Väitöstiedotteet - Tampereen teknillinen yliopisto

Tieto- ja kyberturvariskit hallintaan osallistavalla tietoturvapolitiikan rakentamisella

Ei riitä, että yrityksellä on tietoturvapolitiikka, jos se jää vain paperille. Tieto- ja kyberturvariskit saadaan hallintaan, kun käytännöistä sovitaan yhdessä ja tietoturvapolitiikasta tulee yrityksen näköinen, selviää Elina Niemimaan väitöskirjassa.

Tietovuotojen, haittaohjelmien, inhimillisten erehdysten sekä muiden kyber- ja tietoturvariskien merkitys yrityksille kasvaa kaiken aikaa. Tutkijat ovat jo pitkään korostaneet tietoturvapolitiikan tärkeyttä näiden riskien hallinnassa. Yrityksissä tietoturvapolitiikka jää kuitenkin edelleen usein kuolleeksi kirjaimeksi ja sen hyöty riskien hallinnalle vähäiseksi.

– Tutkimusten mukaan yritysten tietoturvapolitiikan linjaukset tulevat harvoin käytännön tasolle. Yrityksen johto voi kokea politiikan yrityksen ketterää toimintaa ja työntekijät omaa työtään hankaloittavaksi, Tampereen teknillisestä yliopistosta väittelevä Elina Niemimaa toteaa.

Niemimaan tutkimuksen mukaan tavalla, jolla tietoturvapolitiikka muodostetaan, on suuri merkitys sille, tulevatko sen linjaukset osaksi yrityksen arkea vai jäävätkö ne toteuttamatta. Yritysten tulisikin tiedostaa politiikan muodostuksen mahdollisuudet, jotta ne voivat panostaa politiikan muodostukseen asianmukaisesti.

– Kun politiikan muodostaminen on osallistavaa, politiikan legitimiteettiä rakentavaa ja tietoturvan parhaiden käytäntöjen tukemaa, politiikasta muodostuu yrityksen näköinen. Onnistunut tietoturvapolitiikka muokkaa tietoturvan yleisesti hyväksytyt parhaat käytännöt organisaation toimintatapoihin sopiviksi ja organisaation olemassa olevat käytännöt tietoturvallisempaan suuntaan jo politiikan teon aikana. Tietoturvapolitiikkaan suhtaudutaan hyväksyvämmin, siihen ollaan sitoutuneempia ja sitä halutaan toteuttaa omassa työssä, Niemimaa sanoo.

Edelleenkään monessa yrityksessä johto, sidosryhmät ja työntekijät eivät osallistu tietoturvapolitiikan rakentamiseen.

– Jotkut yritykset jopa kopioivat tietoturvapolitiikkansa internetistä. Kuinka moni yritys kopioisi yritysstrategiansa internetistä? Tietoturvapolitiikan kopioiminen voi täyttää viranomais- tai asiakasvaatimukset, mutta johtaa helposti siihen, että politiikka jää toteuttamatta, Niemimaa sanoo.

Väitöstilaisuus lauantaina 18.11.2017

MSc. Elina Niemimaan tietojohtamisen alaan kuuluva väitöskirja Crafting Organizational Information Security Policies (Organisaatioiden tietoturvapolitiikkojen muodostamisesta) tarkastetaan julkisesti Tampereen teknillisen yliopiston (TTY) talouden ja rakentamisen tiedekunnassa lauantaina 18.11.2017 kello 12.00 alkaen Festian pienessä salissa (Korkeakoulunkatu 8, Tampere). Vastaväittäjänä toimii professori Pia Hurmelinna-Laukkanen Oulun yliopistosta. Tilaisuutta valvoo professori Nina Helander TTY:n tuotantotalouden ja tietojohtamisen laboratoriosta.

Elina Niemimaa (33) toimii tällä hetkellä johtavana konsulttina tietoturvayritys Secrays Oy:ssa.

Väitöskirjaan voi tutustua osoitteessa http://urn.fi/URN:ISBN:978-952-15-4053-0

Lisätietoja: Elina Niemimaa, puh. 040 687 0791,

Uutisen jättäjä: Sanna Kähkönen
Asiasanat: tiede ja tutkimus, tuotantotalous ja tietojohtaminen