Tietoturva-auditointiprosessin kehittäminen viranomaisnäkökulmasta

Abstract

Informaatioteknologian keskeinen rooli liiketoiminnan mahdollistajana merkitsee myös tietoturvallisuuden eri osa-alueiden korostamista, kun tarkoituksena on suojata organisaatioiden informaatio-omaisuuseriä. Nämä omaisuuserät muodostavat tietojärjestelmiä, joita käyttävät niin yksityisen kuin myös julkisen sektorin toimijat. Käsiteltäessä viranomaistietoa tulee tietojärjestelmien täyttää niille asetetut minimivaatimukset, jotka on useassa tapauksessa kuvattuna erilaisiin kriteeristöihin sekä standardeihin. Tietoturva-auditointien tavoitteena on tarkastaa järjestelmällisesti ja puolueettomasti kohdejärjestelmän tietoturvallisuuteen liittyvien hallintakeinojen tila, jotta voidaan todeta, täyttääkö järjestelmä valitussa kriteeristössä sille asetetut vaatimukset. Auditointitoiminnan tulee olla rakenteeltaan järjestelmällistä tarkastustoimintaa, johon liittyy useita vaiheita. Tämän tutkielman tavoitteena oli luoda tapaustutkimuksen omaisesti kohdeorganisaatiolle uusi auditointiviitekehys, joka selkeyttäisi tietoturva-auditointiprosessin rakennetta sekä auttaisi geneerisen kansallisen turvallisuusauditointikriteeristön (Katakri) hyödyntämisessä. Ongelman ratkaisemiseksi käytettiin suunnittelutieteellistä tutkimusmenetelmää tietojärjestelmätieteen tutkimusviitekehyksessä. Tutkimus aloitettiin keräämällä kattava teoriapohja tunnistetun tutkimusongelman sekä sille määritellyn ratkaisun perusteella. Tämän jälkeen tietoturva- auditointiviitekehys suunniteltiin ja kehitettiin tutkimuksen kohdeorganisaation tunnistamien haasteiden pohjalta, jota myöhemmin demonstroitiin sekä arvioitiin kahdeksan kuukauden ajan todellisissa sisäisissä tietoturva- auditointitilanteissa. Viimeisen arviointikierroksen jälkeen tutkimuksen tuloksena syntyi viimeistelty tietoturva-auditointiviitekehys, joka sisälsi niin akateemisessa kuin myös ammatillisessa kirjallisuudessa mainittuja parhaimpia käytänteitä sekä ohjeistuksia geneeristen auditointikriteeristöjen käyttämiseen sen kanssa. Luotu viitekehys antaa uutta tietämystä tieteenalalle, saavuttaa sille asetetut tavoitteet sekä mahdollistaa sen jatkokehittämisen.

The key role of information technology as a business enabler also means emphasizing the various aspects of information security when it comes to protecting organizations' information assets. Information systems must meet the minimum requirements set for them when they are used to handle official information. These minimum requirements are commonly set in various criteria and standards. The purpose of information security audit is to systematically and objectively verify the status of the target system's security controls in order to determine whether the system meets the requirements set for it in the selected criteria. These kinds of information security audits contain various systematic tasks and processes that are used to determine the state of the compliance in information systems. The main goal of this master’s thesis was to create a new audit reference framework for the case organization, which would clarify the structure of the information security audit process and help utilize the generic national security audit criteria (Katakri) in the same context. To get to the said goal, a design science research method was used in the information systems sciences research setting. The research began by gathering a comprehensive theoretical basis based on the identified research problem and the solution defined for it. The security audit framework was then designed and developed based on the challenges identified by the target organization of the study, which was later demonstrated and evaluated. Demonstration and evaluation phases were conducted during eight months of real internal security audit situations. After the last iteration of the evaluation phase, the study’s result was a finalized security audit framework that included best practices mentioned in both the academic and professional literature and some additional guidelines for using generic audit criteria with the said framework. The framework provides new knowledge to the field of information systems sciences, achieves the goals that were set during the study and delivers a good baseline for future research.