A Method for Continuous Information Technology Supervision: The Case of the Estonian Financial Sector
Kull, Andro (2012)
Kull, Andro
Tampere University Press
2012
Tietojenkäsittelyoppi - Computer Science
Informaatiotieteiden yksikkö - School of Information Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Väitöspäivä
2012-01-20
Julkaisun pysyvä osoite on
https://urn.fi/urn:isbn:978-951-44-8689-0
https://urn.fi/urn:isbn:978-951-44-8689-0
Tiivistelmä
Nykyään yritykset ja niiden liiketoiminta ovat yhä enemmän riippuvaisia tietotekniikan (IT) ratkaisuista, ja liiketoiminnan IT-riskit lisääntyvät edelleen. Rahoitusala on erityisen herkkä, koska se hallinnoi asiakkaan varoja, ja tämä asettaa suuria vaatimuksia rahoituslaitoksille, kuten esimerkiksi pankkien ja vakuutusyhtiöiden IT-ratkaisuille. Ja se taas asettaa vaatimuksia Finanssivalvonnalle, kun sen pitää valvoa rahoitusalan riskejä.
Jotta näitä riskejä voidaan hallitusti pienentää, on vastattava kysymyksiin: Kuinka paljon turvajärjestelyjä tarvitaan? ja mitkä turvajärjestelyt ovat riittäviä? Finanssivalvonnan tarkastajien tulee vastata noihin kysymyksiin, jotta voidaan varmistaa, että ihmisten rahat ovat turvassa pankeissa ja muissa rahoituslaitoksissa. Tässä väitöskirjassa laaditaan uusi menetelmä em. vaatimusten arviointia ja jatkuvaa seurantaa varten.
Koko tutkimuksen keskeinen idea on yhdistää parhaat käytännöt ja kansainväliset standardit sekä rakentaa järkevä menetelmä IT:n valvontaa varten. Tutkimus keskittyy tietotekniikan riskeihin, jotka on jäsennetty kolmeen pääryhmään - tietotekniikan hallintoon, tietoturvan hallintoon ja liiketoiminnan jatkuvuuteen. IT-valvonnan välineeksi Finanssivalvonta kehittää monipuoliset ohjeet kutakin kolmea pääryhmää varten ja jatkuvasti arvioi ohjeiden noudattamista rahoituslaitosten todellisessa toiminnassa.
Tutkimus alkoi huolellisella kirjallisuuskatsauksella, ja sen jälkeen yhdistettiin tuloksia joistakin osatutkimuksista. Jotta voitiin määrittää rahoitussektorin IT:n valvonnan tarve, konsultoitiin saman tehtävän yksiköitä Euroopassa sekä tutkittiin valvottavia paikallistasolla, ja siten saatiin määritettyä järkevät mutta ei liian tiukat IT:n valvonnan vaatimukset. Seuraavaksi laadittiin menetelmä, kuinka eritasoisia vaatimuksia voitaisiin soveltaa erikokoisiin organisaatioihin rahoitussektorilla. Idea konkretisoitiin koekyselyksi, joka toteutettiin tapaustutkimuksena yhden organisaation puitteissa. Vastaukset analysoitiin ja arvioitiin, missä määrin tietoturvavaatimuksiin oli mahdollista vastata. Lopputuloksena oli metodi IT:n turvajärjestelyjen arvioimiseksi sekä isoissa että pienissä finanssialan yksiköissä.
Tutkimuksen aikana luotiin arviointikriteerit sisältävä käsikirja ja se on kuvattu väitöskirjan liitteessä. Sitä voidaan pitää koko tutkimuksen tärkeimpänä tuloksena. Käsikirja on yhteenveto aiemmista osatutkimuksista ja antaa käsityksen siitä, miten käyttää vaatimustenmukaisuuden arviointia finanssisektorin yksiköissä. Se tarjoaa konkreettiset arviointiperusteet yksiköiden syväanalyysiin ja kohtelee erikokoisia yksiköitä tasa-arvoisesti.
Väitöskirjassa laadittua metodia on arvioitu universaaleilla kriteereillä (toimivuus, tehokkuus, yleisyys ja helppokäyttöisyys) ja osoitettu niiden täyttäminen. Metodia on tarkoitus ainakin kerran vuodessa soveltaa Viron finanssisektorin IT-turvavaatimusten arviointiin. Sillä tavalla saadaan esille kohdat, joissa on parantamisen varaa, ja kohdat, joissa on tarvetta kehittää metodin osa-alueita. Tavoitteena jatkuvalla tietojen keruulla IT-turvajärjestelyistä on auttaa parantamaan valvontaa koskevaa päätöksentekoa.
