Kyber- ja tietoturvallisuus palkkahallinnossa
Helin, Sini (2025)
Helin, Sini
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202504287903
https://urn.fi/URN:NBN:fi:amk-202504287903
Tiivistelmä
Opinnäytetyössä tarkasteltiin kyber- ja tietoturvauhkia palkkahallinnon näkökulmasta organisaatio X:ssä. Työn taustalla oli tarve ymmärtää, miten palkkahallinnon sensitiivistä tietoa, kuten henkilötietoja, palkka- ja verotietoja, voidaan suojata yhä monimuotoisempia kyberuhkia vastaan. Kyberturvallisuus on kasvava osa organisaatioiden riskienhallintaa, ja erityisesti palkkahallinto on kriittinen toiminto, joka vaatii erityistä huomiota tietoturvassa. Työn tavoitteena oli selvittää, mitkä ovat organisaation palkkahallintoon kohdistuvat kyber- ja tietoturvauhat, miten niihin on varauduttu ja miten prosesseja voidaan kehittää turvallisemmiksi. Työ rajattiin koskemaan vain palkkahallinnon prosesseja eikä laajennettu koko organisaation kyberturvallisuuteen.
Tietoperusta rakentui ajankohtaiseen kirjallisuuteen, viranomaislähteisiin, kansainvälisiin tietoturvastandardeihin sekä voimassa olevaan lainsäädäntöön, kuten EU:n tietosuoja-asetukseen ja kyberturvallisuusdirektiiveihin. Tietoperustan keskiössä olivat kyber- ja tietoturvan peruskäsitteet, tietojenkalastelu, haittaohjelmat, palvelunestohyökkäykset sekä henkilötietojen suojaamiseen liittyvät vaatimukset. Lisäksi tarkasteltiin palkkahallinnon erityispiirteitä ja sen roolia osana organisaation kriittisiä toimintoja.
Tutkimus toteutettiin laadullisena tapaustutkimuksena, jossa yhdistyivät kirjallisuuskatsaus ja osallistuva havainnointi työpaikalla. Aineistoa kerättiin tarkastelemalla organisaation nykyisiä toimintamalleja ja niiden kykyä vastata kyber- ja tietoturvauhkien haasteisiin. Tuloksista ilmeni, että suurimmat riskit liittyivät tietojenkalasteluun, henkilöstön puutteelliseen tietoturvaosaamiseen sekä epäselviin prosesseihin. Kehitysehdotuksina esitettiin muun muassa koulutusten tehostamista, viestinnän parantamista sekä teknisten suojakeinojen päivittämistä. Työssä hyödynnettiin myös Traficomin Kybermittari-työkalua, joka osoitti organisaation olevan kyberturvallisuuden kypsyystasolla nolla. Päätelmänä voidaan todeta, että palkkahallinnon kyberturva on parannettavissa järjestelmällisillä toimenpiteillä ja että sen vahvistaminen hyödyttää koko organisaatiota.
Tietoperusta rakentui ajankohtaiseen kirjallisuuteen, viranomaislähteisiin, kansainvälisiin tietoturvastandardeihin sekä voimassa olevaan lainsäädäntöön, kuten EU:n tietosuoja-asetukseen ja kyberturvallisuusdirektiiveihin. Tietoperustan keskiössä olivat kyber- ja tietoturvan peruskäsitteet, tietojenkalastelu, haittaohjelmat, palvelunestohyökkäykset sekä henkilötietojen suojaamiseen liittyvät vaatimukset. Lisäksi tarkasteltiin palkkahallinnon erityispiirteitä ja sen roolia osana organisaation kriittisiä toimintoja.
Tutkimus toteutettiin laadullisena tapaustutkimuksena, jossa yhdistyivät kirjallisuuskatsaus ja osallistuva havainnointi työpaikalla. Aineistoa kerättiin tarkastelemalla organisaation nykyisiä toimintamalleja ja niiden kykyä vastata kyber- ja tietoturvauhkien haasteisiin. Tuloksista ilmeni, että suurimmat riskit liittyivät tietojenkalasteluun, henkilöstön puutteelliseen tietoturvaosaamiseen sekä epäselviin prosesseihin. Kehitysehdotuksina esitettiin muun muassa koulutusten tehostamista, viestinnän parantamista sekä teknisten suojakeinojen päivittämistä. Työssä hyödynnettiin myös Traficomin Kybermittari-työkalua, joka osoitti organisaation olevan kyberturvallisuuden kypsyystasolla nolla. Päätelmänä voidaan todeta, että palkkahallinnon kyberturva on parannettavissa järjestelmällisillä toimenpiteillä ja että sen vahvistaminen hyödyttää koko organisaatiota.