Väitös: Organisaatioiden tietoturva perustuu usein yleisohjeisiin – väitöstutkimus auttaa kohdistamaan tietoturvainvestoinnit paremmin

Erilaisten tieto- ja kyberturvallisuuden uhkien lisääntyessä tehokas riskienhallinta on entistä tärkeämpää toiminnan jatkuvuuden varmistamiseksi kaiken kokoisissa organisaatioissa. Riskienhallinnan tavoitteena on varmistaa, että organisaatiot pystyvät tunnistamaan suojattavat kohteet ja valitsemaan kustannustehokkaat keinot tietoturvariskien hallitsemiseksi. Kuitenkin erityisesti pienet organisaatiot kokevat tietoturvauhkia vastaan suojautumisen hankalaksi.

– Lähes kaikki tietoturvariskienhallinnan menetelmät on suunniteltu suurempien yritysten tarpeisiin. Pienet ja keskisuuret yritykset tarvitsisivat kuitenkin enemmän tukea tietoturvallisuuden varmistamiseksi, koska niillä on käytössään vähemmän resursseja, Riku Nykänen kertoo.

PK-yritysten kassavirta ei mahdollista välttämättä jatkuvia investointeja tietoturvallisuuteen, joten niiden kannalta on kriittistä, että käytettävissä olevat resurssit kohdistetaan kriittisten kohteiden suojaamiseen.

– Esimerkiksi jos pienellä yrityksellä on käytössä hyvin vähän resursseja, niin kannattaako sen käyttää resurssit henkilöstön tietoturvakoulutukseen vai kannettavien tietokoneiden varmuuskopioimiseen. Käytännössä optimaalinen valinta riippuu useista tekijöistä. Kuitenkin erilaiset standardit ja ohjeistukset huomioivat vain rajoitetusti organisaatioiden erilaiset piirteet ja niiden tavoitteet tietoturvallisuudelle, joten niiden käyttö vaatii osaamista, jota pieniltä yrityksiltä usein puuttuu, Nykänen jatkaa.

Käytännön tukea hallintakeinojen valintaan

Tutkimuksen tuloksia käytettiin hyväksi Julkisen hallinnon tietoturvallisuuden arviointikriteeristön, Julkrin, kehitystyössä. Julkri-kriteeristöä käytetään arvioimaan tiedonhallintayksiköiden, kuten hyvinvointialueiden, kaupunkien ja kuntien, tietoturvallisuuden varmistamiseksi edellytettäviä toimenpiteitä.

– Tietoturva-auditoinnissa sovellettavan arviointikriteeristön valinnassa voidaan käyttää samoja periaatteita kuin organisaatioiden valitessa optimaalisia hallintakeinoja riskien hallitsemiseksi. Julkrissa käytettävien ennakkoehtojen avulla myös PK-yritykset voivat käyttää Julkria hyväksi aiempia kriteeristöjä tehokkaammin valitessaan omiin tietoturvatavoitteisiinsa soveltuvia hallintakeinoja, Nykänen toteaa.

Tutkimustulosten perusteella on mahdollista kehittää sekä uusia työkaluja että olemassa olevia menetelmiä kohdistamaan PK-yritysten tietoturvainvestoinnit jokaisen organisaation kannalta olennaisiin kohteisiin. Lisäksi tuloksia on mahdollista hyödyntää tekoälyn käyttämien kielimallien kehittämisessä, jotta tekoälyratkaisut voivat tulevaisuudessa tarjota parempia vastauksia hallintakeinojen valintaan ja sitä kautta auttaa jatkossa PK-yrityksiä tieto- ja kyberturvallisuuden riskienhallinnassa.

Lisätietoja

FM Riku Nykäsen väitöskirjan “Supporting control selection in information security” tarkastustilaisuus järjestetään torstaina 3.10.2024 klo 12. Vastaväittäjänä toimii professori Juha Röning (Oulun yliopisto)  ja kustoksena professori Tommi Kärkkäinen (Jyväskylän yliopisto).

Pysyvä linkki julkaisuun Supporting control selection in information security.

Väitöstilaisuuden kieli on suomi.