| Yhteenveto: | Tietoturvariskienhallinta on kokonaisvaltaista toimintaa, jossa pyritään ottamaan huomioon sekä inhimilliset että tekniset tekijät tavoiteltaessa mahdollisimman tehokkaita ja matalariskisiä prosesseja organisaation toiminnoissa. Tietoturvariskienhallintaa ovat ohjanneet tyypillisesti erilaiset ohjeistukset ja riskienhallintatyökalut, kuten ISO/IEC 27001 ja ISO/IEC 27005. Riskienhallintaan liittyvät
ohjeistukset sisältävät lukuisia vaatimuksia siitä, mitkä asiat tulee huomioida riskienhallinnassa, mutta itse riskienhallinnan toteutuksesta ei anneta tarkkoja ohjeita. Yhtenä mahdollisena riskienarvioinnin ja seurannan välineenä voidaan
mahdollisesti hyödyntää riski-indikaattoreita. Tutkimus toteutettiin toimeksiantona ja sen tarkoituksena oli analysoida tilaajaorganisaation aiempia projekteja ja
löytää niistä realisoituneisiin tietoturvariskeihin viittaavia indikaattoreita. Tutkimuksessa pyrittiin luomaan indikaattoreita aiempien tutkimusten määrittämien
indikaattorien luontiprosessien avulla ja analysoimalla aiemmissa projekteissa
realisoituneita tietoturvariskejä. Tavoitteena oli tarjota tilaajaorganisaatiolle
uutta tietoa ja mahdollisia apukeinoja tietoturvariskien hallintaan tulevissa projekteissa. Tutkimus toteutettiin laadullisena tapaustutkimuksena, jossa pääasiallinen tiedonkeräystapa oli laadullinen puolistrukturoitu haastattelu. Tutkimuksen tulokset osoittivat, että usein realisoituneen tietoturvariskin takana oli inhimilliset syyt, kuten huolimattomuusvirheet, puutteellinen osaaminen ja unohdukset.
|
|---|