Enhancing supply chain security through improved communication and awareness of cyber security requirements
Ladataan...
Kokoteksti luettavissa vain Tritonian asiakaskoneilla.
Pysyvä osoite
Kuvaus
Supply chain cyber security (SCCS) has emerged as a major challenge for organizations due to digital transformation, which has significantly increased reliance on partners and suppliers. This has further increased the interconnectivity between organizations and their IT systems, making it imperative for organizations to integrate cyber security requirements into contractual arrangements effectively and consistently. These contractual arrangements often need to be cascaded further into the organization’s supply chain to ensure compliance. As the number of internal and external dependencies grows, ensuring the effective capture and communication of cyber security requirements throughout the supply chain becomes progressively difficult.
Despite the increasing significance of managing cyber security requirements in the supply chain, the academic literature has largely focused on various other themes within SCCS, creating a considerable gap in the literature. Therefore, this thesis aimed to bridge the gap in the academic research by examining the views and challenges of capturing and communicating cyber security requirements through a case company. The research focused on exploring how the case company currently captures and communicates cyber security requirements in the supply chain. Additionally, the research examined challenges and gaps in the current processes. To answer to the research questions in this study, a qualitative case study was conducted where the empirical data was collected through interviewing 11 employees from 5 key groups who are most involved in managing cyber security requirements in the case organization’s supply chain. The collected empirical data was analyzed through thematic analysis.
The findings of this study suggest that the case company recognizes the importance of effectively capturing and communicating cyber security requirements in its supply chain and has made efforts to enhance this process. Furthermore, it was discovered that the case company faces challenges that are consistent with those acknowledged in the academic literature as well as novel challenges not yet addressed in the relevant literature. The examined challenges and gaps stem primarily from communication gaps, organizational silos, competence gaps, and issues concerning trust and visibility.
This research contributes to the SCCS research by providing novel, in-depth perspectives on managing cyber security requirements through a case company. The main contribution of this thesis is therefore to elucidate the critical role of organizational processes in diminishing the effective communication of cyber security requirements. Consequently, future research should focus on generalizing the findings of this study to determine if the observed challenges are industry-wide phenomena.
Digitaalisen transformaation myötä toimitusketjujen kyberturvallisuus on noussut merkittäväksi haasteeksi organisaatioille, sillä se on huomattavasti lisännyt riippuvuutta kumppaneista ja toimittajista. Tämä on edelleen lisännyt organisaatioiden ja niiden IT-järjestelmien keskinäistä kytkeytyneisyyttä, mikä korostaa kyberturvallisuusvaatimusten tehokkaan ja johdonmukaisen integroinnin merkitystä organisaatioiden välisissä sopimuksissa. Sopimusten kyberturvallisuusvaatimukset ulottuvat usein syvemmälle toimittavan osapuolen toimitusketjuun. Jotta vaatimustenmukaisuus voidaan varmistaa, nämä vaatimukset on toimitettava eteenpäin toimitusketjussa. Tässä prosessissa sisäisten ja ulkoisten muuttujien määrä kasvaa, ja samalla kyberturvallisuusvaatimusten tehokas tunnistaminen ja viestiminen koko toimitusketjun läpi muuttuu yhä haastavammaksi.
Vaikka kyberturvallisuusvaatimusten hallinnan merkitys toimitusketjuissa on kasvanut, akateeminen kirjallisuus on keskittynyt pääosin muihin toimitusketjun kyberturvallisuutta tutkiviin osa-alueisiin, jättäen merkittävän tutkimusaukon. Tästä syystä tämän tutkimuksen tavoitteena oli kaventaa tätä aukkoa tarkastelemalla kyberturvallisuusvaatimusten tunnistamista ja viestintää case-yrityksen kautta. Tutkimus keskittyi selvittämään, kuinka case-yritys tällä hetkellä tunnistaa ja kommunikoi kyberturvallisuusvaatimuksia toimitusketjussaan sekä millaisia haasteita ja puutteita nykyisiin prosesseihin liittyy. Tutkimuksen tutkimuskysymyksiin vastattiin kvalitatiivisen tapaustutkimuksen avulla, jossa aineisto kerättiin haastattelemalla 11 case-yrityksen työntekijää viidestä ryhmästä, jotka ovat keskeisesti mukana kyberturvallisuusvaatimusten hallinnassa ja kommunikoinnissa. Kerätty aineisto analysoitiin temaattisen analyysin avulla.
Tutkimuksen tulokset osoittavat, että case-yritys tunnistaa kyberturvallisuusvaatimusten tehokkaan tunnistamisen ja viestinnän merkityksen toimitusketjussaan ja on pyrkinyt kehittämään näitä prosesseja. Lisäksi havaittiin, että case-yritys kohtaa haasteita, jotka ovat yhteneväisiä akateemisessa kirjallisuudessa tunnistettujen ongelmien kanssa. Tutkimuksessa havaittiin kuitenkin myös uusia haasteita, joita ei ole aiemmin käsitelty kirjallisuudessa. Havaitut haasteet ja puutteet liittyvät ensisijaisesti katkoksiin kommunikaatiossa, organisatorisiin siiloihin, luottamukseen sekä osaamisen ja näkyvyyden puutteeseen.
Tämä tutkimus täydentää toimitusketjun kyberturvallisuuden tutkimusta tarjoamalla uutta ja syvällistä näkökulmaa kyberturvallisuusvaatimusten hallintaan case-yrityksen kontekstissa. Tutkimuksen keskeinen kontribuutio on tuoda esiin organisatoristen prosessien kriittinen rooli tekijänä, joka voi heikentää kyberturvallisuusvaatimusten tehokasta viestintää. Tulevissa tutkimuksissa tulisi keskittyä tämän tutkimuksen havaintojen yleistettävyyteen ja selvittää, ovatko tunnistetut ilmiöt havaittavissa myös muissa organisaatioissa ja muilla toimialoilla.