Ulkoistetun tietoturvavalvomopalvelun tavoitteet, vaatimusmäärittely ja käyttöönoton vaiheistus
Pietikäinen, Jarmo (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202404278104
https://urn.fi/URN:NBN:fi:amk-202404278104
Tiivistelmä
Globaalin toimintaympäristön muuttuminen ja digitalisaation edistyminen ovat kasvattaneet turvallisuusuhkia. Digitaalisesta turvallisuudesta huolehtiminen edellyttää organisaatiossa riskienhallinnan, jatkuvuudenhallinnan, tietoturvallisuuden, kyberturvallisuuden ja tietosuojan sekä informaatioturvallisuuden toteuttamista vaatimustenmukaisesti kaikessa toiminnassa.
Tämän konstruktiivisena tapaustutkimuksena toteutetun tutkimus- ja kehittämistyön tavoitteena on kehittää kohdeorganisaation ulkoistettavalle tietoturvavalvomopalvelulle tavoitteet, vaatimusmäärittely ja käyttöönoton vaiheistus.
Tutkimus toteutettiin osana kohdeorganisaation ulkoistettavan palvelun hankintaa, jolloin kyseessä on työelämälähtöisen kehittämistehtävän tutkimusmenetelmä. Kehittämisvaiheen aikana hyödynnettiin toimintatutkimuksen menetelmiä, minkä tuotoksina syntyi mm. ulkoistetun SOCin vaatimusmäärittely dokumentit. Tässä tutkimuksessa tutkimusmenetelmäksi valittiin tapaustutkimus, jolloin kuvattiin, miten asiat on esitetty nykyisen ulkoistetun SOC-palvelun hankinnan osalta ja miten sitä tulisi kehittää.
Tutkimuksen keskeisiä tuloksia ovat ulkoistusstrategian laatimisen tarve ja organisaation ja palvelun kypsyyden arviointi sekä kolmitasoisen hankintamallin kehittäminen. Lisäksi keskeistä palvelun ulkoistamisessa on tavoitteiden ja vaatimusten määrittely. Niissä sovellettiin mm. NIST CSF -viitekehysmallia ja Vasellan kypsyysmallia. Käyttöönoton vaiheistamiseksi laadittiin lista toimenpiteistä.
Keskeisimmät johtopäätökset liittyvät organisaation kypsyystason merkitykseen, määrittelyn merkityksen korostumiseen, resurssien osoittamisen tarpeellisuuteen ja toimijoiden valtuuttamiseen.
Tämän konstruktiivisena tapaustutkimuksena toteutetun tutkimus- ja kehittämistyön tavoitteena on kehittää kohdeorganisaation ulkoistettavalle tietoturvavalvomopalvelulle tavoitteet, vaatimusmäärittely ja käyttöönoton vaiheistus.
Tutkimus toteutettiin osana kohdeorganisaation ulkoistettavan palvelun hankintaa, jolloin kyseessä on työelämälähtöisen kehittämistehtävän tutkimusmenetelmä. Kehittämisvaiheen aikana hyödynnettiin toimintatutkimuksen menetelmiä, minkä tuotoksina syntyi mm. ulkoistetun SOCin vaatimusmäärittely dokumentit. Tässä tutkimuksessa tutkimusmenetelmäksi valittiin tapaustutkimus, jolloin kuvattiin, miten asiat on esitetty nykyisen ulkoistetun SOC-palvelun hankinnan osalta ja miten sitä tulisi kehittää.
Tutkimuksen keskeisiä tuloksia ovat ulkoistusstrategian laatimisen tarve ja organisaation ja palvelun kypsyyden arviointi sekä kolmitasoisen hankintamallin kehittäminen. Lisäksi keskeistä palvelun ulkoistamisessa on tavoitteiden ja vaatimusten määrittely. Niissä sovellettiin mm. NIST CSF -viitekehysmallia ja Vasellan kypsyysmallia. Käyttöönoton vaiheistamiseksi laadittiin lista toimenpiteistä.
Keskeisimmät johtopäätökset liittyvät organisaation kypsyystason merkitykseen, määrittelyn merkityksen korostumiseen, resurssien osoittamisen tarpeellisuuteen ja toimijoiden valtuuttamiseen.