Kaikki aineistot
Lisää
Tutkimuksessa tarkastellaan pienten ja keskisuurten kuntien tietoturvallisuuden hallintaprosessia sekä tiedonhallintalain vaatimuksia. Tutkimuksen tavoitteena oli selvittää pienten ja keskisuurten kuntien tietoturvallisuuden hallinnan taso ja siihen vaikuttavat tekijät. Tämän pohjalta tutkimuksessa rakennettiin ISO27001:n pohjautuva malli tietoturvallisuuden hallintaprosessista kunnille. Esiteltävä malli on yhdenmukaistava ja kokoava, joka toimii pohjana organisaatiokohtaisen mallin kehittämiselle. Tutkimus toteutettiin kirjallisuuskatsauksena ja teemahaastatteluna. Tutkimuksen viitekehyksenä toimi ISO27001- standardi. Kirjallisuuskatsauksessa pureuduttiin tietoturvallisuuden hallintaprosessiin ja sen vaiheisiin. Kirjallisuuskatsauksen aineistoa kerättiin tutkimukseen kansallisesta lainsäädännöstä ja ohjeista sekä kansainvälisistä ohjeista ja standardeista. Teemahaastattelut toteutettiin kolmen eri kunnan tietoturvaan perehtyneen henkilön haastatteluna. Haastatteluilla pyrittiin saamaan kattava kuvaus tietoturvallisuuden hallinnasta ja tiedonhallintalain toteutumisesta pienissä ja keskisuurissa kunnissa. Tutkimuksen perusteella tietoturvallisuuden hallinta ja siihen vaikuttavat tekijät vaihtelivat kunnittain. Tietoturvallisuuden hallintaa ei kaikilta osin ollut toteutettu kunnissa kokonaisuutena vaan yksittäisinä toimenpiteinä. Tutkimuksen perusteella kuntien tietoturvallisuuden hallintaan vaikuttivat osaltaan käytettävissä olevat resurssit sekä ohjauksen hajanaisuus. Tiedonhallintalain vaatimuksien osalta tutkimukseen osallistuneet kunnat olivat tehneet toimenpiteitä, mutta kokonaisuudessaan vaatimuksiin ei ollut päästy. Tiedonhallintalain vaatimuksien täyttämiseksi tutkimukseen osallistuneet henkilöt toivoivat ohjausta ja yhdenmukaisia toimintamalleja vaatimusten toteuttamiseksi.
Tämän tutkimuksen tarkoituksena on selvittää, kuinka Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallia toteutetaan ja kehitetään käytännössä. Se koostuu neljästä lähtökohdasta. Kirjallisuudesta ei löydy tietoturvapolitiikkaa, joka olisi toteutettu tämän mallin mukaisesti. Lisäksi tutkimuksessa selvitetään mallin soveltuvuutta Pohjois-Pohjanmaan sairaanhoitopiirissä (PPSHP). Tutkimus toteutettiin laadullisena toimintatutkimuksena, joka koostui viidestä vaiheesta: määrittäminen, suunnittelu, toteutus, arviointi sekä tarkentaminen ja oppiminen. Tutkimustietoaineisto kerättiin haastatteluiden avulla (PPSHP:n tietoturvasta ja tietosuojasta vastaavia henkilöitä), tutkimalla PPSHP:n strategiaa sekä terveydenhuollon tietoturvaa ja tietosuojaa velvoittavaa lainsäädäntöä. Haastatteluiden teemat nousivat Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallista. Tiedonkeruumenetelmien avulla selvitettiin Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallin mukaiset vaatimukset tietoturvapolitiikalle. Tutkimuksessa havaittiin, että tämä malli soveltuu hyvin PPSHP:n tietoturvapolitiikan toteuttamiseen ja käyttöönottoon. Tutkimuksessa syntyi yhteensä kymmenen ylä- ja alatason tietoturvapolitiikkadokumenttia, toteutettiin PPSHP:lle tietojärjestelmien luokittelu ja kehitettiin uusia prosesseja muun muassa ICT-varautumisen osalta. Näiden toimien avulla PPSHP:n tietoturva tasoa nostettiin.
Tutkielman tarkoituksena on selvittää löytyykö koulutusorganisaatioiden tietoturvan hoidosta tietoturvamallien tai niiden piirteiden käyttöä. Tutkimuskysymyksiksi muodostuivat, miten tietoturvamallit näkyvät tutkittavissa organisaatioissa ja miten organisaatiot huolehtivat tietoturvasta. Tämä tutkimus suoritetaan korkeakouluorganisaatioihin. Aineston analyysimenetelmänä käytän laadullista ankkuroitu teoria -lähestymistapaa.
