Tietoturvaperehdytys ja tietoturvatietouden lisääminen yrityksessä DEKRA
Tuovila, Petri (2023)
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202401111304
https://urn.fi/URN:NBN:fi:amk-202401111304
Tiivistelmä
Tässä päiväkirjamuotoisessa opinnäytetyössä on tavoitteena toteuttaa ISO/ IEC 27001:2013 standardin mukainen koulutuksen ja tietouden lisääminen Suomen haarassa yrityksessä DEKRA. Työssä tullaan keskittymään vuoden 2022 KPMG:n tekemässä seuranta auditoinnissa esiin nousseen merkittävään poikkeamaan lausekkeilla ”7.3 Tietoisuus” ja ”7.2 Pätevyys”, jossa todettiin puutteita koulutuksen toteuttamisessa ja henkilöstön tiedottamisessa liittyen tietoturva asioihin.
Opinnäytetyön ensimmäisenä tehtävänä on toteuttaa yritykselle uusi tietoturvaperehdytys ja jalkauttaa se yrityksen käyttöön. Toisena tehtävänä on lisätä yrityksen työntekijöiden tietoutta yleisistä tietoturva asioista, jotka voivat vaikuttaa heidän työntekoonsa ja yrityksen turvallisuuteen. Kolmantena välillisenä tavoitteena on katselmoida yrityksen perehdytykseen käytettävä sisäinen ohjeistus läpi ja tehdä muutoksia ohjeistuksiin havaintojen pohjalta.
Kahdeksan viikon raportointi jakson aikana seurataan prosessin etenemistä, sekä seurataan IT-harjoittelijan arkea ja muita työtehtäviä yrityksen CISO:n lähimpänä alaisena. Työn aikana tavoitteisiin pyritään pääsemään, läpikäymällä aikaisempi koulutus materiaali, katselmoimalla sisäiset ohjeistukset ja perehtymällä ajantasaisiin vaatimuksiin, sekä lainsäädäntöön, joiden pohjalta uusi perehdytys tultaisiin luomaan. Lisäksi tietoturvatietouden lisäämiseksi pyritään rajaamaan ne aihealueet, jotka ovat kriittisiä yrityksen toiminnan kannalta ja tuomaan tämä tieto selkeästi ymmärrettävänä koko henkilöstölle.
Lopputuloksena yritys sai uuden tietoturvaperehdytyspohjan käyttöönsä. Auditoinnin osalta katsottiin poikkeama korjatuksi, toteutetun perehdytyksen ja tietouden lisäämisen osalta. Tämän lisäksi yritys pystyi kehittämään omia säännöllisiä prosessejaan.
Tämä tarkoitti käytännössä sitä, että uudet työntekijät saadaan järjestelmällisesti perehdytettyä ja tietoutta tullaan aktiivisesti ylläpitämään ja lisäämään yrityksessä. Myös välillisen tavoitteen osalta ymmärrettiin tarve yhdistää sisäisiä ohjeistuksia käytännöllisemmäksi kokonaisuudeksi.
Vaikka työssä saavutettiinkin tärkein tavoite, jäi silti vastuu materiaalin päivittämisestä tulevaisuuteen ja lopullinen onnistuminen pystytään mitata vasta saadusta palautteesta. In this thesis in the form of a diary, the goal is to implement ISO/IEC 27001:2013 standard orientation and increase awareness in the Finnish branch of the company DEKRA. The work will focus on the major discrepancy with the clauses "7.3 Awareness " and "7.2 Competence" that emerged in the 2022 follow-up audit by KPMG, where deficiencies were found in the implementation of orientation and in informing personnel related to information security matters.
The first objective of the thesis is to design a new information security orientation for the company and implement it for the company's use. Another task is to increase the company's employees' awareness of general information security issues that can affect their work and the company's security. The third indirect goal is to review the company's internal guidelines used for orientation and make changes to the guidelines based on the findings.
During the eight-week reporting period, the progress of the process is monitored, as well as the everyday life of the IT intern and other tasks as the closest subordinate of the company's CISO. During the work, the goals are reached by going through the previous training material, reviewing the internal guidelines and becoming familiar with the current requirements, as well as the legislation, on the basis of which the new orientation would be created. In addition, in order to increase information security knowledge, the aim is to delineate the subject areas that are critical for the company's operations and to bring this information in a clearly understandable way for the entire staff.
