Kyberturvallisuuden hallintamallin kehittäminen

Abstract

Opinnäytetyön tavoitteena oli selvittää, miten kyberturvallisuutta tulisi hallinnoida organisaatioissa. Opinnäytetyö on kehittämistyö, jossa käytetään tutkimuksellista otetta. Työ etsii ratkaisua tutkimusongelmaan: ”Miten kyberturvallisuutta voidaan hallinnoida, mallintaa ja dokumentoida johdon tasolla?”

Tutkimusongelmaa lähdettiin lähestymään kvalitatiivisen, eli laadullisen tutkimuksen keinoin. Tutkimuskysymys jakautui kolmeen näkökulmaan, hallinnoimiseen, mallintamiseen ja dokumentointiin. Tutkimuskysymykseen vastauksen saamiseksi käytettiin menetelminä kirjallisuuskatsausta, kyselyitä ja haastatteluja. Haastatteluissa oli osallisena neljän eri organisaation kyberturvallisuus-asiantuntijat. Työn tuloksena huomattiin, että kyberturvallisuuden tavoitteet asettaa organisaation ylin johto, niiden toteuttamisesta vastaa tietoturvavastaaja ja käytännön tietoturvatyön hoitaa tietoturvatiimi. Jotta ihmiset saadaan muuttamaan toimintamallejaan kyberturvallisimmiksi, kaivataan osaavaa muutosjohtamista. Keskeistä kyberturvallisuuden johtamisessa on kyberturvallisuuden ohjeistusten ja dokumentaatioiden laatiminen ja näiden toteuttamisen valvominen käytännössä.

Työn kehitystehtävä oli kehittää Arter Oy:lle heidän palveluportfolioonsa kyberturvallisuusmalli. Kyberturvallisuusmalli on kokonaisvaltainen kokemus, jonka tuloksena asiakas saa mallinnettua ja hallinnoitua organisaationsa kyberturvallisuuden riittäväksi katsomallaan tasolla. Palvelussa on otettu kyberturvallisuuteen johtajuuden näkökulma, ja sen kohderyhmä on organisaation tietoturvasta vastaavat henkilöt.

Palvelu alkaa myyntitapahtumasta ja sisältää ARC-ohjelmiston asennuksen, valmiin metamallin kyberturvallisuuden hallinnointiin ja työpajapäiviä konsultin kanssa, joiden aikana rakennetaan pohja asiakkaan kyberturvallisuuden hallintaympäristölle ja opetetaan tämä päivittämään ylläpitämään hallintaympäristöä. Palvelua on alettu tarjoamaan asiakkaille ja sen kysyntä on ollut merkittävää. Kyberturvallisuusmalli on lisäksi laajentanut ARC-ohjelmiston käyttökohteita ja sitä kautta laajentanut ohjelmiston kohderyhmää.

The objective of this thesis was to research how cybersecurity should be managed in organizations. The thesis is a development work utilizing a research approach. The thesis looks for a solution to the research problem "How cybersecurity can be managed, modeled and documented at management level?"

First, the research problem was approached qualitatively. The research question was divided into three subdivisions: management, modeling and documentation. In order to answer the research question, both literature, surveys and interviews were used. The interviews were attended by cyber-security specialists from four different organizations. As a conclusion, cybersecurity goals set top level management in organizations, executed by the information security officer, and a practical information security task is run by an information security team. The key to the management of cybersecurity is making guidelines and documentations and monitoring implementations of them.

The development task of the thesis was to generate cybersecurity model to service portfolio of Arter Oy. The cybersecurity model is a holistic experience that results in customer modeling and managing their organization's cybersecurity at a satisfactory level. The cybersecurity service has taken leadership perspective into cybersecurity and is mainly targeted to responsible people for the organizational information security. The key to the management of cybersecurity is making guidelines and documentations and monitoring of theses implementations.

The service begins with a transaction and includes ARC software installation, ready-made cybersecurity meta model, and workshop days with a consultant. During the workshop days the basement for cybersecurity work is build and customer is taught to use the management environment. Currently the service has been offered to the customers and it has been quite popular. The service has begun to trade to customers and it was quite popular. In addition, cybersecurity service has increased applications of ARC-software and widened the target group of the software.