Lisääntynyt etätyö aiheuttaa monille yrityksille haasteita tietoturvan näkökulmasta. Etätyön aiheuttamat muutokset käytettävässä teknologiassa ja ympäristössä lisäävät riskiä tietoturvatapahtumille. Etätyössä työntekijät pääsevät virtuaalisesti käsiksi yrityksen tärkeimpiin resursseihin, jolloin tietovuodot voivat pilata yrityksen maineen tai jopa kaataa koko yrityksen. Tämän pro gradu -tutkielman tavoitteena oli selvittää millaisia riskejä etätyö aiheuttaa tietoturvan näkökulmasta. Laadullisena tutkimuksena tehty tutkielma koostuu kirjallisuuskatsauksesta ja empiirisestä osuudesta. Kirjallisuuskatsauksen avulla kartoitettiin etätyön aiheuttamia riskejä ihmisen, teknologian ja ympäristön näkökulmasta. Empiirisen osuuden aineiston keräämiseen käytettiin teemahaastattelua. Haastateltavia oli yhteensä kahdeksan. Haastateltavat olivat vähintään vuoden ajan etätyötä tehneitä työntekijöitä. Aineisto analysoitiin käyttämällä teemoittelua. Tutkimuksen tuloksena tunnistettiin tietoturvariskejä kodin älylaitteissa, kodin verkkoyhteydessä ja kodin fyysisessä turvallisuudessa. Tutkimuksen perusteella perheen annetaan käyttää työkonetta tarvittaessa, mikä voi altistaa koneen erilaisille haittaohjelmille. Kommunikaatio työkavereiden kanssa vähenee etätyön seurauksena, mikä vähentää sosiaalista painetta noudattaa tietoturvaohjeistuksia. Merkittävä riski aiheutuu myös siitä, että joko etätyön tietoturvaohjeistuksen olemassaolosta ei tiedetty tai se koettiin liian työläänä lukea, vaikeana löytää tai muuten tarpeettomana. Tutkimuksen tuloksissa tunnistettiin myös keinoja, joilla etätyön tietoturvaa voidaan parantaa. Koulutus, viestintä ja valvonta viestivät myös etätyössä oleville tietoturvan tärkeydestä. Valvontaa etätyössä arvostetaan ja se ennaltaehkäisee tietoturvarikkomuksia. IT-tuen hyvä saatavuus ennaltaehkäisee luvattomien ohjelmistojen ja laitteistojen käyttöä sekä nopeuttaa vastetta tietoturvarikkomuksen sattuessa. Tutkimuksessa nousi esiin myös lisääntynyt työtyytyväisyys ja vahvasti positiivinen asenne tietoturvaa kohtaan etätyössä.
With the expansion of cyber-physical systems (CPSs) across critical and regulated industries, systems must be continuously updated to remain resilient. At the same time, they should be extremely secure and safe to operate and use. The DevOps approach caters to business demands of more speed and smartness in production, but it is extremely challenging to implement DevOps due to the complexity of critical CPSs and requirements from regulatory authorities. In this study, expert opinions from 33 European companies expose the gap in the current state of practice on DevOps-oriented continuous development and maintenance. The study contributes to research and practice by identifying a set of needs. Subsequently, the authors propose a novel approach called Secure DevOps and provide several avenues for further research and development in this area. The study shows that, because security is a cross-cutting property in complex CPSs, its proficient management requires system-wide competencies and capabilities across the CPSs development and operation.
Pilvipalvelujen yleistyminen ja niiden käyttöönotto on edelleen kasvava trendi. Julkishallinnossa on vasta viime vuosina tehty koko julkishallintoa koskeva pilvipalvelulinjaus sekä pilvipalvelujen turvallisuuden auditointikriteeristö, jonka avulla julkishallinnon organisaatio voi arvioida omien pilvipalvelujensa turvallisuutta. Tässä kirjallisuuskatsauksena toteutetussa tutkielmassa selvitettiin pilvipalvelujen turvallisuuden arviointikriteeristöön sekä tieteelliseen kirjallisuuteen pohjautuen, millaisia tekijöitä julkishallinnon organisaation tulee ottaa huomioon pilvipalvelujen turvallisuutta arvioitaessa. Tutkielman tuloksena todettiin, että pilvipalvelujen turvallisuutta arvioitaessa tulee kiinnittää huomiota turvallisuusjohtamiseen, henkilöstöturvallisuuteen, fyysisen ympäristön turvallisuuteen, tietoliikenneturvallisuuteen, identiteetin ja pääsyn hallintaan, tietojärjestelmäturvallisuuteen, salaukseen, käyttöturvallisuuteen, siirrettävyyteen ja yhteensopivuuteen sekä muutostenhallintaan ja järjestelmäkehitykseen. Lisäksi tutkielmassa havaittiin, että pilvipalvelujen turvallisuuden arviointikriteeristössä on kattavasti otettu huomioon kirjallisuudessa esiintyviä pilvipalvelujen turvallisuuteen liittyviä tekijöitä.
Tämä pro gradu -tutkimus käsittelee tietoturvapolitiikan luomista ja tarkastelee sitä systemaattisen kirjallisuuskatsauksen keinoin. Tutkimusaineisto on kasattu keväällä 2016 ja se käsittää vuosien 1999 – 2016 välillä julkaistut tieteelliset artikkelit. Tutkimuksessa kuvataan niitä metodeja, joilla tietoturvapolitiikka voidaan luoda organisaatioon joko tyhjästä tai vanhan tietoturvapolitiikan päälle. Tietoturvapolitiikan katsotaan tässä tutkimuksessa olevan ylätason dokumentti, joka ohjaa organisaation toimintaa tietoturvallisuuteen liittyvissä kysymyksissä ja askareissa. Tietoturvapolitiikan luomisen keinoja havaittiin teemoitetusti olevan kolme: Riskien tunnistaminen ja hallinta, yleiset analyysityökalut ja organisaation tehtävät ja arvot. Aineiston perusteella yleisin tapa tietoturvapolitiikan luomiseen tieteellisessä kirjallisuudessa on organisaation keskeisten tehtävien ja tapojen havainnoinnin ja kartoituksen pohjalta tehtävä selvitys.
