Hallinnollisen kyberturvallisuuden keskeiset suuntaviivat

Abstract

Kyberturvallisuuden merkitys maailmanlaajuisesti on kasvanut huomattavasti viime vuosina. Kyberturvallisuuteen liittyvää materiaalia on paljon saatavilla, mutta suurien tietomäärien vuoksi aiheellista informaatiota voi olla hankala löytää. Opinnäytetyön tavoite oli koota hallinnollisen kyberturvallisuuden pääsääntöiset suuntaviivat ja periaatteet, joiden tuella organisaatiot voivat muodostaa heille keskeisiin aihealueisiin hallintomalleja, prosesseja ja ohjeistuksia. Työn toimeksiantajana toimi Tampereen ammattikorkeakoulu.

Opinnäytetyön sisältö koostui kolmesta keskeisestä strategisesta aihealueesta: tietoturvapolitiikasta, tietoturvan hallintajärjestelmästä ja tietoturvaohjeista. Aihealueet jaettiin edelleen pienempiin osa-alueisiin, jossa syvällisemmin tarkasteltiin, mistä kokonaisuudet rakentuvat. Hallinnollisen kyberturvallisuuden aihealueiden kuvaukset toteutettiin yleistasolla, huomioimatta organisaatioiden toimintaympäristöjen tuomia erityspiirteitä, jotta organisaatioiden olisi helpompi implementoida nämä, mahdollistaen myös aihealueiden jatkokehityksen.

Teoriapohjana opinnäytetyöhön toimi internetistä löytyvä materiaali hallinnollisesta kybertuvallisuudesta. Työssä hyödynnettiin laajalti myös tekijän ammattitaitoa kyberturvallisuuden alalta, sekä työn sisällöstä ja aihealueista kerättiin kommentteja alan asiantuntijoilta. Opinnäytetyön keskeisten havaintojen perusteella voidaan sanoa hallinnollisen kyberturvallisuuden keskeisten suuntaviivojen muodostuvan muun muassa tietoturvapolitiikasta, tietoturvan hallintajärjestelmästä ja tietoturvaohjeista, joiden toimivuus pohjautuu strategiseen johtamiseen, säännölliseen seurantaan ja tiedon saavutettavuuteen.

In recent years the importance of cybersecurity has significantly grown globally. There is a great amount of material available regarding cybersecurity, but due to the large amount, it can be difficult to find relevant information, and the information becomes scattered. The aim of the thesis was to compile the main guidelines and principles of administrative information security, based on which organizations can form policies, governance models, processes and instructions in key subject areas for them. The work was commissioned by Tampere University of Applied Sciences.

The content of the thesis consisted of three strategic principles: the information security policy, the information security management system, and the cybersecurity guidelines. The main subject areas were subdivided into smaller sections, in which a more in-depth examination was conducted of what the principles consist of. The subject areas of administrative information security in the thesis were accomplished at a general level, without considering the specific characteristics of organisations operational environments. This enables organizations to implement them in their business environment, also allowing further development of the subject areas.

The theoretical basis for the thesis was the material found on the internet regarding administrative information security. The thesis also utilized the author’s expertise in the field of cybersecurity and notes collected from experts in the field. Based on the main findings of the thesis, it can be stated that the key guidelines for administrative cybersecurity consists of an information security policy, an information security management system and cybersecurity guidelines, whose effectiveness is based on strategic management, continuous monitoring, and the accessibility of information.