Kyberturvallisuuden mittaaminen
Iiskola, Jani (2019)
Iiskola, Jani
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201905159951
https://urn.fi/URN:NBN:fi:amk-201905159951
Tiivistelmä
Yhteiskunnasta on tullut enenemissä määrin riippuvainen sähkönjakelusta sekä tieto- ja viestintäverkoista. Yhteiskunnan kriittinen infrastruktuuri on usein yksityisten yritysten ja organisaatioiden hallinnassa. Tätä keskinäisriippuvuutta on alettu kutsumaan kybertoimintaympäristöksi. Kybertoimintaympäristö tuo mahdollisuuksia yhteiskunnalle ja liiketoiminnalle, mutta mahdollisuuksien mukana tulee aina myös riskit. Kyberturvallisuuden tarkoitus on mahdollistaa kybertoimintaympäristön tehokas hyödyntäminen. Kyberturvallisuuteen käytetään maailmanlaajuisesti mittavia resursseja. Näin ollen resurssien oikea kohdentaminen on yrityksille kriittistä.
Tässä tutkimuksessa tutkittiin, miten kyberturvallisuudesta voidaan saada tietoa ja miten kyberturvallisuutta voidaan arvioida ja mitata. Tutkimuksen tavoitteena oli tuottaa mahdollisimman käytännönläheistä ja aikaa kestävää tietoa kyberturvallisuudesta, joka ymmärretään muuttuvana ja abstraktina käsitteenä. Lisäksi tavoitteena oli arvioida mahdollisuuksia kyberturvallisuuden mittaamiselle yritysten ja organisaatioiden näkökulmasta. Kyberturvallisuutta tarkasteltiin Kööpenhaminan koulukunnan turvallistamisteorian näkökulmasta. Tutkimus toteutettiin kuvailevalla kirjallisuuskatsauksella sekä laadullisella sisällönanalyysillä keväällä 2019.
Lähdeaineiston perusteella kyberturvallisuutta voi arvioida ja mitata organisaation tai yrityksen näkökulmasta strategisella, toiminnallisella sekä teknis-taktisella tasolla. Strategisella tasolla kyberturvallisuuden mittaaminen on yrityksen kypsyyden arviointia. Kypsyyttä voidaan arvioida eri käytössä olevien viitekehysten ja mallien avulla. Strategisella tasolla voidaan arvioida myös kyberturvallisuuden tavoitteiden saavuttamista. Strategiselta tasolta asetetaan myös vaatimuksen kyberturvallisuuden toiminnalliselle tasolle. Toiminnallisella tasolla kyberturvallisuuden mittaaminen on riskienhallintaa ja -analysointia. Kyberriskienhallintaa voidaan toteuttaa perinteisillä riskimatriiseilla tai tilastotieteellisillä menetelmillä. Tilastotieteellisissä menetelmissä etuna on se, että kriittisen päätöksenteon tueksi on saatavilla tieteellistä tietoa täysin subjektiivisen tiedon sijaan. Lähdeaineistossa ei kyetty kuitenkaan osoittamaan tieteellistä tietoa siitä, mikä riskienhallinnan menetelmä tukee päätöksentekoa ja vähentää epävarmuutta parhaiten. Teknisellä ja taktisella tasolla kyberturvallisuuden mittaaminen on esimerkiksi työntekijöiden tietoturvallisuustaitojen arviointia ja kehittämistä, haavoittuvuuksien korjaamista ja tietoliikenteen monitorointia. Tekniseltä ja taktiselta tasolta saadun tiedon perusteella kyetään toiminnallisella tasolla arvioiman riskejä paremmin. Näin ollen eri tasot tukevat toisiaan ja kattava kyberturvallisuus vaatii kaikkien tasojen huomioimista.
Tässä tutkimuksessa tutkittiin, miten kyberturvallisuudesta voidaan saada tietoa ja miten kyberturvallisuutta voidaan arvioida ja mitata. Tutkimuksen tavoitteena oli tuottaa mahdollisimman käytännönläheistä ja aikaa kestävää tietoa kyberturvallisuudesta, joka ymmärretään muuttuvana ja abstraktina käsitteenä. Lisäksi tavoitteena oli arvioida mahdollisuuksia kyberturvallisuuden mittaamiselle yritysten ja organisaatioiden näkökulmasta. Kyberturvallisuutta tarkasteltiin Kööpenhaminan koulukunnan turvallistamisteorian näkökulmasta. Tutkimus toteutettiin kuvailevalla kirjallisuuskatsauksella sekä laadullisella sisällönanalyysillä keväällä 2019.
Lähdeaineiston perusteella kyberturvallisuutta voi arvioida ja mitata organisaation tai yrityksen näkökulmasta strategisella, toiminnallisella sekä teknis-taktisella tasolla. Strategisella tasolla kyberturvallisuuden mittaaminen on yrityksen kypsyyden arviointia. Kypsyyttä voidaan arvioida eri käytössä olevien viitekehysten ja mallien avulla. Strategisella tasolla voidaan arvioida myös kyberturvallisuuden tavoitteiden saavuttamista. Strategiselta tasolta asetetaan myös vaatimuksen kyberturvallisuuden toiminnalliselle tasolle. Toiminnallisella tasolla kyberturvallisuuden mittaaminen on riskienhallintaa ja -analysointia. Kyberriskienhallintaa voidaan toteuttaa perinteisillä riskimatriiseilla tai tilastotieteellisillä menetelmillä. Tilastotieteellisissä menetelmissä etuna on se, että kriittisen päätöksenteon tueksi on saatavilla tieteellistä tietoa täysin subjektiivisen tiedon sijaan. Lähdeaineistossa ei kyetty kuitenkaan osoittamaan tieteellistä tietoa siitä, mikä riskienhallinnan menetelmä tukee päätöksentekoa ja vähentää epävarmuutta parhaiten. Teknisellä ja taktisella tasolla kyberturvallisuuden mittaaminen on esimerkiksi työntekijöiden tietoturvallisuustaitojen arviointia ja kehittämistä, haavoittuvuuksien korjaamista ja tietoliikenteen monitorointia. Tekniseltä ja taktiselta tasolta saadun tiedon perusteella kyetään toiminnallisella tasolla arvioiman riskejä paremmin. Näin ollen eri tasot tukevat toisiaan ja kattava kyberturvallisuus vaatii kaikkien tasojen huomioimista.