Verkkorikollisuus kasvaa ja kehittyy jatkuvasti, mikä on lisännyt finanssialan paineita suojautua verkkohyökkäyksiltä entisestään. Tähän eivät kuitenkaan riitä kehittyneet suojausteknologiat tai finanssialan tarkat tietoturvavaatimukset, vaan keskeisessä roolissa ovat ihmiset. Tutkimusten mukaan jopa 88 % tietovuodoista johtuu ihmisten tekemästä virheestä, kuten liian helpoista salasanoista, päivittämättömistä laitteista tai tietoturvaosaamisen puutteesta. On siis tärkeää, että suojausteknologioiden lisäksi organisaatioissa kehitetään työntekijöiden tietoturvatietoisuutta. Tämän tutkielman tavoitteena on selvittää, miten tietoturvatietoisuutta voidaan kehittää finanssialan organisaatiossa. Tämän tutkielman empiirinen tutkimus suoritettiin hyödyntäen laadullista tutkimusmenetelmää. Tutkimusaineisto kerättiin puolistrukturoitujen teemahaastatteluiden avulla ja haastateltaviksi valittiin kuusi tietoturva-asiantuntijaa neljästi eri suomalaisesta pankista. Haastatteluiden teemat perustuivat teoriassa keskeiseksi määriteltyihin aiheisiin, jotka olivat tietoturvatietoisuus finanssialalla ja tutkittavissa organisaatiossa, tietoturvatietoisuuteen vaikuttavat tekijät, tietoturvatietoisuuden kehittämisen menetelmät sekä tietoturvatietoisuuden mittaaminen ja arviointi. Tutkimusten tulosten analysointi toteutettiin teoriaohjaavalla analyysillä, jossa aikaisempi tutkimus ohjasi aineiston analysointia, mutta tutkimus ei testannut valmiiksi olemassa olevaa teoriaa tai teoreettista viitekehystä. Tutkielman tulosten pohjalta muodostettiin uusi teoreettinen viitekehys tietoturvatietoisuuden systemaattiseen kehittämiseen, joka perustuu PDCA-mallin mukaiseen jatkuvaan kehittämiseen. Mallin tarkoituksena on toimia apuna finanssialan organisaatioille ja sen takia siinä hyödynnettiin haastatteluissa hyväksi todettuja malleja muodostaen niistä mahdollisimman kattava kokonaisuus. Viitekehys asettaa vaatimukset tietoturvatietoisuuden kehittämiselle, sekä prosessin tietoturvatietoisuuden eri osa-alueiden kehittämiselle. Tutkielmassa on esitetty myös käytännön esimerkki viitekehyksen hyödyntämiseen. Tutkimuksen tulokset olivat pitkälti linjassa aiemman tutkimuksen kanssa. Tietoturvatietoisuuden kehittämisessä tärkeinä nähtiin jatkuva kehitys ja koko organisaation sitoutuminen kehittämiseen. Organisatoriset tekijät nähtiin hyvin tärkeinä, mutta haastatteluissa todettiin, että isoissa organisaatioissa yksilöllisten tekijöiden huomioiminen ei ole mahdollista vaan ajattelun tulisi olla enemmän roolipohjaista. Tietoturvatietoisuuden kehittämisen menetelmissä keskeisenä pidettiin saavutettavuutta, käytännönläheisyyttä ja positiivista lähestymistapaa. Empiriassa nousi esille myös organisaation koon, rakenteen ja organisaatiokulttuurin vaikutus tietoturvatietoisuuden kehittämiseen. Tärkeä huomio oli, että työntekijöitä ei nähdä enää tietoturvauhkana vaan tietoturvan vahvimpana lenkkinä tai tietoturvan puolustajina, joiden tekemät virheet johtuvat tietämättömyydestä ja riittämättömästä opastuksesta. Kaikissa organisaatioissa haluttiin luoda positiivista tietoturvakulttuuria, jonka edellä mainittu ajattelutapa mahdollistaa. Empiriassa nousi esille uutena havaintona ADKAR-malli, jota voidaan hyödyntää tietoturvatietoisuuden kehittämiseen niin kulttuurin näkökulmasta kuin tehokkaiden menetelmien kehittämiseen. ADKAR-malli on myös osa tutkielmassa kehitettyä viitekehystä.
