Implementing Information Security Management System as a part of business processes : Where to gain competitive advantage for ISMS?

Abstract

The Idea and background to the study subject lies in the interest in security, leadership and organizational development. The research question was how to provide best practices to fit these all together in harmony. The objective was to help small and medium sized organizations to understand the multifaceted nature of cybersecurity and requirements for successful implementation of information security management system (ISMS). ISMS help companies to form the needed security structures in practice.

The thesis was implemented using qualitative action research methodologies. The research data was collected during several years’ timeframe from literature, mainly in fields of management, military sciences, information security and behavioural science.

As a result, a practical approach on what should be considered while implementing security management system was formed. The aim for this is to help companies to form strong security structure within their company. The central idea behind this is how the presented frameworks could be used to form better communication and cohesion between individuals and groups in an organization and how this could help the target audience to achieve better organizational performance.

The conclusion made from the research was that an Information Security Management System (ISMS) should be taken into consideration while forming company’s processes. Even though OODA loop itself was not found the most suitable solution for longer term planning cycles as such, the adaptation of OODA loop and Cynefin framework are recommended and they have been found appropriate to support leadership in constantly evolving, emerging situations.

Innoitus ja tausta tutkia aihetta ovat tekijän kiinnostuksessa turvallisuuteen, johtajuuteen ja organisaation kehittämiseen. Tutkimuskysymys oli, kuinka sovittaa edellä mainittujen kokonaisuuksien parhaat käytännöt sopusointuisesti yhteen.

Tarkoituksena on auttaa pieniä ja keskisuuria yrityksiä ymmärtämään kyberturvallisuuden monitahoista luonnetta sekä vaatimuksia tietoturvallisuuden hallintajärjestelmän menestykselliselle kehittämiselle. Hallintajärjestelmä mahdollistaa turvallisuusrakenteiden muodostamisen yritykseen onnistuneesti.

Toteutus tehtiin käyttäen kvalitatiivisia toimintatutkimuksen menetelmiä. Tutkimusaineisto kerättiin usean vuoden aikana kirjallisuudesta, pääosin johtamisen, sotilastieteiden, tietoturvallisuuden ja käyttäytymistieteiden aloilta. Tuloksena muodostui käytännönläheinen näkemys siitä, mitä tulee ottaa huomioon toteutettaessa tietoturvallisuuden hallintajärjestelmää. Keskeinen päämäärä tutkimuksessa on tuoda julki, kuinka esitetyt viitekehitysmallit voivat auttaa yhteisöä ymmärtämään ilmiötä, kommunikoimaan paremmin sekä luomaan viestinnällä yhtenäisyyttä eri organisaatioryhmien ja asiakkaiden välille. Paremmin ymmärretty viestintä mahdollistaa yritystä saavuttamaan paremman suoritustason ja vakuuttaa asiakkaat osaamisesta.

Tutkimuksen päätelmänä on, että tietoturvallisuuden hallintajärjestelmä (ISMS) tulee ottaa huomioon, kun yrityksen prosesseja muodostetaan. Vaikka OODA-silmukan sellaisenaan ei havaittu olevan kaikkein sopivin ratkaisu suunnitteluun, OODA-silmukan ja Cynefin-kehysmallin omaksumista suositellaan ja ne nähtiin sopivina tukemaan johtajuutta jatkuvasti kehittyvissä, orastavissa tilanteissa.