Tietoturvallisuuden kartoitus ja kehitys
Lipponen, Joonas (2018)
Lipponen, Joonas
Jyväskylän ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201805026116
https://urn.fi/URN:NBN:fi:amk-201805026116
Tiivistelmä
Organisaatioiden tietoturvallisuuden tason kehittäminen on lähtökohtaisesti hankalaa ja toiminnan kehitykseen on hyvä ottaa yleisesti tiedossa olevia ja käytettyjä toimintaa tukevia viitekehyksiä. Taustana toimi kohdeorganisaatiossa harjoittelujakson aikana suoritettu tutkimus, josta syntyi idea kartoittaa organisaation tietoturvallista toimintaa tuotekehitysosastolla.
Tehtävänä oli tutkia kohdeorganisaation tietoturvallisuuden tasoa tuotekehityksessä ISO 27001-viitekehyksen mukaan. Tavoitteellisesti luotiin nykytilan analyysi tietoturvallisuuden hallintajärjestelmän vaatimuksista eli ISO 27001 standardista. Nykytilan analyysin perusteella valittiin yksi epäkohta, johon luotiin kehitysehdotus, joka tässä tapauksessa käsitti tietoturvakoulutuksen kehityksen.
Työ toteutettiin laadullisena tutkimuksena, jossa tietoa organisaation toiminnasta hankittiin avoimien haastatteluiden kautta sekä aikaisemman tutkimuksen perusteella. Tuloksena luotiin yleistason nykytilan arviointi, jossa käytettiin moniportaista arviointimenetelmää vaatimuksen täyttymisestä tuotekehityksen toiminnassa.
Kehitettiin tietoturvakoulutukseen perustasoehdotus sekä ehdotettiin koulutuskehyksen muodostamiseen mallia ja tapoja, joilla seurata koulutuksen suorituskykyä. Johtopäätöksenä voitiin todeta, että kyseisen viitekehyksen noudattaminen sinällään on raskas metodi pk-yritykselle sekä varsinkin näin varhaisessa vaiheessa toimivalle organisaatiolle.
Tehtävänä oli tutkia kohdeorganisaation tietoturvallisuuden tasoa tuotekehityksessä ISO 27001-viitekehyksen mukaan. Tavoitteellisesti luotiin nykytilan analyysi tietoturvallisuuden hallintajärjestelmän vaatimuksista eli ISO 27001 standardista. Nykytilan analyysin perusteella valittiin yksi epäkohta, johon luotiin kehitysehdotus, joka tässä tapauksessa käsitti tietoturvakoulutuksen kehityksen.
Työ toteutettiin laadullisena tutkimuksena, jossa tietoa organisaation toiminnasta hankittiin avoimien haastatteluiden kautta sekä aikaisemman tutkimuksen perusteella. Tuloksena luotiin yleistason nykytilan arviointi, jossa käytettiin moniportaista arviointimenetelmää vaatimuksen täyttymisestä tuotekehityksen toiminnassa.
Kehitettiin tietoturvakoulutukseen perustasoehdotus sekä ehdotettiin koulutuskehyksen muodostamiseen mallia ja tapoja, joilla seurata koulutuksen suorituskykyä. Johtopäätöksenä voitiin todeta, että kyseisen viitekehyksen noudattaminen sinällään on raskas metodi pk-yritykselle sekä varsinkin näin varhaisessa vaiheessa toimivalle organisaatiolle.