Tietoturvattavien kohteiden hallinta operatiivisen johtamisen näkökulmasta

Abstract

Turvaamista tarvitsevia osa-alueita ja kohteita organisaatioissa on yleensä runsaasti ja ne sijaitsevat eri puolilla ja eri tasoilla organisaatiota. Vastaavasti myös vastuutahoja on useita – ja nekin eri puolilla ja eri tasoilla organisaatiota. Ellei turvattavaa omaisuutta ja muita kohteita tunnisteta, myös niihin liittyvät vastuut ja tarvittavat tietoturvatoimenpiteet ovat vaarassa jäädä epämääräisiksi ja sattumanvaraisiksi.

Valitussa tutkimustehtävässä tutkimusongelma rakentuu siitä, ettei tietoturvallisuuden hallinnan kannalta merkittävistä turvattavista kohteista ja niiden hallinnasta ole vakiintunutta käsitystä eikä turvattavien kohteiden hallinnasta löydy käytännöllistä kuvausta eikä työkalua. Tutkimuksen pääkysymyksenä on: Miten tietoturvallisuuden kannalta keskeisiä kohteita hallitaan? Pääkysymyksen ratkaisemiseksi tarvittavia apukysymyksiä tutkimuksessa ovat: Mitä tietoturvattavat kohteet ovat? Mitä tietoturvattavien kohteiden hallinta on?

Työn tarkoituksena on tuottaa malli, jota käyttämällä voidaan parantaa ja yhdenmukaistaa tietoturvattavien kohteiden hallintakäytäntöjä osana normaalin toiminnan ja samalla tietoturvallisuuden johtamista ja hallintaa. Tarkoituksen toteuttamiseksi analysoidaan keskeiset lähteet, täsmennetään käsitteet sekä kehitetään malli tietoturvattavien kohteiden hallintaan. Valmisteltavaa mallia ja annettavia suosituksia noudattamalla organisaatioissa voidaan parantaa todellista tietoturvatilannetta viemällä teoria työnläheiseksi käytännöksi, joka tavoittaa myös operatiivisesta toiminnasta vastaavat esimiehet.

Tutkimuksen teoreettisen taustan muodostamiseen sisältyy lähtötilanteen viitekehyksen määrittely käsitteineen sekä kohteiden ja omaisuuden hallinnan selvittäminen turvallisuuskontekstissa. Tästä jatketaan kohteiden ja omaisuuden hallinnan tarkasteluun turvallisuuskontekstin ulkopuolella ja selvittämällä kytkentämahdollisuudet organisaation johtamiseen ja toimintajärjestelmiin.

Tutkimus on toteutettu soveltavana tutkimushankkeena suunnittelutieteeseen kuuluvaa konstruktiivista tutkimusmetodia käyttämällä. Asteittaisten analysointi- ja kehittämisvaiheiden jälkeen on päädytty uuteen konstruktioon. Keskeiset esitettävät tulokset ovat uusi tietoturvattavien kohteiden hallinnan viitekehys ja käsitteistö, kohteiden hallinnan kytkentä normaaliin johtamis- ja toimintajärjestelmään sekä tietoturvallisuuden johtamis- ja hallintajärjestelmään, tietoturvattavien kohteiden hallinnan menettelytapakuvaus sekä tietoturvattavien kohteiden hallintaan käytettävän työkalun kuvaus. Myös tietoturva-alan peruskäsitteet (mm. tietoturvallisuus) ovat kriittisessä tarkastelussa ja niistä esitetään uudet perustellut määritelmät.

Information security asset management within the context of operative management

Usually there are plenty of assets needing protection in organizations. Those miscellaneous assets can reside in different places and levels. Accordingly the responsible ones can be found on many organizational levels and structures. If important assets are left unidentified, it is obvious that responsibilities relating to those assets will also be unclear and coincidental.

The main research problem in this study is based on the perception that there is neither integrated understanding of security critical assets, nor their management. There is also lack of practical procedures and tools. The main question in this thesis is how security critical assets should be managed. The supportive questions to be answered are: what are critical assets and what does asset management mean?

The purpose of this study is to produce a method to improve and integrate information security related asset management as part of an organization’s operative management and information security management. To serve this goal the main informational sources will be analyzed, terms specified, and an asset management model developed. By using the new concept it is possible to look forward to improve the information security level where the theory becomes practice in the operative management.

The theoretical background in this thesis consists of preliminary specifications and terminology, and asset management study in the security context. This is broadened by studying the asset management models in a non-security context and ascertaining the possibilities to integrate with management and operational systems.

This study belongs to applied science and was conducted with a constructive research method resulting in a new construction. The main outcomes from the defined development phases are a new concept for information security asset management, specified terminology, and integration both with the operative management system and the information security management system. These include a documented procedure, or process description, and a tool to information security asset management. Also the terminological base (e.g. information security) is under a critical study, resulting in new definitions.