolisia ja kehittämiseen tähtääviä johtopäätöksiä. Teemahaastattelujen teemat pohjautuivat tutkimuksen aikana kerättyyn teoreettiseen viitekehykseen ja niiden pohjalta pyrittiin selvittämään sekä tietoturvallisuuden strategisen johtamisen ilmentymiä että organisaatioille merkityksellisen strategian osatekijöitä.
Tutkimuksen tulokset osoittivat, että strategian merkitys tietoturvan johtamisessa vaihtelee organisaatioittain. Tuloksista voitiin päätellä, että useimmissa organisaatioissa kuitenkin huomioitiin teoreettisesta viitekehyksestä löytyviä tietoturvallisuuden strategisen johtamisen teemoja ainakin jollakin tasolla. Ei kuitenkaan aina tavoitteellisesti tai tiedostaen.
Yritysten tulisi kiinnittää enemmän huomiota tietoturvallisuuden strategiseen johtamiseen eri viitekehysten antamien suositusten mukaisesti. Yritysten tietoturvan taso liittyy vahvasti myös kansalliseen kyberturvallisuuteen, jolloin organisaatioiden kyky tunnistaa muutoksia sisäisessä ja ulkoisessa toimintaympäristössä sekä kyky reagoida näihin muutoksiin vaikuttaa myös kansallisen kyberturvallisuuden tasoon.