Työntekijä yrityksen tietoturvariskinä

Abstract

Tämä kandidaatintutkielma käsittelee aihetta ”Työntekijä yrityksen tietoturvariskinä”. Tutkielma tarkastelee keinoja, jotka johtavat tietoturvauhan syntymiseen työntekijän toimesta. Tutkielma rajaa työntekijän aiheuttamat tietoturvariskit tahattomasti ja tahallisesti aiheutettuihin. Tieturvariskien lisäksi tutkielmassa tarkastellaan riskien ehkäisy- ja torjuntakeinoja, jotka ollaan jaettu teknisiin ohjaimiin ja ei-teknisiin ohjaimiin. Työntekijöiden aiheuttamat tahattomat tai tahalliset tietoturvariskit ovat kasvava uhka yrityksen liiketoiminnalle, luotettavuudelle sekä uskottavuudelle. Yrityksen ulkopuoliset uhat, kuten esimerkiksi kyberrikolliset, ovat myös konkreettisia uhkia, mutta tässä tutkielmassa tietoturvauhkaa tarkastellaan vain työntekijän näkökulmasta. Motiiveilla ja toteutustavoilla on tärkeä rooli työntekijän suorittamassa tietoturvarikkeessä, sillä se määrittelee onko kyseessä tahallinen vai tahaton toimenpide. Tästä syystä motiivien ymmärtäminen ja tiedostaminen mahdollistaa niin tahattomien kuin tahallisten tietoturvariskien tuomien vahinkojen minimoimisen ja ennakoimisen. Työntekijöiden aiheuttamaa tietoturvauhkaa pystytään ehkäisemään hyödyntämällä teknisiä ja ei-teknisiä ohjaimia. Tekniset ohjaimet käsittävät palomuurit ja tunkeutumisenestojärjestelmät. Ei-tekniset ohjaimet kattavat esimerkiksi psykologisen arvioinnin. Kandidaatintutkielma on toteutettu kirjallisuuskatsauksena.

This bachelor’s thesis inspects the following topic; ”Employee as an security threat”. The study adresses different ways in which the employee compromises the employers information security. In this study, the means are restricted to two categories; unintentional and deliberate. Besides the means and potential risks that the employee causes, this study inspects security measures, that can be apply to prevent and fend off information security risks in organizations. Intentional and unintentional security threats caused by employee are an growing threat to compainies business, realibility and credibility. Threats emerging outside the company, such as cybercriminal are very concrete threat, this study focuses mainly on the employers point of view. Intentions and motives are important factor, because these determine is the threat intentional or unintentional. For this reason, the understanding and awareness of motives and intentions allows to minimize and anticipate the damage caused by deliberate or unintentional behavior to negleg information security. Employee security risks can be prevented by using technical and nontechnical drivers. Technical drivers include firewalls and intrusion detection systems. Non-technical drivers include such methods as psychological evaluation. This bachelor’s thesis is conducted as an literature review.