| dc.contributor.author | Nykänen, Riku | |
| dc.date.accessioned | 2024-09-05T08:49:31Z | |
| dc.date.available | 2024-09-05T08:49:31Z | |
| dc.date.issued | 2024 | |
| dc.identifier.isbn | 978-952-86-0304-7 | |
| dc.identifier.uri | https://jyx.jyu.fi/handle/123456789/96938 | |
| dc.description.abstract | Useat organisaatiot kohtaavat haasteita valitessaan riittäviä tietoturvallisuuden
hallintakeinoja suojatakseen toimintaansa ja omaisuuttaan. Erilaiset standardit
ja viitekehykset tietoturvallisuuden hallintajärjestelmille määrittelevät joukon
tietoturvallisuuden hallintakeinoja riskien hallitsemiseksi. Nämä turvallisuusstandardit
kuvaavat yleisiä turvatoimia, joita organisaatioiden oletetaan yleisesti
toteuttavan, mutta ne ottavat huomioon organisaatioiden erilaiset ominaispiirteet
vain rajallisesti. Hallintakeinojen valitsemiseksi on olemassa useita erilaisia
riskienhallintamenetelmiä, mutta nämä menetelmät vaativat yleensä resursseja
ja asiantuntemusta, joita pieniltä ja keskisuurilta organisaatioilla usein puuttuu.
Koska tietomurroista on tullut arkipäivää kaikenlaisille organisaatioille, tarvitaan
käytännönläheisiä menetelmiä riskienhallintaan ja tietoturvallisuuden hallintakeinojen
valintaan.
Tutkimuksessa käytettiin suunnittelutiedettä menetelmänä kehittämään joukko
artefakteja, joilla sopivimmat tietoturvallisuuden hallintakeinot voidaan valita
organisaation suojattavien kohteiden ja turvallisuusprioriteettien perusteella. Sisällytetyt
artikkelit esittelevät kehitettyjä artefakteja, jotka tukevat tietoturvallisuuden
hallintakeinojen valintaa, erityisesti pk-yritysten näkökulmasta. Tulokset
osoittavat, että huomioimalla organisaatioiden ominaispiirteet ja prioriteetit, voidaan
tukea hallintakeinojen valintaa resurssivaatimusten vähentämiseksi riskianalyysissä
ja mahdollistaa organisaatioiden kohdistaa resurssinsa varsinaisten hallintakeinojen
toteuttamiseen. Tutkimuksessa myös arvioidaan suunnittelutiedettä
tutkimusmenetelmänä tieto- ja kyberturvallisuuden kentässä. Tulokset osoittavat,
että suunnittelutiede tarjoaa tehokkaita menetelmiä käytännönläheisten artefaktien
kehittämiseen tieto- ja kyberturvallisuuden alalla, mutta toimialakohtaiset
arviointikriteerit vaativat edelleen kehittämistä. | fin |
| dc.description.abstract | Numerous organizations face challenges in determining the best way to
ensure sufficient security measures to protect their operations and assets. Various
standards and frameworks for information security management systems define
sets of security controls to mitigate security risks. These security standards outline
common security measures to be implemented, but only account for limited organizational
variations. There exists a variety of different risk management methods
to select optimal security controls; however, these methods usually require the use
of resource-consuming assessments and expertise, which small and medium organizations
often lack. Because information and cyber-security breaches are daily
news, there is a need for practical approaches to risk management and security
control selection.
This work uses design science research to develop a set of artifacts to pinpoint
the most appropriate security controls based on the assets and security priorities of
an organization. The included articles represent developed artifacts that support
the selection of essential security controls, especially for SMEs. The results indicate
that the use of preconditions for organizational aspects and priorities can support
the selection of security controls to reduce the resource requirements for risk analysis
and allow organizations to focus on the implementation of security controls.
