Tietoturvapolitiikan rakentaminen Suomessa toimivissa yrityksissä
Erikkilä, Akseli (2019)
Erikkilä, Akseli
2019
Tietotekniikan DI-ohjelma - Degree Programme in Information Technology
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2019-08-07
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-201906302353
https://urn.fi/URN:NBN:fi:tuni-201906302353
Tiivistelmä
Diplomityössä tutkittiin Suomessa toimivien yritysten tietoturvapolitiikan tilaa. Tietoturvapolitiikka on tietoturvallisuuden hallintaan käytetty määräys, joka määrittelee tietoturvallisuuden, sen tavoitteet ja vastuut. Työssä haastateltiin kymmentä Suomessa toimivaa yritystä ja selvitettiin, miten niissä tietoturvapolitiikka on rakennettu. Haastattelut analysoitiin ja niistä nostettiin esiin erilaisia haasteita. Näiden pohjalta ja kirjallisuuden avulla toteutettiin tietoturvapolitiikalle malli, jolla pyritään kuvaamaan eri tietoturvapolitiikan osa-alueiden olennaisimmat osat.
Haastattelut jaoteltiin kolmeen osaan: suunnitteluun, toteutukseen ja seurantaan. Kustakin alueesta kysyttiin kysymyksiä, jotka pitkälti selvittivät, miten tietoturvapolitiikan siirtämistä käytäntöön oli huomioitu kussakin vaiheessa. Yleisenä havaintona kaikista haastatteluista nousi esiin johdon tuen vähyys, jota voi parantaa muun muassa näyttämällä esimerkkiä enemmän alaisille. Tällöin henkilöstöä on helpompia saada sitoutettua tietoturvallisuuteen.
Suunnitteluun liittyvissä kysymyksissä kysyttiin, millaista suunnitteluprosessia käytettiin ja millaisia aineistoja suunnittelussa käytettiin. Tästä osioksi haasteeksi nousi erilaisten sidosryhmien ottaminen mukaan suunnitteluun. Kaikki erilaiset käyttäjäryhmät ovat tärkeitä tietoturvallisuudelle, sillä he lopulta toteuttavat tietoturvaprosesseja ja vastaavat sen onnistumisesta. Sidosryhmien tarpeita pitäisi kuulla ja sovittaa tietoturvallisuus sopimaan heidän prosesseihinsa, jotta toimintatavat onnistuisivat parhaiten.
Toteutukseen liittyvissä kysymyksissä kysyttiin, millainen rakenne politiikalla on ja miten sen toteuttamisesta on kommunikoitu ja lopulta, miten se on koulutettu. Tässä suurimmaksi haasteeksi nousi koulutusten määrä ja laatu. Useimmat yritykset järjestivät koulutuksia hyvin vähän, jopa vain kerran. Tätä varten ehdotettiin, että koulutuksia tulisi järjestää tasaisemmin ja hyväksikäyttää verkkopohjaisia oppimisalustoja, jotka mahdollistavat ajasta ja paikasta riippumattomia koulutuksia.
Seurantaan liittyvissä kysymyksissä kysyttiin, miten tietoturvapolitiikan noudattamista seurataan ja miten pyritään varmistamaan, että henkilöt voisivat noudattaa politiikkaa. Suurimmaksi haasteeksi nousi itse mittaaminen. Tietoturvapolitiikan toimivuuden mittaaminen on vaikeaa, ellei jopa mahdotonta, joten tätä varten ehdotettiin toisenlaista lähestymistapaa. Tietoturvaongelmia tai erilaisia virheitä tulisi voida tuoda esiin ilman pelkoa sanktioista ja virheet tulisi nähdä positiivisina oppimistapahtumina. Tällöin henkilöstö voisi tuoda ongelmia enemmän esiin ja toimintaa olisi helpompi seurata.
Mallipolitiikassa opittu tiivistettiin kuusiosaiseksi tietoturvapolitiikan pohjaksi, jossa kuvataan kunkin osan tärkeys tietoturvallisuuden onnistumiselle. Osat ovat: tietoturvallisuuden ja sen osien määrittely, tietoturvapolitiikan sisältö, vastuiden määrittely, politiikan määräykset, valvonta ja tietoturvapolitiikan kehittäminen.
Haastattelut jaoteltiin kolmeen osaan: suunnitteluun, toteutukseen ja seurantaan. Kustakin alueesta kysyttiin kysymyksiä, jotka pitkälti selvittivät, miten tietoturvapolitiikan siirtämistä käytäntöön oli huomioitu kussakin vaiheessa. Yleisenä havaintona kaikista haastatteluista nousi esiin johdon tuen vähyys, jota voi parantaa muun muassa näyttämällä esimerkkiä enemmän alaisille. Tällöin henkilöstöä on helpompia saada sitoutettua tietoturvallisuuteen.
Suunnitteluun liittyvissä kysymyksissä kysyttiin, millaista suunnitteluprosessia käytettiin ja millaisia aineistoja suunnittelussa käytettiin. Tästä osioksi haasteeksi nousi erilaisten sidosryhmien ottaminen mukaan suunnitteluun. Kaikki erilaiset käyttäjäryhmät ovat tärkeitä tietoturvallisuudelle, sillä he lopulta toteuttavat tietoturvaprosesseja ja vastaavat sen onnistumisesta. Sidosryhmien tarpeita pitäisi kuulla ja sovittaa tietoturvallisuus sopimaan heidän prosesseihinsa, jotta toimintatavat onnistuisivat parhaiten.
Toteutukseen liittyvissä kysymyksissä kysyttiin, millainen rakenne politiikalla on ja miten sen toteuttamisesta on kommunikoitu ja lopulta, miten se on koulutettu. Tässä suurimmaksi haasteeksi nousi koulutusten määrä ja laatu. Useimmat yritykset järjestivät koulutuksia hyvin vähän, jopa vain kerran. Tätä varten ehdotettiin, että koulutuksia tulisi järjestää tasaisemmin ja hyväksikäyttää verkkopohjaisia oppimisalustoja, jotka mahdollistavat ajasta ja paikasta riippumattomia koulutuksia.
Seurantaan liittyvissä kysymyksissä kysyttiin, miten tietoturvapolitiikan noudattamista seurataan ja miten pyritään varmistamaan, että henkilöt voisivat noudattaa politiikkaa. Suurimmaksi haasteeksi nousi itse mittaaminen. Tietoturvapolitiikan toimivuuden mittaaminen on vaikeaa, ellei jopa mahdotonta, joten tätä varten ehdotettiin toisenlaista lähestymistapaa. Tietoturvaongelmia tai erilaisia virheitä tulisi voida tuoda esiin ilman pelkoa sanktioista ja virheet tulisi nähdä positiivisina oppimistapahtumina. Tällöin henkilöstö voisi tuoda ongelmia enemmän esiin ja toimintaa olisi helpompi seurata.
Mallipolitiikassa opittu tiivistettiin kuusiosaiseksi tietoturvapolitiikan pohjaksi, jossa kuvataan kunkin osan tärkeys tietoturvallisuuden onnistumiselle. Osat ovat: tietoturvallisuuden ja sen osien määrittely, tietoturvapolitiikan sisältö, vastuiden määrittely, politiikan määräykset, valvonta ja tietoturvapolitiikan kehittäminen.