Yrityksen X hallinnollisen turvallisuuden kehittäminen Katakrin avulla
Kälviäinen, Ilmari (2015)
Kälviäinen, Ilmari
Laurea-ammattikorkeakoulu
2015
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2015113018526
https://urn.fi/URN:NBN:fi:amk-2015113018526
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli kartoittaa yrityksen X hallinnollisen turvallisuuden nykytila ja taso. Saatujen arviointitulosten perusteella oli tarkoitus luoda kehittämisehdotus turvallisuuden parantamiseksi. Kartoitus toteutettiin Kansallisen turvallisuusauditointikriteeristä tehtyjen versioiden II ja 2015 avulla. Tarkoituksena oli myös selvittää Katakrin soveltuvuus kohdeorganisaation kokonaisturvallisuuden auditointi- ja kehittämisvälineeksi. Katakrin mukainen auditointi ei ollut virallinen eikä pakollinen ja prosessia ei toteutettu loppuun saakka. Turvallisuusauditointi toteutettiin Katakrin hallinnollisen turvallisuuden pääosa-alueesta. Poikkeamakäsittelyn ver-tailuarvoiksi asetettiin Katakri II:n osalta Elinkeinoelämän keskusliiton (EK:n) laatima suositustaso ja Katakri 2015 osalta kaikille vaatimustasona pidetty perustaso.
Opinnäytetyö oli laadullinen tutkimus, jossa käytettiin kvalitatiivisena tutkimuslajina hermeneuttista menetelmää. Tutkimuksen primäärisinä tiedonkeruumenetelminä käytettiin dokumenttianalyysia, strukturoituja kyselyjä ja teemahaastatteluja. Sekundaarisina tiedonkeruumenetelminä käytettiin kohdeorganisaation esimiehille suunnattua Katakrista johdettua kvantitatiivista turvallisuuskyselyä sekä koko auditointiprosessin ajan havainnointia.
Tämä tutkimus alkaa tavoitteen määrittelystä ja tutkimuskohteen toimintaympäristön esittelystä. Alkutiedoista siirrytään teoreettiseen viitekehykseen ja aihealueeseen liittyvien keskeisiin määritelmiin. Teoreettisten lähtökohtien jälkeen esitellään itse auditointiväline Katakri sekä suoritettu auditoinnin toteutus. Auditointitulokset ja havainnot nykytilasta esitetään sekä Katakrin mukaisina poikkeama-arvioina että analyyseina. Tuloksista havaittujen puutteiden mukaan esitetään kohdeorganisaatiolle analyysi hallinnollisen turvallisuuden nykytilasta ja tasosta sekä kehittämisehdotus kokonaisturvallisuuden parantamiseksi. Kohdeorganisaatio voi käyttää tuotettua kehittämisehdotusta hallinnollisen turvallisuutensa eri osa-alueiden parantamiseen ja lisätä ehdotuksenmukaisilla kehitystoimilla yrityksensä kokonaisturvallisuutta.
Turvallisuusauditoinnin arviointitulos osoitti, että kohdeorganisaation hallinnollinen turvallisuus ei tavoittanut asetettua, kriteeristön mukaista, tasovaatimusta. Kriteeristövaatimukset täyttyivät ainoastaan 11 %:n osalta. Auditoinnissa tehtyjen havaintojen perusteella vaatimaton tulos johtuu siitä, että kohdeorganisaation turvallisuustoiminnan painopiste oli suunnattu pelkästään työ-, henkilö- ja tilaturvallisuuden osa-alueille. Siten saatu poikkeamien kokonaistulos hyvin hoidettujen osa-alueiden näkökulmasta katsottuna oli hyvin ankara. Organisaation turvallisuudessa puutteellisimmiksi osiksi osoittautuivat riskien mukainen kokonaisturvallisuuden suunnitelmallinen ja tavoitteellinen toiminta, tietohallinnon ulkoistuksen hallintaan liittyvät varmistukset, tietoturvallisuuden huomioiminen ja varautumissuunnittelu.
