Tietoturvallisuuden mittareiden nykytila

Abstract

Suosittu sanonta kertoo mittaamisen merkitsevän asian tietämistä. Kuten mitä tahansa muuta prosessia, ei tietoturvallisuuden prosessejakaan voida hallita, mikäli niitä ei voida mitata. Kuitenkaan saatavilla oleva tieto erinäisistä mittareista eivät helpota tietoturva-asiantuntijoiden tuskaa, sillä avainmittareiden tunnistaminen saatavilla olevasta massasta voi olla ylivoimaisen vaikeaa. Tämän tutkimuksen tarkoituksena oli kartoittaa tietoturvallisuuden mittareiden nykytilaa Suomessa. Tarkastelun kohteena olivat suuret suomalaiset yritykset ja niiden käyttämät tietoturvallisuuden mittarit. Tutkimus toteutettiin laadullisin menetelmin asiantuntijahaastatteluina ja sisällönanalyysilla. Haastateltaviksi valikoitui tutkimukseen yhteensä viisi tietoturva-asiantuntijaa. Tutkimuksen tuloksena tunnistettiin 28 erilaista tietoturvallisuuden mittaria, joita tutkimuksen aikaan käytettiin suurissa suomalaisissa organisaatioissa.

A popular saying state that to measure is to know. Like any other process, you cannot manage information security processes if you cannot measure them. Still the available lists of possible information security metrics do not lessen the unease of information security experts, because identifying the key metrics from this large mass might be exceedingly difficult. This study focuses on identifying the present state of information security metrics in Finland. It was directed at commonly used information security metrics in large Finnish corporations. The study was conducted with qualitative methods using expert interviews and content analysis. Selected interviewees included five information security experts. The end results include 28 identified information security metrics that were used in large Finnish corporations during the study.