Enhancing Productivity with AI During the Development of an ISMS, Case Kempower

Abstract

Hyökkäykset kyberturvallisuutta vastaan ovat lisääntyneet ja kehittyneet huimaa vauhtia, jonka takia eri alojen yritykset tarvitsevat tietoturvan johtamisjärjestelmän turvaamaan organisaationsa informaatiota. Muun muassa ISO 27001 on standardi, jonka viitekehyksien mukaan yritykset voivat tehdä oman tietoturvan johtamisjärjestelmänsä ja hakea siihen sertifikaattia. Samaan aikaan tekoäly on kehittynyt ja sen käyttö on yleistynyt huimaa vauhtia ja organisaatiot ottavatkin käyttöön eri tekoälyohjelmia. Tietoturvan johtamisjärjestelmän rakentaminen on aikaa ja rahaa vievä prosessi. Tässä Pro Gradu -tutkielmassa tutkitaan, kuinka tätä prosessia voitaisiin tehostaa hyödyntämällä tekoälyä muun muassa dokumentoinnin ensimmäisten luonnosten generoimisessa. Tutkielma käsittelee Kempower nimisen yrityksen tietoturvan johtamisjärjestelmä projektia ja siihen kuuluvia lukuisia eri vaiheita. Tutkielmassa käsitellään myös tekoälyn riskejä, tietoturvan elinkaarta ja muun muassa ISO 27001 standardia. Tutkielma toteutettiin puolistrukturoituja haastatteluita hyödyntäen. Haastateltaviksi valikoitui henkilöitä, jotka olivat projektissa mukana. Kempower nimitti projektiin eri liiketoimintafunktioista kyberresurssi henkilöitä, joiden tehtävänä oli tarkastaa Kempowerin kyberturvallisuus tiimin tekoälyn avulla tekemät dokumentit. Tutkimuksen tulokset osoittivat, että tekoälyn hyödyntäminen tietoturvan johtamisjärjestelmän tekemisessä säästi paljon resursseja. Sen huomasi selkeimmin projektin dokumentaatio vaiheessa. Tekoäly teki projektista mielekkäämmän ja se toi uusia näkökulmia asioihin. Tekoälyn avulla päästiin myös eroon tyhjän paperin kammosta, kun syöttämällä kehotteen tekoälylle sai aina dokumentin työstön käyntiin nopeasti. Tiedonhaku on aikaa vievä prosessi, joka saatiin eliminoitua melkein kokonaan tekoälyä hyödyntämällä. Tutkielmassa käsiteltiin myös tekoälyn käytön haittapuolia projektissa, joita oli muun muassa Kempower spesifin tiedon puute dokumentaation luonnoksista ja oppimisen puute ISO 27001 standardin eri kontrolleista tekoälyn käytön takia.

Attacks against cyber security have increased and developed at a fast pace, which is why organizations need an information security management system (ISMS) to secure their organization's information assets. ISO 27001 is a standard which companies can use to create their own ISMS and apply for a certificate for it. At the same time, AI has evolved, and its use has become more common at a fast pace as organizations are using various AI tools. Building an information security management system is a time- and money-consuming process. This master’s thesis examines how this process could be made more efficient by using artificial intelligence (AI) in generating the first drafts of a control document for example. The thesis studies the ISMS project and its numerous different phases of a company called Kempower. The thesis also discusses the risks of AI, information security life cycle, and among other things, the ISO 27001 standard. In this thesis there was semi-structured interviews. People who were involved in the project were selected for interviews. Kempower appointed cyber resource personnels from different business functions to the project, whose task was to review the documents created by Kempower's cyber security team using artificial intelligence. The results of the study showed that utilizing artificial intelligence in creating an ISMS saved a lot of resources. It was most evident in the project’s documentation phase. AI made the project more interesting to work on and brought new perspectives to different things. With the help of AI, the fear of blank paper was also eliminated, as by entering a prompt to the AI, the processing of the document could always be started quickly and not from scratch. Searching for information is a time-consuming process that was almost completely eliminated by utilizing AI. The thesis also addressed the disadvantages of using AI in the project, such as the documents missing Kempower specific information, and lack of learning about different controls of the ISO 27001 standard due to the use of AI.