Tietoturvapolitiikan implementoinnin kehittäminen
Hämäläinen, Lauri (2010)
Hämäläinen, Lauri
Laurea-ammattikorkeakoulu
2010
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2010121017856
https://urn.fi/URN:NBN:fi:amk-2010121017856
Tiivistelmä
Opinnäytetyössä tutkittiin erään Pohjoismaissa toimivan yrityksen tietoturvapolitiikan täytäntöönpanoa. Yrityksen aikaisempi toimintatapa tietoturvapolitiikan käytännön täytäntöön panemisessa (usein puhekielessä myös jalkauttamisessa), ei ollut tyydyttävällä tasolla, joten tällä aiheella oli opinnäytetyölle sopivia aineksia. Opinnäytetyön lähtökohtana oli haastatteluiden ja alan kirjallisuuden pohjalta luoda näkemys siitä, missä tilassa tietoturvapolitiikan jalkauttaminen tilaajayrityksessä oli ja missä sen haluttiin tulevaisuudessa olevan. Lisäksi tilaajayrityksen tietoturvallisuushenkilöstö halusi, että mikäli opinnäytetyön päätteeksi löytyisi mahdollisia uusia keinoja jalkauttamisen parantamiseksi, niiden käyttöönottaminen uudessa tietoturvapolitiikkasuunnitelmassa otettaisiin vakavasti harkintaan.
Alun perehtymis- ja tutkimusvaiheessa käytettiin pääsääntöisesti Petri Puhakaisen Oulun yliopistolle tekemää väitöskirjaa samankaltaisesta aiheesta sekä muita alan julkaisuja ja haastatteluja tilaajayrityksessä. Selvitysvaihe piti sisällään ennakkoaineistoon tutustumisen niin tietoturvan, tilaajayrityksen kuin jalkauttamisenkin näkökulmista. Tämän vaiheen jälkeen aloitettiin suunnitteluvaihe, jossa käytiin tarkasti läpi, miten sekä opinnäytetyö että tutkimus, selvitys ja kehitystyö suoritettaisiin loogisesti ja tarkasti. Lopulliseksi toteutustavaksi muodostui kehittämistyö eli olemassa olevan jalkauttamismallin nykytilan selvittäminen ja edelleen kehittäminen sekä parantaminen.
Seuraavaksi toteutettiin haastattelut, joihin osallistuivat turvallisuushenkilöstö, neljä myyntikoordinaattoria ja heidän esimiehensä. Näillä henkilöillä koettiin olevan kriittisimmät osat jalkauttamisen vaiheissa. Turvallisuushenkilöiden vastuulla oli tietoturvapolitiikan ja implementoinnin kehittäminen ja ylläpito. Ryhmän esimiehellä oli vastuu jalkauttamisesta ja sen seurannasta. Lopuksi tiedon jalkauttamisen alimmalla tasolla olivat tutkittavan ryhmän työntekijät. Näin saatiin koko organisaation läpileikkaus. Haastatteluiden tuloksia verrattiin sekä keskenään että alan kirjallisuuteen. Suurimmat huomiokohdat olivat ehdottomasti kaikkien haastateltavien näkemys siitä, että koulutuksia tulisi lisätä ja päätöksentekoon haluttiin lisää mielipiteitä myös alemmilta organisaatiotasoilta. (Lähdeteoksista löydettiin kohtia jotka tukivat haastatteluiden näkemyksiä, joten nämä tulokset esitettiin tietoturvaryhmälle).