Tässä tutkimuksessa tarkastellaan tietoturvariskien hallintaa organisaa-tioissa. Tutkimuksen tavoitteena on tunnistaa ne keskeiset tekijät, jotka yrityksen on huomioitava oman tietoturvallisuuden hallinnassa ja yritykseen kohdistuvien tietoturvariskien hallinnassa. Tutkimus on toteutettu kirjallisuuskatsauksena, jossa aiemman kirjallisuuden perusteella on pyritty löytämään aiheeseen liittyviä yhteisiä tekijöitä, joiden voidaan katsoa olevan keskeinen osa yrityksen tietoturvan ja tietoturvariskien hallinnan suunnittelussa ja toteuttamisessa. Tutkimuksessa käydään läpi useiden eri tutkijoiden ja kirjoittajien teoksia. Aiempien tutkimusten vertailulla pyritään löytämään yhteisiä tekijöitä eri tutkijoiden välillä. Näiden yh-täläisyyksien avulla pyritään löytämään ne kohdat, joita laajimmin pidetään aiheen kannalta keskeisimpinä toimintatapoina tai ns. parhaina käytänteinä. Tutkimuskysymykseen on pyritty vastaamaan vertailemalla kirjallisuutta niin tietoturvariskien tutkimusten, tietoturvariskien hallinnan standardien ja viitekehysten kautta kuin myös muun tietoturva käytänteiden hallintaa käsittelevän kirjallisuuden kautta. Tutkimuskysymykseen on vastattu kuvaamalla tietoturvan- ja tietoturvariskien hallinnan kannalta keskeiset toimet, joita yrityksessä tarvitsee suorittaa, sekä avaamalla mitä toimintoja eri osa-alueet pitävät sisällään ja mihin yrityksen tulee kiinnittää huomiota. Tämän tutkimuksen yhtenä havaintona on riskien arvioinnin tärkeyden korostaminen miltei jokaisessa läpi käydyssä kirjallisuudessa. Tarkasteltaessa erikseen jokaista tietoturvan hallinnan osa-aluetta, on miltei jokaisen prosessin alussa suositeltu riskien arviointia. Riskien arviointi antaa yritykselle näkemyksen siitä, millaisia ovat juuri kyseistä organisaatiota uhkaavat riskit. Riskien tunnistamisen jälkeen voidaan lähteä suunnittelemaan niitä toimenpiteitä, joilla yritykset voivat kehittää itselleen toimivan riskienhallintastrategian.
Tämän tutkielman tarkoitus on selvittää, millainen on kotikäyttäjä, mitä tarkoittaa kotikäyttäjän tietoturvakäyttäytyminen ja mistä tekijöistä se koostuu. Lisäksi tutkimuksessa tarkastellaan kotikäyttäjän tietoturvatietoisuutta, sen rakentumista ja sen vaikutuksia tietoturvakäyttäytymiseen. Tutkimuksen tuloksena löydettiin useita eri tekijöitä, jotka vaikuttavat tietoturvakäyttäytymiseen ja tietoturvatietoisuuteen. Myös yhteys tietoturvatietoisuuden ja tietoturvakäyttäytymisen välillä löydettiin. Löydösten pohjalta muodostettiin uudenlainen malli kotikäyttäjän tietoturvakäyttäytymisen muodostumisesta. Tutkimus on toteutettu kirjallisuuskatsauksena, jonka lähteinä on käytetty tieteellisiä julkaisuja ja tutkimuksia, jotka on julkaistu erilaisissa akateemisissa julkaisuissa.
Tässä opinnäytetyössä käsitellään Joomla!-sivuston tietoturvaa. Työn tavoitteena on arvioida Joomla!-sivustojen tietoturvaa yleisesti sekä löytää sivustojen mahdollisia tietoturvaan liittyviä heikkouksia. Työn tarkoituksena on myös antaa joitain ohjeita, joiden avulla sivuston ylläpitäjä voi parantaa oman sivustonsa tietoturvan tasoa. Työssä käydään läpi internetsivustoihin liittyvää tietoturvan teoriaa ja esitellään joitain tietoturvaorganisaatioita, joiden kautta voi löytää tietoa tietoturvaan liittyvistä aiheista. Lisäksi käsitellään yleisimpiä internetsivustojen tietoturvaan liittyviä uhkia, niiden vaikutuksia sivustojen toimintaan sekä esitellään keinoja niiltä suojautumiseksi. Joomla!:n osalta käydään läpi järjestelmän yleiset piirteet ja vaatimukset. Joomlan!:n tietoturvaa arvioidaan tilastotietojen sekä tietoturvan yleisten periaatteiden pohjalta. Lopuksi esitellään joitain keinoja, joiden avulla sivuston ylläpitäjä voi parantaa sivustonsa tietoturvaa. Tuloksena kävi ilmi, että Joomla!-sivuston yleinen tietoturva on kohtuullisella tasolla. Tuloksena kävi myös ilmi, että sivuston ylläpitäjä voi toimillaan suuresti vaikuttaa sivustonsa tietoturvaan sekä hyvässä että pahassa. Sivuston tietoturvan kannalta olisi tärkeää noudattaa käyttäjäoikeuksien ja salasanojen hallinnassa annettuja ohjeita sekä huolehtia kaikkien ohjelmistojen päivitysten ajantasaisuudesta. Toisaalta varsinkin epämääräisten lisäosien asentaminen voi heikentää sivuston tietoturvaa.
