Model for assessing organizational security
Leikas, Olli (2021)
Leikas, Olli
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021121425925
https://urn.fi/URN:NBN:fi:amk-2021121425925
Tiivistelmä
This document reports the methodology that was designed for and used in an organizational security management development project. The project was conducted in co-operation with the author and The Finnish Red Cross (FRC). The ownership of organizational security had been reassigned within the FRC and with this change had emerged the need to assess the current state of security management in a way that it also increases awareness of the topic within the organization. After further scoping, the project adopted two main objectives: Produce methodology to assess the preferred security focus areas and priorities in the target organization and produce a method to further assess the state of the focus areas.
Security of an organization is by default a very complex subject and to fully comprehend it, an understanding of the concepts of security and organization individually is needed, in addition to how security eventually integrates to an organization. The theoretical framework reviews these keywords in an extensive manner and proceeds to build understanding of how security could be arranged via a relevant management system, what perspectives of current state analysis should be considered, what can be benefitted from national security frameworks and benchmarks and how service design principles can be of tremendous value in security development work.
The core of the project implementation is described as the General Process Model. It consists of four different Phases, each of which builds on top of the previous phase. Phase 1 was designed around a workshop to define organizational security and discuss its relationship to FRC with the personnel involved in security topics. The role of Phase 2 in the process was to build on this insight and draw information from the internal operational organization using an online survey. Phase 3 aimed to reveal concrete development targets in security management. Implementation included the final workshop of the project where the gathered situation picture from previous phases was refined and deepened with a specifically designed assessment tool. Phase 4 consisted of the validation of data and the methods in different phases along with a compilation of previous elements into clear reports.
The project succeeded in generating oversight of the current state of security management and produced all its planned outputs. Key was to understand the role of the end-users in order to build sustainable paths of development that can be relevantly communicated to the organization and other interested parties. Organizational security consists of multiple areas that overlap on many occasions. With the solutions and controls of one area, an organization can affect to threats rising from another area. A thorough risk management practice helps to identify these scenarios. Usage of existing security management frameworks is highly recommended in further development as several are publicly available and they usually respond well to different organizational needs. The managerial efforts of establishing clear roles, responsibilities, action patterns and communication channels already alone can take the organization a huge leap forward as they force the organization to involve a lot of discussion on how different scenarios should be handled and with what resources. The created assessment model enables organizations to communicate the value of security and introduce the concept as a natural part of organizational management practices. Tässä dokumentissa kuvataan organisaatioturvallisuuden hallinnan kehittämisprojektia varten suunniteltu ja siinä käytetty metodologia. Projekti toteutettiin yhteistyössä Suomen Punaisen Ristin kanssa ja sen pääasiallinen tarkoitus oli tuottaa tilannekuvaa turvallisuuden hallinnan nykytilasta niin, että projektin toteutus kasvattaisi samalla tietoisuutta turvallisuuteen liittyvistä teemoista yleisesti organisaation sisällä. Keskeisimmiksi tavoitteiksi muodostuivat metodologian tuottaminen turvallisuuden fokusalueiden ja prioriteettien arvioimiseksi kohdeorganisaatiossa sekä metodin tuottaminen fokusalueiden syvällisempää arviointia varten.
Teoreettinen viitekehys tarkastelee laajasti turvallisuutta ja organisaatiota omina käsitteinään sekä kuinka turvallisuus integroituu osaksi organisaatioita. Lisäksi se tarjoaa näkökulmia siihen, miten turvallisuuden hallintaa voidaan lähestyä systemaattisesti hallintajärjestelmän avulla, minkälaisia asioita nykytila-analyysissa on hyvä huomioida, minkälaista hyötyä voi saada kansallisista turvallisuuden viitekehyksistä sekä miten palvelumuotoilun keskeiset prinsiipit voivat luoda merkittävää lisäarvoa turvallisuuden kehittämiseen.
