Tietoturvallisuus pirkanmaalaisissa pk-yrityksissä
Ilvonen, Ilona (2006)
Ilvonen, Ilona
2006
Tuotantotalouden osasto
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2006-07-06
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tty-200906081072
https://urn.fi/URN:NBN:fi:tty-200906081072
Tiivistelmä
Tietoturvallisuus on ajankohtainen teema niin kansainvälisessä kuin kotimaisessakin tutkimuksessa ja kirjallisuudessa. Tämän tutkimuksen tavoitteena on selvittää pirkanmaalaisten tietointensiivisten pk-yritysten tietoturvallisuuden yleistila sekä kehittämistarpeet. Tutkimuksessa on toiminta-analyyttisen tutkimuksen piirteitä. Tutkimusmenetelmänä on teoriaosuudessa kirjallisuusselvitys sekä empiriaosuudessa yksilö- tai ryhmähaastattelut. Empiirinen aineisto on kerätty haastattelemalla 16 yrityksen edustajia.
Tietoturvallisuus on käsitteenä hyvin monitahoinen. Tutkimuksen aluksi käsitettä lähestytään teoreettisesti niin tietoturvallisuuden osa-alueiden, ulottuvuuksien kuin tietoturvallisuuskulttuurinkin näkökulmista. Teoriakatsauksen pohjalta arvioidaan tietoturvallisuuden eri määritelmiä, sekä kuvataan tietoturvallisuus prosessina, joka suojaa organisaation tietoa. Prosessissa tietoturvallisuuden osa-alueiden avulla voidaan kuvata tiedon suojaustoimenpiteet sekä jäsentää tietoturvallisuuspolitiikkaa. Tietoturvallisuuspolitiikka ohjaa toimenpiteiden määrittelyä ja suoritusta. Tietoturvallisuuskulttuuri mahdollistaa tai estää tietoturvallisuustoimenpiteiden käytännön toteutumisen yrityksessä.
Haastattelujen perusteella tietoturvallisuus nähdään kohdeyrityksissä lähinnä teknisenä asiana. Teknisen turvallisuuden lisäksi tietojen luottamuksellisuuden säilyttäminen nähdään tietoturvallisuuden osana. Useammasta näkökulmasta huolimatta kokonaiskuvaa tietoturvallisuudesta ja sen toteuttamisesta ei ole muodostunut kaikkiin yrityksiin, vaikka tietointensiivisissä yrityksissä tiedolla on merkittävä rooli liiketoiminnan toteuttamisessa. Yrityksissä tulisi pyrkiä systemaattisempaan tietoturvallisuuden kehittämiseen dokumentoinnin ja koulutuksen avulla. Tutkimuksen päätelmissä esitetään prosessimalli, jonka avulla tietoturvallisuustyötä voitaisiin organisoida tutkimuksen yrityksissä. Nelivaiheinen prosessi on sovellettu ja kevennetty kansainvälisessä kirjallisuudessa löytyvistä tietoturvallisuuden kehittämisen malleista. /Kir09 Information security is a current theme in research and literature. The aim of this study is to find out the overall status and main deficiencies of information security management in knowledge-intensive SME’s in the Tampere region. The study is performed by a literature review and single- and group interviews. The empirical data is collected by interviewing the representatives of 16 companies over issues concerning information security management.
Information security is a complex concept. At first it is approached theoretically through different domains of information security, critical characteristics of information and information security culture. Based on the theory different definitions to information security are discussed, and information security is described as a process to secure organizational information. In the process the actions to secure information can be described through the domains on information security. Information security policy sets the guidelines to the execution of these measures, and information security culture either enables or hinders the formation of information security practises in the organization.
Based on the interviews, information security is seen mainly as a technical issue in the companies. In addition to technical issues, confidentiality of information is seen as a part of information security. Despite several views to information security were present, the overall picture of information security has yet to be developed, although in knowledge-intensive companies information has a significant role in business. The companies should aim for a more systematic process of improving information security with the help of documentation and personnel training. The study introduces a process model which could be utilized in the studied companies to better organise information security efforts. The four-phased model is applied from models found presented in the literature. It is developed especially for the needs of SME’s.
Tietoturvallisuus on käsitteenä hyvin monitahoinen. Tutkimuksen aluksi käsitettä lähestytään teoreettisesti niin tietoturvallisuuden osa-alueiden, ulottuvuuksien kuin tietoturvallisuuskulttuurinkin näkökulmista. Teoriakatsauksen pohjalta arvioidaan tietoturvallisuuden eri määritelmiä, sekä kuvataan tietoturvallisuus prosessina, joka suojaa organisaation tietoa. Prosessissa tietoturvallisuuden osa-alueiden avulla voidaan kuvata tiedon suojaustoimenpiteet sekä jäsentää tietoturvallisuuspolitiikkaa. Tietoturvallisuuspolitiikka ohjaa toimenpiteiden määrittelyä ja suoritusta. Tietoturvallisuuskulttuuri mahdollistaa tai estää tietoturvallisuustoimenpiteiden käytännön toteutumisen yrityksessä.
Haastattelujen perusteella tietoturvallisuus nähdään kohdeyrityksissä lähinnä teknisenä asiana. Teknisen turvallisuuden lisäksi tietojen luottamuksellisuuden säilyttäminen nähdään tietoturvallisuuden osana. Useammasta näkökulmasta huolimatta kokonaiskuvaa tietoturvallisuudesta ja sen toteuttamisesta ei ole muodostunut kaikkiin yrityksiin, vaikka tietointensiivisissä yrityksissä tiedolla on merkittävä rooli liiketoiminnan toteuttamisessa. Yrityksissä tulisi pyrkiä systemaattisempaan tietoturvallisuuden kehittämiseen dokumentoinnin ja koulutuksen avulla. Tutkimuksen päätelmissä esitetään prosessimalli, jonka avulla tietoturvallisuustyötä voitaisiin organisoida tutkimuksen yrityksissä. Nelivaiheinen prosessi on sovellettu ja kevennetty kansainvälisessä kirjallisuudessa löytyvistä tietoturvallisuuden kehittämisen malleista. /Kir09
Information security is a complex concept. At first it is approached theoretically through different domains of information security, critical characteristics of information and information security culture. Based on the theory different definitions to information security are discussed, and information security is described as a process to secure organizational information. In the process the actions to secure information can be described through the domains on information security. Information security policy sets the guidelines to the execution of these measures, and information security culture either enables or hinders the formation of information security practises in the organization.
Based on the interviews, information security is seen mainly as a technical issue in the companies. In addition to technical issues, confidentiality of information is seen as a part of information security. Despite several views to information security were present, the overall picture of information security has yet to be developed, although in knowledge-intensive companies information has a significant role in business. The companies should aim for a more systematic process of improving information security with the help of documentation and personnel training. The study introduces a process model which could be utilized in the studied companies to better organise information security efforts. The four-phased model is applied from models found presented in the literature. It is developed especially for the needs of SME’s.