Kyberturvallisuuden hallintorakenteen toiminnan analyysi : tapaus kriittisen infrastruktuurin organisaatiossa

Abstract

Kyberturvallisuudella mahdollistetaan modernien organisaatioiden digitaalinen toiminta ja sitä kautta myös yhteiskunnan toiminta. Keskeisessä roolissa ovat organisaatiot, jotka toimivat kriittisen infrastruktuurin parissa. Tässä tapaustutkimuksessa tarkasteltiin kriittisen infrastruktuurin parissa toimivan organisaation kyberturvallisuuden hallintorakennetta. Organisaatiot voivat muodostaa kyberturvallisuuden hallintorakenteen monella tavalla. Tässä tutkimuksessa käydään läpi yksi tapa, joka toimii hyvin tämän organisaation kontekstissa ja mahdollisesti myös muissa organisaatioissa. Tutkimuksen tavoitteena on selvittää, miten kyberturvallisuuden hallintorakenne vaikuttaa kyberturvallisuuden hallintaan. Tutkimusta täydentävät alatutkimuskysymyksistä muodostuvat näkökulmat viestinnän ja tiedonhallinnan osalta. Tutkimuksen metodologinen lähestyminen on laadullinen. Tutkimus toteutettiin tapaustutkimuksena keskisuuressa kriittisen infrastruktuurin parissa toimivassa organisaatiossa. Empiirinen aineisto hankittiin puoliksi rakenteellisten haastattelujen avulla. Haastatteluaineistoanalysoitiin temaattisella analyysillä. Empiiriseen aineistoon kuului myös tutkittavan organisaation tietoturvaorganisaation rakennekaavio. Tutkimuksen tuloksissa nousi esiin kolme merkittävää löytöä. Organisaation toimijat, eli ihmiset ja ryhmät, voidaan jakaa kolmelle päätöksentekotasolle ja teknisen tai hallinnollisen tietoturvan puolelle. Toinen löytö oli organisaation muodostamat yhteistyöryhmät, joissa oli edustusta kaikista päätöksentekotasoista, sekä tekniseltä että hallinnolliselta puolelta. Tutkimuksen kolmas löytö liittyy läheisesti yhteistyöryhmiin ja se oli henkilöstön osallistaminen kyberturvallisuuden toteutukseen.

Cybersecurity enables the digital operations of modern organizations and society. Organizations that work in critical infrastructure play a key role in ensuring the functioning of modern society. This case study examined the cybersecurity governance structure of an organization operating on critical infrastructure. Organizations can form a cybersecurity governance structure in multiple ways. This study reviews one specific way that works well in the context of this organization and possibly in other organizations. The study aims to find out how the structure of a cybersecurity management organization affects cybersecurity management. The research is complemented with sub-research questions regarding communication and knowledge-management. The methodological approach of the study is qualitative. The study is a case study in a medium-sized organization operating on critical infrastructure. The empirical material was obtained through semi-structural interviews, which were then analyzed by thematic analysis. The empirical material also contained an organizational chart of the organization's cybersecurity management structure. The results of the study revealed three significant findings. The actors in an organization i.e., people and groups, can be divided into three levels of decision making and technical or administrative cybersecurity. The second discovery was the co-operation groups formed by the organization. Groups had representation from all levels of decision-making and both the technical and the administrative sides of cybersecurity. The third finding of the study is closely related to the collaboration groups. It was the involvement of staff in the implementation of information security.