Opinnäytetyön tarkoituksena on selvittää sopimuspalokuntatoimintaan liittyvät tietoturvariskit sekä analysoida niiden vaikutus yhdistyksen toimintaan. Tietoturvariskien kartoittaminen suoritettiin lähettämällä kyselylomake yhdistyksen hallitukselle sekä yhdistyksen toiminnan avainhenkilöille. Lomakkeessa pyydettiin listaamaan yhdistykselle arvokasta tieto-omaisuutta, kertomaan käytössä olevista tietoturvamenetelmistä sekä listaamaan, millaista vahinkoa syntyisi jos tieto-omaisuuden eheys, luottamuksellisuus tai saatavuus vaarantuisi. Lisäksi toimitiloissa suoritettiin itsenäistä havainnointia tietotekniikan ja tietoturvan osalta. Riskianalyysissä tarkasteltiin tietoturvariskejä jakamalla ne kuuteen eri osa-alueeseen ja muodostamalla havaituille riskeille riskikerroin, jota yhdistys voi käyttää hyväkseen keskittyessään eniten huomiota ja toimenpiteitä vaativiin tietoturvariskeihin. Analyysissä selvisi, ettei yhdistyksellä ole vastausten perustella selkeää kuvaa yhdistykselle arvokkaasta tieto-omaisuudesta, eikä yhdistyksellä ole voimassa olevaa tietoturvaohjetta tai yhdistyksen toiminnan jatkuvuussuunnitelmaa tietoturvaloukkauksen tai onnettomuuden varalta. Vaikka yhdistyksellä ei olisi tarkkaa tietoa arvokkaasta tieto-omaisuudesta, on tietoturvan taso yleisesti ottaen hyvällä tasolla. Tietoturvan tärkeys ymmärretään ja yhdistyksen päivittäisissä toiminnoissa on otettu käyttöön monia yleisesti hyväksi todettuja tietoturvaratkaisuja ja toimenpiteitä. Yhdistykselle laadittiin kirjallinen yhteenveto mahdollisista uhkaskenaarioista sekä niiden muodostamista riskeistä toimenpidesuosituksineen.
The number of Internet users and the number of devices connected to the Internet have been increasing greatly in the recent years. Therefore, it is not surprising that cybercrime is on the rise as well. For this reason, it would be beneficial if the new and even the more experienced users of the Internet would become as familiar as they can with their personal information security, and to be able to act as securely as they can. The aim of the study was to find out what the greatest information security challenges and threats to a regular Internet user are, how the threats work, how to avoid them, and how to protect against them. The aim was to also create an information security guide, which would enable the reader to act more securely while on the Internet. The thesis was carried out using constructive research methods. The sources included several articles and studies that were compared to verify the validity of the information. The challenges and some of the major threats to the information security of a regular Internet user were able to be identified. The means of protection found were selected according to their effectiveness and comprehensibility, after which an information security guide was created based on the found information. The information security guide will help the reader to detect possible scams and other threats, as well as to understand the importance of password strengths and software updates. The guide was designed to be as easy to read and as easy to understand as possible, so that even those who do not know the subject can benefit from the guide.
Tietoturvakoulutusta pidetään parhaimpana keinona ylläpitää henkilöstön tietoturvatietoutta, mutta siitä huolimatta tietoturvakoulutuksen kehittäminen ja vaikuttavuuden arviointi ovat jääneet alan kirjallisuudessa vähemmälle huomiolle. Osasyynä tähän on tietoturvakoulutukseen ja vaikuttavuuden arviointiin liittyvän teorian pirstaleisuus. Tässä pro gradu -tutkimuksessa laaditaan tietoturvakoulutuksen suunnittelun viitekehys, jota sovelletaan ensisijaisesti Poliisihallituksen tarpeisiin. Tietoturvakoulutussuunnitelman tavoitteena on tehdä tietoturvakoulutuksesta suunnitelmallisempaa sekä kohdennetumpaa erilaisille henkilöstöryhmille. Samalla tutkitaan sitä, miten tietoturvakoulutuksen vaikuttavuutta voidaan lisätä ja miten sitä mitataan. Tutkimus on toteutettu design science -tutkimuksena käyttäen. Tutkimuksen artefakti, vaikuttavan tietoturvakoulutussuunnitelman viitekehys, rakentuu aikaisemman tutkimustiedon sekä Poliisihallituksen tietoturvavastaavien haastatteluiden pohjalta. Tietoturvakoulutussuunnitelman viitekehys pyrkii osaltaan vastaamaan tietoturvakoulutuksen suunnittelun pirstaleiseen teoriapohjaan sekä tuomaan vaikuttavuuden arviointia kiinteämmäksi osaksi organisaatioiden tietoturvakoulutusta. Tutkimuksen lopputuloksena muodostunut viitekehys on tehty Poliisihallituksen tarpeet huomioiden, mutta se on hyödynnettävissä myös muihin organisaatioihin. Vaikuttavan tietoturvakoulutussuunnitelman tekeminen ja implementointi vaativat organisaatiolta resursseja, sillä vaikuttavan tietoturvakoulutuksen suunnittelu vaatii kohdeyleisönsä tuntemisen. Vaikka vaikuttavan tietoturvakoulutuksen suunnittelu vie organisaatiolta aikaa ja rahaa, niin koulutuksen vaikuttavuutta mittaamalla ja arvioimalla organisaatio saa jatkuvasti dataa siitä, miten koulutusta voisi kehittää entisestään.
Opinnäytetyön toimeksiantajana olivat Linnan Ateria Oy ja Hämeen ammattikorkeakoulu. Opinnäytetyön tavoitteena oli suorittaa kesän 2014 oldtimerTimer-projektijärjestelmän tietoturvakartoitus teemahaastattelun avulla. Tietoturvakartoituksessa hyödynnettiin teoriaa, ja teorian tutkimusmenetelmänä käytettiin kvalitatiivista tutkimusmenetelmää. Työn teoriaosuudessa perehdyttiin tietoturvaan yleisesti, sen osa-alueisiin, tietoturvauhkiin ja tekniseen tietoturvaan sekä siihen, mikä on lainsäädännön vaikutus tietoturvaan. Teoriatietoa sisältävä aineisto oli kerätty aiheeseen liittyvistä kirjoista ja internetistä. Tutkimuksen ohella otettiin selville, mitä laitteistoja ja ohjelmistoja projektissa oli käytetty. Tutkimus toteuttiin hyödyntämällä joitakin tietoturvan osa-alueita. Työn tuloksena löydettiin lähes jokaisen projektin osa-alueista lukuisia tietoturvahaavoittuvaisuuksia, mutta nettiportaalin tietoturva oli toteutettu kaikista pisimmälle. Syksyn 2014 opintojakso ICT project, johon oldtimerTimer-järjestelmä kuuluu, tulisi tietoturvaa korostaa enemmän.
