dc.contributor.advisorFrantti, Tapio
dc.contributor.authorVoutilainen, Jouko
dc.description.abstractTutkimuksessa selvitettiin mitä hyökkäyspinta ja uhka-alttius käsittää sekä miten yritykset kokevat perinteisen riskienhallinnan tarpeellisuuden, kun vertailukohdaksi asetetaan dynaamisempi ja automatisoidumpi prosessi. Lisäksi tarkoituksena oli selvittää, miten hyökkäyspinnan ja uhka-alttiuden hallinta ilmenee yritysten toiminnassa ja miten sitä voidaan hyödyntää. Hyökkäyspinnan ja uhka-alttiuden aihealue tutkittiin kirjallisuuskatsauksena hyödyntämällä alaan liittyviä tutkimuksia, raportteja, artikkeleita, blogikirjoituksia, verkkosivuja ja kirjallisuutta. Kyselytutkimus toteutettiin kahdeksalle suomalaiselle IT-alan yritykselle, joiden tarkempi toimiala oli jaoteltu kolmeen kategoriaan. Yritysten koot vaihtelivat mikro- ja suuryritysten välillä. Kysely toteutettiin sähköpostin liitteenä olleella kyselylomakkeella, joka sisälsi niin määrällisiä, kuin laadullisiakin kysymyksiä. Vastausprosentti oli 57,1 %. Vastausten analysointi tehtiin määrällisten vastausten osalta käsittelemällä tilastollisia tunnuslukuja. Muuttujien välisiä riippuvuuksia tulkittiin korrelaatiokertoimella. Kysymysten vastausfrekvenssien esittämiseen käytettiin taulukointia. Avointen kysymysten kohdalla käytettiin luokittelua, jolla tuettiin monivalintakysymysten analyysin tuloksia. Perinteinen vaikutukseen ja todennäköisyyteen perustuva riskienhallinta koetaan suurelta osin tarpeelliseksi, mutta se sai osakseen myös kritiikkiä useilta vastaajilta ja muilta tutkijoilta. Tutkimuksessa havaittiin hyökkäyspinnan ja uhka-alttiuden nousevan selkeämmiksi trendeiksi vasta tulevaisuudessa, vaikka hyvinkin automatisoidut järjestelmät ovat jo saapuneet markkinoille. Erityisesti hyökkäyspinnan hallintaan keskittyvät sovellukset ja palvelut eivät ole kyselytutkimuksen perusteella suomalaisissa IT-yrityksissä juurikaan käytössä. Yritykset kokivat oman hyökkäyspintansa kasvaneen, mutta eivät kuitenkaan pääosin kokeneet tarvetta päivittää nykyisiä prosessejaan uusilla järjestelmillä tai palveluilla. Tulosten perusteella voi päätellä, etteivät yritykset koe tarpeelliseksi yhä dynaamisempien tai automatisoidumpien järjestelmien integroimista omaan tietoturvan hallinnan prosessiinsa. Tähän vaikuttaa selkeästi yritysten itsevarmuus nykyisistä prosesseistaan ja järjestelmistään. On kuitenkin tunnistettava, että yritykset ovat pääosin kokeneet hyökkäyspintansa kasvaneen ja tätä myötä suojausmekanismien monimutkaistumiselle voi kuitenkin tulla tarve
dc.description.abstractThis research studied what attack surface and threat exposure entails and how companies experience the necessity of traditional risk management when it is compared against a more dynamic and automated process. In addition, the purpose was to understand how companies employ attack surface and threat exposure management and how it could be utilized. Attack surface and threat exposure was studied as literature review by utilizing other research, reports, articles, blog posts, websites and other literature. An email-survey was conducted for eight Finnish IT-companies that varied from micro to large. The survey consisted of qualitative and quantitative questions. The response rate was 57,1 %. The analysis was done by processing statistical key figures and correlation coefficient for the quantitative answers. Tabulation was used to summarize and present the responses. Open-ended questions were classified to facilitate analysis alongside the multiple-choice responses. Traditional risk management which relies on the experience of impact and likelihood is seen to still be useful, but it did receive criticism. The trend towards managing attack surface and threat exposure was perceived as increasingly impactful in the future, even though there already is existing software and services on the market that market themselves as such. Attack surface management software isn’t much used in the surveyed Finnish IT-companies. The companies felt that their own attack surface had increased, but mostly did not feel the need to update their current processes with new systems or services. Based on the results, it can be concluded that companies do not find it necessary to integrate increasingly dynamic or automated systems into their own information security management processes. This is clearly influenced by companies’ confidence in their current processes and systems. However, it is recognized that companies have mainly perceived an increase in their attack surface, and with this, there may be a need for the more complex protective mechanisms in the future.en
dc.rightsIn Copyright
dc.titleUhka-alttiuden ja hyökkäyspinnan hallinta osana yritysten tietoturvaa
dc.typemaster thesis
dc.type.ontasotMaster’s thesisen
dc.type.ontasotPro gradu -tutkielmafi
dc.contributor.tiedekuntaFaculty of Information Technologyen
dc.contributor.tiedekuntaInformaatioteknologian tiedekuntafi
dc.contributor.laitosInformation Technologyen
dc.contributor.yliopistoUniversity of Jyväskyläen
dc.contributor.yliopistoJyväskylän yliopistofi
dc.contributor.oppiaineCyber Securityen
