Pilvipalveluiden tietoturvariskien hallinta julkishallinnossa : Kustannus- ja henkilöstövaikutukset
Carlson, Linda (2025)
2025
Tietotekniikan DI-ohjelma - Master's Programme in Information Technology
Informaatioteknologian ja viestinnän tiedekunta - Faculty of Information Technology and Communication Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2025-05-28
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202505215928
https://urn.fi/URN:NBN:fi:tuni-202505215928
Tiivistelmä
Pilvipalveluiden käyttö on yleistynyt nopeasti myös julkishallinnossa, tarjoten mahdollisuuksia joustavaan, skaalautuvaan ja kustannustehokkaaseen palvelutuotantoon. Samalla pilvipalveluiden tietoturvariskit, sääntelyvaatimukset ja henkilöstön osaamisvaatimukset ovat nousseet keskeisiksi hallinnan haasteiksi. Erityisesti julkishallinnon tehtäväkentässä korostuvat riskienhallinnan, liiketoiminnan jatkuvuuden ja sääntelyn noudattamisen vaatimukset.
Tämä diplomityö tarkastelee, miten julkishallinnon organisaatiot voivat hallita pilvipalveluiden tietoturvariskejä kustannustehokkaasti ja millaisia vaatimuksia tämä asettaa henkilöstön osaamiselle. Tutkimus toteutettiin kirjallisuuskatsauksena, jota täydennettiin asiantuntijakyselyllä. Työssä keskityttiin tietoturvauhkien, riskienhallintakäytäntöjen, kustannusvaikutusten, osaamistarpeiden sekä liiketoiminnan jatkuvuuden ja huoltovarmuuden tarkasteluun Suomen julkishallinnon kontekstissa.
Tulosten perusteella pilvipalveluiden riskienhallinta edellyttää koko palvelun elinkaaren kattavaa lähestymistapaa, jossa tekniset suojauskeinot, hallinnolliset käytännöt ja sääntelyvaatimusten täytäntöönpano yhdistyvät. Tietoturvakustannukset kohdistuvat muun muassa teknisiin ratkaisuihin, vaatimustenmukaisuuden hallintaan ja henkilöstön osaamisen kehittämiseen. Kustannustehokkuutta voidaan parantaa riskiperusteisella suojaustasolla, tiedon elinkaaren hallinnalla ja kohdennetulla osaamisen johtamisella.
Henkilöstön osaamisvaatimukset ulottuvat teknisen tietoturvan hallinnasta sääntelyn soveltamiseen ja sopimustekniseen osaamiseen. Osaamispuutteet voivat heikentää päätöksenteon laatua ja lisätä riippuvuutta ulkopuolisista toimijoista. Työssä korostui tarve suunnitelmalliselle ja roolikohtaiselle osaamisen kehittämiselle. Lisäksi havaittiin, että palveluntarjoajariippuvuuden hallinta ja kriittisen datan säilyttäminen EU/ETA-alueella ovat merkittäviä huoltovarmuuden näkökulmasta.
Työn päätteeksi esitetään kymmenen suositusta, jotka pohjautuvat työn tuloksiin ja joiden avulla julkishallinnon organisaatiot voivat kehittää pilvipalveluiden hallintaa turvallisesti, kustannustehokkaasti ja strategisesti. Suosituksissa korostuvat muun muassa riskienhallinnan elinkaarilähtöisyys, osaamisen johtaminen, sopimustekninen varautuminen sekä liiketoiminnan jatkuvuuden ja huoltovarmuuden turvaaminen.
The use of cloud services has rapidly increased in the public sector, offering opportunities for flexible, scalable, and cost-efficient service delivery. At the same time, security risks, regulatory requirements, and personnel skill demands related to cloud services have become key challenges in management. In particular, risk management, business continuity, and regulatory compliance are emphasized in the operations of public sector organizations.
This thesis examines how public sector organizations can manage cloud service security risks cost-effectively and what kinds of requirements this places on personnel competencies. The research was conducted as a literature review, supplemented by an expert survey. The study focuses on information security threats, risk management practices, cost impacts, skill requirements, and issues related to business continuity and national preparedness in the Finnish public sector context.
The results show that managing security risks in cloud services requires a lifecycle-wide approach, combining technical safeguards, administrative practices, and regulatory compliance measures. Information security costs are related to technical solutions, compliance management, and personnel development. Cost-efficiency can be improved through risk-based protection levels, data lifecycle management, and targeted skills development.
