PK-YRITYKSEN TIETOTURVASUUNNITELMA
Pappinen, Liisa (2013)
Pappinen, Liisa
Karelia-ammattikorkeakoulu (Pohjois-Karjalan ammattikorkeakoulu)
2013
Creative Commons Attribution-NonCommercial-NoDerivs 1.0 Suomi
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201302282762
https://urn.fi/URN:NBN:fi:amk-201302282762
Tiivistelmä
Tämän opinnäytetyön aiheena oli laatia PK- yrityksen tietoturvasuunnitelma. Toimeksiantajan oli itäsuomalainen PK- yritys. Tietoturvasuunnitelman tekoa varten syvennyttiin kirjallisuuteen, jonka pohjalta laadittiin teemahaastattelukysymykset yrityksen tietoturvan kartoitusta varten. Teemahaastattelu toteutettiin keskustelemalla yrityksen henkilökunnan kanssa, haastattelun pohjalta yrityksen tietoturvasta tehtiin sekä fyysinen että tekninen kartoitus.
Yrityksessä havaittiin paljon puutteita sekä sen fyysisessä että teknisessä tietoturvassa. yrityksessä suurimmat tietoturvauhat olivat käyttöturvallisuudessa eli kulunvalvonnassa, dokumenttien säilytyksessä ja laitteistojen ja ohjelmistojen käyttöoikeuksissa sekä fyysisessä turvallisuudessa eli tuli- ja vesivahingoilta tai ilkivallalta varautumisessa. Laitteistoturvallisuuden osalta pahimmat puutteet olivat työasemien varmuuskopioinnissa. Riskianalyysin perusteella voitiin todeta, että yrityksessä todennäköisin tietoturvariski on tietovuoto.
Teemahaastattelun havaintojen ja kartoituksen sekä kirjallisuuden pohjalta laadittiin taulukko kattavan tietoturvasuunnitelman tekemisen apuvälineeksi PK- yrityksessä. PK- yrityksen tieto-turvasuunnitelmaa tehtäessä taulukkoon muotoiltuja kysymyksiä voidaan hyödyntää yrityksen kannalta suurimpien tietoturvauhkien kartoituksessa ja niihin toimivia ratkaisuja ja tietoturvan osa-alueiden vastuuhenkilöitä haettaessa. Laadittua taulukkoa hyödyntäen yritykselle laadittiin tietoturvasuunnitelma; suunnitelman toteutus ei kuitenkaan enää kuulunut tämän opinnäytetyön toimeksiantoon.
Yrityksessä havaittiin paljon puutteita sekä sen fyysisessä että teknisessä tietoturvassa. yrityksessä suurimmat tietoturvauhat olivat käyttöturvallisuudessa eli kulunvalvonnassa, dokumenttien säilytyksessä ja laitteistojen ja ohjelmistojen käyttöoikeuksissa sekä fyysisessä turvallisuudessa eli tuli- ja vesivahingoilta tai ilkivallalta varautumisessa. Laitteistoturvallisuuden osalta pahimmat puutteet olivat työasemien varmuuskopioinnissa. Riskianalyysin perusteella voitiin todeta, että yrityksessä todennäköisin tietoturvariski on tietovuoto.
Teemahaastattelun havaintojen ja kartoituksen sekä kirjallisuuden pohjalta laadittiin taulukko kattavan tietoturvasuunnitelman tekemisen apuvälineeksi PK- yrityksessä. PK- yrityksen tieto-turvasuunnitelmaa tehtäessä taulukkoon muotoiltuja kysymyksiä voidaan hyödyntää yrityksen kannalta suurimpien tietoturvauhkien kartoituksessa ja niihin toimivia ratkaisuja ja tietoturvan osa-alueiden vastuuhenkilöitä haettaessa. Laadittua taulukkoa hyödyntäen yritykselle laadittiin tietoturvasuunnitelma; suunnitelman toteutus ei kuitenkaan enää kuulunut tämän opinnäytetyön toimeksiantoon.