Organisaatioiden riskien hallinta ja toimintakyvyn varmistaminen : liiketoimintakonsepti red teamingista

Abstract

Tämän päivän nopeasti muuttuvissa toimintaympäristöissä organisaatioiden riskienhallinnan merkitys korostuu. Red teaming auttaa organisaatioita tunnistamaan haavoittuvuuksia ja testaamaan reagointikykyään simuloimalla todellisten uhkatoimijoiden menetelmiä.

Tämän insinöörityön tavoitteena oli muodostaa liiketoimintakonsepti kyberturvallisuus- ja riskiarviointipalveluita tarjoavalle case-yritykselle. Työ eteni nykytila-analyysistä kirjallisuuskatsauksen kautta liiketoimintakonseptiin, jonka toteuttamiskelpoisuutta arvioitiin markkinatilannetta, teoreettisia viitekehyksiä ja tekijän toimialakokemusta vasten.

Nykytila-analyysi osoitti, että EU:n sääntely-ympäristö, erityisesti DORA, NIS2 ja TIBER-EU, luo rakenteellista kysyntää kyberturvallisuuden testauspalveluille. Markkinalla tunnistettiin kaksi kilpailematonta aluetta: strateginen red teaming ja PK-sektori. Kirjallisuuskatsaus tarjosi teoreettiset viitekehykset liiketoimintakonseptin rakentamiseen.

Liiketoimintakonsepti muodostettiin Galbraithin (2002) tähtimallin mukaisesti, ja se kattaa strategian, palvelumallin, rakenteet, prosessit ja osaamisen. Case-yrityksen erottautumisstrategia perustuu Porterin (1985) erottautumismalliin kolmiportaisella palvelutarjonnalla.

Työn keskeisiä löydöksiä ovat auditointikelpoisuus kilpailuetuna ja palveluntarjoajan riippumattomuus palvelun arvona. Yritysryhmän sovelluskehitys- ja pilviosaaminen mahdollistaa korjauskapasiteetin, joka erottaa case-yrityksen pelkästä testauksesta. Tekoäly nähdään sekä uhkakenttää muuttavana voimana että palvelumallin mahdollistajana. Joidenkin liiketoimintasuunnitelman osien, kuten markkinointisuunnitelman ja kustannusarvion, todettiin soveltuvan toteutettaviksi vasta käynnistämispäätöksen jälkeen.

In today's rapidly evolving operating environments, organizational risk management is increasingly critical. Red teaming helps organizations identify vulnerabilities and test their response capabilities by simulating the methods of real threat actors.

The objective of this thesis was to develop a business concept for a case company offering cybersecurity and risk assessment services. The work progressed from an industry analysis through a literature review to a business concept, whose feasibility was assessed against market conditions, theoretical frameworks, and the author's industry experience.

The industry analysis demonstrated that the EU regulatory environment, particularly DORA, NIS2, and TIBER-EU, creates structural demand for cybersecurity testing services. Two uncontested market areas were identified: strategic red teaming and the SME sector. The literature review provided the theoretical frameworks for constructing the business concept.

The business concept was structured according to Galbraith's (2002) Star Model, covering strategy, service model, structures, processes, and competencies. The case company's differentiation strategy is based on Porter's (1985) differentiation model with a three-tier service offering.

Key findings include audit readiness as a competitive advantage and service provider independence as a core value. The business group's software development and cloud expertise enables remediation capacity that differentiates the case company from pure testing providers. Artificial intelligence is identified both as a force reshaping the threat landscape and as an enabler of scalable service models. Certain elements of the business plan, such as the marketing plan and cost estimate, were found to be more appropriately implemented after the decision to launch.