Tietoturvariskien hallinta organisaatioissa

Abstract

Tässä tutkimuksessa tarkastellaan tietoturvariskien hallintaa organisaa-tioissa. Tutkimuksen tavoitteena on tunnistaa ne keskeiset tekijät, jotka yrityksen on huomioitava oman tietoturvallisuuden hallinnassa ja yritykseen kohdistuvien tietoturvariskien hallinnassa. Tutkimus on toteutettu kirjallisuuskatsauksena, jossa aiemman kirjallisuuden perusteella on pyritty löytämään aiheeseen liittyviä yhteisiä tekijöitä, joiden voidaan katsoa olevan keskeinen osa yrityksen tietoturvan ja tietoturvariskien hallinnan suunnittelussa ja toteuttamisessa. Tutkimuksessa käydään läpi useiden eri tutkijoiden ja kirjoittajien teoksia. Aiempien tutkimusten vertailulla pyritään löytämään yhteisiä tekijöitä eri tutkijoiden välillä. Näiden yh-täläisyyksien avulla pyritään löytämään ne kohdat, joita laajimmin pidetään aiheen kannalta keskeisimpinä toimintatapoina tai ns. parhaina käytänteinä. Tutkimuskysymykseen on pyritty vastaamaan vertailemalla kirjallisuutta niin tietoturvariskien tutkimusten, tietoturvariskien hallinnan standardien ja viitekehysten kautta kuin myös muun tietoturva käytänteiden hallintaa käsittelevän kirjallisuuden kautta. Tutkimuskysymykseen on vastattu kuvaamalla tietoturvan- ja tietoturvariskien hallinnan kannalta keskeiset toimet, joita yrityksessä tarvitsee suorittaa, sekä avaamalla mitä toimintoja eri osa-alueet pitävät sisällään ja mihin yrityksen tulee kiinnittää huomiota. Tämän tutkimuksen yhtenä havaintona on riskien arvioinnin tärkeyden korostaminen miltei jokaisessa läpi käydyssä kirjallisuudessa. Tarkasteltaessa erikseen jokaista tietoturvan hallinnan osa-aluetta, on miltei jokaisen prosessin alussa suositeltu riskien arviointia. Riskien arviointi antaa yritykselle näkemyksen siitä, millaisia ovat juuri kyseistä organisaatiota uhkaavat riskit. Riskien tunnistamisen jälkeen voidaan lähteä suunnittelemaan niitä toimenpiteitä, joilla yritykset voivat kehittää itselleen toimivan riskienhallintastrategian.

This study examines information security and information security risk management in organizations. The aim of the study is to identify the key factors that a company must take into account in managing its own information security and in managing information security risks in the company. The study has been carried out as a theoretical study, in which, based on the previous literature, an attempt has been made to find common factors related to the topic, which can be considered a key part in the planning and implementation of a company's information security and security risk management. The study goes through several different research and written literature. A comparison of previous studies seeks to find common factors between different researchers. These similarities aim to identify those points that are most widely considered to be the most important courses of action on the subject. An attempt has been made to answer the research question by comparing the literature through the literature on information security research, information security risk management and information security policy management. The research question has been answered by describing the key actions that the company needs to perform in terms of information security and information security risk management, as well as by opening up what functions the different areas include and what the company should pay attention to. One findings of this study is the emphasis on the importance of risk assessment in almost every literature reviewed. When looking at each aspect of security management separately, a risk assessment is recommended at the beginning of almost every process. The risk assessment gives the company an idea of the risks facing the organization in question. Once the risks have been identified, it is possible to start planning the measures that the company has to hedge against the risks.