Kyberturvallisuuden nykyiset ja tulevat osaamistarpeet ohjelmistoyrityksessä : tapaustutkimus

Abstract

Tutkimuksessa selvitettiin Yritys X:n kyberturvallisuuteen liittyviä avainkompetenssialueita. Tutkimus toisti aiemmin Jyväskylän yliopistossa samasta aiheesta tehdyn tutkimuksen tutkimusasetelman, mutta eri toimialalla. Tutkimuksen teoreettisena viitekehyksenä käytettiin amerikkalaista National Institute of Standards and Technologyn (NIST) kehittämää kyberturvallisuuden osaamista kuvaavaa ja luokittelevaa NCWF-viitekehystä.

Tutkimuksen kirjallisuuskatsauksessa selvitettiin kyberturvallisuuden osaamiseen liittyviä yleisiä viitekehyksiä. Katsaus keskittyi kohdeyrityksessä käytössä oleviin tai muutoin yleisesti tunnettuihin kyberturvallisuuden hallinta- järjestelmiin ja standardeihin sekä kompetenssien kehittämisen työkaluihin ja viitekehyksiin. Tutkimus toteutettiin laadullisena tapaustutkimuksena ja aineistonkeruumenetelmänä käytettiin teemahaastatteluita. Haastatteluiden lisäksi tutustuttiin myös kohdeyrityksen laatujärjestelmään, turvallisuuspolitiikkaan ja turvallisuuteen liittyviin ohjeisiin.

Tutkimuksen teemahaastattelut toteutettiin kahtena erillisenä etähaastatteluna. Ensimmäisessä haastattelussa haastateltiin kohdeyrityksen turvallisuusyksikön johtajaa ja toisessa ICT-yksikön johtajaa. Molemmat haastattelut tallennettiin ja tallenteet litteroitiin. Litteroidut aineistot luokiteltiin ja analysoitiin käyttäen teorialähtöisen sisältöanalyysin periaatteita ja NCWF-viitekehystä.

Tutkimustuloksista muodostettiin kohdeyrityksen kyberturvallisuuden ydinkompetenssiesitys. Saatuja tutkimustuloksia vertailtiin myös aiemman tutkimuksen tuloksiin. Tutkimusten vertailun avulla pyrittiin laajentamaan kyberturvallisuuden osaamiseen liittyvää yleistä ymmärrystä ja tietoa.

This study examined the cyber security core competence areas at the Company X. In addition to case study approach this study replicated also a previous study research setting. That previous study examined also cyber security core competences, but in a different business sector. Both studies were conducted in the University of Jyväskylä and they both utilized the same competence framework, which was the NCWF framework, by the National Institute of Standards and Technology (NIST). The framework was used as a theoretical framework to ex- amine and categorize the cyber competences in the research setting.

The literature view of this study examined overall cyber security competence frameworks along with other general cyber security standards and tools used to operate, develop and maintain cyber security competences, systems and operations in organizations. The research was conducted as qualitative study with case study approach. The research data was gathered with theme interviews. Along with the interviews also quality system, security policies and security guidance of the research target were examined.

Research interviews were conducted as two separate interviews. First inter- view was done with the Chief Security Officer of the Company X and the second with the Chief Information Officer. Both interviews were conducted remotely and recorded. Recordings were transcribed and analyzed with theory-based con- tent analysis and NCWF framework.

Based on the findings the study presented a cyber security core competence model for the research target company. Study findings were also compared to previous study findings. With that comparison, this study aimed to enhance the general understanding and the body of knowledge in the field of cyber security competences.