Vulnerability Management Process

Abstract

Alati kasva kyberuhkien määrä asettaa haasteita myös organisaatioille. Haavoittuvuuksia löytyy yhä enenevissä määrin ja kyberrikolliset hyödyntävät niitä aktiivisesti. Jotta haavoittuvuuksiin voidaan reagoida tehokkaasti ja ne saadaan nopeasti paikattua, tulee organisaatiolla olla haavoittuvuuksien hallinnan prosessi. Opinnäytetyössä tutkittiin kyberturvallisuuden viitekehyksiä, ohjeistuksia sekä julkaisuja. Nämä pitivät sisällään esimerkiksi ISO/IEC 27001:n, ISO/IEC 27002:n, ISO/IEC27005:n ja Katakrin. Työssä myös etsittiin ja vertailtiin olemassa olevia haavoittuvuuden hallinnan prosesseja. Tavoitteena oli luoda kerättyjen tietojen pohjalta haavoittuvuuden hallinnan prosessi Istekki Oy:lle. Työn pääpaino pidettiin hallinnollisessa näkökulmassa ja tutkimuksessa käytettiin laadullista ja vertailevaa tutkimusmenetelmää. Tutkimuksen tuloksena havaittiin, ettei ole yhtä täydellistä kaikille organisaatioille sopivaa haavoittuvuuden hallinnan prosessia, vaan organisaatioiden on poimittava saatavilla olevista materiaaleista heille parhaiten sopivat käytännöt ja jatkokehitettävä niitä sopimaan käyttötapauksiinsa paremmin. Prosessi ei myöskään ole täydellinen siinä vaiheessa, kun se on luotu ja otettu käyttöön, vaan sen toimivuutta tulee alati seurata ja sitä tulee saatujen havaintojen pohjalta optimoida. Johtopäätöksenä voitiin todeta, että organisaatioiden työntekijöiden koulutus on kriittisessä osassa haavoittuvuuksien hallintaa. Työntekijöiden on tärkeä ymmärtää haavoittuvuuksien perusteet ja se, kuinka niitä voidaan hyödyntää. Myös sisäinen viestintä ja dokumentaatio vaativat ohjeistusta ja koulutusta sekä yhteiset pelisäännöt, joita on noudatettava.

The ever-growing number of cyber threats presents challenges for businesses. Vulnerabilities are being discovered at an alarming rate, and cybercriminals are actively exploiting these flaws. When a vulnerability is discovered, an organization's vulnerability management process must be in place in order to respond effectively to the vulnerability and quickly remediate the problem. The thesis examined cyber security frameworks, guidelines, and publications. These include, for example, ISO/IEC 27001, ISO/IEC 27002, ISO/IEC27005, and Katakri. In the thesis also existing vulnerability management processes were studied and compared. The aim was to create a vulnerability management process for Istekki Oy based on the information collected. The main focus of the work was the administrative perspective, and the research used a qualitative and comparative research method. As a result of the study, it was found that there is no one-size-fits-all vulnerability management process for organizations, but that organizations need to extract the best practices from the available materials and further develop them to better suit their use cases. The process isn't done once it's been made and put into use. It needs to be checked and improved on a regular basis, based on the findings. It could also be concluded that the training of employees in organizations is a critical part of vulnerability management. It is important for employees to understand the rationale for vulnerabilities and how they can be exploited. Internal communication and documentation also require guidance and training, as well as common rules that must be followed.