Tietoturvakulttuurin kartoittaminen organisaatiossa X
Selin, Melina (2022)
2022
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2022122131249
https://urn.fi/URN:NBN:fi:amk-2022122131249
Tiivistelmä
Tutkimuksellisen opinnäytetyön tavoitteena oli kartoittaa toimeksiantajan eli organisaation X tietoturvakulttuurin tila. Lähtötilanne oli, ettei tietoturvakulttuuria ollut aikaisemmin kartoitettu ja organisaatio halusi alkaa kehittämään sitä. Tutkimusongelmaan, mikä on organisaation X tietoturvakulttuurin nykytila, vastattiin seuraavien tutkimuskysymysten avulla: Kuinka motivoituneita organisaation työntekijät ovat oppimaan tietoturvallisuudesta, toimiiko organisaation henkilökunta vapaaehtoisesti ja itseohjautuvasti tietoturvallisesti sekä miten organisaatio tukee työntekijöitään tietoturvallisemmassa työskentelyssä? Opinnäytetyön hyöty toimeksiantajalle on se, että sen avulla pystytään tarkastelemaan, mihin tulevaisuudessa tulisi keskittyä tietoturvakulttuurin kehittämiseksi ja siten organisaation X kokonaisturvallisuuden parantamiseksi. Tietoturvakulttuurin kartoittaminen antaa organisaation henkilöstölle yhteisen ymmärryksen siitä, miten yhteistä turvallisuustietoisuutta ja -käytäntöjä voitaisiin parantaa turvallisen työskentelyn edistämiseksi.
Työn teoriapohjassa käytettiin kirjallisuuslähteitä organisaatiokulttuurista, tietoturvallisuudesta sekä tietoturvakulttuurista. Tutkimuksellisen opinnäytetyön aineistonkeruumenetelmänä käytettiin teemahaastattelua, jonka apukysymykset muodostettiin teoriapohjaan tukeutuen. Puolistrukturoitu menetelmä loi haastatteluista keskustelunomaisia tilanteita, joiden vastaukset olivat vertailukelpoisia. Haastattelut taltioitiin käyttämällä field notes -menetelmää, joka mahdollisti keskustelun avoimuuden säilymisen. Aineiston analyysissa käytettiin menetelmänä teemoittelua, jonka seurauksena aineisto jaettiin kolmeen eri teemaan.
Tutkimuksellisen opinnäytetyön tuloksena syntyi kattava analyysi siitä, mitkä asiat vaikuttivat tietoturvakulttuurin muodostumiseen organisaatiossa X, ja mikä oli niiden tila. Muodostuneet keskeiset teemat olivat kouluttaminen ja sääntely, keskustelukulttuuri sekä osaaminen ja motivaatio. Haastattelujen vastauksia tulkittiin teorian avulla ja näin saatiin johtopäätös tietoturvakulttuurin tilasta. Tutkimuskysymyksiin vastattiin. Organisaation X tietoturvakulttuurissa hyvää oli työntekijöiden motivaatio toimia tietoturvallisesti sekä oppia lisää tietoturvallisuudesta. Avoin ja rehellinen keskustelukulttuuri oli organisaation X vahvuus. Kaikille työntekijöille tärkeintä tietoturvan toteuttamisessa oli asiakkaiden tietosuoja. Kehittämiskohteita tietoturvakulttuurissa olivat organisaation tuki työntekijöiden tietoturvaosaamisen kehittämisessä, sekä vastuuhenkilöiden selkeämpi määrittely. Toimivan tietoturvan toteuttamiseksi organisaation X tulee keskittyä työntekijöiden säännölliseen kouluttamiseen ja kirjallisten ohjeiden luomiseen.
Työn teoriapohjassa käytettiin kirjallisuuslähteitä organisaatiokulttuurista, tietoturvallisuudesta sekä tietoturvakulttuurista. Tutkimuksellisen opinnäytetyön aineistonkeruumenetelmänä käytettiin teemahaastattelua, jonka apukysymykset muodostettiin teoriapohjaan tukeutuen. Puolistrukturoitu menetelmä loi haastatteluista keskustelunomaisia tilanteita, joiden vastaukset olivat vertailukelpoisia. Haastattelut taltioitiin käyttämällä field notes -menetelmää, joka mahdollisti keskustelun avoimuuden säilymisen. Aineiston analyysissa käytettiin menetelmänä teemoittelua, jonka seurauksena aineisto jaettiin kolmeen eri teemaan.
Tutkimuksellisen opinnäytetyön tuloksena syntyi kattava analyysi siitä, mitkä asiat vaikuttivat tietoturvakulttuurin muodostumiseen organisaatiossa X, ja mikä oli niiden tila. Muodostuneet keskeiset teemat olivat kouluttaminen ja sääntely, keskustelukulttuuri sekä osaaminen ja motivaatio. Haastattelujen vastauksia tulkittiin teorian avulla ja näin saatiin johtopäätös tietoturvakulttuurin tilasta. Tutkimuskysymyksiin vastattiin. Organisaation X tietoturvakulttuurissa hyvää oli työntekijöiden motivaatio toimia tietoturvallisesti sekä oppia lisää tietoturvallisuudesta. Avoin ja rehellinen keskustelukulttuuri oli organisaation X vahvuus. Kaikille työntekijöille tärkeintä tietoturvan toteuttamisessa oli asiakkaiden tietosuoja. Kehittämiskohteita tietoturvakulttuurissa olivat organisaation tuki työntekijöiden tietoturvaosaamisen kehittämisessä, sekä vastuuhenkilöiden selkeämpi määrittely. Toimivan tietoturvan toteuttamiseksi organisaation X tulee keskittyä työntekijöiden säännölliseen kouluttamiseen ja kirjallisten ohjeiden luomiseen.