Roadmap to Information Security: Theoretical study about information security with the views of practitioners
Peltonen, Jari-Pekka (2022-05)
Peltonen, Jari-Pekka
05 / 2022
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2022050633425
https://urn.fi/URN:NBN:fi-fe2022050633425
Tiivistelmä
Information security is one of the hottest topics today, and we get to read and hear various stories in the media about how information security has failed in some companies. It has become an important function in companies. A revolution is underway in Finnish industry, in which digitalization, such as the Internet of Things, is being used increasingly in manufacturing processes. With this change, the connectivity between devices will increase and at the same time the communication will increase, and this will create new challenges into information security. This study provides a theoretical framework for creating a road map for better information security. The research remains at a conceptual and analytical level and has a management perspective. The work presents the views of practitioners and the SABSA® model, which is less well-known among practitioners.
The theory part deals with the key concepts of information security for this work. Its purpose is to create a theoretical framework and road map for better information security. The key concepts of information security in this work are, classical definition based on data value, extended definition of information security, classification of information security sensitivity, classification of information security components, information security strategy, information security policy, standards, procedures and practices, risk management, information security controls, information security management, information security architecture, information security management and culture. The theory section also reviews the different project management methods from an information security perspective and reviews the differences between waterfall and agile methods. In addition, the theory section provides a separate overview of different information security standards, frameworks, and best practices. The theoretical framework was formed as a literature study and the empirical part consists of the transcripts of the main parts of the interviews and the road map generated from the theoretical framework. The aim of the interview was to seek improvements and to review the road map and to identify the challenges it may faces when implementing it.
There are standards, frameworks, and best practices for managing and implementing infor-mation security, and these are the essential tools needed to implement and maintain infor-mation security. With these conceptual frameworks, such as SABSA, ISO 27000, NIST SP8000, and COBIT, it is possible to implement information security holistically in an organization. The different methods of project management are the methods which are used to implement these conceptual frameworks, standards, and best practices for information security into the organization. Tietoturvallisuus on tänä päivänä ehkäpä yksi kuumimmista aiheista ja saamme lukea ja kuulla mediasta erilaisia tarinoita siitä, kuinka tietoturva on pettänyt joissakin yrityksissä. Siitä on tullut yksi erittäin tärkeä toiminto yrityksissä, vaikka yritys itsessään ei tietoturva alalla toimisikaan. Suomalaisessa teollisuudessa on käynnissä vallankumous, jossa valmistusprosesseissa aletaan hyödyntämään digitalisointia, kuten esimerkiksi asioiden internettiä, aiempaa enemmän. Tämän muutoksen myötä liitettävyys laitteiden välillä kasvaa ja samalla tietoliikenne lisääntyy ja tämä osaltaan luo uusia haasteita tietoturvallisuuteen. Tässä tutkimuksessa luodaan teoreettinen viitekehys tiekartan luomiseksi parempaan tietoturvallisuuteen. Tutkimus pysyttelee käsitteellisellä ja analyyttisella tasolla ja siinä on johtamisen näkökulma. Työssä esitellään käytännönharjoittajien näkökantoja sekä SABSA® malli, joka on vähemmän tunnettu käytännönharjoittajien keskuudessa.
Teoria osuudessa käsitellään tämän työn kannalta tietoturvallisuuden keskeisimpiä käsitteitä. Sen tarkoituksena on luoda teoreettinen viitekehys, jonka pohjalta rakennetaan tiekartta parempaan tietoturvallisuuteen. Keskeisiä tietoturvallisuuden käsitteitä tässä työssä on, klassinen tiedon arvoon perustuva määritelmä, laajennettu tietoturvallisuuden määritelmä, tietoturvallisuuden arkaluontoisuuden luokittelu, tietoturvallisuuden osa-alueiden luokittelu, tietoturvallisuus strategia, tietoturvallisuus politiikka, standardit, menettelyt ja käytännöt, riskienhallinta, tietoturvallisuuden kontrollit, tietoturvallisuuden hallinnointi, tietoturvallisuuden arkkitehtuuri, tietoturvallisuuden johtaminen ja kulttuuri. Teoria osuudessa tehdään katsaus myös projektien eri hallinta menetelmiin tietoturvallisuuden näkökannalta ja siinä lähinnä käydään läpi niitä eroja, joita vesiputous ja ketterillä menetelmillä on. Lisäksi teoria osuudessa tehdään erikseen katsaus tietoturvallisuuden eri standardeihin, viitekehyksiin ja parhaisiin käytänteisiin. Teoria viitekehys muodostettiin kirjallisuus tutkimuksena ja empiirinen osuus koostuu haastattelujen litteroinneista sekä teoriaviitekehyksestä syntyneestä tiekartasta. Haastattelun avulla pyrittiin hakemaan parannuksia ja tarkistamaan muodostettua tiekarttaa ja löytämään niitä haasteita, joita sitä toteuttaessa kohdataan. Aineistona tässä tutkimuksessa on käytetty alan kirjallisuutta ja tieteellisiä artikkeleita sekä haastattelun tuloksia.
