Reporting cyber security to management and board of directors

Johto- ja hallitustason kyberturvaraportoinnin tärkeys on kasvanut ja kasvaa edelleen. Kyberturvahyökkäykset lisääntyvät ja kehittyvät, ja yleinen näkemys on, etteivät johto ja hallitukset ole valmistautuneita rooliinsa organisaationsa kyberturvallisuuden varmistamisessa. Haasteita kyberturvallisuuden tehokkaassa raportoinnissa johto- ja hallitustasolla on jo tunnistettu, mutta tällä hetkellä tarjotut ratkaisut, ja jo olemassa olevat viitekehykset ja mallit, eivät vastaa kaikkien organisaatioiden tarpeisiin. Tämä Pro Gradu -tutkielma tutkii johto- ja hallitustason kyberturvaraportointia, mukaan lukien sen historiaa, nykytilannetta, ongelmia, ja puollettuja käytäntöjä. Tutkielman motivaatio on johdon ja hallituksen kyberturvaraportoinnin kasvava merkittävyys, ja realiteetti sen tason kyvyttömyydestä vastata organisaatioiden tarpeisiin. Tutkielman tarkoitus on pyrkiä tarjoamaan ratkaisu, joka mahdollistaa kyberturvallisuuden raportoinnin johdolle ja hallitukselle tehokkaasti. Tunnistettuja johto- ja hallitustason kyberturvaraportoinnin ongelmia ovat muun muassa liian harvoin raportoiminen, aiheista raportoiminen, jotka eivät tarjoa kohderyhmälle heidän tarjoamaa informaatiota, sekä epätehokkaasti kommunikoiminen. Raportoidut aiheet keskittyvät usein liian tekniseen dataan, ja metriikoihin, jotka eivät ole evidenssiperusteisia. Epätehokas kommunikointi liittyy yleensä visuaalisuuden puutteeseen, tai sen vääränlaiseen käyttöön, sekä liian teknisen kielen käyttöön kohderyhmään nähden. Tässä tutkielmassa tarkastellaan myös visualisuuden merkittävyyttä johto- ja hallitustason kyberturvaraportoinnin yleisen kehityksen lisäksi. Tässä tutkielmassa esitetään malli, jonka avulla voidaan luoda tehokas raportointimetodi johdon ja hallituksen kyberturvaraportoinnille. Esitetty malli tarjoaa uuden, iteratiivisen tavan toimivan raportointimetodin kehittämiseen, ja sen pitämiseen ajan tasalla.