As part of this research, the design science research methodology is evaluated as a
research method to develop information and cyber security assets. Overall, these
results indicate that design science research provides efficient methods to develop
practical artifacts for information and cyber security, but lack domain-specific
validation criteria for developed artifacts. | eng |
| dc.format.mimetype | application/pdf | |
| dc.publisher | Jyväskylän yliopisto | |
| dc.relation.ispartofseries | JYU Dissertations | |
| dc.relation.haspart | <b>Artikkeli I:</b> Nykänen, R., & Hakuli, M. (2013). Information security management system standards: A gap analysis of the risk management in ISO 27001 and KATAKRI. <i>R. Kuusisto, & E. Kurkinen (Eds.), Proceedings of the 12th European Conference on Information Warfare and Security, University of Jyväskylä, Finland, 11-12 July 2013 (pp. 344-350). Academic Conferences Publishing. Proceedings of the European conference on cyber warfare and security.</i> | |
| dc.relation.haspart | <b>Artikkeli II:</b> Nykänen, R., & Kärkkäinen, T. (2014). Comparison of two Specifications to Fulfill Security Control Objectives. <i>A. Liaropoulos, & G. Tsihrintzis (Eds.), ECCWS 2014 : Proceedings of the 13th European Conference on Cyber Warfare and Security (pp. 150-159). Academic Conferences and Publishing International Limited. Proceedings of the European conference on cyber warfare and security.</i> | |
| dc.relation.haspart | <b>Artikkeli III:</b> Nykänen, R., & Kärkkäinen, T. (2018). Tailorable representation of security control catalog on semantic wiki. <i>M. Lehto, & P. Neittaanmäki (Eds.), Cyber Security : Power and Technology (pp. 163-177). Springer. Intelligent Systems, Control and Automation : Science and Engineering, 93. </i> DOI: <a href="https://doi.org/10.1007/978-3-319-75307-2_10"target="_blank"> 10.1007/978-3-319-75307-2_10</a> | |
| dc.relation.haspart | <b>Artikkeli IV:</b> Nykänen, R., & Kärkkäinen, T. (2016). Supporting Cyber Resilience with Semantic Wiki. <i>OpenSym '16 : Proceedings of the 12th International Symposium on Open Collaboration (Article 21). ACM. </i> DOI: <a href="https://doi.org/10.1145/2957792.2957803"target="_blank"> 10.1145/2957792.2957803</a> | |
| dc.relation.haspart | <b>Artikkeli V:</b> Nykänen, R., & Kärkkäinen, T. (2018). A Knowledge Interface System for Information and Cyber Security Using Semantic Wiki. <i>S. Chatterjee, K. Dutta, & R. P. Sundarraj (Eds.), DESRIST 2018: Designing for a Digital and Globalized World : 13th International Conference (pp. 316-330). Springer International Publishing. Lecture Notes in Computer Science, 10844.</i> DOI: <a href="https://doi.org/10.1007/978-3-319-91800-6_21"target="_blank"> 10.1007/978-3-319-91800-6_21</a>. JYX: <a href="https://jyx.jyu.fi/handle/123456789/58493"target="_blank"> jyx.jyu.fi/handle/123456789/58493</a> | |
| dc.relation.haspart | <b>Artikkeli VI:</b> Nykänen, R., Kelo, T., & Kärkkäinen, T. (2023). Analysis of the Next Evolution of Security Audit Criteria. <i>Journal of Information Warfare, 22(4), 25-39.</i> <a href="https://www.jinfowar.com/journal/volume-22-issue-4/analysis-next-evolution-security-audit-criteria"target="_blank"> Full text</a>. JYX: <a href="https://jyx.jyu.fi/handle/123456789/94343"target="_blank"> jyx.jyu.fi/handle/123456789/94343</a> | |
| dc.title | Supporting control selection in information security | |
| dc.type | Diss. | |
| dc.identifier.urn | URN:ISBN:978-952-86-0304-7 | |
| dc.rights.copyright | © The Author & University of Jyväskylä | |
| dc.rights.accesslevel | openAccess | |
| dc.type.publication | doctoralThesis | |
| dc.format.content | fulltext | |