Keskeisiä havaintoja tutkimusta tehdessä oli se, että kirjallisuustutkimuksella pystytään muodostamaan tiekartta tietoturvallisuusjärjestelmän toteuttamiseen organisaatioissa. Tietoturvallisuuden johtamiseen ja toteuttamiseen on olemassa standardeja, viitekehyksiä ja parhaita käytänteitä ja juuri nämä ovat niitä olennaisia työkaluja, joita tietoturvallisuuden toteuttamisessa ja ylläpitämisessä tarvitaan. Näillä käsitteellisillä viitekehyksillä, kuten SABSA, ISO 27000, NIST SP8000 ja COBIT on mahdollista toteuttaa kokonaisvaltaisesti organisaation tietoturvallisuus. Projektinhallinnan eri menetelmät ovat niitä menetelmiä, joilla näitä tietoturvallisuuden käsitteellisiä viitekehyksiä, standardeja ja parhaita käytänteitä jalkautetaan organisaatioon.
The theory part deals with the key concepts of information security for this work. Its purpose is to create a theoretical framework and road map for better information security. The key concepts of information security in this work are, classical definition based on data value, extended definition of information security, classification of information security sensitivity, classification of information security components, information security strategy, information security policy, standards, procedures and practices, risk management, information security controls, information security management, information security architecture, information security management and culture. The theory section also reviews the different project management methods from an information security perspective and reviews the differences between waterfall and agile methods. In addition, the theory section provides a separate overview of different information security standards, frameworks, and best practices. The theoretical framework was formed as a literature study and the empirical part consists of the transcripts of the main parts of the interviews and the road map generated from the theoretical framework. The aim of the interview was to seek improvements and to review the road map and to identify the challenges it may faces when implementing it.
There are standards, frameworks, and best practices for managing and implementing infor-mation security, and these are the essential tools needed to implement and maintain infor-mation security. With these conceptual frameworks, such as SABSA, ISO 27000, NIST SP8000, and COBIT, it is possible to implement information security holistically in an organization. The different methods of project management are the methods which are used to implement these conceptual frameworks, standards, and best practices for information security into the organization.
Teoria osuudessa käsitellään tämän työn kannalta tietoturvallisuuden keskeisimpiä käsitteitä. Sen tarkoituksena on luoda teoreettinen viitekehys, jonka pohjalta rakennetaan tiekartta parempaan tietoturvallisuuteen. Keskeisiä tietoturvallisuuden käsitteitä tässä työssä on, klassinen tiedon arvoon perustuva määritelmä, laajennettu tietoturvallisuuden määritelmä, tietoturvallisuuden arkaluontoisuuden luokittelu, tietoturvallisuuden osa-alueiden luokittelu, tietoturvallisuus strategia, tietoturvallisuus politiikka, standardit, menettelyt ja käytännöt, riskienhallinta, tietoturvallisuuden kontrollit, tietoturvallisuuden hallinnointi, tietoturvallisuuden arkkitehtuuri, tietoturvallisuuden johtaminen ja kulttuuri. Teoria osuudessa tehdään katsaus myös projektien eri hallinta menetelmiin tietoturvallisuuden näkökannalta ja siinä lähinnä käydään läpi niitä eroja, joita vesiputous ja ketterillä menetelmillä on. Lisäksi teoria osuudessa tehdään erikseen katsaus tietoturvallisuuden eri standardeihin, viitekehyksiin ja parhaisiin käytänteisiin. Teoria viitekehys muodostettiin kirjallisuus tutkimuksena ja empiirinen osuus koostuu haastattelujen litteroinneista sekä teoriaviitekehyksestä syntyneestä tiekartasta. Haastattelun avulla pyrittiin hakemaan parannuksia ja tarkistamaan muodostettua tiekarttaa ja löytämään niitä haasteita, joita sitä toteuttaessa kohdataan. Aineistona tässä tutkimuksessa on käytetty alan kirjallisuutta ja tieteellisiä artikkeleita sekä haastattelun tuloksia.
Keskeisiä havaintoja tutkimusta tehdessä oli se, että kirjallisuustutkimuksella pystytään muodostamaan tiekartta tietoturvallisuusjärjestelmän toteuttamiseen organisaatioissa. Tietoturvallisuuden johtamiseen ja toteuttamiseen on olemassa standardeja, viitekehyksiä ja parhaita käytänteitä ja juuri nämä ovat niitä olennaisia työkaluja, joita tietoturvallisuuden toteuttamisessa ja ylläpitämisessä tarvitaan. Näillä käsitteellisillä viitekehyksillä, kuten SABSA, ISO 27000, NIST SP8000 ja COBIT on mahdollista toteuttaa kokonaisvaltaisesti organisaation tietoturvallisuus. Projektinhallinnan eri menetelmät ovat niitä menetelmiä, joilla näitä tietoturvallisuuden käsitteellisiä viitekehyksiä, standardeja ja parhaita käytänteitä jalkautetaan organisaatioon.