Riskienhallinta hankittaessa informaatiota avoimista Internet-lähteistä
Tomperi, Mikko (2020)
Tomperi, Mikko
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020091020342
https://urn.fi/URN:NBN:fi:amk-2020091020342
Tiivistelmä
Useita epävarmuustekijöitä, riskejä, on läsnä hankittaessa informaatiota avoimista Internet-lähteistä. Tämän opinnäytetyön tavoitteena oli SFS-ISO 31000:2018 riskienhallintastandardin riskienhallintaprosessia käyttäen tunnistaa, analysoida ja arvioida tiedonhankintaan liittyvät riskit, kun käytössä ovat avoimet Internet-verkon lähteet. Tutkimusongelman ratkaisemiseksi ja tavoitteiden saavuttamiseksi laadittiin kaksi tutkimuskysymystä: Mitä riskejä tiedonhankintaan avoimista Internet-lähteistä liittyy? Miten edellisessä tutkimuskysymyksessä tunnistettuja riskejä voidaan hallita?
Opinnäytetyö laadittiin osana ”Ammattikorkeakoulujen avoin TKI-toiminta, oppiminen ja innovaatioekosysteemi”- projektia, jota rahoittaa Opetus- ja kulttuuriministeriön erityisavustus.
Teoreettinen viitekehys rakennettiin opinnäytetyöhön riskienhallinnan, sekä avoimien lähteiden tiedustelun kirjallisuudesta, tutkimusartikkeleista ja virallisista raporteista. SFS-ISO 31000:2018 riskienhallintaprosessi vei kokonaisuutta eteenpäin pitäen sitä tiiviisti kasassa. Opinnäytetyöhön sisältyvän kaksivaiheisen tutkimuksen ensimmäisessä vaiheessa tehtiin kirjallisuuskatsaus, jolla pyrittiin tunnistamaan mahdollisimman monta avoimien Internet-lähteiden tiedonhankinnan riskiä. Kerättyä aineistoa käytettiin pohjana tutkimuksen toisessa vaiheessa, jossa haastateltiin neljää tiedonhankinnan ammattilaista. Haastatteluiden perusteella tunnistettiin uusia riskejä, sekä analysoitiin ja arvioitiin tunnistettuja riskejä.
Kirjallisuuskatsauksen perusteella tunnistettiin kaksitoista ja asiantuntijahaastatteluiden perusteella neljä avoimien Internet-lähteiden tiedonhankintaan liittyvää riskiä. Riskeistä kolme arvioitiin vaikutukseltaan korkeiksi, kaksitoista vaikutukseltaan keskitasoisiksi ja yksi vaikutukseltaan matalaksi. Korkean vaikutuksen riskit vaativat aggressiivista riskinhallintakeinojen käyttöä, keskitason vaikutuksen riskien hallinta riippuu tiedonhankkijan riskinottohalukkuudesta ja matalan vaikutuksen riskit voidaan hyväksyä. Riskeistä laadittiin riskirekisteri ja riskikohtaiset riskikortit. Riskikorteissa jokaisesta tunnistetusta riskistä annettiin esimerkki, mahdolliset seuraukset ja yhdestä kuuteen mahdollista riskienhallintakeinoa kyseisen riskin hallitsemiseksi.
Tunnistettujen riskien vaikutuksen jakautuminen noudattaa normaalijakauman kuvaajaa, jossa suurin varianssi muodostuu keskitasoisen vaikutuksen riskeissä. Tiedonhankkijalla on siis suuri mahdollisuus muokata oman tiedonhankintansa riskejä vastaamaan hänen yksilöllistä riskinottohalukkuutta. Riskienhallinnassa käytettävä riskirekisteri muodostui kattavaksi, mutta luonteeltaan staattiseksi. Staattisuus altistaa riskirekisterin asteittaiselle vanhenemiselle riskien hävitessä ja uusien tunnistamattomien riskien syntyessä. Hallitsemalla riskirekisterissä mainittuja riskejä, avoimia Internet-lähteitä käyttävä tiedonhankkija pystyy tehokkaasti hyödyntämään pinnallista Internetiä tiedontarpeensa täyttämiseksi. Several uncertainty factors, risks, are present when collecting information from open Internet sources. The goal of this thesis was to recognise, analyse and evaluate the risks of collecting open Internet source information by using risk management process of SFS-ISO 31000:2018 risk management standard. In order to solve the research problem and to accomplish the thesis goal, two research questions where set: What risks are involved in the collection of open Internet source information? How can risks identified in previous research question be managed?
The thesis was made as part of “Developing open RDI, Learning and Innovation Ecosystem at Universities of Applied Sciences”- project funded by Ministry of Education and Culture of Finland special funding.
The theoretical framework for the thesis was built using risk management and open source intelligence literature, research articles and official reports. The SFS-ISO 31000:2018 risk management process pushed the thesis forward keeping it tightly together. The literature review was made in the first phase of the two-phase thesis study in order to identify as many open Internet source risks as possible. The collected research material was used as the basis for four information collection and handling specialist interviews in the second phase of the thesis study. Based on interviews new risks where identified and previously identified risks were analysed and evaluated.
