Riskienhallinnan suunnittelu ja toteutus ICT-alan organisaatioissa

Abstract

Riskienhallinta on olennainen osa organisaatioiden toimintaa, jonka avulla pyritään kasvattamaan oman toiminnan onnistumisen todennäköisyyttä. Useimmiten organisaatioiden riskienhallintaa ohjaa ISO 31000:2018 riskienhallinnan ohjeet. Riskienhallinnan ohjeiden, standardien sekä muiden parhaiksi havaittujen käytänteiden tarkoituksena on luoda edellytykset riskienhallinnan toteuttamiseksi. Erilaiset ohjeet ja standardit lähestyvät riskienhallintaa useiden näkökulmien ja metodien kautta, mutta tavoite on silti yhteinen, tehokas riskienhallinta. Tämän tutkielman tavoitteena oli kerätä tietoa ja selvittää, miten ICT-organisaatioiden tulisi toteuttaa riskienhallintaa ja kannattaisiko yleisesti sovellettujen ISO 31000:2018 riskienhallinnan ohjeiden lisäksi hyödyntää NIST SP 800-37r2 riskienhallinnan viitekehystä. Tutkimuksen teoreettisessa viitekehyksessä perehdyttiin riskienhallinnan keskeisiin käsitteisiin, teoriaperusteisiin sekä tutkielmassa käsiteltyihin riskienhallintamalleihin ja niiden vertailuun. Tutkimuksen empiirinen osuus toteutettiin laadullisin menetelmin. Aineisto kerättiin puolistrukturoiduilla haastatteluilla, joissa haastateltiin erään suomalaisen ICT-organisaation turvallisuusjohtajia. Aineisto analysoitiin aineistolähtöisellä sisällönanalyysillä. Tutkimuksen avulla pääteltiin riskienhallinnan ohjeiden ja viitekehyksen yhdistäminen mahdolliseksi, mutta tehokkaan riskienhallinnan huomattiin olevan sidoksissa ihmisiin ohjeiden sijasta.

Risk management is an essential part of a functioning organization’s activities to increase the likelihood of success. Most organizations' risk management is guided by the ISO 31000:2018 risk management guidelines. The purpose of risk management guidelines, standards, and other best practices is to create the conditions for implementing risk management. The various guidelines and standards approach risk management through different perspectives and methodologies, but the goal is still the same, effective risk management. The aim of this thesis was to gather information and to find out how ICT organizations should implement risk management and whether it would be worthwhile to use the NIST SP 800-37r2 risk management framework in addition to the generally applied ISO 31000:2018 risk management guidelines. In the theoretical framework of the study, the main concepts of risk management, theoretical foundations, and risk management models and their comparison were examined. The empirical part of the study was carried out using qualitative methods. The data was collected through semi-structured interviews with the security managers of a Finnish ICT organization. The data was analyzed using content analysis. The study concluded that it is possible to combine risk management guidelines and a framework, but effective risk management was found to depend on people rather than guidelines.