Ulkoisten kyberturvallisuuden riskien arviointi finanssialan organisaatiossa
Riskienhallintaa ja riskien arviointia voidaan tarkastella useasta eri näkökulmasta ja sitä ohjaavat useat erilaiset tekijät. Ohjaaviksi tekijöiksi voidaan tunnistaa organisaation strategia, organisaatiokulttuuri, tietoturvapolitiikka sekä erilaiset riskienhallinnan mallit, kuten PMBOK, ISO31000 ja IRM. Näiden lisäksi tieto- ja kyberturvallisuuden prosesseja pyritään helpottamaan erilaisilla työkaluilla, kuten ISO27001, VAHTI ja Katakri. Riskienhallinnan mallit pitävät sisällään riskien arvioinnin, mutta käsittelevät arviointiprosessia hyvin pintapuolisesti. Riskien arvioinnin perustuminen arvioijan omien kokemusten ja ajatusten päälle pidetään jossain määrin ongelmallisena. Tutkimus toteutettiin toimeksiantona ja sen tarkoitus oli tarjota tukea riskien arvioinnin prosessin kehittämiseen. Tutkimuksessa pyrittiin paikantamaan toimeksiantajan riskien arviointiprosessin ongelmakohdat ja rakentamaan riskien arvioinnin malli niin, että sen voi yleistää käytettäväksi myös muihin organisaatioihin. Tutkimuksen tulokset osoittavat, että myös todennäköisyyksien ennustamiseen on mahdollista rakentaa sen uskottavuutta tukeva malli, joka ajan kuluessa tarjoaa vankan pohjan riskien arviointiprosessiin. Tutkimus toteutettiin kvalitatiivisena tapaustutkimuksena ja pääasiallinen empiirisen datan keräämiseen käytetty metodi oli kvalitatiivinen semi-strukturoitu haastattelu. Riskien arvioinnin mallista muodostui iteratiivinen malli, joka nojaa olemassa olevaan riskienhallinnan malliin. Mallin tavoitteena oli syventää riskienhallinnan henkilökunnan tietoa organisaation riskeihin liittyen ja sitä kautta intuition vaikutuksen vähentäminen riskien arvioinnissa.
...
Risk management and risk assessment can be viewed from several different angles and they have multiple guiding factors. The organization’s strategy, culture and information security policy, as well as risk management models like PMBOK, ISO31000 and IRM can all be seen as guiding factors. In addition to these, there are multiple toolboxes designed to make it easier to implement these models in everyday actions. Tools like these include ISO27001, VAHTI and Katakri. The models of risk management include risk assessment, but they handle it very superficially. Basing risk assessment on the intuition of the assessor can be seen as a problem. The study was conducted as an assignment and the aim of the study was to provide support for developing the risk assessment process inside the principal organization. The study sought to pinpoint the problems of the risk assessment process in the organization and to build a model that can be generalized outside the organization as well. The results of the study show that it is possible to build a model to support the estimation of the risk probabilities. In time, by using the model the organization is able to build a strong database considering its risks and to use the database as a justification for assigned probabilities. The study was conducted as a qualitative case study and the main data collection method was a qualitative semi-structured interview. The model for risk assessment formed to be an iterative model that bases itself on the existing model. The aim of the model was to provide a better foundation for the risk management professionals to do their work and estimate the risks’ probabilities. Through this foundation it is possible to weaken the effect of intuition in the process or at least provide a good justification for the level of probability of the risks.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29743]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
TARA+AD: Threat Analysis and Risk Assessment for Automated Driving : cybersecurity of road vehicles
Loskin, Ilona (2023)Cybersecurity of road vehicles has become a genuine matter as vehicles are not manufactured anymore as plain mechanical devices but containing numerous amounts of computers and millions of lines of code. The intelligent ... -
Tietoturvariskien hallinta organisaatioissa
Pollari, Elina (2021)Tässä tutkimuksessa tarkastellaan tietoturvariskien hallintaa organisaa-tioissa. Tutkimuksen tavoitteena on tunnistaa ne keskeiset tekijät, jotka yrityksen on huomioitava oman tietoturvallisuuden hallinnassa ja yritykseen ... -
Riskien arviointi IT-investointipäätöksenteossa : tapaustutkimus asiakas- ja potilastietojärjestelmähankinnasta
Jääskeläinen, Susanna (2018)Riskien arviointia ohjaa organisaation riskienhallinta, strategia sekä sen kulttuuri. Riskien arvioinnin prosessi koostuu karkeasti sanottuna riskianalyysistä, joka sisältää riskien tunnistamisen ja niiden analysoinnin sen ... -
Riskienhallinta strategisissa investointipäätösprosesseissa suomalaisissa teknologiayrityksissä
Koivisto, Katariina (2024)Tässä tutkielmassa tarkastellaan suurten suomalaisten teknologiayritysten strategisten investointipäätösprosessien riskienhallintaa. Tutkielma keskittyy erityisesti investointien arviointivaiheeseen. Tarkoituksena on ... -
Heräte : validoitu riskien arvioinnin prosessimalli organisaation menestyksen tukemiseksi
Kokkomäki, Tuomas; Nortunen, Mika (2016)Riskien arviointi on osa organisaation kilpailukykyä, jolloin ketterät sekä dynaamiset toimintatavat ovat ratkaisevassa asemassa. Epävarmuus ja toimintaympäristön nopeat muutokset tuovat mukanaan myös mahdollisuuksia. ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.