Tietoturvallisuus opiskelijajärjestöissä
Partamies, Maiju (2017)
Metropolia Ammattikorkeakoulu
2017
All rights reserved
Julkaisun pysyvä osoite on
http://urn.fi/URN:NBN:fi:amk-201705117773
http://urn.fi/URN:NBN:fi:amk-201705117773
Tiivistelmä
Tietoturvallisuuden huomioonottaminen ja tietoturvallinen toiminta on tärkeää kaikkien organisaatioiden toiminnassa. Insinöörityön tavoitteena oli toteuttaa tietoturvasuunnitelma Wiipurilaiselle Osakunnalle. Toimeksiantajalla oli tarve toipumissuunnitelmalle, mutta tietoturvallisen toimintamallin puuttuessa päätettiin työn aiheeksi ottaa tietoturvasuunnitelma, johon sisällytettiin toipumissuunnitelma.
Teoreettinen viitekehys perustuu kirjallisuuteen ja Internet-lähteisiin tietoturvallisuudesta yritys- ja järjestötoiminnassa sekä tietoturvadokumenteista ja niiden toteuttamisesta. Työn konteksti koostuu Wiipurilaisesta Osakunnasta järjestönä ja tietoturvallisen toiminnan nykytilasta.
Työ toteutettiin soveltamalla yrityksien tietoturvallisen toiminnan ja dokumentoinnin malleja opiskelijajärjestötoimintaan. Tietoturvasuunnitelman todettiin pohjautuvan riskikartoitukseen ja tietoturvapolitiikkaan, joten ne toteutettiin ennen tietoturvasuunnitelmaa. Työssä hyödynnettiin myös järjestöjen tietoturvaan liittyvää teoriaa jäsenrekistereistä.
Suurimmiksi tietoturvapuutteiksi todettiin jäsenrekisterin ylläpito, käyttäjätilien kirjautumistietojen säilytys ja epätietoisuus käytettyjen ulkopuolisten palveluiden tietoturvapoikkeuksista. Tärkeänä ja riskejä pienentävänä tekijänä koettiin myös järjestön toimijoiden perehdytys virkailijoiden vaihtuessa vuosittain.
Lopputuloksena tuotettiin tietoturvasuunnitelma, jossa kuvataan tietoturvan nykytilaa tietoturvan osa-alueittain ja ohjeistetaan jokapäiväisessä toiminnassa. Tietoturvasuunnitelma sisältää myös tiedot, miten tietoturvallista toimintaa voidaan kehittää, ja toimet, jotka ovat suunnitteilla toteuttaa tulevaisuudessa. Dokumentin lopussa on toipumissuunnitelma, joka ohjeistaa, miten toimia eri riskien realisoituessa.
Työ toteutettiin onnistuneesti saavuttamalla asetetut tavoitteet. Työn haasteina olivat toteutuksen rajaus ja aikataulu, mutta hyödyllinen dokumentti saatiin toteutettua toimeksiantajan tarpeisiin lopulta ajallaan.
Teoreettinen viitekehys perustuu kirjallisuuteen ja Internet-lähteisiin tietoturvallisuudesta yritys- ja järjestötoiminnassa sekä tietoturvadokumenteista ja niiden toteuttamisesta. Työn konteksti koostuu Wiipurilaisesta Osakunnasta järjestönä ja tietoturvallisen toiminnan nykytilasta.
Työ toteutettiin soveltamalla yrityksien tietoturvallisen toiminnan ja dokumentoinnin malleja opiskelijajärjestötoimintaan. Tietoturvasuunnitelman todettiin pohjautuvan riskikartoitukseen ja tietoturvapolitiikkaan, joten ne toteutettiin ennen tietoturvasuunnitelmaa. Työssä hyödynnettiin myös järjestöjen tietoturvaan liittyvää teoriaa jäsenrekistereistä.
Suurimmiksi tietoturvapuutteiksi todettiin jäsenrekisterin ylläpito, käyttäjätilien kirjautumistietojen säilytys ja epätietoisuus käytettyjen ulkopuolisten palveluiden tietoturvapoikkeuksista. Tärkeänä ja riskejä pienentävänä tekijänä koettiin myös järjestön toimijoiden perehdytys virkailijoiden vaihtuessa vuosittain.
Lopputuloksena tuotettiin tietoturvasuunnitelma, jossa kuvataan tietoturvan nykytilaa tietoturvan osa-alueittain ja ohjeistetaan jokapäiväisessä toiminnassa. Tietoturvasuunnitelma sisältää myös tiedot, miten tietoturvallista toimintaa voidaan kehittää, ja toimet, jotka ovat suunnitteilla toteuttaa tulevaisuudessa. Dokumentin lopussa on toipumissuunnitelma, joka ohjeistaa, miten toimia eri riskien realisoituessa.
Työ toteutettiin onnistuneesti saavuttamalla asetetut tavoitteet. Työn haasteina olivat toteutuksen rajaus ja aikataulu, mutta hyödyllinen dokumentti saatiin toteutettua toimeksiantajan tarpeisiin lopulta ajallaan.