Esitettyjen väitteiden ja tulosten pohjalta päädyttiin hyväksikäyttämään jatkossa suunniteltavan uuden tietoturvapolitiikan suunnitteluvaiheessa seuraavia kohtia: Suunnitteluvaiheeseen osallistuu johtoryhmän ja tietoturvaryhmän lisäksi sekä tiimien esimiehiä että heidän alaisiaan tuomaan erilaisia näkökulmia käytännön työskentelystä. Jalkauttamisen vaiheet eritellään tarkemmin omaksi dokumentikseen osastoittain ja niiden toteutusta ja seurantaa valvovat ylemmällä tasolla tietoturvaryhmä ja alemmalla tasolla ryhmien esimiehet. Koulutuksia järjestetään lisää hyväksikäyttäen ulkoisia tietoturvakoulutuksiin erikoistuneita konsultteja tai niihin erikoistuneita yrityksiä. Koulutussuunnitelma laaditaan samalle ajalle kuin koko tietoturvapolitiikkakin. Lisäksi myöhemmässä vaiheessa aiotaan tutkia tarkemmin mahdollisuutta ja keinoja palkitsemis- ja tavoitetapojen kehittämiseen.
Alun perehtymis- ja tutkimusvaiheessa käytettiin pääsääntöisesti Petri Puhakaisen Oulun yliopistolle tekemää väitöskirjaa samankaltaisesta aiheesta sekä muita alan julkaisuja ja haastatteluja tilaajayrityksessä. Selvitysvaihe piti sisällään ennakkoaineistoon tutustumisen niin tietoturvan, tilaajayrityksen kuin jalkauttamisenkin näkökulmista. Tämän vaiheen jälkeen aloitettiin suunnitteluvaihe, jossa käytiin tarkasti läpi, miten sekä opinnäytetyö että tutkimus, selvitys ja kehitystyö suoritettaisiin loogisesti ja tarkasti. Lopulliseksi toteutustavaksi muodostui kehittämistyö eli olemassa olevan jalkauttamismallin nykytilan selvittäminen ja edelleen kehittäminen sekä parantaminen.
Seuraavaksi toteutettiin haastattelut, joihin osallistuivat turvallisuushenkilöstö, neljä myyntikoordinaattoria ja heidän esimiehensä. Näillä henkilöillä koettiin olevan kriittisimmät osat jalkauttamisen vaiheissa. Turvallisuushenkilöiden vastuulla oli tietoturvapolitiikan ja implementoinnin kehittäminen ja ylläpito. Ryhmän esimiehellä oli vastuu jalkauttamisesta ja sen seurannasta. Lopuksi tiedon jalkauttamisen alimmalla tasolla olivat tutkittavan ryhmän työntekijät. Näin saatiin koko organisaation läpileikkaus. Haastatteluiden tuloksia verrattiin sekä keskenään että alan kirjallisuuteen. Suurimmat huomiokohdat olivat ehdottomasti kaikkien haastateltavien näkemys siitä, että koulutuksia tulisi lisätä ja päätöksentekoon haluttiin lisää mielipiteitä myös alemmilta organisaatiotasoilta. (Lähdeteoksista löydettiin kohtia jotka tukivat haastatteluiden näkemyksiä, joten nämä tulokset esitettiin tietoturvaryhmälle).
Esitettyjen väitteiden ja tulosten pohjalta päädyttiin hyväksikäyttämään jatkossa suunniteltavan uuden tietoturvapolitiikan suunnitteluvaiheessa seuraavia kohtia: Suunnitteluvaiheeseen osallistuu johtoryhmän ja tietoturvaryhmän lisäksi sekä tiimien esimiehiä että heidän alaisiaan tuomaan erilaisia näkökulmia käytännön työskentelystä. Jalkauttamisen vaiheet eritellään tarkemmin omaksi dokumentikseen osastoittain ja niiden toteutusta ja seurantaa valvovat ylemmällä tasolla tietoturvaryhmä ja alemmalla tasolla ryhmien esimiehet. Koulutuksia järjestetään lisää hyväksikäyttäen ulkoisia tietoturvakoulutuksiin erikoistuneita konsultteja tai niihin erikoistuneita yrityksiä. Koulutussuunnitelma laaditaan samalle ajalle kuin koko tietoturvapolitiikkakin. Lisäksi myöhemmässä vaiheessa aiotaan tutkia tarkemmin mahdollisuutta ja keinoja palkitsemis- ja tavoitetapojen kehittämiseen.