Development of Cyberattack Scenario Guideline Based on ISO 31000 Principles
Porkka, Jerinja (2024)
2024
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2024122238041
https://urn.fi/URN:NBN:fi:amk-2024122238041
Tiivistelmä
Nykypäivän digitaalisessa toimintaympäristössä organisaatiot kohtaavat kasvavia kyberuhkia, jotka voivat häiritä toimintaa, vaarantaa tietoja ja heikentää mainetta. Näiden riskien hallinta ja resilienssin vahvistaminen edellyttävät ennakoivia toimia. Tämä opinnäytetyö, joka on osa Erasmus+-ohjelman rahoittamaa kansainvälistä SECUREU-yhteistyöprojektia, kehittää työkaluja kyberturvallisuuden parantamiseksi kyberhyökkäysskenaarioiden avulla.
Tavoitteena on laatia ohjeistus ja malli, jotka auttavat organisaatioita tunnistamaan uhkia, arvioimaan haavoittuvuuksia ja suunnittelemaan tehokkaita vastatoimenpiteitä. Ohjeistus pohjautuu ISO 31000 -standardeihin, ja sen soveltuvuutta eri kokoisiin organisaatioihin on varmistettu yhteistyössä SECUREU-projektitiimin ja alan asiantuntijoiden kanssa. Testausvaiheessa kerätty palaute paransi työkalujen käytettävyyttä ja käytännönläheisyyttä.
Työssä yhdistettiin teoreettisia viitekehyksiä, asiantuntijapalautetta ja todellisia esimerkkejä, kuten WannaCry-haittaohjelmahyökkäys. Tulokset korostavat standardoitujen lähestymistapojen ja käytännön oppien yhdistämistä tehokkaiden koulutus- ja riskienhallintatyökalujen kehittämisessä.
Päätelmät korostavat myös työkalujen joustavuutta ja niiden soveltuvuutta erityyppisiin organisaatioihin, mukaan lukien resurssirajoitteiset pienet yritykset. Lisäksi työssä painotetaan kyberturvallisuustietoisuuden vahvistamista säännöllisen harjoittelun ja sidosryhmien välisen yhteistyön kautta.
Tämä opinnäytetyö yhdistää teoreettiset käsitteet ja käytännön sovellukset ja tarjoaa konkreettisia työkaluja organisaatioille, jotka haluavat parantaa resilienssiään ja tehdä tietoon perustuvia päätöksiä nopeasti muuttuvassa uhkaympäristössä. In today’s digital landscape, organizations face escalating cyberattacks that disrupt operations, compromise data, and damage reputations. Proactive preparation is essential to mitigate these risks and enhance resilience. This thesis, commissioned by the SECUREU project, a collaborative Erasmus+ initiative to advance security and risk management education, develops tools to strengthen cybersecurity preparedness through the creation of cyberattack scenarios.
The objective is to provide a structured guideline and template for crafting scenarios that help organizations identify threats, evaluate vulnerabilities, and develop effective responses. The guidelines align with ISO 31000, ensuring broad applicability, and were piloted with the SECUREU project team. Feedback from information security professionals was incorporated to enhance practical relevance.
Using framework analysis and insights from real-world incidents like the WannaCry ransomware attack, the thesis delivers tools for systematic risk identification and management. The findings emphasize the importance of integrating standardized approaches with real-world insights and fostering a cybersecurity-aware culture through training and stakeholder collaboration. Recommendations highlight the adaptability of these tools for diverse organizational contexts, including resource-challenged environments.
In conclusion, this thesis bridges theoretical concepts and practical applications, contributing to cybersecurity education and preparedness. It provides actionable tools to help organizations navigate today’s dynamic threat landscape, promoting resilience and informed decision-making.
Tavoitteena on laatia ohjeistus ja malli, jotka auttavat organisaatioita tunnistamaan uhkia, arvioimaan haavoittuvuuksia ja suunnittelemaan tehokkaita vastatoimenpiteitä. Ohjeistus pohjautuu ISO 31000 -standardeihin, ja sen soveltuvuutta eri kokoisiin organisaatioihin on varmistettu yhteistyössä SECUREU-projektitiimin ja alan asiantuntijoiden kanssa. Testausvaiheessa kerätty palaute paransi työkalujen käytettävyyttä ja käytännönläheisyyttä.
Työssä yhdistettiin teoreettisia viitekehyksiä, asiantuntijapalautetta ja todellisia esimerkkejä, kuten WannaCry-haittaohjelmahyökkäys. Tulokset korostavat standardoitujen lähestymistapojen ja käytännön oppien yhdistämistä tehokkaiden koulutus- ja riskienhallintatyökalujen kehittämisessä.
Päätelmät korostavat myös työkalujen joustavuutta ja niiden soveltuvuutta erityyppisiin organisaatioihin, mukaan lukien resurssirajoitteiset pienet yritykset. Lisäksi työssä painotetaan kyberturvallisuustietoisuuden vahvistamista säännöllisen harjoittelun ja sidosryhmien välisen yhteistyön kautta.
Tämä opinnäytetyö yhdistää teoreettiset käsitteet ja käytännön sovellukset ja tarjoaa konkreettisia työkaluja organisaatioille, jotka haluavat parantaa resilienssiään ja tehdä tietoon perustuvia päätöksiä nopeasti muuttuvassa uhkaympäristössä.
The objective is to provide a structured guideline and template for crafting scenarios that help organizations identify threats, evaluate vulnerabilities, and develop effective responses. The guidelines align with ISO 31000, ensuring broad applicability, and were piloted with the SECUREU project team. Feedback from information security professionals was incorporated to enhance practical relevance.
Using framework analysis and insights from real-world incidents like the WannaCry ransomware attack, the thesis delivers tools for systematic risk identification and management. The findings emphasize the importance of integrating standardized approaches with real-world insights and fostering a cybersecurity-aware culture through training and stakeholder collaboration. Recommendations highlight the adaptability of these tools for diverse organizational contexts, including resource-challenged environments.
In conclusion, this thesis bridges theoretical concepts and practical applications, contributing to cybersecurity education and preparedness. It provides actionable tools to help organizations navigate today’s dynamic threat landscape, promoting resilience and informed decision-making.