Turvallisuustietoisuusohjelman luominen
Hagman, Annika (2022)
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2022060515496
https://urn.fi/URN:NBN:fi:amk-2022060515496
Tiivistelmä
Tämän opinnäytetyön tarkoituksena on luoda toimeksiantajalle, Kohdeorganisaatio Oyj:lle turvallisuustietoisuusohjelma. Organisaatiossa on tehty erilaisia tarkastuksia, kuten sisäinen tarkastus sekä ulkoinen auditointi, jonka perusteella ohjelman tarpeellisuus on todettu merkittäväksi. Tietoperustana on noudatettu yleisimpiä teoriapohjia, kuten NIST (National Institute of Standards and Technology), SANS international sekä Gardner & Thomasin tuottamaa materiaalia. Lähteinä on käytetty myös organisaation sisäisiä politiikkoja ja toimintaohjeita, pääasiassa nykytilanteen kuvaamisen ja tulevaisuuden suunnitelmien osalta. Tarkentavaa tietoa organisaation tilanteesta ja tehdyistä toimenpiteistä on saatu haastattelemalla Kohdeorganisaation tietoturvasta vastaavia henkilöitä.
Työn teoriaosuus muodostuu turvallisuuteen liittyvistä käsitteistä, kuten turvallisuudesta, turvallisuusohjelmasta, turvallisuustietoisuudesta sekä turvallisuustietoisuusohjelmasta. Teoriaosuudessa kuvataan menestykseen vaikuttavia tekijöitä, kuten henkilöstön motivoinnista, resurssien riittävyydestä ja erilaisista koulutus- ja viestintätavoista. Tärkeä osa-alue on myös osaamisen mittaamiseen sekä ohjelman kehittämiseen liittyvät keinot.
Työssä on kuvattu organisaation nykytilanne turvallisuustietoisuuden osalta ja opinnäytetyön kirjoittamisen aikana tehdyt testit henkilöstön turvallisuustietoisuuden tasosta. Testejä tehtiin muun muassa fyysisen turvallisuuden tason ja ohjeiden noudattamisen osalta. Näiden, sekä muiden organisaatiossa tehtyjen havaintojen perusteella on tehty toimenpide-ehdotukset, joihin nojaamalla Kohdeorganisaatio voi alkaa toteuttamaan turvallisuustietoisuusohjelman lanseerausta. Ensimmäinen vaihe on luoda turvallisuustietoisuuspolitiikka sekä arvioida turvallisuustietoisuuden nykytila sekä tavoitetaso. Ohjelman lanseerausvaiheessa tulee huomioida motivaatiotekijät sekä hyödyntää esimerkiksi viestinnän ja henkilöstöosaston panosta. Käytännön toimenpide-ehdotuksissa on otettu huomioitu resurssien vähyys, eli osa palveluista on mahdollista ostaa ulkopuoliselta palveluntarjoajalta. Tärkeää on kuitenkin muistaa, että vastuuta ohjelmasta ei voi ulkoistaa, vaan siitä vastaa aina Kohdeorganisaatio. The purpose of this thesis is to create a security awareness program for a client organization. Internal and external audits have recommended for establishing the program. The theory part of the thesis is based on the most common sources in the field like NIST (National Institute of Standards and Technology), SANS Institute and Gardner & Thomas’s material. Other sources are the organization’s internal policies and guidelines. Mainly, those are used for describing the background and roadmap for the future actions. It was possible to gain more detailed information with interviews from Head of Security Management and Security Manager.
The theory part includes the concepts of security, security program, security awareness and security awareness program. The importance of motivating personnel, necessity of adequate resources and different training and communication methods are described in the theory section too. Last but not least, measuring and evaluating the effectiveness of the program is described.
The empirical part includes a description of the current situation of security awareness in the target company based on source material and the test’s that were made during the writing process. The tests gave results about how employees are following security rules at the office. The security awareness-related findings of the target organization and the previously mentioned test results indicated what the security awareness program should focus on first.
The first thing is to create a Security Awareness Policy and get approval on it. The second task is to evaluate the awareness level and target level. In implementing the program the organization needs to recognize the importance of motivation and use communication and human resources -units when launching the program. The lack of resources and the possibility to use external parties need to be noted when implementing the security awareness program. However, it is important to remember that the ownership of the program belongs to the organization and it cannot outsourced.
Työn teoriaosuus muodostuu turvallisuuteen liittyvistä käsitteistä, kuten turvallisuudesta, turvallisuusohjelmasta, turvallisuustietoisuudesta sekä turvallisuustietoisuusohjelmasta. Teoriaosuudessa kuvataan menestykseen vaikuttavia tekijöitä, kuten henkilöstön motivoinnista, resurssien riittävyydestä ja erilaisista koulutus- ja viestintätavoista. Tärkeä osa-alue on myös osaamisen mittaamiseen sekä ohjelman kehittämiseen liittyvät keinot.
Työssä on kuvattu organisaation nykytilanne turvallisuustietoisuuden osalta ja opinnäytetyön kirjoittamisen aikana tehdyt testit henkilöstön turvallisuustietoisuuden tasosta. Testejä tehtiin muun muassa fyysisen turvallisuuden tason ja ohjeiden noudattamisen osalta. Näiden, sekä muiden organisaatiossa tehtyjen havaintojen perusteella on tehty toimenpide-ehdotukset, joihin nojaamalla Kohdeorganisaatio voi alkaa toteuttamaan turvallisuustietoisuusohjelman lanseerausta. Ensimmäinen vaihe on luoda turvallisuustietoisuuspolitiikka sekä arvioida turvallisuustietoisuuden nykytila sekä tavoitetaso. Ohjelman lanseerausvaiheessa tulee huomioida motivaatiotekijät sekä hyödyntää esimerkiksi viestinnän ja henkilöstöosaston panosta. Käytännön toimenpide-ehdotuksissa on otettu huomioitu resurssien vähyys, eli osa palveluista on mahdollista ostaa ulkopuoliselta palveluntarjoajalta. Tärkeää on kuitenkin muistaa, että vastuuta ohjelmasta ei voi ulkoistaa, vaan siitä vastaa aina Kohdeorganisaatio.
The theory part includes the concepts of security, security program, security awareness and security awareness program. The importance of motivating personnel, necessity of adequate resources and different training and communication methods are described in the theory section too. Last but not least, measuring and evaluating the effectiveness of the program is described.
The empirical part includes a description of the current situation of security awareness in the target company based on source material and the test’s that were made during the writing process. The tests gave results about how employees are following security rules at the office. The security awareness-related findings of the target organization and the previously mentioned test results indicated what the security awareness program should focus on first.
The first thing is to create a Security Awareness Policy and get approval on it. The second task is to evaluate the awareness level and target level. In implementing the program the organization needs to recognize the importance of motivation and use communication and human resources -units when launching the program. The lack of resources and the possibility to use external parties need to be noted when implementing the security awareness program. However, it is important to remember that the ownership of the program belongs to the organization and it cannot outsourced.