Organisaatiot joutuvat enenevässä määrin suojautumaan niiden tietojärjes-telmiin kohdistuvilta uhilta. Pelkät tekniset suojausratkaisut eivät kuitenkaan riitä, sillä henkilöstö saattaa tahattomasti tai tahallisesti kiertää nämä tietoturva-työkalut helpottaakseen omaa työtään. Organisaation tietoturvapolitiikka pyr-kii estämään nämä tahattomat työkalujen kiertämiset antamalla henkilöstölle ohjenuorat, joita seuraamalla he voivat turvata käsittelemänsä tiedon. Tietotur-vapolitiikan suurimpana ongelmana on se, ettei sitä noudateta henkilöstön toi-mesta, jolloin tulevaisuudessa tärkeäksi osaksi tietoturvan johtamista muodos-tuu henkilöstön motivointi tietoturvapolitiikan noudattamiseen. Tämä tutkiel-ma keräsi kirjallisuudesta viisi eri motivoinnin osa-aluetta, joihin tietoturvajoh-tamisen tulisi tulevaisuudessa keskittyä: koulutus, valvonta, organisaation kult-tuurin muokkaaminen, palkkiot ja rangaistukset. Näiden osa-alueiden ymmär-täminen ja implementointi organisaation toimintaan varmistaa henkilöstön mo-tivoinnin onnistumisen ja sitä kautta tietoturvan kehittymisen.
Informaatioteknologian valtavirtaistumisen seurauksena yhä useammat organisaatiot toimialasta riippumatta hyödyntävät informaatioteknologiaa operatiivisessa ja strategisessa toiminnassaan. Hyötyjen ohella informaatioteknologian käyttö on tuottanut uusia tietoturvaan liittyviä uhkakuvia, joihin organisaatiot pyrkivät vastaamaan moniulotteisilla ratkaisuilla. Yksi merkittävimmistä tunnistetuista tietoturvauhista on työntekijöiden tietoturvaohjeistuksen vastainen toiminta, minkä seurauksena tärkeäksi kysymykseksi on noussut, miksi työntekijät poikkeavat ohjeista. Lupaavana tuoreena suuntauksena esiintyvät neutralisaatiotekniikat, jotka esittävät työntekijöiden neutralisoivan itselleen haitallisia ohjeistuksen vastaisesta toiminnasta aiheutuvia seurauksia. Tämä tutkielma tuottaa kuvailevan kirjallisuuskatsauksen neutralisaatiotekniikoita hyödyntäviin organisaatioiden tietoturvaa tutkiviin tutkimuksiin. Tutkielman avulla tuotetaan vastaus tutkimuskysymyksiin, jotka ovat miten neutralisaatiotekniikoita on hyödynnetty osana organisaatioiden tietoturvatutkimusta ja minkälaisia tuloksia tutkimukset ovat saavuttaneet koskien neutralisaatiotekniikoita. Tutkielman tulosten perusteella neutralisaatiotekniikoita hyödyntävät julkaisut jaetaan neljään aihepiiriin ja todetaan, että tutkimusten painopiste on muuttunut viimeisen kymmenen vuoden aikana. Lisäksi tutkielman tulosten perusteella todetaan, että neutralisaatiotekniikat tuottavat vahvaa tukea neutralisaatiotekniikoiden kriittiselle roolille osana tietoturvaa sekä neutralisaatiotekniikoiden olevan vahvasti olosuhderiippuvaisia, mikä aiheuttaa ongelmia yleistettävyydelle. Lopuksi tutkielma esittää aihepiirin osalta keskeisiä jatkotutkimuksen kohteita, jotka vaihtelevat kokonaisista tutkimussuuntauksista suoriin yksittäisiin tutkimuskohteisiin
Tietojärjestelmien roolin kasvaessa tämän päivän organisaatioiden liiketoiminnassa, myös tietoturvan merkitys liiketoiminnan turvaajana ja mahdollistajana kasvaa. Teknologian ja hyökkäysmenetelmien kehityksen seurauksena tietoturvan rooli strategisena ongelmana korostuu, organisaatioiden pyrkiessä turvaamaan omat liiketoimintaprosessit käytössä olevien resurssien puitteissa. Tietoturvastrategia on kuitenkin suhteellisen uusi konsepti tietoturvakirjallisuudessa ja se on voinut saada hyvinkin erilaisia määritelmä niin kirjallisuudessa kuin käytännössä. Tämä tutkimus pyrkii selkeyttämään tätä konseptia ja selvittämään tietoturvastrategioiden roolia terveydenhuolto-organisaatioissa, joiden toiminnan tavoitteet voivat erota suuresti muiden alojen vastaavista. Terveydenhuolto alalla muun muassa henkilöstön ammatilliset arvot, alan tarkka säätely ja pyrkimys väestön terveyden edistämiseen voi luoda oman haasteensa tietoturvan strategiselle suunnittelulle. Tutkimuksessa hyödynnettiin tutkimusmenetelmänä tapaustutkimusta, joka mahdollisti ilmiön tutkimisen sen luonnollisessa kontekstissa julkisen terveydenhuollon organisaatioissa. Tutkimuksen tulosten perusteella tietoturvalla oli keskeinen rooli tapauksissa, mutta tietoturvastrategiaa ei hyödynnetty tietoturvan suunnittelussa ja kehityksessä, vaikka tietoturvakirjallisuus on nostanut esille strategiasta mahdollisesti saatavia hyötyjä. Tietoturva- strategioiden puute voi johtua niiden selkeiden hyötyjen puutteella suhteessa esimerkiksi tietoturvapolitiikkaan ja riskienhallintaan. Tutkimuksen tulosten ja aiemman tietoturvastrategiaan keskittyvän kirjallisuuden pohjalta tutkimuksessa esitettiin huomioitavia tekijöitä, kuten liiketoiminnalliset tarpeet, riskit, kulttuuri, lainsäädäntö ja tietojärjestelmät, jotka terveydenhuolto-organisaation tulisi ottaa huomioon päättäessään kehittää tietoturvastrategia. Puutuvista selkeistä tietoturvastrategian hyödyistä huolimatta, tässä tutkimuksessa esitetty viitekehys voi auttaa organisaatiota kohti strategisempaa lähestymistapaa tietoturvan suunnitteluun ja toteutukseen.
