Tietoturvatietoisuuden kartoitus yrityksen erikoisosastoilla

Abstract

Tämän opinnäyte työn tarkoituksena oli tutkia tietoturvallisuuden tilaa kohdeorganisaatiossa sekä löytää menetelmiä, joilla tietoturvallisuutta voidaan kehittää. Kohdeorganisaatio on Danske Bankin asiakas- ja tekninen tuki, mikä sijaitsee Pohjois-Haagassa Helsingissä. Tavoitteena oli löytää tekijät, jotka ovat tärkeimpiä kohdeorganisaation työntekijöiden tietoturvatietoisuuden kannalta. Aihe rajattiin käsittelemään tiedon, työssä käytettävien laitteiden sekä salasanojen ja käyttäjäoikeuksien hallintaa ja käyttöä.

Teoriaosuudessa kartoitetaan tekijät, joista tietoturvatietoisuus muodostuu. Teoriaosuus koostuu työn kannalta tärkeimmistä käsitteistä, kuinka tietoturva toteutetaan kohdeorganisaatiossa sekä tietoturvauhista ja -riskeistä. Kohdeorganisaation tietoturvatietoisuutta käsitellään teorian sekä organisaation tietoturvapolitiikan pohjalta.

Tutkimuksen tiedonkeruumenetelmänä käytettiin kyselytutkimusta. Kyselytutkimuksen tarkoitus oli kartoittaa vastaajien tietoturvatietoisuuden nykytilaa, sekä kerätä näkökulmia sen kehittämiseen. Kyselytutkimus sopi hyvin tähän tutkimukseen, sillä menetelmällä voitiin kysyä kohderyhmältä monia asioita koskien tietoturvallisuutta.

Tutkimuksessa löydettiin paljon kohderyhmän tietoturvatietoisuuteen liittyviä puutteita ja epäkohtia sekä kehittämisideoita, joita voidaan helposti omaksua päivittäisessä työskentelyssä. Tutkimuksesta saadut tiedot tarjoavat toimeksiantajalle ajatuksia tietoturvallisuuden kehittämiseksi.

The purpose of this was to study the state of information security in the target organization and find ways to improve information security. The target organization is Danske Bank customer and technical support, which are located in Northern Haaga in Helsinki. The goal was to pinpoint the factors, which are most important to target organization’s employee awareness of information security. This thesis focused on handling and usage of information, equipment and programs, passwords and user rights that are used in daily tasks.

The theoretical part describes the essential factors that contribute information security awareness. The theoretical part consists of most important terms, how information security is implemented in target group and about threats and risks of information security. Target group's information security awareness is discussed from the theory and organization's information security policy.

The data for this study was collected by poll survey. The purpose of this poll survey was to examine the current state of target group's information security awareness and collect perspectives to improve it. Poll survey is suitable with this survey, because this method allows collecting large amount of data concerning information security awareness.

The survey brought up many lacks and faults in target group's information security awareness and development ideas, which can be easily implemented in daily tasks. The results offer valuable information for the client on how to develop information security.