| Summary: | Johto- ja hallitustason kyberturvaraportoinnin tärkeys on kasvanut ja kasvaa
edelleen. Kyberturvahyökkäykset lisääntyvät ja kehittyvät, ja yleinen näkemys
on, etteivät johto ja hallitukset ole valmistautuneita rooliinsa organisaationsa
kyberturvallisuuden varmistamisessa. Haasteita kyberturvallisuuden tehokkaassa raportoinnissa johto- ja hallitustasolla on jo tunnistettu, mutta tällä hetkellä tarjotut ratkaisut, ja jo olemassa olevat viitekehykset ja mallit, eivät vastaa
kaikkien organisaatioiden tarpeisiin.
Tämä Pro Gradu -tutkielma tutkii johto- ja hallitustason kyberturvaraportointia, mukaan lukien sen historiaa, nykytilannetta, ongelmia, ja puollettuja
käytäntöjä. Tutkielman motivaatio on johdon ja hallituksen kyberturvaraportoinnin kasvava merkittävyys, ja realiteetti sen tason kyvyttömyydestä vastata
organisaatioiden tarpeisiin. Tutkielman tarkoitus on pyrkiä tarjoamaan ratkaisu,
joka mahdollistaa kyberturvallisuuden raportoinnin johdolle ja hallitukselle
tehokkaasti.
Tunnistettuja johto- ja hallitustason kyberturvaraportoinnin ongelmia ovat
muun muassa liian harvoin raportoiminen, aiheista raportoiminen, jotka eivät
tarjoa kohderyhmälle heidän tarjoamaa informaatiota, sekä epätehokkaasti
kommunikoiminen. Raportoidut aiheet keskittyvät usein liian tekniseen dataan,
ja metriikoihin, jotka eivät ole evidenssiperusteisia. Epätehokas kommunikointi
liittyy yleensä visuaalisuuden puutteeseen, tai sen vääränlaiseen käyttöön, sekä
liian teknisen kielen käyttöön kohderyhmään nähden. Tässä tutkielmassa tarkastellaan myös visualisuuden merkittävyyttä johto- ja hallitustason kyberturvaraportoinnin yleisen kehityksen lisäksi.
Tässä tutkielmassa esitetään malli, jonka avulla voidaan luoda tehokas raportointimetodi johdon ja hallituksen kyberturvaraportoinnille. Esitetty malli
tarjoaa uuden, iteratiivisen tavan toimivan raportointimetodin kehittämiseen, ja
sen pitämiseen ajan tasalla.
The importance of cyber security reporting on board and management level has
been and is still increasing constantly. Cyber security incidents are growing and
evolving, while the common view is that the boards and management are not
prepared for their role of ensuring cyber security in their organisations. There
are recognised challenges with organisations having issues in reporting about
cyber security to their boards and management efficiently. However, currently
offered solutions, and the already existing reporting frameworks and models
do not fit the needs of all organisations in this matter.
This Master’s thesis studies board and management level cyber security
reporting, including its history, current state, issues, and practices that are ad vocated for. The motivation for this study is the rising importance of board and
management level cyber security reporting, and the fact that the level of it does
not generally meet the needs of organisations. This research aims to offer a solu tion on how to report cyber security to boards and management effectively.
There are recognised issues with reporting too rarely, reporting about top ics that do not provide the boards and management with the information they
need, and communicating ineffectively. The topics reported are often too fo cused on overly technical data, and metrics that are not necessarily based on
evidence. The ineffective communication is commonly related to the lack of
visuality, or using it wrong, or using language that is too technical for the audi ence. In this research paper the significance of visuality is studied, in addition
to the general evolution of cyber security reporting on board and management
level.
This thesis presents a process model for creating an effective reporting
method for board and management level cyber security reporting. The model
offers a new, iterative way to form an operating reporting method, and to keep
it up to date.
|
|---|