Kansallinen turvallisuusauditointikriteeristö. Case: Elisa Oyj, Tietoturvallisuusosion käyttöönotto
Tiinus, Harri (2011)
Tiinus, Harri
Laurea-ammattikorkeakoulu
2011
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201105056149
https://urn.fi/URN:NBN:fi:amk-201105056149
Tiivistelmä
Opinnäytetyössä kuvattiin ja pyrittiin selvittämään kansallisen turvallisuusauditointikriteeristön (KATAKRI) sovellettavuutta ja käyttöönottoa Elisa Oyj:lle. Tutkimuksen tavoitteena oli toteuttaa helppokäyttöinen työväline, joka voidaan ottaa käyttöön osaksi kohdeorganisaation operatiivista työtä arvioitaessa kriteeristöä.
Tutkimuksen teoreettisena viitekehyksenä oli KATAKRI ja sen tietoturvallisuusosio sekä kohdeorganisaation määrittämä kohde, joihin tutkimus rajattiin. Tutkimuksen painopisteenä oli kehittää kohdeorganisaation tietoturvatyön käyttöön työväline, jonka käyttöönoton perusteella oli mahdollista tutkia kansallisen turvallisuusauditointikriteeristön käytön helppoutta sekä sen toimivuutta osana kohdeorganisaation operatiivista tietoturvatoimintaa.
Opinnäytetyön tutkimukseen pyrittiin löytämään tietoturvallisuuteen liittyvää lähdekirjallisuutta. Empiiriseen osioon sisältyy kansallisen turvallisuusauditointikriteeristön työstämiseen osallistuneiden asiantuntijoiden haastattelut sekä yritys- että valtionhallinnonorganisaatioista. Haastatteluilla selvitettiin KATAKRI:n työstämisprosessia sekä taustoja ja kartoitettiin asiantuntijaorganisaatioiden suhtautumista valmistuneeseen kriteeristön. Haastatteluaineistoa analysoimalla oli mahdollista selvittää KATAKRI:n tulevaisuuden tilannetta. Tutkimuksen otos muodostettiin toimeksiantajalta saadusta kirjallisesta materiaalista, asiantuntijoiden haastatteluista ja tutkijan omasta näkemyksestä.
Tutkimuksen tulos antaa viitteitä siihen, että työvälineen käyttöönoton tai koekäytön avulla voidaan saada selville kohdeorganisaation valitseman kohteen tietoturvataso suhteessa kriteeristöön. Tutkimuksen mukaan kohdeorganisaatio pystyi työvälineen avulla tarkastelemaan omaa päivittäistä tietoturvallisuustyötä ja sen käytön yhteydessä voitiin saada selville organisaation operatiivisen tietoturvallisuustoimintaan liittyviä kehityskohteita.
Johtopäätöksenä voidaan todeta, että kohdeorganisaation käyttökokemus KATAKRI:sta tulevien kilpailutusten varalle lisääntyi, jos sen vaatimuksena on tämä kriteeristö. Tutkimuksen mukaan voidaan todeta, että työväline mahdollistaa organisaation tarkastelemaan kriteeristön muiden osioiden suhdetta organisaation oman toiminnan turvallisuuteen.
Työvälineen käyttöönotossa on huomioitava helppokäyttöisyys ja tekninen toimintavarmuus. Käyttäjille tulee antaa työvälineen käyttöön riittävä koulutus.
Tutkimuksen teoreettisena viitekehyksenä oli KATAKRI ja sen tietoturvallisuusosio sekä kohdeorganisaation määrittämä kohde, joihin tutkimus rajattiin. Tutkimuksen painopisteenä oli kehittää kohdeorganisaation tietoturvatyön käyttöön työväline, jonka käyttöönoton perusteella oli mahdollista tutkia kansallisen turvallisuusauditointikriteeristön käytön helppoutta sekä sen toimivuutta osana kohdeorganisaation operatiivista tietoturvatoimintaa.
Opinnäytetyön tutkimukseen pyrittiin löytämään tietoturvallisuuteen liittyvää lähdekirjallisuutta. Empiiriseen osioon sisältyy kansallisen turvallisuusauditointikriteeristön työstämiseen osallistuneiden asiantuntijoiden haastattelut sekä yritys- että valtionhallinnonorganisaatioista. Haastatteluilla selvitettiin KATAKRI:n työstämisprosessia sekä taustoja ja kartoitettiin asiantuntijaorganisaatioiden suhtautumista valmistuneeseen kriteeristön. Haastatteluaineistoa analysoimalla oli mahdollista selvittää KATAKRI:n tulevaisuuden tilannetta. Tutkimuksen otos muodostettiin toimeksiantajalta saadusta kirjallisesta materiaalista, asiantuntijoiden haastatteluista ja tutkijan omasta näkemyksestä.
Tutkimuksen tulos antaa viitteitä siihen, että työvälineen käyttöönoton tai koekäytön avulla voidaan saada selville kohdeorganisaation valitseman kohteen tietoturvataso suhteessa kriteeristöön. Tutkimuksen mukaan kohdeorganisaatio pystyi työvälineen avulla tarkastelemaan omaa päivittäistä tietoturvallisuustyötä ja sen käytön yhteydessä voitiin saada selville organisaation operatiivisen tietoturvallisuustoimintaan liittyviä kehityskohteita.
Johtopäätöksenä voidaan todeta, että kohdeorganisaation käyttökokemus KATAKRI:sta tulevien kilpailutusten varalle lisääntyi, jos sen vaatimuksena on tämä kriteeristö. Tutkimuksen mukaan voidaan todeta, että työväline mahdollistaa organisaation tarkastelemaan kriteeristön muiden osioiden suhdetta organisaation oman toiminnan turvallisuuteen.
Työvälineen käyttöönotossa on huomioitava helppokäyttöisyys ja tekninen toimintavarmuus. Käyttäjille tulee antaa työvälineen käyttöön riittävä koulutus.