Metodologia pitää sisällään yleisen prosessimallin (General Process Model), johon kaikki toiminta nojaa. Se koostuu neljästä erillisestä vaiheesta, jossa jokainen rakentuu aina edellisen vaiheen pohjalle. Ensimmäinen vaihe määrittelee workshop-ympäristön avulla organisaatioturvallisuutta käsitteenä turvallisuuden koordinaatioryhmän kanssa. Toinen vaihe jatkaa ymmärryksen rakentamista muulle sisäiselle organisaatiolle suunnatun verkkokyselyn avulla. Kolmannen vaiheen tarkoitus oli paljastaa konkreettisia kehityskohteita turvallisuuden hallinnassa tähän tarkoitukseen suunnitellulla arviointityökalulla. Toteutuksellisesti tämä tapahtui projektin viimeisessä workshopissa jälleen yhdessä turvallisuuden koordinaatioryhmän kanssa. Neljännessä vaiheessa projektissa tuotettua dataa ja metodologiaa validoitiin erilaisten työkalujen avulla sekä tuotettiin dokumentaatiota loppuraportointia varten.
Projekti onnistui täyttämään asetetut tavoitteet sekä tuottamaan suunnitellun prosessin mukaiset lopputuotteet. Olennaista oli alusta alkaen ymmärtää loppukäyttäjien rooli kehitystyössä, jotta turvallisuuden kehittäminen yleisesti rakentuu kestävälle pohjalle ja sitä on mahdollista kommunikoida relevanteille sidosryhmille. Organisaatioturvallisuus kostuu useista eri osa-alueista, jotka monissa tapauksissa risteävät keskenään. Yhden alueen ratkaisuilla on mahdollista vaikuttaa riskeihin, jotka saattavat nousta joltain toiselta alueelta. Vahva riskienhallintaosaaminen edesauttaa näiden tilanteiden tunnistamisessa. Tulevaisuuden kehittämistä varten on erityisen suositeltavaa hyödyntää olemassa olevia turvallisuuden hallinnan viitekehyksiä, joita on useitakin vapaasti saatavilla ja jotka pääsääntöisesti vastaavat hyvin organisaatioiden eri tarpeisiin. Hallinnollisten elementtien, kuten roolien, vastuiden, toimintamallien ja viestintäkanavien, kehittäminen voi jo itsessään viedä organisaatiota merkittävästi eteenpäin, sillä ne vaativat aktiivista dialogia erilaisten tilanteiden hallinnasta sekä niissä tarvittavista resursseista. Tässä projektissa tuotettu arviointimalli antaa organisaatioille mahdollisuuden kommunikoida turvallisuuden luomaa arvoa sekä esitellä sen soveltumista luonnolliseksi osaksi normaalia organisaation johtamista.
Security of an organization is by default a very complex subject and to fully comprehend it, an understanding of the concepts of security and organization individually is needed, in addition to how security eventually integrates to an organization. The theoretical framework reviews these keywords in an extensive manner and proceeds to build understanding of how security could be arranged via a relevant management system, what perspectives of current state analysis should be considered, what can be benefitted from national security frameworks and benchmarks and how service design principles can be of tremendous value in security development work.
The core of the project implementation is described as the General Process Model. It consists of four different Phases, each of which builds on top of the previous phase. Phase 1 was designed around a workshop to define organizational security and discuss its relationship to FRC with the personnel involved in security topics. The role of Phase 2 in the process was to build on this insight and draw information from the internal operational organization using an online survey. Phase 3 aimed to reveal concrete development targets in security management. Implementation included the final workshop of the project where the gathered situation picture from previous phases was refined and deepened with a specifically designed assessment tool. Phase 4 consisted of the validation of data and the methods in different phases along with a compilation of previous elements into clear reports.
