Enhancing incident management process
Kettunen, Eetu (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023060722416
https://urn.fi/URN:NBN:fi:amk-2023060722416
Tiivistelmä
Tietoturvapoikkeamien hallintaprosessi on tärkeä osa organisaation kykyä ratkaista tapahtuneet tietoturvaloukkaukset tehokkaasti. Prosessi määrittelee oleelliset osa-alueet ja ohjeistaa miten tietoturvapoikkeamien aikana tulisi toimia. Asianmukaisen hallintaprosessin muodostamiseen on olemassa monia standardeja sekä viitekehyksiä, mutta nämä käsittelevät aihetta vain yleisellä tasolla eivätkä ole yleispäteviä,
vaan prosessi tulee räätälöidä vastaamaan jokaisen organisaation omia tarpeita.
Tutkimus aloitettiin tietoturvapoikkeamien hallintaprosessiin liittyvällä kirjallisuuskatsauksella, joka toimi
pohjana, kun tarkasteltiin organisaation nykyisesti käytössä olevaa tietoturvapoikkeamien hallintaprosessin
dokumentaatiota. Tietoa kerättiin kirjallisuuskatsauksen lisäksi myös haastattelemalla organisaation sisältä
sopivia henkilöitä, jotka työskentelevät tietoturvan parissa eri tavoin.
Tutkimuksen tavoitteena on tehostaa olemassa olevaa prosessia tarkastelemalla dokumentaatiota, sekä
keräämällä tietoa mahdollisista ongelmista kyselyn avulla. Kysymykset laadittiin sitä silmällä pitäen, kuinka
hyvin henkilöstö tuntee käytössä olevan prosessin, sekä saada tietoa käytännön kokemuksiin pohjautuvia
tietoja prosessin kehitystarpeista.
Toissijainen tavoite tutkimuksessa oli selvittää virtuaalisessa tietoturvatiimissä tarvittavat taidot, nämä taidot koostuivat sekä teknisistä, että ei teknisistä taidoista ja kyvyistä. Haastatteluista saatiin ajatuksia siitä,
minkälaisia taitoja arvostetaan tai vaaditaan onnistueen tiimin kasaamisessa.
Tulokset esitetään suosituksina, sillä organisaatio on läpikäymässä suuria organisaatiomuutoksia, joten tuloksia ei voida suoranaisesti ottaa heti käyttöön, vaan tuloksia voidaan käyttää myöhemmissä vaiheissa organisaatiomuutosten aikana. Tuloksia voidaan käyttää auttamaan siinä vaiheessa, kun organisaatiomuutokset ovat siinä pisteessä, että uusia tietoturvaprosesseja on aiheellista miettiä siirtyneille
osakokonaisuuksille. Incident management process is an important part on enabling the organization’s ability to be efficient on
resolving occurred security incidents. Incident management process defines important aspects and serves
as guideline on how to act during a security incident. There are many guidelines and frameworks on building a proper incident management process, but none of those are universal and must be tailored for each
need in different organizations.
The research began with literature review about security incident management subject, which then served
as a base for reviewing the security incident management process in use. Data was gathered in addition to
previous research and literature, also with questionnaire that was sent to selected individuals who work
within the field of cyber security in different ways.
This research aims to enhance a security incident management process that already exists, by reviewing
existing documentation as well as conducting structured interview for personnel working with cyber security. The questions were formed to gain insight on how well personnel is familiar with the current security
incident management process and gain firsthand knowledge on development needs on that same process.
In addition to security incident management process, secondary objective for this research is to find required skills for forming well-functioning virtual security incident response team. Questionnaire was used
to gain recommendations and observations on what skills were thought to be necessary or possibly missing
in the current situation.
The results are then presented in a suggestive manner, due to upcoming organizational changes. Organization is undergoing a fusion process, results can be used during different phases of the organizational
changes to help build well-functioning security incident management process, as well as form a new virtual
security incident response team.
vaan prosessi tulee räätälöidä vastaamaan jokaisen organisaation omia tarpeita.
Tutkimus aloitettiin tietoturvapoikkeamien hallintaprosessiin liittyvällä kirjallisuuskatsauksella, joka toimi
pohjana, kun tarkasteltiin organisaation nykyisesti käytössä olevaa tietoturvapoikkeamien hallintaprosessin
dokumentaatiota. Tietoa kerättiin kirjallisuuskatsauksen lisäksi myös haastattelemalla organisaation sisältä
sopivia henkilöitä, jotka työskentelevät tietoturvan parissa eri tavoin.
Tutkimuksen tavoitteena on tehostaa olemassa olevaa prosessia tarkastelemalla dokumentaatiota, sekä
keräämällä tietoa mahdollisista ongelmista kyselyn avulla. Kysymykset laadittiin sitä silmällä pitäen, kuinka
hyvin henkilöstö tuntee käytössä olevan prosessin, sekä saada tietoa käytännön kokemuksiin pohjautuvia
tietoja prosessin kehitystarpeista.
Toissijainen tavoite tutkimuksessa oli selvittää virtuaalisessa tietoturvatiimissä tarvittavat taidot, nämä taidot koostuivat sekä teknisistä, että ei teknisistä taidoista ja kyvyistä. Haastatteluista saatiin ajatuksia siitä,
minkälaisia taitoja arvostetaan tai vaaditaan onnistueen tiimin kasaamisessa.
Tulokset esitetään suosituksina, sillä organisaatio on läpikäymässä suuria organisaatiomuutoksia, joten tuloksia ei voida suoranaisesti ottaa heti käyttöön, vaan tuloksia voidaan käyttää myöhemmissä vaiheissa organisaatiomuutosten aikana. Tuloksia voidaan käyttää auttamaan siinä vaiheessa, kun organisaatiomuutokset ovat siinä pisteessä, että uusia tietoturvaprosesseja on aiheellista miettiä siirtyneille
osakokonaisuuksille.
resolving occurred security incidents. Incident management process defines important aspects and serves
as guideline on how to act during a security incident. There are many guidelines and frameworks on building a proper incident management process, but none of those are universal and must be tailored for each
need in different organizations.
The research began with literature review about security incident management subject, which then served
as a base for reviewing the security incident management process in use. Data was gathered in addition to
previous research and literature, also with questionnaire that was sent to selected individuals who work
within the field of cyber security in different ways.
This research aims to enhance a security incident management process that already exists, by reviewing
existing documentation as well as conducting structured interview for personnel working with cyber security. The questions were formed to gain insight on how well personnel is familiar with the current security
incident management process and gain firsthand knowledge on development needs on that same process.
In addition to security incident management process, secondary objective for this research is to find required skills for forming well-functioning virtual security incident response team. Questionnaire was used
to gain recommendations and observations on what skills were thought to be necessary or possibly missing
in the current situation.
The results are then presented in a suggestive manner, due to upcoming organizational changes. Organization is undergoing a fusion process, results can be used during different phases of the organizational
changes to help build well-functioning security incident management process, as well as form a new virtual
security incident response team.