Defining Lean ISMS processes: case Fimlab

Abstract

Tutkimus suoritettiin, jotta voitiin selvittää tapausorganisaation kontrolleja sekä prosesseja Lean-prosessioptimoinnin näkökulmasta. Tapausorganisaatio oli läpikäymässä suurta ICT-muutosprojektia, mikä aiheutti tarpeen tutkia olemassa olevia kyberturvallisuuden hallintakeinoja ja arvioida, tarvittiinko lisäoptimointia. Tämän tutkimuksen tavoitteet kattoivat useita keskeisiä alueita. Ensinnäkin pyrittiin tunnistamaan ja arvioimaan tapausorganisaation tietoturvan hallintajärjestelmän (ISMS) prosesseja, kohdistettuna erityisesti parannusta vaativien alueiden kyberturvallisuuden tehostamiseksi. Toiseksi tutkimuksen tavoitteena oli tunnistaa ja analysoida näiden ISMS-prosessien erityiset ongelmakohdat ja luoda mahdollisuuksia prosessien optimoinnille. Kolmanneksi tutkimuksessa pyrittiin tutkimaan Lean-periaatteiden soveltamista ISMS-prosesseihin, selvittäen menetelmiä toimintojen tehostamiseksi ja tehokkuuden parantamiseksi. Lopuksi tavoitteena oli kehittää toimivia strategioita näiden Lean-ajattelumenetelmien soveltamiseksi ISMS-prosesseihin, tarjoten mahdollisia ratkaisuja tunnistettuihin ongelmiin ja yleiseen parannukseen valituissa kyberturvallisuusprosesseissa. Rakentava tutkimuslähestymistapa hyödynsi monimenetelmäisiä tutkimusmenetelmiä, yhdistäen laadullisia ja määrällisiä tapoja tiedon keräämiseksi ja analysoimiseksi. PRISMA (Preferred Reporting Items for Systematic Reviews and Meta-Analyses) -viitekehystä sovellettiin systemaattisen kirjallisuuskatsauksen suorittamiseen. Tiedon keräämiseksi organisaation avainhenkilöiltä järjestettiin sidosryhmien työpajahaastatteluja. Näistä haas-tatteluista saatu laadullinen data kvantifioitiin kehitetyn koodausjärjestelmän avulla, mikä mahdollisti työpajadatan systemaattisen analysoinnin ja tulkinnan. Lopuksi käytettiin arvovirtakartoitusmenetelmää ISMS:ään liittyvien prosessien visualisoimiseksi ja analysoimiseksi organisaatiossa. Erilaisia tutkimusmenetelmiä soveltamalla tutkimus pystyi trianguloimaan tietoja useista lähteistä. Tutkimuksessa tunnistettiin onnistuneesti kategoria hallintakeinoja ja prosesseja, jotka vaativat optimointia tapausorganisaation kohtaamien tietoturvauhkien osalta. Tutkimus pystyi soveltamaan useita keskeisiä Lean-ajattelun periaatteita valittuihin prosesseihin, pyrkien tehostamaan toimintaa, virtaviivaistamaan prosesseja ja parantamaan kyberturvauhkiin liittyvää tehokkuutta. Tulosten perusteella voidaan päätellä, että Lean-tekniikoita hyödyntävä prosessien optimointi on varteenotettava ratkaisu tehokkuuden ja vaikuttavuuden parantamiseksi tietoturvahaasteiden käsittelyssä tapausorganisaatiossa.

A study was conducted to investigate case organizations controls and processes for Lean process optimization. The case organization was going through major ICT transformation project which caused the need to examine the existing cybersecurity controls and assess if further optimization was needed. The objective of this research encompassed several key areas. Firstly, the target was to identify and evaluate the processes within the Information Security Management System (ISMS) of the case organization, with a specific focus on determining areas requiring improvement to enhance cybersecurity. Secondly, the research aimed to identify and analyze the specific problem points within these ISMS processes, establishing opportunities for process optimization. Thirdly, the study sought to explore the application of Lean thinking principles to the ISMS processes, investigating methods to streamline operations and improve efficiency. Finally, the objective was to develop actionable strategies for the implementation of these lean thinking methodologies within the ISMS processes, providing possible solutions to identified issues and the overall improvement for selected cybersecurity processes. The constructive research approach employed mixed methods, combining qualitative and quantitative techniques to gather and analyze data. Applied PRISMA (Preferred Reporting Items for Systematic Reviews and Meta-Analyses) framework provided a structure to conduct a systematic review of existing literature. Stakeholder workshop interviews were conducted to gather data from key individuals within the organization. Qualitative data obtained from these interviews was quantified using a developed coding scheme, allowing for systematic analysis and interpretation of the workshop data. Finally, a value stream mapping technique was utilized to visualize and analyze the end-to-end processes related to the Information Security Management System (ISMS) within the organization. By applying mixed methods in the research approach, the research was able to triangulate data from multiple sources. The study successfully identified a category of controls and processes requiring optimization related to information security threats faced in the case organization. The research was able to apply several key Lean thinking principles to the selected processes, aiming to enhance efficiency, streamline operations, and improve cybersecurity threat mitigation efficiency. Based on the findings, it can be concluded that process optimization utilizing lean techniques presents a viable solution for enhancing efficiency and effectiveness in addressing information security challenges within the case organization.