As a result, the company received a new information security training basis. In terms of auditing, the deviation was considered corrected, in terms of the orientation and awareness raising. In addition to this, the company was able to develop its own regular processes. In practice, this meant that new employees would be systematically introduced, and awareness would be actively maintained and increased in the company. Also, regarding the indirect goal, the need to combine internal guidelines into a more practical entity was understood.
Although the most important goal was achieved in the work, there was still the responsibility of updating the material for the future, and the final success can only be measured from the feedback received.
Opinnäytetyön ensimmäisenä tehtävänä on toteuttaa yritykselle uusi tietoturvaperehdytys ja jalkauttaa se yrityksen käyttöön. Toisena tehtävänä on lisätä yrityksen työntekijöiden tietoutta yleisistä tietoturva asioista, jotka voivat vaikuttaa heidän työntekoonsa ja yrityksen turvallisuuteen. Kolmantena välillisenä tavoitteena on katselmoida yrityksen perehdytykseen käytettävä sisäinen ohjeistus läpi ja tehdä muutoksia ohjeistuksiin havaintojen pohjalta.
Kahdeksan viikon raportointi jakson aikana seurataan prosessin etenemistä, sekä seurataan IT-harjoittelijan arkea ja muita työtehtäviä yrityksen CISO:n lähimpänä alaisena. Työn aikana tavoitteisiin pyritään pääsemään, läpikäymällä aikaisempi koulutus materiaali, katselmoimalla sisäiset ohjeistukset ja perehtymällä ajantasaisiin vaatimuksiin, sekä lainsäädäntöön, joiden pohjalta uusi perehdytys tultaisiin luomaan. Lisäksi tietoturvatietouden lisäämiseksi pyritään rajaamaan ne aihealueet, jotka ovat kriittisiä yrityksen toiminnan kannalta ja tuomaan tämä tieto selkeästi ymmärrettävänä koko henkilöstölle.
Lopputuloksena yritys sai uuden tietoturvaperehdytyspohjan käyttöönsä. Auditoinnin osalta katsottiin poikkeama korjatuksi, toteutetun perehdytyksen ja tietouden lisäämisen osalta. Tämän lisäksi yritys pystyi kehittämään omia säännöllisiä prosessejaan.
Tämä tarkoitti käytännössä sitä, että uudet työntekijät saadaan järjestelmällisesti perehdytettyä ja tietoutta tullaan aktiivisesti ylläpitämään ja lisäämään yrityksessä. Myös välillisen tavoitteen osalta ymmärrettiin tarve yhdistää sisäisiä ohjeistuksia käytännöllisemmäksi kokonaisuudeksi.
Vaikka työssä saavutettiinkin tärkein tavoite, jäi silti vastuu materiaalin päivittämisestä tulevaisuuteen ja lopullinen onnistuminen pystytään mitata vasta saadusta palautteesta.
The first objective of the thesis is to design a new information security orientation for the company and implement it for the company's use. Another task is to increase the company's employees' awareness of general information security issues that can affect their work and the company's security. The third indirect goal is to review the company's internal guidelines used for orientation and make changes to the guidelines based on the findings.
During the eight-week reporting period, the progress of the process is monitored, as well as the everyday life of the IT intern and other tasks as the closest subordinate of the company's CISO. During the work, the goals are reached by going through the previous training material, reviewing the internal guidelines and becoming familiar with the current requirements, as well as the legislation, on the basis of which the new orientation would be created. In addition, in order to increase information security knowledge, the aim is to delineate the subject areas that are critical for the company's operations and to bring this information in a clearly understandable way for the entire staff.
As a result, the company received a new information security training basis. In terms of auditing, the deviation was considered corrected, in terms of the orientation and awareness raising. In addition to this, the company was able to develop its own regular processes. In practice, this meant that new employees would be systematically introduced, and awareness would be actively maintained and increased in the company. Also, regarding the indirect goal, the need to combine internal guidelines into a more practical entity was understood.
Although the most important goal was achieved in the work, there was still the responsibility of updating the material for the future, and the final success can only be measured from the feedback received.