Tutkimus turvallisuuskulttuurista ja riskienhallinnan mahdollisuuksien hyödyntämisestä tietoturvan johtamisessa
Partanen, Elina (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023052313051
https://urn.fi/URN:NBN:fi:amk-2023052313051
Tiivistelmä
Tutkimuksen tavoitteena oli tunnistaa kipupisteitä mahdollisuuksien ymmärtämisessä sekä löytää apukeinoja mahdollisuuksien tunnistamiseen sekä tietoturvan johtamiseen hyvän turvallisuuskulttuurin muodostamiseksi. Tutkimus toteutettiin ilman toimeksiantajaa.
Tietoperustana kuvattiin mistä organisaatiokulttuuri ja turvallisuuskulttuuri muodostuu, millaisia haasteita turvallisuuskulttuurin luomisella on ja miten motivaatio ja itseohjautuvuus liittyvät kulttuuriin. Toinen osa tietoperustaa oli turvallisuusjohtamisen näkökulmat organisaatiokulttuuriin, riskienhallintaan ja liiketoimintaan. Tutkimuksen kannalta keskeisin tietoperusta oli mahdollisuuden olemus.
Tutkimuksessa käsiteltiin kolmea tutkimuskysymystä, joissa tarkasteltiin mahdollisuuden käsitettä tietoturvan kontekstissa, organisaatiokulttuurin vaikutusta riskienhallintaan ja turvallisuuskulttuuriin sekä tietoturvariskien hallinnan vaikutusta riskinottohalukkuuteen. Tutkimus suoritettiin laadullisen tutkimuksen menetelmin kyselytutkimukseen ja sitä täydentäviin teema haastatteluihin perustuen. Aineiston analyysi toteutettiin iteratiivisesti.
Tutkimuksen perusteella voidaan todeta, että tietoturvan kontekstissa mahdollisuudet ja riskienhallinta ovat monimutkaisia aiheita, joita organisaatiot eivät aina kykene hallitsemaan täysin. Organisaatiokulttuurin avoimuus ja riskienhallinnan kypsyys voivat kuitenkin edistää mahdollisuuksien tunnistamista ja riskienhallintaa kokonaisuutena. Asenteissa tietoturvaa kohtaan ja turvallisuuskulttuurin luomisessa organisaatiokulttuurilla on keskeinen rooli. Tietoturvariskien hallinnalla voidaan vaikuttaa riskinottohalukkuuteen, kunhan riskienhallinnan kypsyystaso on riittävän korkea.
Tutkimuksen tuloksista johdettuina kehittämisehdotuksina tuotettiin keinoja tietoturvan johtamiseen turvallisuuskulttuurin luomisen näkökulmasta ja riskinottohalukkuuden määrittelemiseksi sekä mahdollisuuksien tunnistamiseen osana riskienarviointia.
Tietoperustana kuvattiin mistä organisaatiokulttuuri ja turvallisuuskulttuuri muodostuu, millaisia haasteita turvallisuuskulttuurin luomisella on ja miten motivaatio ja itseohjautuvuus liittyvät kulttuuriin. Toinen osa tietoperustaa oli turvallisuusjohtamisen näkökulmat organisaatiokulttuuriin, riskienhallintaan ja liiketoimintaan. Tutkimuksen kannalta keskeisin tietoperusta oli mahdollisuuden olemus.
Tutkimuksessa käsiteltiin kolmea tutkimuskysymystä, joissa tarkasteltiin mahdollisuuden käsitettä tietoturvan kontekstissa, organisaatiokulttuurin vaikutusta riskienhallintaan ja turvallisuuskulttuuriin sekä tietoturvariskien hallinnan vaikutusta riskinottohalukkuuteen. Tutkimus suoritettiin laadullisen tutkimuksen menetelmin kyselytutkimukseen ja sitä täydentäviin teema haastatteluihin perustuen. Aineiston analyysi toteutettiin iteratiivisesti.
Tutkimuksen perusteella voidaan todeta, että tietoturvan kontekstissa mahdollisuudet ja riskienhallinta ovat monimutkaisia aiheita, joita organisaatiot eivät aina kykene hallitsemaan täysin. Organisaatiokulttuurin avoimuus ja riskienhallinnan kypsyys voivat kuitenkin edistää mahdollisuuksien tunnistamista ja riskienhallintaa kokonaisuutena. Asenteissa tietoturvaa kohtaan ja turvallisuuskulttuurin luomisessa organisaatiokulttuurilla on keskeinen rooli. Tietoturvariskien hallinnalla voidaan vaikuttaa riskinottohalukkuuteen, kunhan riskienhallinnan kypsyystaso on riittävän korkea.
Tutkimuksen tuloksista johdettuina kehittämisehdotuksina tuotettiin keinoja tietoturvan johtamiseen turvallisuuskulttuurin luomisen näkökulmasta ja riskinottohalukkuuden määrittelemiseksi sekä mahdollisuuksien tunnistamiseen osana riskienarviointia.