Reporting cyber security to management and board of directors

Abstract

Johto- ja hallitustason kyberturvaraportoinnin tärkeys on kasvanut ja kasvaa edelleen. Kyberturvahyökkäykset lisääntyvät ja kehittyvät, ja yleinen näkemys on, etteivät johto ja hallitukset ole valmistautuneita rooliinsa organisaationsa kyberturvallisuuden varmistamisessa. Haasteita kyberturvallisuuden tehokkaassa raportoinnissa johto- ja hallitustasolla on jo tunnistettu, mutta tällä hetkellä tarjotut ratkaisut, ja jo olemassa olevat viitekehykset ja mallit, eivät vastaa kaikkien organisaatioiden tarpeisiin. Tämä Pro Gradu -tutkielma tutkii johto- ja hallitustason kyberturvaraportointia, mukaan lukien sen historiaa, nykytilannetta, ongelmia, ja puollettuja käytäntöjä. Tutkielman motivaatio on johdon ja hallituksen kyberturvaraportoinnin kasvava merkittävyys, ja realiteetti sen tason kyvyttömyydestä vastata organisaatioiden tarpeisiin. Tutkielman tarkoitus on pyrkiä tarjoamaan ratkaisu, joka mahdollistaa kyberturvallisuuden raportoinnin johdolle ja hallitukselle tehokkaasti. Tunnistettuja johto- ja hallitustason kyberturvaraportoinnin ongelmia ovat muun muassa liian harvoin raportoiminen, aiheista raportoiminen, jotka eivät tarjoa kohderyhmälle heidän tarjoamaa informaatiota, sekä epätehokkaasti kommunikoiminen. Raportoidut aiheet keskittyvät usein liian tekniseen dataan, ja metriikoihin, jotka eivät ole evidenssiperusteisia. Epätehokas kommunikointi liittyy yleensä visuaalisuuden puutteeseen, tai sen vääränlaiseen käyttöön, sekä liian teknisen kielen käyttöön kohderyhmään nähden. Tässä tutkielmassa tarkastellaan myös visualisuuden merkittävyyttä johto- ja hallitustason kyberturvaraportoinnin yleisen kehityksen lisäksi. Tässä tutkielmassa esitetään malli, jonka avulla voidaan luoda tehokas raportointimetodi johdon ja hallituksen kyberturvaraportoinnille. Esitetty malli tarjoaa uuden, iteratiivisen tavan toimivan raportointimetodin kehittämiseen, ja sen pitämiseen ajan tasalla.

The importance of cyber security reporting on board and management level has been and is still increasing constantly. Cyber security incidents are growing and evolving, while the common view is that the boards and management are not prepared for their role of ensuring cyber security in their organisations. There are recognised challenges with organisations having issues in reporting about cyber security to their boards and management efficiently. However, currently offered solutions, and the already existing reporting frameworks and models do not fit the needs of all organisations in this matter. This Master’s thesis studies board and management level cyber security reporting, including its history, current state, issues, and practices that are ad vocated for. The motivation for this study is the rising importance of board and management level cyber security reporting, and the fact that the level of it does not generally meet the needs of organisations. This research aims to offer a solu tion on how to report cyber security to boards and management effectively. There are recognised issues with reporting too rarely, reporting about top ics that do not provide the boards and management with the information they need, and communicating ineffectively. The topics reported are often too fo cused on overly technical data, and metrics that are not necessarily based on evidence. The ineffective communication is commonly related to the lack of visuality, or using it wrong, or using language that is too technical for the audi ence. In this research paper the significance of visuality is studied, in addition to the general evolution of cyber security reporting on board and management level. This thesis presents a process model for creating an effective reporting method for board and management level cyber security reporting. The model offers a new, iterative way to form an operating reporting method, and to keep it up to date.