Supporting control selection in information security

Abstract

Useat organisaatiot kohtaavat haasteita valitessaan riittäviä tietoturvallisuuden hallintakeinoja suojatakseen toimintaansa ja omaisuuttaan. Erilaiset standardit ja viitekehykset tietoturvallisuuden hallintajärjestelmille määrittelevät joukon tietoturvallisuuden hallintakeinoja riskien hallitsemiseksi. Nämä turvallisuusstandardit kuvaavat yleisiä turvatoimia, joita organisaatioiden oletetaan yleisesti toteuttavan, mutta ne ottavat huomioon organisaatioiden erilaiset ominaispiirteet vain rajallisesti. Hallintakeinojen valitsemiseksi on olemassa useita erilaisia riskienhallintamenetelmiä, mutta nämä menetelmät vaativat yleensä resursseja ja asiantuntemusta, joita pieniltä ja keskisuurilta organisaatioilla usein puuttuu. Koska tietomurroista on tullut arkipäivää kaikenlaisille organisaatioille, tarvitaan käytännönläheisiä menetelmiä riskienhallintaan ja tietoturvallisuuden hallintakeinojen valintaan. Tutkimuksessa käytettiin suunnittelutiedettä menetelmänä kehittämään joukko artefakteja, joilla sopivimmat tietoturvallisuuden hallintakeinot voidaan valita organisaation suojattavien kohteiden ja turvallisuusprioriteettien perusteella. Sisällytetyt artikkelit esittelevät kehitettyjä artefakteja, jotka tukevat tietoturvallisuuden hallintakeinojen valintaa, erityisesti pk-yritysten näkökulmasta. Tulokset osoittavat, että huomioimalla organisaatioiden ominaispiirteet ja prioriteetit, voidaan tukea hallintakeinojen valintaa resurssivaatimusten vähentämiseksi riskianalyysissä ja mahdollistaa organisaatioiden kohdistaa resurssinsa varsinaisten hallintakeinojen toteuttamiseen. Tutkimuksessa myös arvioidaan suunnittelutiedettä tutkimusmenetelmänä tieto- ja kyberturvallisuuden kentässä. Tulokset osoittavat, että suunnittelutiede tarjoaa tehokkaita menetelmiä käytännönläheisten artefaktien kehittämiseen tieto- ja kyberturvallisuuden alalla, mutta toimialakohtaiset arviointikriteerit vaativat edelleen kehittämistä.

Numerous organizations face challenges in determining the best way to ensure sufficient security measures to protect their operations and assets. Various standards and frameworks for information security management systems define sets of security controls to mitigate security risks. These security standards outline common security measures to be implemented, but only account for limited organizational variations. There exists a variety of different risk management methods to select optimal security controls; however, these methods usually require the use of resource-consuming assessments and expertise, which small and medium organizations often lack. Because information and cyber-security breaches are daily news, there is a need for practical approaches to risk management and security control selection. This work uses design science research to develop a set of artifacts to pinpoint the most appropriate security controls based on the assets and security priorities of an organization. The included articles represent developed artifacts that support the selection of essential security controls, especially for SMEs. The results indicate that the use of preconditions for organizational aspects and priorities can support the selection of security controls to reduce the resource requirements for risk analysis and allow organizations to focus on the implementation of security controls. As part of this research, the design science research methodology is evaluated as a research method to develop information and cyber security assets. Overall, these results indicate that design science research provides efficient methods to develop practical artifacts for information and cyber security, but lack domain-specific validation criteria for developed artifacts.