Toteutettu turvallisuusauditointi synnytti ideoita ja avarsi kokonaisturvallisuuden kenttää haastateltavien keskuudessa niin hyvin, että moni teki jo auditoinnin aikana huomioita eniten kehittämistä tarvitsevista kohteista. Jos turvallisuuden kehittämistä päätetään jatkaa ja auditointia laajentaa toteuttamalla esimerkiksi turvallisuusauditoinissa rajauksen ulkopuolelle jääneillä osa-alueilla, tässä työssä tehtyjen havaintojen ja huomioiden mukaan, kaikesta työläydestään huolimatta Katakri soveltuu turvallisuuskehittämisen auditointivälineeksi hyvin.
Opinnäytetyö oli laadullinen tutkimus, jossa käytettiin kvalitatiivisena tutkimuslajina hermeneuttista menetelmää. Tutkimuksen primäärisinä tiedonkeruumenetelminä käytettiin dokumenttianalyysia, strukturoituja kyselyjä ja teemahaastatteluja. Sekundaarisina tiedonkeruumenetelminä käytettiin kohdeorganisaation esimiehille suunnattua Katakrista johdettua kvantitatiivista turvallisuuskyselyä sekä koko auditointiprosessin ajan havainnointia.
Tämä tutkimus alkaa tavoitteen määrittelystä ja tutkimuskohteen toimintaympäristön esittelystä. Alkutiedoista siirrytään teoreettiseen viitekehykseen ja aihealueeseen liittyvien keskeisiin määritelmiin. Teoreettisten lähtökohtien jälkeen esitellään itse auditointiväline Katakri sekä suoritettu auditoinnin toteutus. Auditointitulokset ja havainnot nykytilasta esitetään sekä Katakrin mukaisina poikkeama-arvioina että analyyseina. Tuloksista havaittujen puutteiden mukaan esitetään kohdeorganisaatiolle analyysi hallinnollisen turvallisuuden nykytilasta ja tasosta sekä kehittämisehdotus kokonaisturvallisuuden parantamiseksi. Kohdeorganisaatio voi käyttää tuotettua kehittämisehdotusta hallinnollisen turvallisuutensa eri osa-alueiden parantamiseen ja lisätä ehdotuksenmukaisilla kehitystoimilla yrityksensä kokonaisturvallisuutta.
Turvallisuusauditoinnin arviointitulos osoitti, että kohdeorganisaation hallinnollinen turvallisuus ei tavoittanut asetettua, kriteeristön mukaista, tasovaatimusta. Kriteeristövaatimukset täyttyivät ainoastaan 11 %:n osalta. Auditoinnissa tehtyjen havaintojen perusteella vaatimaton tulos johtuu siitä, että kohdeorganisaation turvallisuustoiminnan painopiste oli suunnattu pelkästään työ-, henkilö- ja tilaturvallisuuden osa-alueille. Siten saatu poikkeamien kokonaistulos hyvin hoidettujen osa-alueiden näkökulmasta katsottuna oli hyvin ankara. Organisaation turvallisuudessa puutteellisimmiksi osiksi osoittautuivat riskien mukainen kokonaisturvallisuuden suunnitelmallinen ja tavoitteellinen toiminta, tietohallinnon ulkoistuksen hallintaan liittyvät varmistukset, tietoturvallisuuden huomioiminen ja varautumissuunnittelu.
Toteutettu turvallisuusauditointi synnytti ideoita ja avarsi kokonaisturvallisuuden kenttää haastateltavien keskuudessa niin hyvin, että moni teki jo auditoinnin aikana huomioita eniten kehittämistä tarvitsevista kohteista. Jos turvallisuuden kehittämistä päätetään jatkaa ja auditointia laajentaa toteuttamalla esimerkiksi turvallisuusauditoinissa rajauksen ulkopuolelle jääneillä osa-alueilla, tässä työssä tehtyjen havaintojen ja huomioiden mukaan, kaikesta työläydestään huolimatta Katakri soveltuu turvallisuuskehittämisen auditointivälineeksi hyvin.