Tässä opinnäytetyössä tietoturvan kehittämistä tarkastellaan tutkimus – ja kehittämisprojektin näkökulmasta. Tutkimusprojekti ja kehitysprojekti voivat kohdistua samaan sisältöön eri tavoittein ja tuloksin. Tutkimusprojektilla tavoitellaan sovelluskelpoisen tiedon löytämistä tai uuden tiedon luomista erityisen epävarmoilla alueilla ilman ennakkotietoa siitä, saadaanko tutkimuksen perusteella tuloksia tai hyötyä. Valtioneuvosto on tehnyt periaatepäätöksen tietoturvatyön kehittämisestä, jossa johdon vastuulle linjataan tietoturvatyön resurssien ohjaaminen. Vahti -ohjeistuksen mukaan organisaatiolla tulisi olla tietoturvan hallintajärjestelmä, joka on kiinteä osa organisaation prosesseja, johtamis – ja hallintarakenteita. Tietoturvan arviointi tulisi olla normaalia johdon vastuulla olevaa johtamiseen ja tulosohjaukseen liittyvää päätöksentekoa. Opinnäytetyössä tutkittiin, millainen on organisaatiolle X soveltuva tietoturvallisuuden hallintajärjestelmä. Tavoitteen tukemiseksi tutkittiin mahdollisuutta kehittää sovelluspohjainen tietoturvan hallintajärjestelmä organisaatiolle X. Alustana opinnäytetyön yhteydessä kokeiltiin Office 365 -ympäristössä toimivia online -pilvipalveluja. Opinnäytetyön tuloksena luotiin hahmotelma tietoturvan hallintajärjestelmästä Ms Planner -projektityökalulla, jossa ympäristö on toteutettu projekti-maiseen muotoon ja on siten helposti muunneltavissa tietoturvan kehittämisprosessin etenemisen mukaan. Opinnäytetyön tuloksena nousi esille tutkimusprojektin keinoin kysymyksiä, mahdollisuuksia sekä ongelmia liittyen tietoturvan hallintaan, tarkoituksena pohtia niiden yleisempää merkitystä organisaation X tietoturvan kannalta. Halusin hyödyntää tutkimuksessa suurimman osan VAHTI ohjeistuksesta, jotta saisin työn tukemiseksi laaja-alaisen ja kattavan kuvan valtiohallinnon tietoturvallisuuden ohjeistosta sekä VAHTI -ryhmän merkittävästä työstä tietoturvallisuuden kehittämiseksi.
Internetinkäytönkasvun takia tietoturvasta on tullut osa jokaisen elämää työssä ja sen ulkopuolella. Tämän takia yrityksissä ja normaalissa elämässä tietoturva on tullut tärkeäksi alati kehittyvässä maailmassa. Ihmisten tekemät virheet ovat suuri osa tietoturvan riskeistä. Siksi yhteistyö yritysten eri osastojenvälillä on tärkeää. Opinnäytetyön tarkoituksena on selvittää suurimpia tietoturvauhkia, miten ne vaikuttavat yrityksiin ja työntekijöihin, miten niiltä suojaudutaan ja miten ihmisvirheen osuutta pystytään minimoimaan. Lähteet ovat verkkosivustojen artikkeleita sekä raportteja tietoturvasta eri järjestöiltä ja yrityksiltä, joita on verrattu toisiin lähteisiin samasta asiasta. Lähteinä toimivat myös omalta koulutusalalta saadut opit ja tiedot. Työ selvittää ihmisvirheen osuutta tietoturvan eri osa-alueilla ja sitä, miten sitä voidaan vähentää. Lähteitä tutkimalla löytyi tapoja ja keinoja vähentää ihmisvirhettä. Opinnäytetyön mukana tuotettiin tietoturvaohjeistus yrityksille, joka sisältää tapoja ja keinoja tietoturvan parantamiseen ja ihmisvirheen minimoimiseen.The explosive growth of internet has rendered information security important in normal life and in business. For this reason, information security has become an important part of normal life and the business world in the ever-developing world. Human error is a great source of information security risk. Therefore, cooperation between different sections of companies is important. The goal of this bachelor’s thesis was to map some of the larger security risks, how they affect companies and their employees, how companies can be protected against them and how to minimize human error in these cases. The source material is mostly articles and reports on information security from different companies and organizations that have been cross-referenced with other sources to check their integrity, and applying knowledge that the author acquired during his studies. The methodological approach of this thesis is constructive. The thesis seeks to figure out the role of human error in the different sections of information security and how to reduce it. Habits and methods of minimizing human error were found during the literature search. The thesis also resulted in the creation of a document with information security instructions for companies that includes methods and good practices for improving information security and minimizing human error.
