Managing the human aspect of a permission redesign project
Lilja, Juha (2023)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023112230962
https://urn.fi/URN:NBN:fi:amk-2023112230962
Tiivistelmä
Tämä opinnäytetyö, jonka tilaaja on suuri teollisuusyritys, pyrki käsittelemään inhimillistä näkökulmaa käyttöoikeuksien muutosprojektissa. Tavoitteena oli ymmärtää muutosvastarintaa ja etsiä keinoja sen vähentämiseksi organisaation IT-infrastruktuurin tietoturvan muutoksissa.
Tutkimuksessa käytettiin sekä laadullisia, että määrällisiä menetelmiä, joissa yhdistyi IT-päälliköiden haastattelut, mielipidemittaus IT-tiimin jäsenten asenteista, sekä tekninen analyysi yrityksen Active Directoryn -käyttöoikeuksien nykytilanteesta.
Tulokset osoittivat konsensuksen IT-päälliköiden ja tiimin jäsenten kesken turvallisuusmuutosten välttämättömyydestä. IT-päälliköt korostivat parhaiden käytäntöjen, selkeän viestinnän ja tehokkaiden roolien ja vastuiden tärkeyttä. IT-tiimin jäseniltä saatu kyselydata paljasti asenteissa ja näkemyksissä vaihtelua. Tekninen analyysi tunnisti ongelmia, jotka johtuivat epäselvästä omistajuudesta, puutteellisista taustatiedosta ja konfiguraatiovirheistä tämänhetkisissä käyttöoikeuksissa.
Ongelmien ehkäisemiseksi annettiin suosituksia kommunikaation parantamisesta, tukitiimin vahvemmasta osallistamisesta projektiin, sekä käytännönläheisestä tietoturvakoulutuksesta tukitiimille. This thesis, commissioned by a large manufacturing company, addresses the human aspect of a permission redesign project. The objective was to understand, mitigate, and manage resistance to security changes in the organization's IT infrastructure.
The methodology involved comprehensive research, combining IT manager interviews, IT team member surveys, and technical analysis of the current permissions setup in the company's Active Directories.
The results highlighted a consensus among IT managers and team members regarding the necessity of security changes. IT managers emphasized the importance of best practices, clear communication, and effective roles and responsibilities. The survey data from IT team members revealed variations in attitudes and perceptions. The technical analysis identified problems arising from unclear ownership, a lack of institutional knowledge, and configuration errors within the permissions setup.
The recommendations included better communication of upcoming changes, more substantial involvement of the service team in the project, and more practical IT security training within the company.
Tutkimuksessa käytettiin sekä laadullisia, että määrällisiä menetelmiä, joissa yhdistyi IT-päälliköiden haastattelut, mielipidemittaus IT-tiimin jäsenten asenteista, sekä tekninen analyysi yrityksen Active Directoryn -käyttöoikeuksien nykytilanteesta.
Tulokset osoittivat konsensuksen IT-päälliköiden ja tiimin jäsenten kesken turvallisuusmuutosten välttämättömyydestä. IT-päälliköt korostivat parhaiden käytäntöjen, selkeän viestinnän ja tehokkaiden roolien ja vastuiden tärkeyttä. IT-tiimin jäseniltä saatu kyselydata paljasti asenteissa ja näkemyksissä vaihtelua. Tekninen analyysi tunnisti ongelmia, jotka johtuivat epäselvästä omistajuudesta, puutteellisista taustatiedosta ja konfiguraatiovirheistä tämänhetkisissä käyttöoikeuksissa.
Ongelmien ehkäisemiseksi annettiin suosituksia kommunikaation parantamisesta, tukitiimin vahvemmasta osallistamisesta projektiin, sekä käytännönläheisestä tietoturvakoulutuksesta tukitiimille.
The methodology involved comprehensive research, combining IT manager interviews, IT team member surveys, and technical analysis of the current permissions setup in the company's Active Directories.
The results highlighted a consensus among IT managers and team members regarding the necessity of security changes. IT managers emphasized the importance of best practices, clear communication, and effective roles and responsibilities. The survey data from IT team members revealed variations in attitudes and perceptions. The technical analysis identified problems arising from unclear ownership, a lack of institutional knowledge, and configuration errors within the permissions setup.
The recommendations included better communication of upcoming changes, more substantial involvement of the service team in the project, and more practical IT security training within the company.