Reporting cyber security to management and board of directors
Authors
Date
2022Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Johto- ja hallitustason kyberturvaraportoinnin tärkeys on kasvanut ja kasvaa
edelleen. Kyberturvahyökkäykset lisääntyvät ja kehittyvät, ja yleinen näkemys
on, etteivät johto ja hallitukset ole valmistautuneita rooliinsa organisaationsa
kyberturvallisuuden varmistamisessa. Haasteita kyberturvallisuuden tehokkaassa raportoinnissa johto- ja hallitustasolla on jo tunnistettu, mutta tällä hetkellä tarjotut ratkaisut, ja jo olemassa olevat viitekehykset ja mallit, eivät vastaa
kaikkien organisaatioiden tarpeisiin.
Tämä Pro Gradu -tutkielma tutkii johto- ja hallitustason kyberturvaraportointia, mukaan lukien sen historiaa, nykytilannetta, ongelmia, ja puollettuja
käytäntöjä. Tutkielman motivaatio on johdon ja hallituksen kyberturvaraportoinnin kasvava merkittävyys, ja realiteetti sen tason kyvyttömyydestä vastata
organisaatioiden tarpeisiin. Tutkielman tarkoitus on pyrkiä tarjoamaan ratkaisu,
joka mahdollistaa kyberturvallisuuden raportoinnin johdolle ja hallitukselle
tehokkaasti.
Tunnistettuja johto- ja hallitustason kyberturvaraportoinnin ongelmia ovat
muun muassa liian harvoin raportoiminen, aiheista raportoiminen, jotka eivät
tarjoa kohderyhmälle heidän tarjoamaa informaatiota, sekä epätehokkaasti
kommunikoiminen. Raportoidut aiheet keskittyvät usein liian tekniseen dataan,
ja metriikoihin, jotka eivät ole evidenssiperusteisia. Epätehokas kommunikointi
liittyy yleensä visuaalisuuden puutteeseen, tai sen vääränlaiseen käyttöön, sekä
liian teknisen kielen käyttöön kohderyhmään nähden. Tässä tutkielmassa tarkastellaan myös visualisuuden merkittävyyttä johto- ja hallitustason kyberturvaraportoinnin yleisen kehityksen lisäksi.
Tässä tutkielmassa esitetään malli, jonka avulla voidaan luoda tehokas raportointimetodi johdon ja hallituksen kyberturvaraportoinnille. Esitetty malli
tarjoaa uuden, iteratiivisen tavan toimivan raportointimetodin kehittämiseen, ja
sen pitämiseen ajan tasalla.
...
The importance of cyber security reporting on board and management level has
been and is still increasing constantly. Cyber security incidents are growing and
evolving, while the common view is that the boards and management are not
prepared for their role of ensuring cyber security in their organisations. There
are recognised challenges with organisations having issues in reporting about
cyber security to their boards and management efficiently. However, currently
offered solutions, and the already existing reporting frameworks and models
do not fit the needs of all organisations in this matter.
This Master’s thesis studies board and management level cyber security
reporting, including its history, current state, issues, and practices that are ad vocated for. The motivation for this study is the rising importance of board and
management level cyber security reporting, and the fact that the level of it does
not generally meet the needs of organisations. This research aims to offer a solu tion on how to report cyber security to boards and management effectively.
There are recognised issues with reporting too rarely, reporting about top ics that do not provide the boards and management with the information they
need, and communicating ineffectively. The topics reported are often too fo cused on overly technical data, and metrics that are not necessarily based on
evidence. The ineffective communication is commonly related to the lack of
visuality, or using it wrong, or using language that is too technical for the audi ence. In this research paper the significance of visuality is studied, in addition
to the general evolution of cyber security reporting on board and management
level.
This thesis presents a process model for creating an effective reporting
method for board and management level cyber security reporting. The model
offers a new, iterative way to form an operating reporting method, and to keep
it up to date.
...
Keywords
kyberturvallisuus raportointi tietoturva turvallisuus hallitukset (yhteisöt) riskienhallinta verkkohyökkäykset johtokunnat turvallisuusjohtaminen visualisointi cyber security reporting data security safety and security executive boards risk management cyber attacks boards of directors safety and security management visualisation
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29556]
Related items
Showing items with similar title or keywords.
-
Cyber security challenges in aviation and maritime
Lehto, Martti (Cyberwatch Finland Oy, 2021) -
Reducing the Time to Detect Cyber Attacks : Combining Attack Simulation With Detection Logic
Myllyla, Juuso; Costin, Andrei (FRUCT Oy, 2021)Cyber attacks have become harder to detect, causing the average detection time of a successful data breach to be over six months and typically costing the target organization nearly four million dollars. The attacks are ... -
Reinforcement Learning for Attack Mitigation in SDN-enabled Networks
Zolotukhin, Mikhail; Kumar, Sanjay; Hämäläinen, Timo (IEEE, 2020)With the recent progress in the development of low-budget sensors and machine-to-machine communication, the Internet-of-Things has attracted considerable attention. Unfortunately, many of today's smart devices are rushed ... -
Detection of distributed denial-of-service attacks in encrypted network traffic
Hyvärinen, Mikko (2016)Tausta: Hajautetut palvelunestohyökkäykset ovat jo kaksi vuosikymmentä vanhoja. Useita strategioita on kehitetty taistelemaan niiden kasvavaa määrää vastaan vuosien varrella. Sovelluskerroksen protokollien hyökkäykset ... -
On Attacking Future 5G Networks with Adversarial Examples : Survey
Zolotukhin, Mikhail; Zhang, Di; Hämäläinen, Timo; Miraghaei, Parsa (MDPI AG, 2023)The introduction of 5G technology along with the exponential growth in connected devices is expected to cause a challenge for the efficient and reliable network resource allocation. Network providers are now required to ...