Teknologian rooli tietoturvakäytäntöjen toteutumisen tukena
Suomalainen, Aino (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025121637003
https://urn.fi/URN:NBN:fi:amk-2025121637003
Tiivistelmä
Tietoturvauhkien määrä kasvaa kovaa vauhtia ja uusia hyökkäystapoja kehi
tellään jatkuvasti. Siksi muun muassa Euroopan unionin uusi kyberturvalli
suusdirektiivi NIS2 velvoittaa organisaatioita kehittämään tietoturvakäytäntö
jen toteuttamista. Tutkimuksessa selvitetään, miten erilaisia teknologioita voisi
paremmin alkaa valjastaa tietoturvakäytäntöjen toteuttamisen helpottamiseen.
Tutkimuksen toimeksiantajana toimii Kaakkois-Suomen ammattikorkeakoulu.
Opinnäytetyön tavoitteena on kartoittaa, millaisia teknologisia ratkaisuja orga
nisaatioissa nykyään hyödynnetään ja tuoda esille sellaisia ratkaisuja, jotka
voisivat toimia kehitysehdotuksina sellaisissa organisaatioissa, joissa tietotur
vakäytäntöjen toteuttamista pitää vielä suunnitella.
Teoriaosuudessa käsiteltiin joitakin yleisimpiä käytössä olevia teknologioita ja
pohdittiin sitä, mitä kaikkea teknologian avulla mahdollisesti voitaisiin tehdä
helpottaaksemme tietoturvakäytäntöjen toteutumista. Lisäksi tarkasteltiin inhi
millisten virheiden roolia tietoturvakäyttäytymiseen ja yleisiin kyberhyökkäyk
siin liittyen. Viimeisenä teoriaosuudessa tutustuttiin aiemmista aiheeseen liitty
vistä tutkimuksista esiin nousseisiin keskeisiin teemoihin.
Tutkimus toteutettiin kehittämistutkimuksena, jossa hyödynnettiin sekä mää
rällisen että laadullisen tutkimuksen menetelmiä. Tutkimusaineisto kerättiin ky
selyn avulla, johon vastasi 113 ihmistä erikokoisista ja eri toimialoja edusta
vista organisaatioista. Varsinaista kohderyhmää eri määritelty, jotta mahdolli
sesti saataisiin erilaisia näkökulmia esiin. Monivalintakysymykset analysoitiin
tilastollisesti laskemalla frekvenssit ja prosenttiosuudet. Avoimien kysymysten
vastaukset taas analysoitiin laadullisesti jaottelemalla niitä teemoihin.
Kyselyn tulosten perusteella jo nyt käytössä olevia teknologisia ratkaisuja, joi
den tarkoitus on auttaa tietoturvakäytäntöjen toteutumisessa, on useita erilai
sia. Näiden ratkaisujen koetaan pääosin olevan sovitettu hyvin osaksi organi
saatioiden arkea, jolloin ne auttavat tietoturvakäytäntöjen toteutumisessa. Tie
toturvakäytäntöjä vastaan taas toimitaan enimmäkseen inhimillisten virheiden
takia sekä välillä silloin, kun tietoturvakäytännöt vaikeuttavat tai jopa estävät
työn tekoa. Teknologiset ratkaisut voivat siis auttaa tietoturvakäytäntöjen to
teutumisessa oikein implementoituna. The number of cybersecurity threats is increasing rapidly and new attack
methods are constantly emerging. Consequently, the European Union’s NIS2
cybersecurity directive requires organizations to strengthen the implementa
tion of their information security practices. This thesis examines how different
technologies can be leveraged to better support the implementation of such
practices. The study was commissioned by South-Eastern University of Ap
plied Sciences. Its aim was to identify the technological solutions currently
used in other organizations and to highlight potential solutions that could serve
as recommendations for organizations still planning their information security
procedures.
The theoretical framework reviews commonly used technologies and explores
how they may facilitate the adoption of information security practices. It also
considers the role of human error in security-related behavior and cyberat
tacks, and summarizes key themes identified in previous research.
The study was carried out as a practical development project, combining
quantitative and qualitative methods to explore, implement and evaluate tech
nological solutions in organizational settings. Data was collected via a survey
completed by 113 respondents from organizations of various sizes and sec
tors. No specific target group was defined to capture a diverse range of per
spectives. Multiple-choice questions were analyzed statistically by calculating
frequencies and percentages, while open-ended responses were analyzed
qualitatively through thematic categorization.
