Yrityksen prosessien tietoturvariskien hallintamalli
Reid, Anne-Maarit (2010)
Laurea-ammattikorkeakoulu
2010
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201005118847
https://urn.fi/URN:NBN:fi:amk-201005118847
Tiivistelmä
Tämän suunnittelutieteellisen tutkimuksen tarkoituksena on suunnitella, rakentaa ja arvioida tietoturvariskien hallintamalli kohdeyrityksen eri prosesseille. Tutkimuksen tuloksena saadaan yritykselle tietoturvariskien hallintamalli, jossa näkökulmana on liiketoiminta ja sen luomat vaatimukset prosessin tietoturvan tasolle. Hallintamallia käyttämällä voi prosessin omistaja omatoimisesti arvioida prosessiin liittyviä uhkakuvia ja päättää käytettävistä turvamekanismeista. Viitekehyksenä hallintamallissa on käytetty soveltaen ISO 27001 ja 17799 standardeja. Kansainvälisesti hyväksyttyjä standardeja käyttämällä voidaan todistaa yrityksen eri prosessien sidosryhmille tietoturvan tason vastaavan niitä vaatimuksia, joita standardissa esitetään. Tutkimuksessa haluttiin myös testata kuinka hyvin ISO standardien käyttö soveltui pienen organisaation tietoturvariskien hallintamallin suunnitteluun ja luontiin.
Tietoturvallisuus on ennen kaikkea yrityksen johdon asia ja se tulisikin olla mukana, kun suunnitellaan liiketoimintastrategioita. Yhä enemmän tulevaisuudessa esitetään yrityksien yhteistyökumppanien, esimerkiksi viranomaisten tai vakuutusyhtiöiden tahoilta, vaatimuksia prosessien tietoturvan suhteen. Silloin hyvin hoidettu prosessien riskienhallinta korostuu kilpailtaessa markkinoilla muiden toimijoiden kanssa. Johdon sitoutuminen tietoturvallisuuteen alkaa yrityksen tietoturvapolitiikan luonnilla, jolla luodaan perusta organisaation tietoturvan hallintajärjestelmälle. Prosessikartat ja –kuvaukset, sekä vastuiden selkeä jako, antavat hyvän pohjan riskianalyysin tekemiselle ja valvontatavoitteiden määrittämiselle. Tietoturvariskien arvioinnissa tulisi arvioida erityisesti liiketoiminnan jatkuvuuden kannalta kriittisiä uhkakuvia ja niiden toteutumisen todennäköisyyttä.
Tutkimuksessa luotua tietoturvariskien hallintamallia testattiin kohdeyrityksen pää- ja tukiprosesseihin. Tutkimustuloksissa todettiin, että tietoturvariskien hallinnalle oli selkeä tilaus organisaatiossa. Jo testausvaiheessa huomattiin tietoturvan osalta useita puutteita testauksen kohteena olevissa prosesseissa. Hallintamallia tullaan käyttämään organisaatiossa jatkossa prosessikuvausten laadinnassa ja uusia hankintoja suunniteltaessa. Prosessien omistajat koulutetaan hallintamallin käyttöön ja jatkokehitysehdotuksena tullaan yrityksen eri prosesseille laatimaan sekä toipumis- että jatkuvuussuunnitelmat. Kohdeorganisaation tietoturvatyön tavoitteena on sitouttaa koko yrityksen henkilöstö tietoturvariskien hallintaan omassa työssään.
Tietoturvallisuus on ennen kaikkea yrityksen johdon asia ja se tulisikin olla mukana, kun suunnitellaan liiketoimintastrategioita. Yhä enemmän tulevaisuudessa esitetään yrityksien yhteistyökumppanien, esimerkiksi viranomaisten tai vakuutusyhtiöiden tahoilta, vaatimuksia prosessien tietoturvan suhteen. Silloin hyvin hoidettu prosessien riskienhallinta korostuu kilpailtaessa markkinoilla muiden toimijoiden kanssa. Johdon sitoutuminen tietoturvallisuuteen alkaa yrityksen tietoturvapolitiikan luonnilla, jolla luodaan perusta organisaation tietoturvan hallintajärjestelmälle. Prosessikartat ja –kuvaukset, sekä vastuiden selkeä jako, antavat hyvän pohjan riskianalyysin tekemiselle ja valvontatavoitteiden määrittämiselle. Tietoturvariskien arvioinnissa tulisi arvioida erityisesti liiketoiminnan jatkuvuuden kannalta kriittisiä uhkakuvia ja niiden toteutumisen todennäköisyyttä.
Tutkimuksessa luotua tietoturvariskien hallintamallia testattiin kohdeyrityksen pää- ja tukiprosesseihin. Tutkimustuloksissa todettiin, että tietoturvariskien hallinnalle oli selkeä tilaus organisaatiossa. Jo testausvaiheessa huomattiin tietoturvan osalta useita puutteita testauksen kohteena olevissa prosesseissa. Hallintamallia tullaan käyttämään organisaatiossa jatkossa prosessikuvausten laadinnassa ja uusia hankintoja suunniteltaessa. Prosessien omistajat koulutetaan hallintamallin käyttöön ja jatkokehitysehdotuksena tullaan yrityksen eri prosesseille laatimaan sekä toipumis- että jatkuvuussuunnitelmat. Kohdeorganisaation tietoturvatyön tavoitteena on sitouttaa koko yrityksen henkilöstö tietoturvariskien hallintaan omassa työssään.