Tietoturvallisuuden häiriönhallinta pienissä yrityksissä
Tolvanen, Saku (2016)
Tolvanen, Saku
Metropolia Ammattikorkeakoulu
2016
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201605127588
https://urn.fi/URN:NBN:fi:amk-201605127588
Tiivistelmä
Insinöörityössä selvitettiin tietoturvallisuuden häiriönhallinnan toteuttamista pienissä yrityksissä ja organisaatioissa. Tietoturvallisuuden häiriöiden yleistyminen ja tarve suomenkieliselle ohjeistukselle niiden selvittämiseksi oli havaittu omien työtehtävien ja häiriöiden lisääntyneen julkisuuden kautta. Työtä voi käyttää häiriöiden hoitamiseen ja niihin varautumiseen.
Työssä selvitettiin miksi tietoturvallisuuden häiriönhallintaa pitää tehdä, miten tekemiseen varaudutaan ja miten sitä tulee tehdä. Työ tehtiin tutustumalla saatavilla oleviin materiaaleihin ja muokkaamalla niistä ja käytännön kokemuksista asian ymmärtämistä helpottavia esimerkkejä ja ohjeita. Työssä ohjattiin yritystä tutustumaan tiettyihin lähdemateriaaleihin, jotta yritykselle tulisivat tutuiksi häiriönhallinnanperuskäsitteet ohjeet.
Häiriönhallintaa koskevaa lainsäädäntöä käytiin läpi esimerkein ja lainsäädännön aiheuttamien vaatimusten kautta. Samoin muistutettiin muista yritystä koskevista vaatimuksista,
kuten Internet-yhteyden sopimusehtojen vaatimuksista. Yrityksen toiminnan kehittämiselle annettiin työkaluja tietoturvallisuuden osalta ja selvitettiin miten tietoturvallisuuden häiriönhallintaa ylläpidetään.
Työn aihealueeseen liittyvään materiaaliin ja kirjoittajan työkokemuksen perusteella todettiin, että yrityksen liiketoiminnan jatkuvuuden kannalta merkittävimmät asiat ovat yrityksen tärkeiden tietojen ja omaisuuden tunnistaminen, liiketoiminnan jatkuvuuden kannalta tärkeiden tietojen riittävän kattava varmuuskopiointi ja ihmisten tietoturvatietoisuuden parantaminen. Liiketoiminnan jatkuvuuden kannalta merkittävien kohteiden lisäksi selvitettiin sitä, mihin muuhun yrityksen kannattaa keskittää tietoturvallisuuden häiriönhallinnan kehitystoimet.
Ylläpidossa korostettiin henkilöiden kouluttamista ja ympäristön muutoshallintaa.
Yritykset tulevat kokemaan tietoturvallisuuden häiriöitä, ja niistä toivutaan valmistautumalla tilanteisiin etukäteen ja turvaamalla kriittisen omaisuuden tietoturvallisuus. Yrityksien tehtäväksi jätettiin yksityiskohtaisemman ja omiin ympäristöihin soveltuvan toteutuksen miettiminen. Toteutuksessa tulee huomioida sopivien käytäntöjen ja järjestelmien luominen häiriöiden havaitsemiseen, reagoimiseen, palautumiseen ja kehittämiseen.
Työssä selvitettiin miksi tietoturvallisuuden häiriönhallintaa pitää tehdä, miten tekemiseen varaudutaan ja miten sitä tulee tehdä. Työ tehtiin tutustumalla saatavilla oleviin materiaaleihin ja muokkaamalla niistä ja käytännön kokemuksista asian ymmärtämistä helpottavia esimerkkejä ja ohjeita. Työssä ohjattiin yritystä tutustumaan tiettyihin lähdemateriaaleihin, jotta yritykselle tulisivat tutuiksi häiriönhallinnanperuskäsitteet ohjeet.
Häiriönhallintaa koskevaa lainsäädäntöä käytiin läpi esimerkein ja lainsäädännön aiheuttamien vaatimusten kautta. Samoin muistutettiin muista yritystä koskevista vaatimuksista,
kuten Internet-yhteyden sopimusehtojen vaatimuksista. Yrityksen toiminnan kehittämiselle annettiin työkaluja tietoturvallisuuden osalta ja selvitettiin miten tietoturvallisuuden häiriönhallintaa ylläpidetään.
Työn aihealueeseen liittyvään materiaaliin ja kirjoittajan työkokemuksen perusteella todettiin, että yrityksen liiketoiminnan jatkuvuuden kannalta merkittävimmät asiat ovat yrityksen tärkeiden tietojen ja omaisuuden tunnistaminen, liiketoiminnan jatkuvuuden kannalta tärkeiden tietojen riittävän kattava varmuuskopiointi ja ihmisten tietoturvatietoisuuden parantaminen. Liiketoiminnan jatkuvuuden kannalta merkittävien kohteiden lisäksi selvitettiin sitä, mihin muuhun yrityksen kannattaa keskittää tietoturvallisuuden häiriönhallinnan kehitystoimet.
Ylläpidossa korostettiin henkilöiden kouluttamista ja ympäristön muutoshallintaa.
Yritykset tulevat kokemaan tietoturvallisuuden häiriöitä, ja niistä toivutaan valmistautumalla tilanteisiin etukäteen ja turvaamalla kriittisen omaisuuden tietoturvallisuus. Yrityksien tehtäväksi jätettiin yksityiskohtaisemman ja omiin ympäristöihin soveltuvan toteutuksen miettiminen. Toteutuksessa tulee huomioida sopivien käytäntöjen ja järjestelmien luominen häiriöiden havaitsemiseen, reagoimiseen, palautumiseen ja kehittämiseen.