Tietoturvapolitiikan kehittäminen Sulavalle
Jalava, Janne (2021)
Jalava, Janne
2021
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021052712040
https://urn.fi/URN:NBN:fi:amk-2021052712040
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli kehittää ja toteuttaa Sulavalle julkinen tietoturvapolitiikka. Opinnäytetyö toteutettiin toiminnallisena opinnäytetyönä käyttäen kvalitatiivisia tutkimusmenetelmiä tukemaan toiminnallista osuutta. Yrityksellä oli olemassa olevia valmiita dokumentteja liittyen tietoturvaan ja sen valvontaan, mutta niistä ei oltu koostettu yhtenäistä tietoturvapolitiikkaa. Sulavan toiveena oli saada tietoturvapolitiikasta julkinen versio, jota voidaan käyttää esimerkiksi yrityksen internetsivuilla. Opinnäytetyön tarkoituksena oli tuoda myös esille tietoturvapolitiikan kehittämiseen ja toteuttamiseen vaadittavia asioita sekä tukemaan tietoturvan kehittämisen prosesseja.
Vaikka opinnäytetyön lopullinen tuotos oli rajattu julkiseen tietoturvapolitiikkaan, oli tietoa etsittävä myös koko tietoturvan kehittämiseen. Tietoperustana opinnäytetyössä käytettiin alan kirjallisuutta, standardeja ja tietoturvapolitiikkamalleja. Tietoturvaprosessien toteuttamiseen esitettiin muutamia eri alalla käytettäviä malleja ja viitekehyksiä. Opinnäytetyössä käytettävät kvalitatiiviset menetelmät ovat kirjallisuuskatsaus, asiantuntija sekä benchmarking eli vertailuanalyysi.
Kirjallisuuskatsauksen avulla saatiin kerättyä tietoa, miten tietoturvapolitiikkaa kehitetään ja toteutetaan. Sen avulla saatiin teoriaa myös oikeanlaisten hyväksi havaittujen mallien ja viitekehysten käyttämiseksi. Kirjallisuuskatsauksessa tutkittiin myös ISO/IEC 27001 standardia tietoturvapolitiikan kehittämisen näkökulmasta. Asiantuntijahaastattelulla saatiin tietoa yrityksen nykyisestä tietoturvan tasosta sekä siihen kohdistuvista ongelmista ja haasteista. Vertailuanalyysiä käytettiin tutkimaan muiden organisaatioiden tietoturvapolitiikoissa olevia parhaita käytäntöjä ja malleja.
Tietoturvapolitiikan julkinen osa toteutettiin Sulavalle sen johtoryhmän hyväksymällä tasolla. Opinnäytetyötä tehdessä löydettiin yrityksen tietoturvapolitiikassa myös kehitettävää kokonaisuutena, vaikka opinnäytetyön lopputuotos eli julkinen tietoturvapolitiikka onkin julkaistavissa. Opinnäytetyön avulla voidaan lisäksi soveltaa erilaisia tietoturvapolitiikan kehittämismalleja.
Yrityksen tietoturvan toteutuksessa seuraavia kehittämiskohteita ovat tietoturvapolitiikan käytäntöön pano eli jalkautus, käyttäjien kouluttaminen sekä tietoturvatietoisuuden lisääminen.
Vaikka opinnäytetyön lopullinen tuotos oli rajattu julkiseen tietoturvapolitiikkaan, oli tietoa etsittävä myös koko tietoturvan kehittämiseen. Tietoperustana opinnäytetyössä käytettiin alan kirjallisuutta, standardeja ja tietoturvapolitiikkamalleja. Tietoturvaprosessien toteuttamiseen esitettiin muutamia eri alalla käytettäviä malleja ja viitekehyksiä. Opinnäytetyössä käytettävät kvalitatiiviset menetelmät ovat kirjallisuuskatsaus, asiantuntija sekä benchmarking eli vertailuanalyysi.
Kirjallisuuskatsauksen avulla saatiin kerättyä tietoa, miten tietoturvapolitiikkaa kehitetään ja toteutetaan. Sen avulla saatiin teoriaa myös oikeanlaisten hyväksi havaittujen mallien ja viitekehysten käyttämiseksi. Kirjallisuuskatsauksessa tutkittiin myös ISO/IEC 27001 standardia tietoturvapolitiikan kehittämisen näkökulmasta. Asiantuntijahaastattelulla saatiin tietoa yrityksen nykyisestä tietoturvan tasosta sekä siihen kohdistuvista ongelmista ja haasteista. Vertailuanalyysiä käytettiin tutkimaan muiden organisaatioiden tietoturvapolitiikoissa olevia parhaita käytäntöjä ja malleja.
Tietoturvapolitiikan julkinen osa toteutettiin Sulavalle sen johtoryhmän hyväksymällä tasolla. Opinnäytetyötä tehdessä löydettiin yrityksen tietoturvapolitiikassa myös kehitettävää kokonaisuutena, vaikka opinnäytetyön lopputuotos eli julkinen tietoturvapolitiikka onkin julkaistavissa. Opinnäytetyön avulla voidaan lisäksi soveltaa erilaisia tietoturvapolitiikan kehittämismalleja.
Yrityksen tietoturvan toteutuksessa seuraavia kehittämiskohteita ovat tietoturvapolitiikan käytäntöön pano eli jalkautus, käyttäjien kouluttaminen sekä tietoturvatietoisuuden lisääminen.