Kun menetelmä otetaan käyttöön, saamme aineistoa, jonka perusteella voimme tutkia, ovatko asiansa hyvin hoitaneet yksiköt kokeneet vähemmän menetyksiä IT-hyökkäyksissä ja tahattomissa väärinkäytöissä. Tutkimustulokset auttavat kehittämään metodia edelleen. Tekninen kehitys ja yhteiskunnan muutos vaativat, että myös metodin arviointiperusteita kehitetään jatkuvasti.
Jotta näitä riskejä voidaan hallitusti pienentää, on vastattava kysymyksiin: Kuinka paljon turvajärjestelyjä tarvitaan? ja mitkä turvajärjestelyt ovat riittäviä? Finanssivalvonnan tarkastajien tulee vastata noihin kysymyksiin, jotta voidaan varmistaa, että ihmisten rahat ovat turvassa pankeissa ja muissa rahoituslaitoksissa. Tässä väitöskirjassa laaditaan uusi menetelmä em. vaatimusten arviointia ja jatkuvaa seurantaa varten.
Koko tutkimuksen keskeinen idea on yhdistää parhaat käytännöt ja kansainväliset standardit sekä rakentaa järkevä menetelmä IT:n valvontaa varten. Tutkimus keskittyy tietotekniikan riskeihin, jotka on jäsennetty kolmeen pääryhmään - tietotekniikan hallintoon, tietoturvan hallintoon ja liiketoiminnan jatkuvuuteen. IT-valvonnan välineeksi Finanssivalvonta kehittää monipuoliset ohjeet kutakin kolmea pääryhmää varten ja jatkuvasti arvioi ohjeiden noudattamista rahoituslaitosten todellisessa toiminnassa.
Tutkimus alkoi huolellisella kirjallisuuskatsauksella, ja sen jälkeen yhdistettiin tuloksia joistakin osatutkimuksista. Jotta voitiin määrittää rahoitussektorin IT:n valvonnan tarve, konsultoitiin saman tehtävän yksiköitä Euroopassa sekä tutkittiin valvottavia paikallistasolla, ja siten saatiin määritettyä järkevät mutta ei liian tiukat IT:n valvonnan vaatimukset. Seuraavaksi laadittiin menetelmä, kuinka eritasoisia vaatimuksia voitaisiin soveltaa erikokoisiin organisaatioihin rahoitussektorilla. Idea konkretisoitiin koekyselyksi, joka toteutettiin tapaustutkimuksena yhden organisaation puitteissa. Vastaukset analysoitiin ja arvioitiin, missä määrin tietoturvavaatimuksiin oli mahdollista vastata. Lopputuloksena oli metodi IT:n turvajärjestelyjen arvioimiseksi sekä isoissa että pienissä finanssialan yksiköissä.
Tutkimuksen aikana luotiin arviointikriteerit sisältävä käsikirja ja se on kuvattu väitöskirjan liitteessä. Sitä voidaan pitää koko tutkimuksen tärkeimpänä tuloksena. Käsikirja on yhteenveto aiemmista osatutkimuksista ja antaa käsityksen siitä, miten käyttää vaatimustenmukaisuuden arviointia finanssisektorin yksiköissä. Se tarjoaa konkreettiset arviointiperusteet yksiköiden syväanalyysiin ja kohtelee erikokoisia yksiköitä tasa-arvoisesti.
Väitöskirjassa laadittua metodia on arvioitu universaaleilla kriteereillä (toimivuus, tehokkuus, yleisyys ja helppokäyttöisyys) ja osoitettu niiden täyttäminen. Metodia on tarkoitus ainakin kerran vuodessa soveltaa Viron finanssisektorin IT-turvavaatimusten arviointiin. Sillä tavalla saadaan esille kohdat, joissa on parantamisen varaa, ja kohdat, joissa on tarvetta kehittää metodin osa-alueita. Tavoitteena jatkuvalla tietojen keruulla IT-turvajärjestelyistä on auttaa parantamaan valvontaa koskevaa päätöksentekoa.
Kun menetelmä otetaan käyttöön, saamme aineistoa, jonka perusteella voimme tutkia, ovatko asiansa hyvin hoitaneet yksiköt kokeneet vähemmän menetyksiä IT-hyökkäyksissä ja tahattomissa väärinkäytöissä. Tutkimustulokset auttavat kehittämään metodia edelleen. Tekninen kehitys ja yhteiskunnan muutos vaativat, että myös metodin arviointiperusteita kehitetään jatkuvasti.
Kokoelmat
- Väitöskirjat [4772]