The project succeeded in generating oversight of the current state of security management and produced all its planned outputs. Key was to understand the role of the end-users in order to build sustainable paths of development that can be relevantly communicated to the organization and other interested parties. Organizational security consists of multiple areas that overlap on many occasions. With the solutions and controls of one area, an organization can affect to threats rising from another area. A thorough risk management practice helps to identify these scenarios. Usage of existing security management frameworks is highly recommended in further development as several are publicly available and they usually respond well to different organizational needs. The managerial efforts of establishing clear roles, responsibilities, action patterns and communication channels already alone can take the organization a huge leap forward as they force the organization to involve a lot of discussion on how different scenarios should be handled and with what resources. The created assessment model enables organizations to communicate the value of security and introduce the concept as a natural part of organizational management practices.
Teoreettinen viitekehys tarkastelee laajasti turvallisuutta ja organisaatiota omina käsitteinään sekä kuinka turvallisuus integroituu osaksi organisaatioita. Lisäksi se tarjoaa näkökulmia siihen, miten turvallisuuden hallintaa voidaan lähestyä systemaattisesti hallintajärjestelmän avulla, minkälaisia asioita nykytila-analyysissa on hyvä huomioida, minkälaista hyötyä voi saada kansallisista turvallisuuden viitekehyksistä sekä miten palvelumuotoilun keskeiset prinsiipit voivat luoda merkittävää lisäarvoa turvallisuuden kehittämiseen.
Metodologia pitää sisällään yleisen prosessimallin (General Process Model), johon kaikki toiminta nojaa. Se koostuu neljästä erillisestä vaiheesta, jossa jokainen rakentuu aina edellisen vaiheen pohjalle. Ensimmäinen vaihe määrittelee workshop-ympäristön avulla organisaatioturvallisuutta käsitteenä turvallisuuden koordinaatioryhmän kanssa. Toinen vaihe jatkaa ymmärryksen rakentamista muulle sisäiselle organisaatiolle suunnatun verkkokyselyn avulla. Kolmannen vaiheen tarkoitus oli paljastaa konkreettisia kehityskohteita turvallisuuden hallinnassa tähän tarkoitukseen suunnitellulla arviointityökalulla. Toteutuksellisesti tämä tapahtui projektin viimeisessä workshopissa jälleen yhdessä turvallisuuden koordinaatioryhmän kanssa. Neljännessä vaiheessa projektissa tuotettua dataa ja metodologiaa validoitiin erilaisten työkalujen avulla sekä tuotettiin dokumentaatiota loppuraportointia varten.
Projekti onnistui täyttämään asetetut tavoitteet sekä tuottamaan suunnitellun prosessin mukaiset lopputuotteet. Olennaista oli alusta alkaen ymmärtää loppukäyttäjien rooli kehitystyössä, jotta turvallisuuden kehittäminen yleisesti rakentuu kestävälle pohjalle ja sitä on mahdollista kommunikoida relevanteille sidosryhmille. Organisaatioturvallisuus kostuu useista eri osa-alueista, jotka monissa tapauksissa risteävät keskenään. Yhden alueen ratkaisuilla on mahdollista vaikuttaa riskeihin, jotka saattavat nousta joltain toiselta alueelta. Vahva riskienhallintaosaaminen edesauttaa näiden tilanteiden tunnistamisessa. Tulevaisuuden kehittämistä varten on erityisen suositeltavaa hyödyntää olemassa olevia turvallisuuden hallinnan viitekehyksiä, joita on useitakin vapaasti saatavilla ja jotka pääsääntöisesti vastaavat hyvin organisaatioiden eri tarpeisiin. Hallinnollisten elementtien, kuten roolien, vastuiden, toimintamallien ja viestintäkanavien, kehittäminen voi jo itsessään viedä organisaatiota merkittävästi eteenpäin, sillä ne vaativat aktiivista dialogia erilaisten tilanteiden hallinnasta sekä niissä tarvittavista resursseista. Tässä projektissa tuotettu arviointimalli antaa organisaatioille mahdollisuuden kommunikoida turvallisuuden luomaa arvoa sekä esitellä sen soveltumista luonnolliseksi osaksi normaalia organisaation johtamista.