Uhka-alttiuden ja hyökkäyspinnan hallinta osana yritysten tietoturvaa
Authors
Date
2024Copyright
© The Author(s)
Tutkimuksessa selvitettiin mitä hyökkäyspinta ja uhka-alttius käsittää sekä miten yritykset kokevat perinteisen riskienhallinnan tarpeellisuuden, kun vertailukohdaksi asetetaan dynaamisempi ja automatisoidumpi prosessi. Lisäksi tarkoituksena oli selvittää, miten hyökkäyspinnan ja uhka-alttiuden hallinta ilmenee yritysten toiminnassa ja miten sitä voidaan hyödyntää.
Hyökkäyspinnan ja uhka-alttiuden aihealue tutkittiin kirjallisuuskatsauksena hyödyntämällä alaan liittyviä tutkimuksia, raportteja, artikkeleita, blogikirjoituksia, verkkosivuja ja kirjallisuutta. Kyselytutkimus toteutettiin kahdeksalle suomalaiselle IT-alan yritykselle, joiden tarkempi toimiala oli jaoteltu kolmeen kategoriaan. Yritysten koot vaihtelivat mikro- ja suuryritysten välillä. Kysely toteutettiin sähköpostin liitteenä olleella kyselylomakkeella, joka sisälsi niin määrällisiä, kuin laadullisiakin kysymyksiä. Vastausprosentti oli 57,1 %.
Vastausten analysointi tehtiin määrällisten vastausten osalta käsittelemällä tilastollisia tunnuslukuja. Muuttujien välisiä riippuvuuksia tulkittiin korrelaatiokertoimella. Kysymysten vastausfrekvenssien esittämiseen käytettiin taulukointia. Avointen kysymysten kohdalla käytettiin luokittelua, jolla tuettiin monivalintakysymysten analyysin tuloksia.
Perinteinen vaikutukseen ja todennäköisyyteen perustuva riskienhallinta koetaan suurelta osin tarpeelliseksi, mutta se sai osakseen myös kritiikkiä useilta vastaajilta ja muilta tutkijoilta. Tutkimuksessa havaittiin hyökkäyspinnan ja uhka-alttiuden nousevan selkeämmiksi trendeiksi vasta tulevaisuudessa, vaikka hyvinkin automatisoidut järjestelmät ovat jo saapuneet markkinoille. Erityisesti hyökkäyspinnan hallintaan keskittyvät sovellukset ja palvelut eivät ole kyselytutkimuksen perusteella suomalaisissa IT-yrityksissä juurikaan käytössä. Yritykset kokivat oman hyökkäyspintansa kasvaneen, mutta eivät kuitenkaan pääosin kokeneet tarvetta päivittää nykyisiä prosessejaan uusilla järjestelmillä tai palveluilla.
Tulosten perusteella voi päätellä, etteivät yritykset koe tarpeelliseksi yhä dynaamisempien tai automatisoidumpien järjestelmien integroimista omaan tietoturvan hallinnan prosessiinsa. Tähän vaikuttaa selkeästi yritysten itsevarmuus nykyisistä prosesseistaan ja järjestelmistään. On kuitenkin tunnistettava, että yritykset ovat pääosin kokeneet hyökkäyspintansa kasvaneen ja tätä myötä suojausmekanismien monimutkaistumiselle voi kuitenkin tulla tarve tulevaisuudessa.
...
This research studied what attack surface and threat exposure entails and how companies experience the necessity of traditional risk management when it is compared against a more dynamic and automated process. In addition, the purpose was to understand how companies employ attack surface and threat exposure management and how it could be utilized.
Attack surface and threat exposure was studied as literature review by utilizing other research, reports, articles, blog posts, websites and other literature. An email-survey was conducted for eight Finnish IT-companies that varied from micro to large. The survey consisted of qualitative and quantitative questions. The response rate was 57,1 %.
The analysis was done by processing statistical key figures and correlation coefficient for the quantitative answers. Tabulation was used to summarize and present the responses. Open-ended questions were classified to facilitate analysis alongside the multiple-choice responses.
Traditional risk management which relies on the experience of impact and likelihood is seen to still be useful, but it did receive criticism. The trend towards managing attack surface and threat exposure was perceived as increasingly impactful in the future, even though there already is existing software and services on the market that market themselves as such. Attack surface management software isn’t much used in the surveyed Finnish IT-companies. The companies felt that their own attack surface had increased, but mostly did not feel the need to update their current processes with new systems or services.
Based on the results, it can be concluded that companies do not find it necessary to integrate increasingly dynamic or automated systems into their own information security management processes. This is clearly influenced by companies’ confidence in their current processes and systems. However, it is recognized that companies have mainly perceived an increase in their attack surface, and with this, there may be a need for the more complex protective mechanisms in the future.
...
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29740]
License
Related items
Showing items with similar title or keywords.
-
Ulkoisten kyberturvallisuuden riskien arviointi finanssialan organisaatiossa
Takala, Niko (2019)Riskienhallintaa ja riskien arviointia voidaan tarkastella useasta eri näkökulmasta ja sitä ohjaavat useat erilaiset tekijät. Ohjaaviksi tekijöiksi voidaan tunnistaa organisaation strategia, organisaatiokulttuuri, ... -
TARA+AD: Threat Analysis and Risk Assessment for Automated Driving : cybersecurity of road vehicles
Loskin, Ilona (2023)Cybersecurity of road vehicles has become a genuine matter as vehicles are not manufactured anymore as plain mechanical devices but containing numerous amounts of computers and millions of lines of code. The intelligent ... -
Tietoturvariskien hallinta organisaatioissa
Pollari, Elina (2021)Tässä tutkimuksessa tarkastellaan tietoturvariskien hallintaa organisaa-tioissa. Tutkimuksen tavoitteena on tunnistaa ne keskeiset tekijät, jotka yrityksen on huomioitava oman tietoturvallisuuden hallinnassa ja yritykseen ... -
Kyberrikollisuuden uhkakuvat yritysten liiketoiminnalle
Suoninen, Harri (2018)Kyberrikollisuus muodostaa vakavan uhkan yritysten liiketoiminnalle. Rikollisten motiivit vaihtelevat kiusanteosta taloudellisen hyödyn hakemiseen, teollisuusvakoilusta liiketoiminnan vahingoittamiseen. Kyberrikollisuutta ... -
Massadatan hyödyntäminen tietoturvallisuuden näkökulmasta
Niskanen, Tatu (2021)Massadata, johon viitataan yleisesti myös käsitteellä Big data, on kokoelma dataa, joka on kooltaan todella suuri, se on luonteeltaan monipuolista ja hajanaista, ja sitä tulee nopeasti lisää. Massadata aiheuttaa organisaatioille ...