Mittaaminen osana liiketoimintalähtöistä tietoturvallisuuden hallinnointia
Salmela, Iikka (2013)
Salmela, Iikka
2013
Tietojohtamisen koulutusohjelma
Tuotantotalouden ja rakentamisen tiedekunta - Faculty of Business and Built Environment
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2013-02-06
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tty-201302131058
https://urn.fi/URN:NBN:fi:tty-201302131058
Tiivistelmä
Lähtökohtana tutkimukselle oli käytännön tarve tutkia, miten tietoturvallisuutta voidaan mitata sen hallinnoinnin näkökulmasta. Tutkimuksen tavoitteena oli kartoittaa, mitä tietoturvallisuuden tilaan liittyviä tietotarpeita yritysjohdolla ja tietoturvajohdolla on, jotta voidaan ymmärtää mitkä menestystekijät tietoturvallisuuteen vaikuttavat. Näiden menestystekijöiden kautta tavoitteena oli muodostaa liiketoimintalähtöinen mittaristo, joka tukee tietoturvallisuuden hallinnointia ja jonka avulla siitä voidaan viestiä johdolle.
Asetettua tavoitetta pyrittiin ensin ymmärtämään teoriaosassa, jossa käsiteanalyyttisen tutkimusotteen avulla muodostettiin viitekehys empiriaosalle. Viitekehys muodostettiin kirjallisuudesta löydetyn mittariston suunnitteluprosessin ja tasapainotetun tuloskortin perusteella, joita tarkasteltiin tietoturvallisuuden hallinnoinnin näkökulmasta. Empiriaosion lähtökohtana, oli selvittää miksi tutkimuksen kohdeyrityksen tietoturvallisuutta mitattaisiin ja mitkä ovat tärkeimmät tietotarpeet mittaamisen kannalta. Näihin kysymyksiin etsittiin vastausta teemahaastattelun avulla. Haastatteluun osallistu kohdeorganisaation edustajia johtoryhmästä, operatiivisesta johdosta ja tietoturvaorganisaatiosta. Haastatteluissa kerätty aineisto analysoitiin, minkä perusteella suunniteltiin mittaristo. Suunniteltua mittaristoa arvioitiin sekä kohdeyrityksen että kirjallisuuden näkökulmasta. Empiriaosiossa käytettiin tutkimusotteena toimintatutkimusta.
Tietoturvallisuuden holistisen tason mittaaminen on liiketoimintalähtöistä, joka perustuu esimerkiksi asiakkaiden vaatimuksiin tai muihin liiketoiminnan tietoturvallisuutta ohjaaviin vaatimuksiin. Nämä vaatimukset tulee huomioida osana sisäistä toimintaa ja ohjata toimintaa niiden mukaisesti. Kohdeyrityksen tietoturvallisuuden kannalta on tärkeää, että tietoturvallisuus huomioidaan tuotekehityksessä ja palveluita ylläpitävien prosessien osana. Ongelmaksi havaittiin, että kohdeyritys ei ole liiketoimintalähtöisesti asettanut tavoitetta tietoturvallisuudelle tai osoittanut sille kehitysvaatimuksia. Asiakasvaatimusten täyttämisen osoittaminen, laatu tuotekehityksessä ja sisäisessä tietoturvallisuudessa, toimialavertailu, palvelutason ylläpitäminen sekä tietoriskien esiintuominen osoittautuivat selkeiksi mittauksen kohteiksi.
Tutkimuksen tärkeimmät tulokset olivat tietoturvamittaristo, joka kuvailee kohdeyrityksen tietoturvallisuutta liiketoimintalähtöisesti, ja mittariston kehitysprojekti, jonka avulla voidaan muodostaa organisaation tietoturvallisuuden tilaa holistisella tasolla kuvaileva mittaristo. Mittariston avulla voidaan ymmärtää, mikä tietoturvallisuuden hallinnoinnin kannalta on liiketoiminnan näkökulmasta tärkeintä ja miten asetettuja tavoitteita saavutetaan. The starting point for this research was a need for creating a holistic level security metrics from information security governance point of view. The goal of the research was to understand what management level needs to know about information security to support its governance. This was the way to understand the key performance indicators that affect the information security and create criteria for measuring information security based on indicators.
The research was divided into two parts: theoretical and empirical part. First, a conceptual research approach was used to understand the fundamentals of research topic and to create a theoretical framework for research. The framework consists of planning process for metrics system and a balanced scorecard. These were scrutinized from an information governance point of view. Then, an action science research approach was used to conduct the empirical part. First object in empirical part was to clarify why information security should be measured in the target company and what are the key performance indicators. Eight interviews were conducted to gain answers to these questions. The interview results were analyzed and a metric system was planned based on analysis. The metrics system was assessed both from literature and target company point of view.
