Kybersietoisuuden tarkastustulosten hyödyntämismahdollisuudet : tapaustutkimus

Abstract

Kybersietoisuudella kuvataan tarkasteltavan kohteen, esimerkiksi organisaation tai järjestelmän kykyä sietää kybertoimintaympäristön kautta ilmeneviä häiriöitä. Kybertoimintaympäristö ulottuu yhä laajemmalle digitalisaation ja lisääntyneen informaatioteknologian käytön myötä ja yksi sen ominaispiirteistä on jatkuva muutos. Tämän vuoksi kybersietoisuuden tarkastelu eri tasoilla, yksittäisestä järjestelmästä lähtien on yhä tärkeämpää, etenkin yhdistettynä tukemaan organisaatioiden riskienhallinnan prosesseja. Tämä tapaustutkimus toteutettiin toimeksiantona ja sen tavoitteena oli tarkastella ja analysoida kybersietoisuuden varmistamiseen liittyvää toimintaa kohdeorganisaatiossa ja selvittää, miten erilaisten tarkastusten tuotteena muodostuvaa tietoa voidaan hyödyntää. Tutkimusmenetelmänä toimi laadullinen tapaustutkimus ja merkittävin aineisto kerättiin puolistrukturoiduilla asiantuntijahaastatteluilla. Järjestelmien kybersietoisuutta arvioivien tarkastusten tuotteina muodostuu yksityiskohtaista tietoa ja tässä tutkimuksessa havaittiin, että tarkastustietoja tulisi hyödyntää ja niitä voidaan käyttää useaan eri tarkoitukseen. Tärkeimpänä tarkastustulosten hyödyntämiskohteena löydettiin tarkastuksissa havaittujen poikkeamien vaikutusten laajuuden tarkastelu sekä osaamisen ja tiedon lisääminen etenkin järjestelmäkehitysprojektien alkuvaiheeseen. Edellytyksenä tietojen tehokkaalle hyödyntämiselle on, että tiedot tulisi järjestää ja taltioida niiden tarvitsijoiden saataville, jotta niitä voidaan analysoida ja käyttää edelleen tarvittaessa.

The modern cyber environment extends to even greater lengths than before due to the digitalization and increased information technology activities in all parts of society. Cyber resilience is a term used to describe the ability to tolerate disruptions that occur through the cyber environment. The cyber environment is characterized by constant change which makes planning and preparing to various threats challenging. Therefore, it is important to examine and consider cyber resilience in all levels of the organization, from an individual information system all the way to the strategic planning and decision making. Cyber resilience and related methods should be used together with more traditional risk management processes. This thesis is a qualitative case study and was commissioned by the case organization to analyze the processes and activities related to cyber resilience. The main focus of this research was to find out how the organization could utilize the information generated as a part of various cyber resilience review and audit processes. The most significant data for this study was collected through semi-structured interviews. The findings of this study show that the cyber resilience review reports contain valuable information that can be utilized in different contexts. The results show that the most beneficial way to utilize the results was to analyze the extent and impacts of detected deviations in systems, and to increase competences related to developing cyber resilient systems. A prerequisite for obtaining these benefits, the data should be organized and stored allowing for efficient and effective utilization and analysis.