Organisaation kyberturvallisuuskyvykkyyden kehittäminen
Väisänen, Kimmo (2022)
Väisänen, Kimmo
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202204266086
https://urn.fi/URN:NBN:fi:amk-202204266086
Tiivistelmä
Opinnäytetyön tavoitteena oli selvittää, millainen kyberturvallisuuden hallintamalli organisaatiolla tulee olla, jotta se täyttää kriittisten viranomaisasiakkaiden perustason tietosuojavaatimukset. Mikäli luottamuksellisen tiedon suojaamistoimenpiteet tehdään puutteellisesti tai tarpeettoman laajasti, vaarantaa se joko salassa pidettävän tiedon luottamuksellisuuden tai aiheuttaa organisaatiolle ylimääräisiä kustannuksia liian laajasti ja vaikeasti ylläpidettävien suojaamistoimenpiteiden takia.
Opinnäytetyö toteutettiin tapaustutkimuksena. Kyberturvallisuuteen vaikuttavat asiat haluttiin ymmärtää syvällisesti, jotta sen kehittämiseen voidaan tehdä kehittämisehdotuksia. Opinnäytetyössä hyödynnettiin myös toimintatutkimuksen kvalitatiivisia eli laadullisia menetelmiä, koska organisaation kyberturvallisuuskyvykkyyden nykytilan arviointiin osallistui organisaation työntekijöitä. Samalla heidän kybertietoisuutensa kasvoi ja toiveena oli, että he alkaisivat tämän selvityksen myötä pohtia myös omaan työtehtäväänsä kyberturvallisuuden näkökulmasta.
Opinnäytetyön teoriaosuudessa tutustuttiin laajasti kyberturvallisuutta koskeviin kotimaisiin ja ulkomaisiin lähteisiin. Näiden pohjalta summattiin yhteen ne keskeiset kyberturvallisuuden hallintaan vaikuttavat tekijät, jotka organisaation tulee toiminnassaan huomioida. Työssä kartoitettiin myös NIST Framework Core-viitekehyksen pohjalta erilaisia kyberturvallisuuden hallintakeinoja, joita toteuttamalla organisaatio pystyy kehittää omaa kyberturvallisuuskyvykkyyttään kyberhäiriötilanteiden tunnistamisen, suojautumisen, havaitsemisen, reagoimisen sekä palautumisen osalta.
Opinnäytetyön tutkimuksellisen osuuden tavoitteena oli tunnistaa puutteet, joita organisaation tulee kehittää asetettuihin kyberturvallisuustavoitteisiinsa pääsemiseksi. Kohdeorganisaatiolle suoritettiin sisäinen kyberturvallisuuskypsyyden nykytila-analyysi Kyberturvallisuuskeskuksen Kybermittarin avulla. Analyysin tueksi toteutettiin myös Katakri 2020-auditointityökalulla itsearviointi viranomaisten salassa pidettävien tietoaineistojen käsittelykyvystä. Näiden kahden arvioinnin pohjalta organisaatiolle laadittiin suunnitelma myöhemmin toteutettaville kehitystoimenpiteille.
Opinnäytetyön lopputuloksena organisaatiolle syntyi hyvä käsitys kyberturvallisuuden hallintaan vaikuttavista tekijöistä ja selkeä toimenpidelista asioista, jotka suorittamalla pääsemme tavoitellulle kypsyystasolle kyberturvallisuuskypsyyden kehittämisen portaikossa. Hyvä oppi oli myös ymmärtää, kuinka moni eri asia vaikuttaa organisaation kyberturvallisuuskyvykkyyteen, kuin myös se, että kyberturvallisuuskyvykkyyden kehittäminen on jatkuva prosessi, joka ei koskaan tule täysin valmiiksi. The aim of the thesis was to find out what kind of cyber security management model an organization should have to meet the basic data protection requirements of critical authority customers. Inadequate or unnecessarily extensive protection measures for confidential information will compromise the confidentiality of confidential information or impose additional costs on the organization due to protection measures that are too oversized and difficult to maintain.
The thesis project was carried out as a case study. There was a deep desire to understand the issues contributing to cyber security in order to generate development suggestions for its development. The thesis also utilized the qualitative methods of action research, because the employees of the organization participated in the evaluation of the current state of the organization's cyber security capabilities. Simultaneously, their cyber awareness increased, and it was hoped that with this evaluation they would also start to consider their own work from the perspective of cyber security.
Firstly, in the theoretical part of the thesis, domestic and international sources concerning cyber security were extensively studied. Secondly, based on these, the key factors influencing cyber security management that the organization must consider in its operations were summed up. Based on the NIST Framework Core, the work also mapped out various cybersecurity management tools that enable an organization to develop its own cybersecurity capabilities for identifying, protecting, detecting, responding to, and recovering from cyber incidents.
