Tietoturvaprosessien jalkauttaminen ISO/IEC 27001 organisaatioissa – uusi toimintamalli organisaatioiden onnistumiseen
Shevchuk, Irina (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202404257748
https://urn.fi/URN:NBN:fi:amk-202404257748
Tiivistelmä
Tietoturvan rooli on korostunut nykypäivän tietoyhteiskunnassa, jossa yhä useampi tekee tietotyötä ja käsittelee järjestelmiä. Teknologiaa kehitetään nyt entistä nopeammin. Sen myötä myös kyberuhkat ovat kasvaneet ja kyberhyökkäystekniikat kehittyneet. Vaikka teknologia on kehittynyt, niin ihminen on kuitenkin pysynyt samana. Ihminen voi olla välinpitämätön tai väsynyt ja on yleinen sanonta, että ”ihminen on tietoturvan heikoin lenkki”. Tietoturvan merkitys ei siis rajoitu pelkästään teknologiaan, vaan se sisältää myös prosessien, organisaatiokulttuurin ja ihmisten näkökulmat.
Tässä opinnäytetyössä tutkittiin ilmiötä, joka liittyy tietoturvaprosessien jalkauttamisen haasteisiin organisaatioissa. Organisaatioiden tietoturvatavoitteiden saavuttaminen voi epäonnistua esimerkiksi inhimillisen toiminnan, kuten ohjeiden noudattamattomuuden tai työntekijöiden huolimattomuuden takia. Tutkimuksessa kiinnitettiin erityistä huomiota teknisiin ja hallinnollisiin keinoihin näiden haasteiden ratkaisemiseksi. Opinnäytetyöllä oli kaksi tavoitetta, joista toinen oli kerätä ilmiöstä mahdollisimman paljon tietoa ja toinen kehittää näiden tietojen pohjalta toimintamalli, joka auttaisi organisaatioita tietoturvaprosessien jalkauttamisen suunnittelussa.
Opinnäytetyön teoreettisessa viitekehyksessä tutustuttiin ISO/IEC 27001 tietoturvastandardiin, tietoturvan hallintajärjestelmiin ja näihin kuuluviin elementteihin sekä organisaation tietoturvallisuuteen vaikuttaviin tekijöihin, kuten johtamiseen ja tietoturvakulttuuriin. Lisäksi perehdyttiin tietoturvakoulutuksiin sekä ihmisten tietoturvakäyttäytymiseen. Tutkimuksessa hyödynnettiin konstruktiivista tutkimusmenetelmää, jonka tavoitteena on luoda uutta tietoa ja kehittää uudenlainen ratkaisu käytännön ongelmaan. Empiiristä aineistoa kerättiin haastattelemalla tietoturvan jalkauttamiseen liittyen eri organisaatioiden asiantuntijoita heidän tietoturvaprosessien jalkauttamiseen liittyvistä kokemuksista. Empiirinen osio on otsikoitu vastaamaan teemoja, jotka nousivat esiin haastatteluista.
Opinnäytetyössä tunnistettiin useita jalkauttamiseen vaikuttavia tekijöitä. Teoreettisen ja empiirisen tiedon pohjalta rakennettiin toimintamalli, jonka tarkoituksena on helpottaa tietoturvaprosessien jalkauttamisen suunnitteluvaihetta. Malli perustuu tietoturvan prosessien käyttöönottoon vaikuttavien tekijöiden tunnistamiseen ja pyrkii minimoimaan epäonnistumisen riskit.
Tässä opinnäytetyössä tutkittiin ilmiötä, joka liittyy tietoturvaprosessien jalkauttamisen haasteisiin organisaatioissa. Organisaatioiden tietoturvatavoitteiden saavuttaminen voi epäonnistua esimerkiksi inhimillisen toiminnan, kuten ohjeiden noudattamattomuuden tai työntekijöiden huolimattomuuden takia. Tutkimuksessa kiinnitettiin erityistä huomiota teknisiin ja hallinnollisiin keinoihin näiden haasteiden ratkaisemiseksi. Opinnäytetyöllä oli kaksi tavoitetta, joista toinen oli kerätä ilmiöstä mahdollisimman paljon tietoa ja toinen kehittää näiden tietojen pohjalta toimintamalli, joka auttaisi organisaatioita tietoturvaprosessien jalkauttamisen suunnittelussa.
Opinnäytetyön teoreettisessa viitekehyksessä tutustuttiin ISO/IEC 27001 tietoturvastandardiin, tietoturvan hallintajärjestelmiin ja näihin kuuluviin elementteihin sekä organisaation tietoturvallisuuteen vaikuttaviin tekijöihin, kuten johtamiseen ja tietoturvakulttuuriin. Lisäksi perehdyttiin tietoturvakoulutuksiin sekä ihmisten tietoturvakäyttäytymiseen. Tutkimuksessa hyödynnettiin konstruktiivista tutkimusmenetelmää, jonka tavoitteena on luoda uutta tietoa ja kehittää uudenlainen ratkaisu käytännön ongelmaan. Empiiristä aineistoa kerättiin haastattelemalla tietoturvan jalkauttamiseen liittyen eri organisaatioiden asiantuntijoita heidän tietoturvaprosessien jalkauttamiseen liittyvistä kokemuksista. Empiirinen osio on otsikoitu vastaamaan teemoja, jotka nousivat esiin haastatteluista.
Opinnäytetyössä tunnistettiin useita jalkauttamiseen vaikuttavia tekijöitä. Teoreettisen ja empiirisen tiedon pohjalta rakennettiin toimintamalli, jonka tarkoituksena on helpottaa tietoturvaprosessien jalkauttamisen suunnitteluvaihetta. Malli perustuu tietoturvan prosessien käyttöönottoon vaikuttavien tekijöiden tunnistamiseen ja pyrkii minimoimaan epäonnistumisen riskit.