YRITYKSEN TIETOJÄRJESTELMIEN RISKIANALYYSI
Orrenmaa, Mikko (2012)
Kuvaus
Opinnäytetyö kokotekstinä PDF-muodossa.
Tiivistelmä
Tämän työn tavoitteena on havainnoida ja analysoida erään yrityksen sisäisistä IT-palveluista vastaavan osaston toimintaa ja selvittää millaisia riskejä on olemassa liittyen osaston henkilökuntaan ja osaston ylläpitämiin tietojärjestelmiin. Työssä keskitytään kolmeen riskejä sisältävään osaan: henkilöstöturvallisuuteen, laitteistoturvallisuuteen ja ohjelmistoturvallisuuteen.
Työssä määritellään aluksi riskit joita halutaan tutkia. Määrittelyn jälkeen tutkitaan millaisia riskejä löytyy henkilöstön ja tietojärjestelmien toiminnassa, miten riskit ilmenevät, miten todennäköistä riskien toteutuminen on ja miten vakavia riskit ovat. Työn lopussa on tarkoitus keskittyä riskien esiintymistiheyteen, niiden vakavuuksien analysointiin ja korjaustoimenpiteisiin. Analysoimalla henkilöstön ja tietojärjestelmien toiminnassa ilmenneitä riskejä pyritään luomaan tietoa osaston toiminnan ja tietojärjestelmien suunnittelun, -käyttöönoton, -operoinnin, -käytöstäpoiston ja -toiminnan kehittämisen tueksi esittämällä toiminnassa ilmenneet ongelmat ja niiden vakavuudet.
Tutkimus osoittaa, että ilman säännöllistä arviointia tietoturvan ja riskienhallinnan huomiointi unohtuu helposti, jolloin riskien määrä ja vakavuus kasvavat. Tutkimuksen pohjalta laaditaan ohjeistus tulevaisuudessa tehtävälle järjestelmän riskianalyysille. Tutkimuksessa havaittiin, että järjestelmien ylläpitäjillä on hyvin tiedossa suuri osa järjestelmien riskeistä, mutta niiden korjaamisen vaativan suuren työpanoksen vuoksi kaikkia korjauksia ei ole ehditty toteuttamaan. Tutkimus myös osoittaa, että järjestelmien riskianalyysiin tulisi varata säännöllisesti aikaa jolloin riskienhallinta pysyisi ajan tasalla.
Työssä määritellään aluksi riskit joita halutaan tutkia. Määrittelyn jälkeen tutkitaan millaisia riskejä löytyy henkilöstön ja tietojärjestelmien toiminnassa, miten riskit ilmenevät, miten todennäköistä riskien toteutuminen on ja miten vakavia riskit ovat. Työn lopussa on tarkoitus keskittyä riskien esiintymistiheyteen, niiden vakavuuksien analysointiin ja korjaustoimenpiteisiin. Analysoimalla henkilöstön ja tietojärjestelmien toiminnassa ilmenneitä riskejä pyritään luomaan tietoa osaston toiminnan ja tietojärjestelmien suunnittelun, -käyttöönoton, -operoinnin, -käytöstäpoiston ja -toiminnan kehittämisen tueksi esittämällä toiminnassa ilmenneet ongelmat ja niiden vakavuudet.
Tutkimus osoittaa, että ilman säännöllistä arviointia tietoturvan ja riskienhallinnan huomiointi unohtuu helposti, jolloin riskien määrä ja vakavuus kasvavat. Tutkimuksen pohjalta laaditaan ohjeistus tulevaisuudessa tehtävälle järjestelmän riskianalyysille. Tutkimuksessa havaittiin, että järjestelmien ylläpitäjillä on hyvin tiedossa suuri osa järjestelmien riskeistä, mutta niiden korjaamisen vaativan suuren työpanoksen vuoksi kaikkia korjauksia ei ole ehditty toteuttamaan. Tutkimus myös osoittaa, että järjestelmien riskianalyysiin tulisi varata säännöllisesti aikaa jolloin riskienhallinta pysyisi ajan tasalla.