Kyberturvallisuusosaamisen hallinta ja johtaminen

Abstract

Tämän pro gradu –tutkielman tavoitteena oli perehtyä kyberturvallisuuden kanssa työskentelevien organisaatioiden kyberturvallisuusosaamisen hallintaan ja johtamiseen liittyviin prosesseihin ja käytänteisiin, sekä selvittää, kuinka tiedolla johtamisen ja osaamisen hallinnan käytänteitä hyödynnetään organisaation toiminnan ohjaamisessa nimenomaan kyberturvallisuuden saralla. Tutkimus toteutettiin laadullisena tutkimuksena, jonka teoriapohjana hyödynnettiin kirjallisuuskatsausta. Laadullisen tutkimuksen aineisto kerättiin puolistrukturoitujen yksilöhaastatteluiden myötä. Tutkimuksiin valikoitui 9 eri organisaatiota. Tulokset analysoitiin laadullisen sisällönanalyysin avulla. Tutkimuksen kirjallisuuskatsauksessa kävi ilmi, että kyberturvallisuus ilmiönä on johdettavissa tiedolla johtamisen ja osaamisen hallinnan käytäntein yhtä lailla muiden organisaation ydintoimintojen tapaan. Laadullinen tutkimus osoitti, että organisaatiot tunnistavat kyberturvallisuuden olevan toden totta johdettavissa ja hallittavissa oleva ilmiö, ja siihen liittyviä prosesseja toteutetaan organisaatioissa jo entuudestaan. Kuitenkin huomattavaa oli se, että tutkimuksessa kävi ilmi, etteivät nämä prosessit välttämättä ole vielä kyberturvallisuuden kohdalla samalla tapaa vakioituja tai dokumentoituja, ja kyberturvallisuusosaamisen johtaminen ja hallinta voisi hyötyä vielä järjestelmällisemmästä lähestymistavasta. Teoreettiseen pohjaan verrattuna huomion arvoista oli myös se, kuinka laadullisen tutkimuksen pohjalta voitiin todeta organisaation sisäisten prosessien olevan valittua mallia monimuotoisempia. Myös ulkoisten tekijöiden merkitys tunnistettiin osana organisaation tiedonkeruuta ja osaamisen kehittämistä, mitä tutkimusta tukeva malli ei tunnistanut. Tutkimuksen tulosten perusteella esitimmekin kattavampaa versiota tutkimukseen valitusta teoreettisesta mallista kyberturvallisuusosaamisen johtamiseen ja hallintaan. Tässä kehitetyssä versiossa prosessien välinen vuorovaikutus sekä ulkoisten tekijöiden merkitys on otettu huomioon.

The aim of this master's thesis was to familiarize oneself with the processes and practices related to the management of cyber security competence in organizations working with cyber security, and to find out how knowledge management and competence management practices are utilized in guiding the organization's operations specifically in the field of cyber security. The study was carried out as a qualitative study. However, the theoretical basis of the study was built in the form of a literature review. The data for the qualitative study was collected through semi-structured individual interviews. 9 different organizations were selected for the studies. The results were analyzed using qualitative content analysis. The literature review of the study revealed that cyber security as a phenomenon can be managed through knowledge management and competence management practices just like other core functions of an organization. The qualitative study showed that organizations truly recognize cyber security as a manageable phenomenon, and related processes are already being implemented in organizations. However, it should be noted that the study showed that these processes may not yet be standardized or documented in the same way in cybersecurity, and the management of cybersecurity skills could benefit from an even more systematic approach. Compared to the theoretical basis, it was also worth noting how qualitative research made it possible to conclude that the internal processes of the organization are more diverse than modelled in the framework chosen for the study. The importance of external factors was also recognized as part of the organization's data collection and competence development, which the selected model didn’t recognise. Based on the results of the study, we presented a more comprehensive version of the chosen theoretical model for the management of cyber security competence. In this developed version, the interaction between processes, as well as the importance of external factors, are taken into account.