Tietoturvallisuuden tarkistuslista startup-yrityksille
Jämsén, Martta (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024052314789
https://urn.fi/URN:NBN:fi:amk-2024052314789
Tiivistelmä
Tietoturvallisuus on tärkeä ja ajankohtainen aihe, sillä sen rooli korostuu jatkuvasti digitaalisen yhteiskunnan ja liiketoiminnan kehittyessä. Jokaisen organisaation tulisi kiinnittää huomiota tietoturvallisuuteen, sillä se ei ainoastaan suojaa omaa toimintaa, vaan myös lisää luottamusta ulkoisissa toimijoissa, kuten yhteistyökumppaneissa ja asiakkaissa. Lisäksi tietoturvallisuus on elintärkeää kestävän digitalisaation edistämisessä, ja molempia aloja on yhdistettävä tavoitteiden saavuttamiseksi. Kyberturvallisuustoimenpiteet ovat avainasemassa kestävän kehityksen tavoitteiden saavuttamisessa, koska ne tehostavat talouskasvua, edistävät sosiaalista osallisuutta ja turvaavat ympäristön kestävyyden. Tämä opinnäytetyö käsittelee tietoturvallisuutta startup-yrityksen näkökulmasta. Toiminnallisessa opinnäytetyössä kartoitettiin ravintola-alan startup-yrityksen tietoturvallisuuden nykytilaa, tutustuttiin yrityksen tietoturvallisuuteen kirjallisuuskatsauksen avulla ja tehtiin näiden pohjalta tietoturvallisuuden tarkistuslista.
Opinnäytetyön tietoperustassa pyrittiin avaamaan kaikki työhön liittyvät käsitteet relevanttien lähteiden avulla. Aluksi esitellään tietoturvallisuuden perustaa ja sen jälkeen juuri yrityksen tai tässä tapauksessa startup-yrityksen tietoturvallisuuden kannalta tärkeitä käsitteitä. Kaikki aiheet liittyvät siihen, mitä nuoressa ja nopeasti kasvavassa yrityksessä koettiin tällä hetkellä tai lähitulevaisuudessa olennaisiksi tietoturvallisuuden kehityskohteiksi. Teoriaa varten pyrittiin hyödyntämään erilaisia lähteitä, jotka ovat suhteellisen tuoreita. Kirjallisuuden lisäksi listaa laadittaessa tutustuttiin ISO 27001 tietoturvastandardin ja hyödynnettiin jaottelussa sen osa-alueita. Osa-alueissa keskityttiin erityisesti toimeksiantoyrityksen tärkeimmiksi kokemiin osa-alueisiin, jotka olivat henkilöstöresurssien turvallisuus sekä kulunvalvonta.
Toiminnallisessa osuudessa laadittiin tietoturvallisuuden parantamista helpottavan tarkistuslistan startup-yrityksille. Tarkoituksena oli laatia sellainen tuotos, josta on käytännön hyötyä toimeksiantajayritykselle sekä muille nuorille yrityksille, joissa ei olla vielä kiinnitetty erityistä huomiota tietoturvallisuuteen. Työ koettiin kohdeyrityksessä tärkeäksi ja sitä varten perustettiin työryhmä, jonka tehtävänä oli selvittää mihin tietoturvallisuuden osa-alueisiin kannattaisi keskittyä. Työssä hyödynnettiin kirjallisuuskatsausta sekä aikaisempaa osaamista ja kokemuksia rajaamaan käsiteltävät aiheet järkevän kokoiseksi kokonaisuudeksi. Tuloksena syntyi kymmenen kohdan tarkistuslista tietoturvallisuuden asioista, joihin nuoren yrityksen kannattaisi kiinnittää huomiota ja joista tietoturvallisuuden parantaminen on hyvä aloittaa. Listan kohdat valittiin ensijaisesti toimeksiantoyrityksen näkökulmasta, mutta kuitenkin sitä silmällä pitäen, että listasta olisi hyötyä myös muille samassa vaiheessa oleville yrityksille. Tietosuoja, henkilöstön kouluttaminen, salasanakäytännöt sekä ulkoisiin uhkiin varautuminen ovat teemoja, jotka koskettavat kaikkia yrityksiä. Tietoturvallisuuden tarkistuslista on kompakti paketti, josta kuka vain voi aloittaa oman yrityksensä tietoturvallisuuden parantamisen.
Opinnäytetyön tietoperustassa pyrittiin avaamaan kaikki työhön liittyvät käsitteet relevanttien lähteiden avulla. Aluksi esitellään tietoturvallisuuden perustaa ja sen jälkeen juuri yrityksen tai tässä tapauksessa startup-yrityksen tietoturvallisuuden kannalta tärkeitä käsitteitä. Kaikki aiheet liittyvät siihen, mitä nuoressa ja nopeasti kasvavassa yrityksessä koettiin tällä hetkellä tai lähitulevaisuudessa olennaisiksi tietoturvallisuuden kehityskohteiksi. Teoriaa varten pyrittiin hyödyntämään erilaisia lähteitä, jotka ovat suhteellisen tuoreita. Kirjallisuuden lisäksi listaa laadittaessa tutustuttiin ISO 27001 tietoturvastandardin ja hyödynnettiin jaottelussa sen osa-alueita. Osa-alueissa keskityttiin erityisesti toimeksiantoyrityksen tärkeimmiksi kokemiin osa-alueisiin, jotka olivat henkilöstöresurssien turvallisuus sekä kulunvalvonta.
Toiminnallisessa osuudessa laadittiin tietoturvallisuuden parantamista helpottavan tarkistuslistan startup-yrityksille. Tarkoituksena oli laatia sellainen tuotos, josta on käytännön hyötyä toimeksiantajayritykselle sekä muille nuorille yrityksille, joissa ei olla vielä kiinnitetty erityistä huomiota tietoturvallisuuteen. Työ koettiin kohdeyrityksessä tärkeäksi ja sitä varten perustettiin työryhmä, jonka tehtävänä oli selvittää mihin tietoturvallisuuden osa-alueisiin kannattaisi keskittyä. Työssä hyödynnettiin kirjallisuuskatsausta sekä aikaisempaa osaamista ja kokemuksia rajaamaan käsiteltävät aiheet järkevän kokoiseksi kokonaisuudeksi. Tuloksena syntyi kymmenen kohdan tarkistuslista tietoturvallisuuden asioista, joihin nuoren yrityksen kannattaisi kiinnittää huomiota ja joista tietoturvallisuuden parantaminen on hyvä aloittaa. Listan kohdat valittiin ensijaisesti toimeksiantoyrityksen näkökulmasta, mutta kuitenkin sitä silmällä pitäen, että listasta olisi hyötyä myös muille samassa vaiheessa oleville yrityksille. Tietosuoja, henkilöstön kouluttaminen, salasanakäytännöt sekä ulkoisiin uhkiin varautuminen ovat teemoja, jotka koskettavat kaikkia yrityksiä. Tietoturvallisuuden tarkistuslista on kompakti paketti, josta kuka vain voi aloittaa oman yrityksensä tietoturvallisuuden parantamisen.