Tietoturvan kypsyyden määrittäminen

Abstract

Tämä pro gradu -tutkielma käsittelee tietoturvan kypsyyden määrittämistä ja määrittämiseen vaikuttavia keskeisiä tekijöitä. Teoriaosuudessa avataan teoreettista taustaa ja käsitteistöä, sekä käydään lävitse aikaisempia tutkimuksia aihepiiristä. Tutkimus sisältää myös empiirisen osuuden, jossa tehdään havaintoja puunjalostusyrityksen ISO 27001 ja TISAX auditointiin valmistavista työpajoista, tarkoituksena parantaa auditointiprosessia ja kypsyyden määrittämistä, olemassa olevaan tutkimustietoon peilaten. Empiirisessä osuudessa työpajoja analysoidaan toteutuneessa järjestyksessä, tehden havaintoja kypsyyden määrittämiseen vaikuttavista tekijöistä auditointitilanteeseen liittyen. Keskeisinä löydöksinä kypsyyden määrittämisessä mainitaan yksilöllisyyden huomioiminen, dokumentoinnin tärkeys ja usean eri viitekehyksen hyödyllisyys sen sijaan, että tarkoitukseen valittaisiin vain yksi. Dokumentaatio käsittää niin ohjeistuksen luomisen, kuin myös nykytilan määrittämisen funktion. Eri viitekehyksien käyttö tarjoaa laajemman skaalan kontrolleja ja ohjeistuksia turvallisuuden takaamiseksi. Kypsyys tulisi olla tarkasti mitattavissa määrällisesti, laadullisen määrittelyn lisäksi.