Tietoturvakulttuuri ja tietoturvaohjeistus
Koenkytö, Sanna (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025060921677
https://urn.fi/URN:NBN:fi:amk-2025060921677
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli tutkia kohdeyrityksen tietoturvakulttuuria ja tietoturvaohjeistuksen noudattamista sekä tutkimuksen pohjalta esittää kehittämisideoita yrityksen tietoturvakulttuurin parantamiseksi.
Kirjallisuuskatsauksen perusteella tutkimukselle luotiin teoreettinen viitekehys. Siinä kuvattiin, mitä tietoturvallisuudella tarkoitetaan, mihin tietoturvapolitiikkaa ja -ohjeistusta tarvitaan, sekä mikä vaikuttaa henkilön tietoturvaohjeistusten noudattamiseen. Lisäksi kuvattiin mitä tietoturvakulttuurilla tarkoitetaan ja miten sitä voidaan kehittää.
Tutkimuskysymykseen ”Millainen tietoturvakulttuuri yrityksessä on ja miten sitä voitaisiin kehittää?” haettiin vastausta koko kohdeyrityksen henkilöstölle suunnatulla sähköisellä kyselyllä. Kirjallisuuden avulla rakennettiin tutkimuksessa käytetty kyselylomake, joka koostui perustietojen kartoittamisen lisäksi kahdesta eri aihealueesta. Ensimmäinen aihealue kattoi tietoturvaohjeistuksen ja toisen aihealueen teemana oli vastaajan kokemukset kohdeyrityksen tietoturvakulttuurista.
Kyselyssä vastaajille esitettiin monivalintakysymyksiä, joista vastaajien tuli valita omaa käyttäytymistään tai mielipidettään kuvaava vaihtoehto. Lisäksi kyselyssä oli avoimia kysymyksiä. Kyselyn vastausten avulla selvitettiin henkilöstön käyttäytymistä sekä asennetta liittyen tietoturvaan ja yleistä ilmapiiriä koko kohdeyrityksessä tietoturvaan liittyen.
Tutkimuksen tulosten sekä viitekehyksen perusteella tehtiin johtopäätökset kohdeyrityksen tietoturvakulttuurista ja annettiin kehitysideoita sen parantamiseksi. Tutkimuksen tuloksesta oli havaittavissa, että kohdeyrityksen tietoturvakulttuuri on melko hyvä, mutta tietoturvaohjeistuksen käytännön noudattamisessa on puutteita. Tutkimuksen perusteella esitetyt kehitysideat luokiteltiin kolmeen osa-alueeseen: yritystason toimenpiteisiin, sosiologisiin tekijöihin sekä teknisiin toimenpiteisiin.
Kirjallisuuskatsauksen perusteella tutkimukselle luotiin teoreettinen viitekehys. Siinä kuvattiin, mitä tietoturvallisuudella tarkoitetaan, mihin tietoturvapolitiikkaa ja -ohjeistusta tarvitaan, sekä mikä vaikuttaa henkilön tietoturvaohjeistusten noudattamiseen. Lisäksi kuvattiin mitä tietoturvakulttuurilla tarkoitetaan ja miten sitä voidaan kehittää.
Tutkimuskysymykseen ”Millainen tietoturvakulttuuri yrityksessä on ja miten sitä voitaisiin kehittää?” haettiin vastausta koko kohdeyrityksen henkilöstölle suunnatulla sähköisellä kyselyllä. Kirjallisuuden avulla rakennettiin tutkimuksessa käytetty kyselylomake, joka koostui perustietojen kartoittamisen lisäksi kahdesta eri aihealueesta. Ensimmäinen aihealue kattoi tietoturvaohjeistuksen ja toisen aihealueen teemana oli vastaajan kokemukset kohdeyrityksen tietoturvakulttuurista.
Kyselyssä vastaajille esitettiin monivalintakysymyksiä, joista vastaajien tuli valita omaa käyttäytymistään tai mielipidettään kuvaava vaihtoehto. Lisäksi kyselyssä oli avoimia kysymyksiä. Kyselyn vastausten avulla selvitettiin henkilöstön käyttäytymistä sekä asennetta liittyen tietoturvaan ja yleistä ilmapiiriä koko kohdeyrityksessä tietoturvaan liittyen.
Tutkimuksen tulosten sekä viitekehyksen perusteella tehtiin johtopäätökset kohdeyrityksen tietoturvakulttuurista ja annettiin kehitysideoita sen parantamiseksi. Tutkimuksen tuloksesta oli havaittavissa, että kohdeyrityksen tietoturvakulttuuri on melko hyvä, mutta tietoturvaohjeistuksen käytännön noudattamisessa on puutteita. Tutkimuksen perusteella esitetyt kehitysideat luokiteltiin kolmeen osa-alueeseen: yritystason toimenpiteisiin, sosiologisiin tekijöihin sekä teknisiin toimenpiteisiin.