Tässä tutkielmassa tutkitaan pilvipalveluiden tietoturvallisuutta yritysten näkökulmasta. Erityisesti tarkastelussa on se kuinka tietoturvaa sekä luottamusta voidaan parantaa. Tässä kontekstissa tietoturvalla viitataan pilvipalvelussa olevan tiedon eheyteen sekä ulkoisten uhkien torjumiseen. Toisaalta luottamus viittaa pilvipalveluiden toimintojen sekä tietojenkäsittelyn luotettavuuteen. Tutkimus suoritettiin kirjallisuuskatsauksena ja keskeisimpinä löytöinä olivat kuvaus yleisimmistä tietoturvauhkista, joita pilvipalveluissa kohdataan. Lisäksi tutkimuksen tuloksena on konkreettisia metodeja pilvipalveluiden tietoturvan toteutukseen. Tulosten ohella tutkimus antaa pohjan tulevaisuuden tutkimukselle, jonka tulisi kohdistua pilvipalveluiden tiedon prosessointiin liittyvien ongelmien ratkaisuun.
PC:n ja internetin tietoturvauhkien tunnistaminen ja ennaltaehkäisy ovat tietoyhteiskunnassa entistä välttämättömämpiä tietokoneen ja internetin käyttäjille. Internetrikollisuuden kasvaessa uusia haittaohjelmia ja palvelunestohyökkäyksiä tehdään enemmän kuin koskaan. Haittaohjelmien historian ja kehityksen tuntemus on hyödyllinen jokaiselle tietoverkkoa käyttävälle henkilölle, jotta he voivat ymmärtää kotikoneilleen tarttuvien haittaohjelmien rakenteen ja toimintatavat sekä osata turvata henkilökohtaiset tietonsa käyttäen hyväkseen oppimaansa tietoa. Tämän opinnäytetyön tavoitteena on kuvata kirjallisiin lähteisiin perustuen PC:n ja internetin tietoturvauhkia ja niiden torjuntatoimenpiteitä. Opinnäytetyön tuloksista voidaan todeta, että internetiä käyttävien henkilöiden vastuu tietoturvan ja sen uhkien ymmärtämisestä on muodostumassa tärkeimmät tietoverkkojen käyttämisen edellytykset tämän vuosikymmenen edetessä. Inhimillinen tietoturva on pääosassa internetrikollisuuden leviämisessä ja siitä saatavasta taloudellisesta hyödystä. Tietokoneen käytön vastuun edistäminen on tietoverkkojen toiminnan kannalta elintärkeää, sillä ihminen on oman tietoturvansa suurin uhka.
Tietoturvasuunnitelma PK-yritykselle tehtiin yritykselle, jolla ei ollut aikaisempaa kirjoitettua tietoturvasuunnitelmaa. Työn tavoitteena oli suunnitella ja kirjoittaa tietoturvasuunnitelma kyseiselle yritykselle. Suunnitelman tekemisessä käytettiin aiheeseen liittyvää alan kirjallisuutta. Päätuloksena oli toimiva tietoturvasuunnitelma. Tietoturvasuunnitelma on yksi yrityksen keinoista ennaltaehkäistä teknologian ja digitaalisuuden kehittämiä uhkakuvia, kuten huijausviestit, erilaiset tietokonevirukset, sekä salasanojen urkinnat, joilla pyritään saamaan haltuun yritykselle tärkeää tietoa. Sen kolme keskeisintä pääasiaa ovat luottamuksellisuus, eheys ja saatavuus, eli tiedon saa ainoastaan ihminen, jolla on siihen oikeus, oikeaan aikaan ja että tieto ei ole muuttunut missään vaiheessa. Yrityksen tietoturvaan kuuluu kolme eri tasoa, joista tietoturvasuunnitelma on keskimmäinen, korkeimmalla on tietoturvapolitiikka ja alimmaisena tietoturvaohjeistukset. Tietoturvapolitiikka on yrityksen yleinen kanta tietoturvaan. Tietoturvasuunnitelma toteuttaa tietoturvapolitiikan tavoitteita ja tietoturvaohjeistukset ovat tarkempia ohjeita yksittäisiä tietoturvakohteita varten. Opinnäytetyön lopputuloksena oli tietoturvasuunnitelma, mikä oli myös tavoitteena. Se otetaan käyttöön yrityksessä kevään 2019 aikana. Tulevaisuudessa tietoturvasuunnitelmaa on tarkoitus kehittää vastaamaan entistä paremmin uusiin uhkakuviin, sekä yrityksen tarpeisiin.