Assessment and improvement of information system security controls for company X
Doherty, Gavin (2015)
Turun ammattikorkeakoulu
2015
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2015062313675
https://urn.fi/URN:NBN:fi:amk-2015062313675
Tiivistelmä
Arkaluonteisen tiedon siirtyminen haavoittuvaan kybermaailmaan on osaltaan aikaansaanut sen, että tietoturvallisuudesta on tullut elintärkeä osa liiketoimintaa. Yritykset ovat riippuvaisia tietojärjestelmistä liiketoiminnassaan ja näin ollen niiden suojaus on keskeistä menestyksen takaamiseksi. Tietojärjestelmät ovat alttiita uhille, jotka saattavat vakavasti vaikuttaa yrityksen liiketoimintaan, kilpailuetuun sekä maineeseen. Haavoittuvuuksien hyväksikäyttö saattaa vaarantaa tiedon luotettavuuden, eheyden ja saatavuuden.
Yritys X antoi toimeksi tämän tutkimuksen tutkiakseen tietojärjestelmiensä tilan sekä esittääkseen tilanteeseen mahdollisia parannuksia. Yrityksen nykyisten käytäntöjen mukauttamisen tarve kansainvälisiin standardeihin, sopimusvelvoitteisiin ja asiakkaiden vaatimuksiin ovat olleet perustana tietojärjestelmäkehitykselle sekä ohjaavat mihin vastaisuudessa tulisi suunnata.
Tutkimuksen käytännön osiossa hyödynnettiin OCTAVE Allegro kehikkoa yrityksen ITinfrastruktuurin osa-alueiden toimivuuden arviointiin. Tietoa keräämällä pyrittiin ymmärtämään miten järjestelmän eri osiot edesauttoivat päivittäistä liiketoimintaa ja mitkä olisivat vaikutukset, mikäli niihin kohdistuisi häiriöitä. Riskikartoituksen tuloksena laadittiin ja esitettiin yritykselle suunnitelma tarvittavien tietoturvatoimien kehittämiseksi ja yrityksenlaajuisen tietoturvakoulutuksen järjestämiseksi.
Tutkimuksen tulokset osoittavat, että yrityksen X kokoluokan ja samalla tavalla asemoituneiden yritysten tulisi säännöllisesti arvioida tietojärjestelmänsä käyttäen saatavilla olevia riskikartoitusmenetelmiä. Tutkimus myös näyttää toteen, että tietojärjestelmän turvatoimien arviointi on kriittisen tärkeä toimenpide, jolla voi olla merkittäviä vaikutuksia yrityksen toiminnoille. Lisäksi asialla on vaikutusta myös tietojärjestelmistä vastuussa olevien ja tietojärjestelmiä käyttävien henkilöiden hyvinvoinnille.
Yritys X antoi toimeksi tämän tutkimuksen tutkiakseen tietojärjestelmiensä tilan sekä esittääkseen tilanteeseen mahdollisia parannuksia. Yrityksen nykyisten käytäntöjen mukauttamisen tarve kansainvälisiin standardeihin, sopimusvelvoitteisiin ja asiakkaiden vaatimuksiin ovat olleet perustana tietojärjestelmäkehitykselle sekä ohjaavat mihin vastaisuudessa tulisi suunnata.
Tutkimuksen käytännön osiossa hyödynnettiin OCTAVE Allegro kehikkoa yrityksen ITinfrastruktuurin osa-alueiden toimivuuden arviointiin. Tietoa keräämällä pyrittiin ymmärtämään miten järjestelmän eri osiot edesauttoivat päivittäistä liiketoimintaa ja mitkä olisivat vaikutukset, mikäli niihin kohdistuisi häiriöitä. Riskikartoituksen tuloksena laadittiin ja esitettiin yritykselle suunnitelma tarvittavien tietoturvatoimien kehittämiseksi ja yrityksenlaajuisen tietoturvakoulutuksen järjestämiseksi.
Tutkimuksen tulokset osoittavat, että yrityksen X kokoluokan ja samalla tavalla asemoituneiden yritysten tulisi säännöllisesti arvioida tietojärjestelmänsä käyttäen saatavilla olevia riskikartoitusmenetelmiä. Tutkimus myös näyttää toteen, että tietojärjestelmän turvatoimien arviointi on kriittisen tärkeä toimenpide, jolla voi olla merkittäviä vaikutuksia yrityksen toiminnoille. Lisäksi asialla on vaikutusta myös tietojärjestelmistä vastuussa olevien ja tietojärjestelmiä käyttävien henkilöiden hyvinvoinnille.