Uhkatiedon hyödyntäminen organisaation tietoturvatietoisuuden ja riskienhallinnan kehittämisessä
Yli-Kiehelä, Ulla (2023)
Yli-Kiehelä, Ulla
2023
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2023092926552
https://urn.fi/URN:NBN:fi:amk-2023092926552
Tiivistelmä
Opinnäytetyön tavoitteena on selvittää miten toimeksiantaja organisaatiossa hyödynnetään ja analysoidaan uhkatietoa, sekä miten uhkatietoa sovelletaan tietoturvatietoisuuden ja riskienhallinnan kehittämisssä. Tavoitteena on selvittää, kuinka uhkatietoa kerätään ja analysoidaan, ja kuinka saatua tietoa voisi hyödyntää tehokkaammin.
Opinnäytetyön toimeksiantaja on valmistavan teollisuuden organisaatio. Opinnäyteytön taustalla on organisaation tarve yhtenäistää jokaisen yksikön toimeenpanoa ISO 27001-standardin vaatimusten mukaisesti. Taustalla on myös tarve selvittää, kuinka eri yksiköt saavat ja soveltavat uhkatietoa, ja ovatko tavat kullekkin yksikölle toimivia ja tehokkaita.
Opinnäytetyö sisältää teoriaa tietoturvallisuudesta, kyberturvallisuudesta, uhkatiedosta ja riskienhallinnasta. Opinnäytetyö sisältää tietoa siitä, miten organisaatiot voivat suojautua erilaisilta hyökkäyksiltä, ja kuinka organisaatiot voivat lisätä tietoturvallisuuttaan ja parantaa tietoturvatietoisuuttaan.
Opinnäytetyön tuloksena saatiin selville, että toimeksiantaja organisaatio on tietoturvatietoinen, sekä tietoinen useista erilaisista tietoturvauhista. Heillä on käytössään muun muassa ISO 27001 -standardi, jonka mukaan toimiminen antaa hyvän pohjan organisaation tietoturvallisuudelle. Opinnäyteytön tuloksena selvisi, että toimeksiantaja organisaatiolla on tietoturvassaan aihealueita, jotka vaativat kehittämistä. Näistä aihealueista toimeksiantaja organisaatio on tietoinen ja niiden kehittämiskeinoja mietitään.
Johtopäätöksinä voidaan todeta, että toimeksiantaja organisaatio hyödyntää monipuolisesti keräämäänsä uhkatietoa, ja soveltaa sitä tietoturvatietoisuuden ja riskienhallinnan kehittämisessä. Voidaan myös todeta, että koska tietoturvallisuus on kasvava ala, ei toimeksiantaja organisaatiolta tule loppumaan kehitettävät aihealueet. Toimeksiantaja organisaatiossa ollaan tietoisia heitä kohtaan uhkaavista uhista, mutta kaikkiin uhkiin ei ole löytynyt ratkaisua.
Toimeksiantaja organisaation edustaja kommentoi toteutunutta opinnäytetyötä selkeänä ja ymmärrettävänä. Edustaja kommentoi, että työtä voidaan käyttää tietoturvatietoisuuden parantamiseen niin toimeksiantajan organisaatiossa, kuin organisaation ulkopuolellakin. ”Työssä ehdotetut parannusehdotukset ovat asianmukaisia, ja näitä tullaan toteuttamaan käytännössä tietoturvan ja tietoturvatietoisuuden kehittämisessä.”
Opinnäytetyön toimeksiantaja on valmistavan teollisuuden organisaatio. Opinnäyteytön taustalla on organisaation tarve yhtenäistää jokaisen yksikön toimeenpanoa ISO 27001-standardin vaatimusten mukaisesti. Taustalla on myös tarve selvittää, kuinka eri yksiköt saavat ja soveltavat uhkatietoa, ja ovatko tavat kullekkin yksikölle toimivia ja tehokkaita.
Opinnäytetyö sisältää teoriaa tietoturvallisuudesta, kyberturvallisuudesta, uhkatiedosta ja riskienhallinnasta. Opinnäytetyö sisältää tietoa siitä, miten organisaatiot voivat suojautua erilaisilta hyökkäyksiltä, ja kuinka organisaatiot voivat lisätä tietoturvallisuuttaan ja parantaa tietoturvatietoisuuttaan.
Opinnäytetyön tuloksena saatiin selville, että toimeksiantaja organisaatio on tietoturvatietoinen, sekä tietoinen useista erilaisista tietoturvauhista. Heillä on käytössään muun muassa ISO 27001 -standardi, jonka mukaan toimiminen antaa hyvän pohjan organisaation tietoturvallisuudelle. Opinnäyteytön tuloksena selvisi, että toimeksiantaja organisaatiolla on tietoturvassaan aihealueita, jotka vaativat kehittämistä. Näistä aihealueista toimeksiantaja organisaatio on tietoinen ja niiden kehittämiskeinoja mietitään.
Johtopäätöksinä voidaan todeta, että toimeksiantaja organisaatio hyödyntää monipuolisesti keräämäänsä uhkatietoa, ja soveltaa sitä tietoturvatietoisuuden ja riskienhallinnan kehittämisessä. Voidaan myös todeta, että koska tietoturvallisuus on kasvava ala, ei toimeksiantaja organisaatiolta tule loppumaan kehitettävät aihealueet. Toimeksiantaja organisaatiossa ollaan tietoisia heitä kohtaan uhkaavista uhista, mutta kaikkiin uhkiin ei ole löytynyt ratkaisua.
Toimeksiantaja organisaation edustaja kommentoi toteutunutta opinnäytetyötä selkeänä ja ymmärrettävänä. Edustaja kommentoi, että työtä voidaan käyttää tietoturvatietoisuuden parantamiseen niin toimeksiantajan organisaatiossa, kuin organisaation ulkopuolellakin. ”Työssä ehdotetut parannusehdotukset ovat asianmukaisia, ja näitä tullaan toteuttamaan käytännössä tietoturvan ja tietoturvatietoisuuden kehittämisessä.”