Tietoturvariskien hallinta organisaatioissa
Authors
Date
2021Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Tässä tutkimuksessa tarkastellaan tietoturvariskien hallintaa organisaa-tioissa. Tutkimuksen tavoitteena on tunnistaa ne keskeiset tekijät, jotka yrityksen on huomioitava oman tietoturvallisuuden hallinnassa ja yritykseen kohdistuvien tietoturvariskien hallinnassa.
Tutkimus on toteutettu kirjallisuuskatsauksena, jossa aiemman kirjallisuuden perusteella on pyritty löytämään aiheeseen liittyviä yhteisiä tekijöitä, joiden voidaan katsoa olevan keskeinen osa yrityksen tietoturvan ja tietoturvariskien hallinnan suunnittelussa ja toteuttamisessa. Tutkimuksessa käydään läpi useiden eri tutkijoiden ja kirjoittajien teoksia. Aiempien tutkimusten vertailulla pyritään löytämään yhteisiä tekijöitä eri tutkijoiden välillä. Näiden yh-täläisyyksien avulla pyritään löytämään ne kohdat, joita laajimmin pidetään aiheen kannalta keskeisimpinä toimintatapoina tai ns. parhaina käytänteinä. Tutkimuskysymykseen on pyritty vastaamaan vertailemalla kirjallisuutta niin tietoturvariskien tutkimusten, tietoturvariskien hallinnan standardien ja viitekehysten kautta kuin myös muun tietoturva käytänteiden hallintaa käsittelevän kirjallisuuden kautta.
Tutkimuskysymykseen on vastattu kuvaamalla tietoturvan- ja tietoturvariskien hallinnan kannalta keskeiset toimet, joita yrityksessä tarvitsee suorittaa, sekä avaamalla mitä toimintoja eri osa-alueet pitävät sisällään ja mihin yrityksen tulee kiinnittää huomiota. Tämän tutkimuksen yhtenä havaintona on riskien arvioinnin tärkeyden korostaminen miltei jokaisessa läpi käydyssä kirjallisuudessa. Tarkasteltaessa erikseen jokaista tietoturvan hallinnan osa-aluetta, on miltei jokaisen prosessin alussa suositeltu riskien arviointia. Riskien arviointi antaa yritykselle näkemyksen siitä, millaisia ovat juuri kyseistä organisaatiota uhkaavat riskit. Riskien tunnistamisen jälkeen voidaan lähteä suunnittelemaan niitä toimenpiteitä, joilla yritykset voivat kehittää itselleen toimivan riskienhallintastrategian.
...
This study examines information security and information security risk management in organizations. The aim of the study is to identify the key factors that a company must take into account in managing its own information security and in managing information security risks in the company.
The study has been carried out as a theoretical study, in which, based on the previous literature, an attempt has been made to find common factors related to the topic, which can be considered a key part in the planning and implementation of a company's information security and security risk management. The study goes through several different research and written literature. A comparison of previous studies seeks to find common factors between different researchers. These similarities aim to identify those points that are most widely considered to be the most important courses of action on the subject. An attempt has been made to answer the research question by comparing the literature through the literature on information security research, information security risk management and information security policy management.
The research question has been answered by describing the key actions that the company needs to perform in terms of information security and information security risk management, as well as by opening up what functions the different areas include and what the company should pay attention to.
One findings of this study is the emphasis on the importance of risk assessment in almost every literature reviewed. When looking at each aspect of security management separately, a risk assessment is recommended at the beginning of almost every process. The risk assessment gives the company an idea of the risks facing the organization in question. Once the risks have been identified, it is possible to start planning the measures that the company has to hedge against the risks.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29044]
Related items
Showing items with similar title or keywords.
-
Ulkoisten kyberturvallisuuden riskien arviointi finanssialan organisaatiossa
Takala, Niko (2019)Riskienhallintaa ja riskien arviointia voidaan tarkastella useasta eri näkökulmasta ja sitä ohjaavat useat erilaiset tekijät. Ohjaaviksi tekijöiksi voidaan tunnistaa organisaation strategia, organisaatiokulttuuri, ... -
Riskienhallinnan suunnittelu ja toteutus ICT-alan organisaatioissa
Arponen, Leo-Pekka (2023)Riskienhallinta on olennainen osa organisaatioiden toimintaa, jonka avulla pyritään kasvattamaan oman toiminnan onnistumisen todennäköisyyttä. Useimmiten organisaatioiden riskienhallintaa ohjaa ISO 31000:2018 riskienhallinnan ... -
Tietoturvan ja tietosuojan kehittäminen pilviteknologiassa : standardit ja kehysmallit sekä riskienhallinnan näkökulma
Lehtinen, Vesa (2010)Informaatioteknologian kehityksen myötä on syntynyt idea tietojenkäsittelyn myymisestä palveluna minkä tahansa hyödykkeen tavoin. Kustannustehokas, skaalautuva ja helppokäyttöinen pilviteknologia herättää mielenkiintoa ... -
Tietoturvan kypsyyden määrittäminen
Joensuu, Markus (2023)Tämä pro gradu -tutkielma käsittelee tietoturvan kypsyyden määrittämistä ja määrittämiseen vaikuttavia keskeisiä tekijöitä. Teoriaosuudessa avataan teoreettista taustaa ja käsitteistöä, sekä käydään lävitse aikaisempia ... -
Information Security Risk Assessments following Cybersecurity Breaches : The Mediating Role of Top Management Attention to Cybersecurity
Shaikh, Faheem Ahmed; Siponen, Mikko (Elsevier, 2023)Information Systems (IS) research on managerial response to cybersecurity breaches has largely focused on externally oriented actions such as customer redressal and crisis response. Within the firm itself, a breach may be ...