Top Management Collaboration with Cybersecurity Governance

Abstract

Kyberturvallisuus on kokonaisvaltainen ilmiö, joka vaatii yhteistyötä yritysten kaikilla tasolla. Erityisesti kriittistä on yritysten ylimmän johdon ja kyberturvallisuuden hallinnon (engl. cybersecurity governance / information security governance) välinen yhteistyö. Tämän yhteistyön on toimittava molempiin suuntiin ja kyberturvallisuus tulee sisällyttää kaikkiin strategisiin toimiin, joita ylin johto ajaa. Vastineeksi yhteistyö tarjoaa näkyvyyden toimien seurauksiin. Aiheesta saatavilla oleva kirjallisuus taustoitti tutkielman kaksiosaista kirjallisuuskatsausta kattavasti. Kyberturvallisuuden hallinnon käytännön toteutuksiin liittyy kuitenkin empiirisen tutkimuksen vaje. Tutkielman tavoitteena oli täyttää tätä vajetta selvittämällä, kuinka ylimmän johdon ja kyberturvallisuuden hallinnon välinen yhteistyö toimii yrityksessä. Lisäksi tutkimuksen tavoitteena oli selvittää, mitkä asiat ohjaavat kyberturvallisuuden hallintoa yrityksissä ja kuinka organisaation eri tasot tuottavat yrityksen kyberturvallisuutta. Nämä kyberturvallisuuden käytännön ilmentymät sisältävät implementoinnin, mittaamisen, arvioinnin ja raportoinnin ylimmälle johdolle. Tutkimuksen metodologinen lähestyminen oli laadullinen, ja sen empiirinen tutkimus suoritettiin monitapaustutkimuksena. Empiirinen aineisto kerättiin haastattelemalla viittä (5) kyberturvallisuusalan ammattilaista teemahaastattelun mukaisesti. Haastatteluaineisto analysoitiin käyttäen teoriaohjattua temaattista sisällönanalyysia. Tutkimuksen päätulos viittaa siihen, että ylimmän johdon ja kyberturvallisuuden välisen yhteistyön ajurina näyttäisi olevan kokonaisvaltainen ja jatkuva kyberturvallisuuden kypsyystason kehittäminen. Tutkimuksen näkemyksiin perustuu myös suositus, että yritysten tulisi harkita parhaisiin käytäntöihin perustuvan viitekehyksen hyödyntämistä täysmääräisesti, kuten esimerkiksi pyrkimällä tietoisemmin informaatioturvallisuuden hallintajärjestelmän jatkuvaan parantamiseen yrityksen turvallisuushallinnon tavoitteiden tukemiseksi.

Cybersecurity is a holistic field, which demands cooperation from all levels in the companies. Notably, the collaboration between the top management and cybersecurity governance is in a critical position. This collaboration must work in both directions, and the companies need to embed the cybersecurity in strategic actions and decisions that top management drives. In return, the collaboration essentially delivers control and visibility to the actions’ results as a response from the company. The literature about the topic grounded the two-part literature review in the study comprehensively. However, there is an empirical research gap concerning real implementations of cybersecurity governance. The study aimed to fill this gap by examining how the collaboration between the top management and the cybersecurity governance works in a company. The study also aimed to determine which aspects drive cybersecurity governance in the company and how the different levels of the organization produce the company’s cybersecurity. These practical manifestations of cybersecurity governance include implementation, measurement, assessing, and reporting to the top management. The overarching methodology of the study was a qualitative research design, and the empirical research was conducted as a multiple-case study. Empirical data was gathered via thematic interviews from five (5) cybersecurity professionals and analyzed utilizing theory-guided thematic content analysis. As the main result of the research, the study suggests that the collaboration between top management and cybersecurity governance appears to be driven by a holistic and continual cybersecurity maturity development. The study also revealed insights indicating that companies should consider utilizing their chosen best practice framework to the full extent to support the company’s cybersecurity governance pursuits, like addressing the aspect of the continual improvement more deliberately.