Based on literature review twelve and based on specialist interviews four open Internet source risks were identified. Three risks were evaluated to cause high impact, twelve risks to cause moderate impact and one risk to cause low impact. High impact risks need aggressive use of risk management tools, moderate risks can be managed on the basis of information collector’s risk appetite and low impact risks can be accepted. Risk register and detailed risk cards were made from identified risks. In the risk cards , an example is presented of every risk, possible consequences and from one to six possible risk management tools to manage the risk in question.
The impacts of identified risks follow normal distribution curve where the greatest variance forms in moderate impact risks. Therefore, the information collector has great possibility to adjust information collection risk management to suite their own risk appetite. Risk register used in risk management became comprehensive but static in nature. The static nature exposes the risk register into gradual aging as risks disappear and new unidentified risks are born.
By managing the risks mentioned in the risk register, the open source information collector can effectively utilise surface Internet to fill his information needs.
Opinnäytetyö laadittiin osana ”Ammattikorkeakoulujen avoin TKI-toiminta, oppiminen ja innovaatioekosysteemi”- projektia, jota rahoittaa Opetus- ja kulttuuriministeriön erityisavustus.
Teoreettinen viitekehys rakennettiin opinnäytetyöhön riskienhallinnan, sekä avoimien lähteiden tiedustelun kirjallisuudesta, tutkimusartikkeleista ja virallisista raporteista. SFS-ISO 31000:2018 riskienhallintaprosessi vei kokonaisuutta eteenpäin pitäen sitä tiiviisti kasassa. Opinnäytetyöhön sisältyvän kaksivaiheisen tutkimuksen ensimmäisessä vaiheessa tehtiin kirjallisuuskatsaus, jolla pyrittiin tunnistamaan mahdollisimman monta avoimien Internet-lähteiden tiedonhankinnan riskiä. Kerättyä aineistoa käytettiin pohjana tutkimuksen toisessa vaiheessa, jossa haastateltiin neljää tiedonhankinnan ammattilaista. Haastatteluiden perusteella tunnistettiin uusia riskejä, sekä analysoitiin ja arvioitiin tunnistettuja riskejä.
Kirjallisuuskatsauksen perusteella tunnistettiin kaksitoista ja asiantuntijahaastatteluiden perusteella neljä avoimien Internet-lähteiden tiedonhankintaan liittyvää riskiä. Riskeistä kolme arvioitiin vaikutukseltaan korkeiksi, kaksitoista vaikutukseltaan keskitasoisiksi ja yksi vaikutukseltaan matalaksi. Korkean vaikutuksen riskit vaativat aggressiivista riskinhallintakeinojen käyttöä, keskitason vaikutuksen riskien hallinta riippuu tiedonhankkijan riskinottohalukkuudesta ja matalan vaikutuksen riskit voidaan hyväksyä. Riskeistä laadittiin riskirekisteri ja riskikohtaiset riskikortit. Riskikorteissa jokaisesta tunnistetusta riskistä annettiin esimerkki, mahdolliset seuraukset ja yhdestä kuuteen mahdollista riskienhallintakeinoa kyseisen riskin hallitsemiseksi.
Tunnistettujen riskien vaikutuksen jakautuminen noudattaa normaalijakauman kuvaajaa, jossa suurin varianssi muodostuu keskitasoisen vaikutuksen riskeissä. Tiedonhankkijalla on siis suuri mahdollisuus muokata oman tiedonhankintansa riskejä vastaamaan hänen yksilöllistä riskinottohalukkuutta. Riskienhallinnassa käytettävä riskirekisteri muodostui kattavaksi, mutta luonteeltaan staattiseksi. Staattisuus altistaa riskirekisterin asteittaiselle vanhenemiselle riskien hävitessä ja uusien tunnistamattomien riskien syntyessä. Hallitsemalla riskirekisterissä mainittuja riskejä, avoimia Internet-lähteitä käyttävä tiedonhankkija pystyy tehokkaasti hyödyntämään pinnallista Internetiä tiedontarpeensa täyttämiseksi.
The thesis was made as part of “Developing open RDI, Learning and Innovation Ecosystem at Universities of Applied Sciences”- project funded by Ministry of Education and Culture of Finland special funding.
The theoretical framework for the thesis was built using risk management and open source intelligence literature, research articles and official reports. The SFS-ISO 31000:2018 risk management process pushed the thesis forward keeping it tightly together. The literature review was made in the first phase of the two-phase thesis study in order to identify as many open Internet source risks as possible. The collected research material was used as the basis for four information collection and handling specialist interviews in the second phase of the thesis study. Based on interviews new risks where identified and previously identified risks were analysed and evaluated.
Based on literature review twelve and based on specialist interviews four open Internet source risks were identified. Three risks were evaluated to cause high impact, twelve risks to cause moderate impact and one risk to cause low impact. High impact risks need aggressive use of risk management tools, moderate risks can be managed on the basis of information collector’s risk appetite and low impact risks can be accepted. Risk register and detailed risk cards were made from identified risks. In the risk cards , an example is presented of every risk, possible consequences and from one to six possible risk management tools to manage the risk in question.
The impacts of identified risks follow normal distribution curve where the greatest variance forms in moderate impact risks. Therefore, the information collector has great possibility to adjust information collection risk management to suite their own risk appetite. Risk register used in risk management became comprehensive but static in nature. The static nature exposes the risk register into gradual aging as risks disappear and new unidentified risks are born.
By managing the risks mentioned in the risk register, the open source information collector can effectively utilise surface Internet to fill his information needs.