Organisaation tietoturvallisuus toimittajasuhteissa: Riskien arviointi ja IoT-toimittajan vastuut
Virta, Maija (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202404247486
https://urn.fi/URN:NBN:fi:amk-202404247486
Tiivistelmä
Digita Oy operoi koko Suomen laajuisesti televisio- ja radioverkkoa ja on maan suurin riippumaton tietoliikennemastojen omistaja. Yhtiö on keskeinen osa Suomen huoltovarmuutta ja tarjoaa lisäksi nykyaikaisia teknologiapalveluita, kuten konesali- ja IoT-palveluita. Digita on sitoutunut kehittämään tietoturvallisuuden hallintajärjestelmäänsä Broadcasting- ja Telecom-pääliiketoiminta alueillaan.
Opinnäytetyön tavoitteena oli kehittää työn toimeksiantajan Digita Oy:n tietoturvallisuuden hallintajärjestelmää IoT-liiketoiminnan osalta, keskittyen erityisesti toimittajasuhteiden tietoturvallisuuteen. Tutkimuksen ensisijaisena päämääränä oli luoda toimittajan riskien arviointilomake organisaation käyttöön. Lomakkeen luomiseksi tutkimuksen ensimmäisenä tavoitteena oli tutkia toimittajasopimuksia ja niihin liittyviä tietoturvavaatimuksia. Tarvittavan taustatiedon saamiseksi tutkimus toteutettiin monimenetelmällisenä, yhdistäen sekä laadullista että määrällistä tutkimusta.
Laadullinen tutkimus toteutettiin teemahaastatteluna IoT-toimittajalle, jonka perusteella pyrittiin tarkastelemaan toimittajasopimuksen tietoturvallisuusvaatimusten täyttymistä sekä niiden päivittämisen tarvetta. Määrällinen tutkimus toteutettiin verkkokyselynä Digita Oy:ssä sisäisesti, jossa analysoitiin organisaation hankintaprosessin nykytilaa toimittajien riskien arvioinnin osalta.
Työn tuloksena havaittiin useita kehityskohteita, erityisesti organisaation sisäisen kyselyn perusteella toimittajahankinnan prosessin aktiiviseen seurantaan ja ylläpitämiseen liittyen. Tuloksissa ilmeni, että tietoturvakriittisiltä toimittajilta puuttui sopimuksesta tärkeitä tietoturvallisuusvaatimuksiin liittyviä liitteitä. Merkittävimpinä kehitystoimenpiteinä esitettiin yli kaksi vuotta vanhojen toimittajasopimusten tietoturvavaatimusten tarkastelua sekä IoT-toimittajan toimittajasopimuksen päivittämistä tietoturvavaatimuksien osalta.
Tutkimuksen lopputuloksena kehitettiin opinnäytetyöhön lisäarvoa tuottava toimittajan riskien arviointilomake, jonka avulla organisaatio voi tehokkaammin arvioida toimittajien tietoturvallisuutta ja riskejä. Lomake on kehitetty laadullisen ja määrällisen tutkimuksen tulosten pohjalta.
Opinnäytetyön tavoitteena oli kehittää työn toimeksiantajan Digita Oy:n tietoturvallisuuden hallintajärjestelmää IoT-liiketoiminnan osalta, keskittyen erityisesti toimittajasuhteiden tietoturvallisuuteen. Tutkimuksen ensisijaisena päämääränä oli luoda toimittajan riskien arviointilomake organisaation käyttöön. Lomakkeen luomiseksi tutkimuksen ensimmäisenä tavoitteena oli tutkia toimittajasopimuksia ja niihin liittyviä tietoturvavaatimuksia. Tarvittavan taustatiedon saamiseksi tutkimus toteutettiin monimenetelmällisenä, yhdistäen sekä laadullista että määrällistä tutkimusta.
Laadullinen tutkimus toteutettiin teemahaastatteluna IoT-toimittajalle, jonka perusteella pyrittiin tarkastelemaan toimittajasopimuksen tietoturvallisuusvaatimusten täyttymistä sekä niiden päivittämisen tarvetta. Määrällinen tutkimus toteutettiin verkkokyselynä Digita Oy:ssä sisäisesti, jossa analysoitiin organisaation hankintaprosessin nykytilaa toimittajien riskien arvioinnin osalta.
Työn tuloksena havaittiin useita kehityskohteita, erityisesti organisaation sisäisen kyselyn perusteella toimittajahankinnan prosessin aktiiviseen seurantaan ja ylläpitämiseen liittyen. Tuloksissa ilmeni, että tietoturvakriittisiltä toimittajilta puuttui sopimuksesta tärkeitä tietoturvallisuusvaatimuksiin liittyviä liitteitä. Merkittävimpinä kehitystoimenpiteinä esitettiin yli kaksi vuotta vanhojen toimittajasopimusten tietoturvavaatimusten tarkastelua sekä IoT-toimittajan toimittajasopimuksen päivittämistä tietoturvavaatimuksien osalta.
Tutkimuksen lopputuloksena kehitettiin opinnäytetyöhön lisäarvoa tuottava toimittajan riskien arviointilomake, jonka avulla organisaatio voi tehokkaammin arvioida toimittajien tietoturvallisuutta ja riskejä. Lomake on kehitetty laadullisen ja määrällisen tutkimuksen tulosten pohjalta.