Organisaatioiden kyberresilienssin kehittäminen
Karrila, Jade (2023)
Karrila, Jade
2023
Teknis-taloudellinen kandidaattiohjelma - Bachelor's Programme in Business and Technology Management
Johtamisen ja talouden tiedekunta - Faculty of Management and Business
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2023-05-11
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202305075406
https://urn.fi/URN:NBN:fi:tuni-202305075406
Tiivistelmä
Tämän kandidaatintyön tarkoituksena on selvittää miten organisaatiot voivat kehittää kyberresilienssiään digitalisaation neljännen aallon toimintaympäristöön tuomien muutosten myötä. Kyberresilienssillä tarkoitetaan organisaatioiden kykyä säilyttää suorituskykynsä kyberhäiriötilanteista huolimatta. Työn tarkoituksena oli selvittää mitä kyberturvallisuuden johtamisessa ja hallinnassa organisaatioiden tulisi muuttaa kyberresilienssin kehittämiseksi.
Tutkimus toteutettiin kirjallisuuskatsauksena, jossa hyödynnettiin Finkin määrittelemää kirjallisuuskatsauksen prosessimallia. Tutkimusaineisto haettiin Scopus-, Web of Science-, ScienceDirect-ja Andor-tietokannoista. Tutkimusaineisto koostuu vertaisarvioiduista tutkimusartikkeleista, joista pyrittiin tunnistamaan yhteneviä tekijöitä ja termejä, jotka liitettiin kyberresilienssin kehittymiseen organisaatioissa. Aiheen rajaamiseksi kyberresilienssin tutkimuksessa on hyödynnetty NIST-kyberturvallisuusmallia, jonka avulla voidaan tunnistaa kyberturvallisuuden osa-alueita ja näin löytää merkittäviä kehityskohteita kyberresilienssin rakentamisessa.
Tutkimuksessa tunnistettiin NIST-kyberturvallisuusmallin osa-alueiden ja kyberresilienssin rinnakkaisuuksia. Erityinen yhtymäkohta molemmille oli reagointi- ja toipumisosa-alueet. Pelkkä kyberturvallisuuden kehittäminen ei yksiselitteisesti paranna kyberresilienssiä, sillä se on suurilta osin ennaltaehkäisevää, lyhyen aikavälin ongelmanratkaisua siinä missä kyberresilienssi pyrkii ensisijaisesti tukemaan organisaation liiketoiminnan jatkuvuutta. Tämän turvaaminen digitalisaation neljännen aallon tuomien muutosten myötä on organisaatioille välttämätöntä, sillä neljäs aalto luo suuria haasteita kyberturvallisuudelle muun muassa laskentatehon nousulla, liitettävyyden ja verkottuneisuuden yleistymisellä sekä automatisaatiolla. Kyberresilienssi ei kuitenkaan voi kehittyä ilman perustavanlaatuista kyberturvallisuutta, jonka takia niitä molempia tulee kehittää organisaatioiden liiketoiminnan jatkuvuuden turvaamiseksi.
Organisaatioiden kyberresilienssin kehittämiseksi organisaatioilta vaaditaan strategista kyberturvallisuusjohtamista, sisäistä ja ulkoista seurantaa, järjestelmäarkkitehtuurin ja puolustuksen dynaamisuutta sekä analytiikan hyödyntämistä kyberturvallisuudessa. Kaikki nämä tekijät tukevat reagointi- ja toipumissuunnittelua, joka on avainasemassa kyberresilienssin ja kyberturvallisuuden kehityksessä. Organisaatioilta vaaditaan näkökulman muutosta resurssien allokoinnissa, puolustusteknologian implementoinnissa sekä tietoisuuden kehittämisessä, jotta ne voivat kehittää kyberresilienssiään nykyiset ja tulevat haasteet huomioiden. Organisaatioiden on siirryttävä reaktiivisesta toiminnasta proaktiiviseen, jotta niillä on parhaat mahdolliset kyvykkyydet turvata toimintansa tulevaisuuden kybertoimintaympäristössä, jossa kyberhyökkäyksiltä ei voida puolustautua vain ehkäisevillä toimintamenetelmillä.
Tutkimus toteutettiin kirjallisuuskatsauksena, jossa hyödynnettiin Finkin määrittelemää kirjallisuuskatsauksen prosessimallia. Tutkimusaineisto haettiin Scopus-, Web of Science-, ScienceDirect-ja Andor-tietokannoista. Tutkimusaineisto koostuu vertaisarvioiduista tutkimusartikkeleista, joista pyrittiin tunnistamaan yhteneviä tekijöitä ja termejä, jotka liitettiin kyberresilienssin kehittymiseen organisaatioissa. Aiheen rajaamiseksi kyberresilienssin tutkimuksessa on hyödynnetty NIST-kyberturvallisuusmallia, jonka avulla voidaan tunnistaa kyberturvallisuuden osa-alueita ja näin löytää merkittäviä kehityskohteita kyberresilienssin rakentamisessa.
Tutkimuksessa tunnistettiin NIST-kyberturvallisuusmallin osa-alueiden ja kyberresilienssin rinnakkaisuuksia. Erityinen yhtymäkohta molemmille oli reagointi- ja toipumisosa-alueet. Pelkkä kyberturvallisuuden kehittäminen ei yksiselitteisesti paranna kyberresilienssiä, sillä se on suurilta osin ennaltaehkäisevää, lyhyen aikavälin ongelmanratkaisua siinä missä kyberresilienssi pyrkii ensisijaisesti tukemaan organisaation liiketoiminnan jatkuvuutta. Tämän turvaaminen digitalisaation neljännen aallon tuomien muutosten myötä on organisaatioille välttämätöntä, sillä neljäs aalto luo suuria haasteita kyberturvallisuudelle muun muassa laskentatehon nousulla, liitettävyyden ja verkottuneisuuden yleistymisellä sekä automatisaatiolla. Kyberresilienssi ei kuitenkaan voi kehittyä ilman perustavanlaatuista kyberturvallisuutta, jonka takia niitä molempia tulee kehittää organisaatioiden liiketoiminnan jatkuvuuden turvaamiseksi.
Organisaatioiden kyberresilienssin kehittämiseksi organisaatioilta vaaditaan strategista kyberturvallisuusjohtamista, sisäistä ja ulkoista seurantaa, järjestelmäarkkitehtuurin ja puolustuksen dynaamisuutta sekä analytiikan hyödyntämistä kyberturvallisuudessa. Kaikki nämä tekijät tukevat reagointi- ja toipumissuunnittelua, joka on avainasemassa kyberresilienssin ja kyberturvallisuuden kehityksessä. Organisaatioilta vaaditaan näkökulman muutosta resurssien allokoinnissa, puolustusteknologian implementoinnissa sekä tietoisuuden kehittämisessä, jotta ne voivat kehittää kyberresilienssiään nykyiset ja tulevat haasteet huomioiden. Organisaatioiden on siirryttävä reaktiivisesta toiminnasta proaktiiviseen, jotta niillä on parhaat mahdolliset kyvykkyydet turvata toimintansa tulevaisuuden kybertoimintaympäristössä, jossa kyberhyökkäyksiltä ei voida puolustautua vain ehkäisevillä toimintamenetelmillä.
Kokoelmat
- Kandidaatintutkielmat [8639]