Haavoittuvuuksien hallintaprosessi ja järjestelmä kohdeyrityksessä
Ruottinen, Jarkko (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023051711402
https://urn.fi/URN:NBN:fi:amk-2023051711402
Tiivistelmä
Yritysten laaja verkottuminen, etätöiden ja pilvipalveluiden lisääntynyt käyttö on lisännyt entisestään yritysten tietoturvan merkitystä. Tämä opinnäytetyö käsittelee kohdeyrityksen haavoittuvuuksien hallintaprosessin ja skannausjärjestelmän tutkimista ja edelleen kehittämistä. Tutkimusongelmana oli haavoittuvuuksien hallintaprosessin keskeneräinen toteutus. Tavoitteena oli päivittää toimeksiantajan haavoittuvuuksien hallintaprosessi, lisätä ohjeistuksia ja selkeyttää prosessivaiheet. Haavoittuvuuksien skannausjärjestelmän osalta tavoitteena oli opinnäytetyön aikana lisätä vähintään yksi uusi verkkosegmentti skannauksen piiriin ja selvittää varmuuskopioinnin hallinta.
Tutkimuksen tutkimuskysymykset liittyivät haavoittuvuuksien hallintaprosessin osalta prosessin kehittämiseen, haavoittuvuustikettien ja nollapäivähaavoittuvuustilanteen käsittelyyn. Lisäksi pyrittiin löytämään keinoja sille, kuinka voisi pienentää löydettyjen väärien positiivisten haavoittuvuuksien määrää. Tutkimuskysymysten ja kehittämisaiheiden yhteinen päämäärä oli saada organisaation haavoittuvuuksien hallintaprosessi paremmaksi.
Tässä opinnäytetyössä tutkittiin todellista tilannetta yrityksessä ja pyrittiin kehittämään sitä paremmaksi, ja siksi tutkimusmenetelmäksi oli valittu toimintatutkimus. Tutkimus oli myös empiiristä tutkimusta, koska sen teon vaiheet sopivat tähän tutkimukseen. Tutkimuksen primäärisinä tiedonkeruumenetelminä käytettiin teemahaastattelua, kyselylomaketta, havainnointia ja testaamista. Haastatteluihin valittiin mukaan alan asiantuntijoita. Tutkimustulosten ja organisaation tilanteen analysointiin käytettiin sisällön- ja tilanneanalyysia.
Kaikkiin tutkimuskysymyksiin löydettiin vastaukset. Haavoittuvuuksien hallintaprosessista saatiin työn aikana tuloksena yhtenäinen kokonaisuus, jonka toimintoja kuvattiin työssä. Haavoittuvuusskanneriin liitettiin suunnitellusti yksi iso verkkoalue lisää, ja haavoittuvuusskannerin dokumentointia kehitettiin työn aikana. Haavoittuvuuksien seurantaan määritelty KPI-mittari osoitti tutkimuksen loppuvaiheessa, että prosessi toimi oikein ja haavoittuvuusskannausta on syytä tehdä säännöllisesti.
Tutkimuksen tutkimuskysymykset liittyivät haavoittuvuuksien hallintaprosessin osalta prosessin kehittämiseen, haavoittuvuustikettien ja nollapäivähaavoittuvuustilanteen käsittelyyn. Lisäksi pyrittiin löytämään keinoja sille, kuinka voisi pienentää löydettyjen väärien positiivisten haavoittuvuuksien määrää. Tutkimuskysymysten ja kehittämisaiheiden yhteinen päämäärä oli saada organisaation haavoittuvuuksien hallintaprosessi paremmaksi.
Tässä opinnäytetyössä tutkittiin todellista tilannetta yrityksessä ja pyrittiin kehittämään sitä paremmaksi, ja siksi tutkimusmenetelmäksi oli valittu toimintatutkimus. Tutkimus oli myös empiiristä tutkimusta, koska sen teon vaiheet sopivat tähän tutkimukseen. Tutkimuksen primäärisinä tiedonkeruumenetelminä käytettiin teemahaastattelua, kyselylomaketta, havainnointia ja testaamista. Haastatteluihin valittiin mukaan alan asiantuntijoita. Tutkimustulosten ja organisaation tilanteen analysointiin käytettiin sisällön- ja tilanneanalyysia.
Kaikkiin tutkimuskysymyksiin löydettiin vastaukset. Haavoittuvuuksien hallintaprosessista saatiin työn aikana tuloksena yhtenäinen kokonaisuus, jonka toimintoja kuvattiin työssä. Haavoittuvuusskanneriin liitettiin suunnitellusti yksi iso verkkoalue lisää, ja haavoittuvuusskannerin dokumentointia kehitettiin työn aikana. Haavoittuvuuksien seurantaan määritelty KPI-mittari osoitti tutkimuksen loppuvaiheessa, että prosessi toimi oikein ja haavoittuvuusskannausta on syytä tehdä säännöllisesti.