The aim of the research part of the thesis was to identify the shortcomings that an organization must develop to achieve its set cyber security goals. An internal analysis of the current state of cyber security maturity was performed for the target organization using the Cybermeter from the Cyber Security Center. To support the analysis, the Katakri 2020 audit tool was also utilised to conduct a self-assessment of the authorities' ability to process confidential data. Finally, based on these two evaluations, a plan was developed for the organization for future development measures.
In conclusion, as a result of the thesis, the organization gained a good understanding of the factors influencing cyber security management and a clear list of measures that, when completed, will reach the desired level of maturity at the stage of developing cyber security maturity. It was also beneficial to understand how many different factors affect an organization’s cybersecurity capabilities, as well as the fact that developing cybersecurity capabilities is an ongoing process that will never be fully completed.
Opinnäytetyö toteutettiin tapaustutkimuksena. Kyberturvallisuuteen vaikuttavat asiat haluttiin ymmärtää syvällisesti, jotta sen kehittämiseen voidaan tehdä kehittämisehdotuksia. Opinnäytetyössä hyödynnettiin myös toimintatutkimuksen kvalitatiivisia eli laadullisia menetelmiä, koska organisaation kyberturvallisuuskyvykkyyden nykytilan arviointiin osallistui organisaation työntekijöitä. Samalla heidän kybertietoisuutensa kasvoi ja toiveena oli, että he alkaisivat tämän selvityksen myötä pohtia myös omaan työtehtäväänsä kyberturvallisuuden näkökulmasta.
Opinnäytetyön teoriaosuudessa tutustuttiin laajasti kyberturvallisuutta koskeviin kotimaisiin ja ulkomaisiin lähteisiin. Näiden pohjalta summattiin yhteen ne keskeiset kyberturvallisuuden hallintaan vaikuttavat tekijät, jotka organisaation tulee toiminnassaan huomioida. Työssä kartoitettiin myös NIST Framework Core-viitekehyksen pohjalta erilaisia kyberturvallisuuden hallintakeinoja, joita toteuttamalla organisaatio pystyy kehittää omaa kyberturvallisuuskyvykkyyttään kyberhäiriötilanteiden tunnistamisen, suojautumisen, havaitsemisen, reagoimisen sekä palautumisen osalta.
Opinnäytetyön tutkimuksellisen osuuden tavoitteena oli tunnistaa puutteet, joita organisaation tulee kehittää asetettuihin kyberturvallisuustavoitteisiinsa pääsemiseksi. Kohdeorganisaatiolle suoritettiin sisäinen kyberturvallisuuskypsyyden nykytila-analyysi Kyberturvallisuuskeskuksen Kybermittarin avulla. Analyysin tueksi toteutettiin myös Katakri 2020-auditointityökalulla itsearviointi viranomaisten salassa pidettävien tietoaineistojen käsittelykyvystä. Näiden kahden arvioinnin pohjalta organisaatiolle laadittiin suunnitelma myöhemmin toteutettaville kehitystoimenpiteille.
Opinnäytetyön lopputuloksena organisaatiolle syntyi hyvä käsitys kyberturvallisuuden hallintaan vaikuttavista tekijöistä ja selkeä toimenpidelista asioista, jotka suorittamalla pääsemme tavoitellulle kypsyystasolle kyberturvallisuuskypsyyden kehittämisen portaikossa. Hyvä oppi oli myös ymmärtää, kuinka moni eri asia vaikuttaa organisaation kyberturvallisuuskyvykkyyteen, kuin myös se, että kyberturvallisuuskyvykkyyden kehittäminen on jatkuva prosessi, joka ei koskaan tule täysin valmiiksi.
The thesis project was carried out as a case study. There was a deep desire to understand the issues contributing to cyber security in order to generate development suggestions for its development. The thesis also utilized the qualitative methods of action research, because the employees of the organization participated in the evaluation of the current state of the organization's cyber security capabilities. Simultaneously, their cyber awareness increased, and it was hoped that with this evaluation they would also start to consider their own work from the perspective of cyber security.
Firstly, in the theoretical part of the thesis, domestic and international sources concerning cyber security were extensively studied. Secondly, based on these, the key factors influencing cyber security management that the organization must consider in its operations were summed up. Based on the NIST Framework Core, the work also mapped out various cybersecurity management tools that enable an organization to develop its own cybersecurity capabilities for identifying, protecting, detecting, responding to, and recovering from cyber incidents.
The aim of the research part of the thesis was to identify the shortcomings that an organization must develop to achieve its set cyber security goals. An internal analysis of the current state of cyber security maturity was performed for the target organization using the Cybermeter from the Cyber Security Center. To support the analysis, the Katakri 2020 audit tool was also utilised to conduct a self-assessment of the authorities' ability to process confidential data. Finally, based on these two evaluations, a plan was developed for the organization for future development measures.
In conclusion, as a result of the thesis, the organization gained a good understanding of the factors influencing cyber security management and a clear list of measures that, when completed, will reach the desired level of maturity at the stage of developing cyber security maturity. It was also beneficial to understand how many different factors affect an organization’s cybersecurity capabilities, as well as the fact that developing cybersecurity capabilities is an ongoing process that will never be fully completed.