Personnel requirements cover technical security expertise, regulatory application, and contract management skills. Gaps in competencies can weaken the quality of decision-making and increase dependency on external support. The study highlights the need for systematic and role-specific competence development. It was also found that managing vendor dependency and ensuring that critical data remains within the EU/EEA area are important for national preparedness.
Based on the findings, ten recommendations are presented to support public sector organizations in developing secure, cost-efficient, and strategic cloud service management. The recommendations emphasize, among other things, lifecycle-based risk management, competence development, contract-based contingency planning, and ensuring business continuity and national preparedness.
Tämä diplomityö tarkastelee, miten julkishallinnon organisaatiot voivat hallita pilvipalveluiden tietoturvariskejä kustannustehokkaasti ja millaisia vaatimuksia tämä asettaa henkilöstön osaamiselle. Tutkimus toteutettiin kirjallisuuskatsauksena, jota täydennettiin asiantuntijakyselyllä. Työssä keskityttiin tietoturvauhkien, riskienhallintakäytäntöjen, kustannusvaikutusten, osaamistarpeiden sekä liiketoiminnan jatkuvuuden ja huoltovarmuuden tarkasteluun Suomen julkishallinnon kontekstissa.
Tulosten perusteella pilvipalveluiden riskienhallinta edellyttää koko palvelun elinkaaren kattavaa lähestymistapaa, jossa tekniset suojauskeinot, hallinnolliset käytännöt ja sääntelyvaatimusten täytäntöönpano yhdistyvät. Tietoturvakustannukset kohdistuvat muun muassa teknisiin ratkaisuihin, vaatimustenmukaisuuden hallintaan ja henkilöstön osaamisen kehittämiseen. Kustannustehokkuutta voidaan parantaa riskiperusteisella suojaustasolla, tiedon elinkaaren hallinnalla ja kohdennetulla osaamisen johtamisella.
Henkilöstön osaamisvaatimukset ulottuvat teknisen tietoturvan hallinnasta sääntelyn soveltamiseen ja sopimustekniseen osaamiseen. Osaamispuutteet voivat heikentää päätöksenteon laatua ja lisätä riippuvuutta ulkopuolisista toimijoista. Työssä korostui tarve suunnitelmalliselle ja roolikohtaiselle osaamisen kehittämiselle. Lisäksi havaittiin, että palveluntarjoajariippuvuuden hallinta ja kriittisen datan säilyttäminen EU/ETA-alueella ovat merkittäviä huoltovarmuuden näkökulmasta.
Työn päätteeksi esitetään kymmenen suositusta, jotka pohjautuvat työn tuloksiin ja joiden avulla julkishallinnon organisaatiot voivat kehittää pilvipalveluiden hallintaa turvallisesti, kustannustehokkaasti ja strategisesti. Suosituksissa korostuvat muun muassa riskienhallinnan elinkaarilähtöisyys, osaamisen johtaminen, sopimustekninen varautuminen sekä liiketoiminnan jatkuvuuden ja huoltovarmuuden turvaaminen.
The use of cloud services has rapidly increased in the public sector, offering opportunities for flexible, scalable, and cost-efficient service delivery. At the same time, security risks, regulatory requirements, and personnel skill demands related to cloud services have become key challenges in management. In particular, risk management, business continuity, and regulatory compliance are emphasized in the operations of public sector organizations.
This thesis examines how public sector organizations can manage cloud service security risks cost-effectively and what kinds of requirements this places on personnel competencies. The research was conducted as a literature review, supplemented by an expert survey. The study focuses on information security threats, risk management practices, cost impacts, skill requirements, and issues related to business continuity and national preparedness in the Finnish public sector context.
The results show that managing security risks in cloud services requires a lifecycle-wide approach, combining technical safeguards, administrative practices, and regulatory compliance measures. Information security costs are related to technical solutions, compliance management, and personnel development. Cost-efficiency can be improved through risk-based protection levels, data lifecycle management, and targeted skills development.
Personnel requirements cover technical security expertise, regulatory application, and contract management skills. Gaps in competencies can weaken the quality of decision-making and increase dependency on external support. The study highlights the need for systematic and role-specific competence development. It was also found that managing vendor dependency and ensuring that critical data remains within the EU/EEA area are important for national preparedness.
Based on the findings, ten recommendations are presented to support public sector organizations in developing secure, cost-efficient, and strategic cloud service management. The recommendations emphasize, among other things, lifecycle-based risk management, competence development, contract-based contingency planning, and ensuring business continuity and national preparedness.