The results indicate that a variety of technological solutions designed to sup
port security practices are already in use. These solutions are generally per
ceived as well integrated into everyday organizational activities, thereby pro
moting adherence to security practices. Deviations from established practices
were mainly attributable to human error and, in some cases, to situations
where security requirements hinder or impede work tasks. The findings sug
gest that technological solutions can effectively support the implementation of
information security practices when properly integrated into organizational
workflows.
tellään jatkuvasti. Siksi muun muassa Euroopan unionin uusi kyberturvalli
suusdirektiivi NIS2 velvoittaa organisaatioita kehittämään tietoturvakäytäntö
jen toteuttamista. Tutkimuksessa selvitetään, miten erilaisia teknologioita voisi
paremmin alkaa valjastaa tietoturvakäytäntöjen toteuttamisen helpottamiseen.
Tutkimuksen toimeksiantajana toimii Kaakkois-Suomen ammattikorkeakoulu.
Opinnäytetyön tavoitteena on kartoittaa, millaisia teknologisia ratkaisuja orga
nisaatioissa nykyään hyödynnetään ja tuoda esille sellaisia ratkaisuja, jotka
voisivat toimia kehitysehdotuksina sellaisissa organisaatioissa, joissa tietotur
vakäytäntöjen toteuttamista pitää vielä suunnitella.
Teoriaosuudessa käsiteltiin joitakin yleisimpiä käytössä olevia teknologioita ja
pohdittiin sitä, mitä kaikkea teknologian avulla mahdollisesti voitaisiin tehdä
helpottaaksemme tietoturvakäytäntöjen toteutumista. Lisäksi tarkasteltiin inhi
millisten virheiden roolia tietoturvakäyttäytymiseen ja yleisiin kyberhyökkäyk
siin liittyen. Viimeisenä teoriaosuudessa tutustuttiin aiemmista aiheeseen liitty
vistä tutkimuksista esiin nousseisiin keskeisiin teemoihin.
Tutkimus toteutettiin kehittämistutkimuksena, jossa hyödynnettiin sekä mää
rällisen että laadullisen tutkimuksen menetelmiä. Tutkimusaineisto kerättiin ky
selyn avulla, johon vastasi 113 ihmistä erikokoisista ja eri toimialoja edusta
vista organisaatioista. Varsinaista kohderyhmää eri määritelty, jotta mahdolli
sesti saataisiin erilaisia näkökulmia esiin. Monivalintakysymykset analysoitiin
tilastollisesti laskemalla frekvenssit ja prosenttiosuudet. Avoimien kysymysten
vastaukset taas analysoitiin laadullisesti jaottelemalla niitä teemoihin.
Kyselyn tulosten perusteella jo nyt käytössä olevia teknologisia ratkaisuja, joi
den tarkoitus on auttaa tietoturvakäytäntöjen toteutumisessa, on useita erilai
sia. Näiden ratkaisujen koetaan pääosin olevan sovitettu hyvin osaksi organi
saatioiden arkea, jolloin ne auttavat tietoturvakäytäntöjen toteutumisessa. Tie
toturvakäytäntöjä vastaan taas toimitaan enimmäkseen inhimillisten virheiden
takia sekä välillä silloin, kun tietoturvakäytännöt vaikeuttavat tai jopa estävät
työn tekoa. Teknologiset ratkaisut voivat siis auttaa tietoturvakäytäntöjen to
teutumisessa oikein implementoituna.
methods are constantly emerging. Consequently, the European Union’s NIS2
cybersecurity directive requires organizations to strengthen the implementa
tion of their information security practices. This thesis examines how different
technologies can be leveraged to better support the implementation of such
practices. The study was commissioned by South-Eastern University of Ap
plied Sciences. Its aim was to identify the technological solutions currently
used in other organizations and to highlight potential solutions that could serve
as recommendations for organizations still planning their information security
procedures.
The theoretical framework reviews commonly used technologies and explores
how they may facilitate the adoption of information security practices. It also
considers the role of human error in security-related behavior and cyberat
tacks, and summarizes key themes identified in previous research.
The study was carried out as a practical development project, combining
quantitative and qualitative methods to explore, implement and evaluate tech
nological solutions in organizational settings. Data was collected via a survey
completed by 113 respondents from organizations of various sizes and sec
tors. No specific target group was defined to capture a diverse range of per
spectives. Multiple-choice questions were analyzed statistically by calculating
frequencies and percentages, while open-ended responses were analyzed
qualitatively through thematic categorization.
The results indicate that a variety of technological solutions designed to sup
port security practices are already in use. These solutions are generally per
ceived as well integrated into everyday organizational activities, thereby pro
moting adherence to security practices. Deviations from established practices
were mainly attributable to human error and, in some cases, to situations
where security requirements hinder or impede work tasks. The findings sug
gest that technological solutions can effectively support the implementation of
information security practices when properly integrated into organizational
workflows.