Measuring the information security in holistic level must be business orientated and it must take customer needs or other parties’ compliance needs into consideration at the internal operations. The target company wants to pay more attention to information security in its product development and conduct information security as a part of the processes that runs theirs services. A problem considering this is that the target company’s management level haven’t set goals for companywide information security nor pointed out what are the most important information security issues to develop. The most important information security performance indicators found in research were compliance to customer needs, quality in product development and internal security operations, benchmark score, service level, and ability to identify information security related risks.
There were two important results in the research. First result was a project for developing a holistic level security metrics system, which can be used to describe the state of information security. Second result was the metrics system itself, which supports the information security governance and reporting of information security. The target company should point out companywide information security goals and point out personnel’s responsibility to support them in order to be able to measure their information security.
Asetettua tavoitetta pyrittiin ensin ymmärtämään teoriaosassa, jossa käsiteanalyyttisen tutkimusotteen avulla muodostettiin viitekehys empiriaosalle. Viitekehys muodostettiin kirjallisuudesta löydetyn mittariston suunnitteluprosessin ja tasapainotetun tuloskortin perusteella, joita tarkasteltiin tietoturvallisuuden hallinnoinnin näkökulmasta. Empiriaosion lähtökohtana, oli selvittää miksi tutkimuksen kohdeyrityksen tietoturvallisuutta mitattaisiin ja mitkä ovat tärkeimmät tietotarpeet mittaamisen kannalta. Näihin kysymyksiin etsittiin vastausta teemahaastattelun avulla. Haastatteluun osallistu kohdeorganisaation edustajia johtoryhmästä, operatiivisesta johdosta ja tietoturvaorganisaatiosta. Haastatteluissa kerätty aineisto analysoitiin, minkä perusteella suunniteltiin mittaristo. Suunniteltua mittaristoa arvioitiin sekä kohdeyrityksen että kirjallisuuden näkökulmasta. Empiriaosiossa käytettiin tutkimusotteena toimintatutkimusta.
Tietoturvallisuuden holistisen tason mittaaminen on liiketoimintalähtöistä, joka perustuu esimerkiksi asiakkaiden vaatimuksiin tai muihin liiketoiminnan tietoturvallisuutta ohjaaviin vaatimuksiin. Nämä vaatimukset tulee huomioida osana sisäistä toimintaa ja ohjata toimintaa niiden mukaisesti. Kohdeyrityksen tietoturvallisuuden kannalta on tärkeää, että tietoturvallisuus huomioidaan tuotekehityksessä ja palveluita ylläpitävien prosessien osana. Ongelmaksi havaittiin, että kohdeyritys ei ole liiketoimintalähtöisesti asettanut tavoitetta tietoturvallisuudelle tai osoittanut sille kehitysvaatimuksia. Asiakasvaatimusten täyttämisen osoittaminen, laatu tuotekehityksessä ja sisäisessä tietoturvallisuudessa, toimialavertailu, palvelutason ylläpitäminen sekä tietoriskien esiintuominen osoittautuivat selkeiksi mittauksen kohteiksi.
Tutkimuksen tärkeimmät tulokset olivat tietoturvamittaristo, joka kuvailee kohdeyrityksen tietoturvallisuutta liiketoimintalähtöisesti, ja mittariston kehitysprojekti, jonka avulla voidaan muodostaa organisaation tietoturvallisuuden tilaa holistisella tasolla kuvaileva mittaristo. Mittariston avulla voidaan ymmärtää, mikä tietoturvallisuuden hallinnoinnin kannalta on liiketoiminnan näkökulmasta tärkeintä ja miten asetettuja tavoitteita saavutetaan.
The research was divided into two parts: theoretical and empirical part. First, a conceptual research approach was used to understand the fundamentals of research topic and to create a theoretical framework for research. The framework consists of planning process for metrics system and a balanced scorecard. These were scrutinized from an information governance point of view. Then, an action science research approach was used to conduct the empirical part. First object in empirical part was to clarify why information security should be measured in the target company and what are the key performance indicators. Eight interviews were conducted to gain answers to these questions. The interview results were analyzed and a metric system was planned based on analysis. The metrics system was assessed both from literature and target company point of view.
Measuring the information security in holistic level must be business orientated and it must take customer needs or other parties’ compliance needs into consideration at the internal operations. The target company wants to pay more attention to information security in its product development and conduct information security as a part of the processes that runs theirs services. A problem considering this is that the target company’s management level haven’t set goals for companywide information security nor pointed out what are the most important information security issues to develop. The most important information security performance indicators found in research were compliance to customer needs, quality in product development and internal security operations, benchmark score, service level, and ability to identify information security related risks.
There were two important results in the research. First result was a project for developing a holistic level security metrics system, which can be used to describe the state of information security. Second result was the metrics system itself, which supports the information security governance and reporting of information security. The target company should point out companywide information security goals and point out personnel’s responsibility to support them in order to be able to measure their information security.