Tapaustutkimus tietoturvainvestoinneista pienessä kasvuyrityksessä

Abstract

Tutkielmassa selvitetään, miten tietoturvainvestoinnit näkyvät pienessä kasvuyrityksessä ja mikä on yrityksen odotetun kasvun vaikutus yrityksen tietoturvainvestointitarpeisiin. Pieniksi kasvuyrityksiksi luokitellaan startup-yritykset ja kasvuhakuiset pk-yritykset. Tutkielmassa yhdistetään teoria organisaation kasvusta yrityksen tietoturvainvestointitarpeisiin: miten yrityksen johdon näkemys tietoturvainvestointien tarpeesta muuttuu yrityksen kasvaessa? Tutkielman empiirinen osio toteutetaan kvalitatiivisena tapaustutkimuksena. Tuloksissa kuvataan, miten pienessä, voimakkaasti kasvuhakuisessa, suomalaisessa startup-yrityksessä suhtaudutaan tietoturvainvestointeihin. Tuloksista käy ilmi, että yrityksen tietoturvainvestointien ja odotetun kasvun välillä on yhteys. Investointityyppien välillä on eroa; osa tietoturvainvestoinneista koetaan vain isojen organisaatioiden asiaksi ja tarpeelliseksi vasta kun yritys on jo kasvanut huomattavasti suurempaan kokoluokkaan. Tietoturvaan investoidaan sen verran kuin on välttämätöntä, mutta ei ylimääräistä. Tietoturvainvestointien ei koeta tuovan suoraa kilpailuetua. Ensisijaisesti investoidaan kasvua tuoviin asioihin. Tietoturvan pitää olla riittävällä tasolla, mutta jos ei ole mitään pakottavaa syytä investoida resursseja tietoturvaan, muut asiat menevät edelle. Tarve tietoturvainvestoinneille tulee tyypillisesti yrityksen ulkopuolelta: lainsäädännön vaatimukset ja asiakkaan vaatimukset ovat keskeisimpiä syitä tietoturvainvestoinnille. Investointipäätökset tehdään keskustelun kautta ilman erillisiä työkaluja tai viitekehyksiä. Investoinnit pyritään toteuttamaan mahdollisuuksien mukaan ilman rahallisia investointeja, hyödyntämällä esimerkiksi erilaisia vapaasti saatavilla olevia avoimen lähdekoodin ohjelmistoja. Tapausyrityksessä korostui ”tee se itse”-lähestymistapa tietoturva-asioihin.

This study aims to clarify how information security investments are considered in a small growth company and how growth affects company’s information security investment needs. Small growth companies comprise startup companies and growth focused SMEs. In this work organizational growth theories are coupled with organization’s information security investment needs: how does growth affect management’s perception of organization’s information security investment needs? The empirical part of the study is conducted as a qualitative case study. The case study explores how information security needs are perceived in a small, Finnish, strongly growth-focused startup company. The findings suggest that there is a link between company’s information security investments and expected growth. There are differences between investment types; some are considered necessary only in large organizations and others only after meaningful growth. Only essential investments to information security are done, no more. Information security investments are not perceived as a source of direct competitive advantage. Primarily, investments are allocated to sources of growth; company’s information security measures need to attain necessary level of protection, however, if there is no mandatory reason to invest in information security, other investments are prioritized. The need for an information security investment generally originates outside the organization: legal requirements and customer demands are the primary reasons to invest in information security. Investment decisions are done based on discussions. Frameworks or tools are not used. Investments without monetary commitment are preferred e.g. by taking advantage of openly available open source software solutions. Homegrown approach to information security topics was emphasized in the case company.