| description |
We live in a world where romance scammers exploit innocent people for financial gain, sensitive health information is sold on the dark web, and cyberattacks can disrupt access to bank accounts. Today, the digital dimension is an integral part of our lives. Daily tasks are connected to the internet in one way or another. In almost all cyberattacks, human behavior plays a crucial role. The human factor is undoubtedly one of the most critical aspects that organizations must consider in security management. Society depends on internet-based services supported by the operations of companies and public sector organizations. One essential function is the implementation of social security, in which Kela, as an independent public institution, plays a significant role. Kela applies the internationally recognized ISO/IEC 27001 standard for managing information security. The standard sets requirements for information security awareness. To meet the requirements, Kela aims to design and implement an information security awareness program. This work has begun within Kela’s Information Security Unit, which has started to identify program requirements based on standards, frameworks, legislation, regulations, and the expectations of internal and external stakeholders. This effort is documented in this Master’s thesis, which uses a case study research strategy, employing interviews and document analysis as the primary methods. The research methods are supported by the literature review based on existing studies. Data sources include Kela’s public documentation, experts from Kela, relevant legislation, and international standards and frameworks. The thesis resulted in a set of requirements to be used as the foundation for designing Kela’s awareness program. Key findings emphasized requirements related to management support, resourcing, planning, content, implementation, and continuous improvement. The findings highlighted the importance of aligning the awareness program with the organizational strategy, ensuring sufficient time allocation, incorporating risk assessment in the planning phase, and employing diverse communication strategies.
Elämme maailmassa, jossa romanssihuijarit kalastelevat rahaa viattomilta ihmisiltä, terveystietoja kaupitellaan internetin pimeällä puolella ja kyberhyökkäys voi estää pääsyn pankkitilille jopa tunneiksi. Tänä päivänä myös digitaalinen ulottuvuus on jatkuvasti läsnä elämässämme. Arkiset askareet kytkeytyvät internetiin tavalla tai toisella. Lähes kaikissa tietoverkkohyökkäyksissä avainasemassa on ihmisen toiminta. Suunnitelmallinen hyökkäys alkaa usein täysin tavalliselta vaikuttavalla sähköpostiviestillä tai puhelinsoitolla. Tietoturvallisuudessa inhimillinen näkökulma on kiistatta yksi keskeisimmistä näkökulmista, joka kaikkien organisaatioiden on otettava tietoturvallisuuden hallinnassa huomioon. Yhteiskuntamme ei toimi ilman internetin varaan rakennettuja palveluita, jotka riippuvat yritysten tai julkishallinnon organisaatioiden toiminnasta. Eräs yhteiskunnan elintärkeistä toiminnoista on sosiaaliturvan toteutuminen, jossa Kelalla on itsenäisenä julkisoikeudellisena laitoksena keskeinen roolinsa. Kelassa tietoturvallisuus otetaan vakavasti ja sen hallintaan sovelletaankin kansainvälisesti tunnettua ISO/IEC 27001 -standardia. Standardi edellyttää sen mukaisesti toimivilta organisaatioilta henkilöstön tietoturvatietoisuudesta huolehtimista. Tätä varten Kelassa on tavoitteena suunnitella ja toteuttaa koko organisaan kattava tietoturvatietoisuusohjelma. Työ on aloitettu tietoturvayksiköstä, jonka tietoisuusohjelmaa koskevia standardeihin, viitekehyksiin, lainsäädäntöön, määräyksiin, sisäisiin ja sidosryhmien odotuksiin perustuvia vaatimuksia on lähdetty selvittämään tämän pro gradu -tutkielman muodossa. Tutkielman tutkimusstrategiana on käytetty tapaustukimusta, jossa keskeisinä menetelminä toimivat haastattelut sekä dokumenttianalyysi. Tutkimusmenetelmissä on hyödynnetty laajaa tutkimustietoon nojaavaa teoreettista viitekehystä. Tutkimustyön aineistona toimivat sen lisäksi Kelan laatima julkinen dokumentaatio, tietoturvayksikön asiantuntijat sekä sidosryhmät, Kelaa koskeva lainsäädäntö sekä kansainväliset standardit ja viitekehykset. Tutkielman tuloksena muodostettiin aineiston pohjalta vaatimuskehikko, jota Kelassa on tarkoitus käyttää perustana tietoturvatietoisuusohjelman suunnittelussa. Tutkielman keskeisiä havaintoja olivat johdon tukeen, ohjelman resursointiin, suunnitteluun, sisältöön, toteutukseen sekä jatkuvaan parantamiseen liittyvät vaatimukset. Vaatimuksissa korostuivat tietoisuusohjelman kytkeminen organisaation strategiaan, riittävän ajankäytön mahdollistaminen, riskienarvioinnin merkitys suunnittelussa sekä monipuolisen viestinnän toteuttaminen.
|
| fullrecord |
[{"key": "dc.contributor.advisor", "value": "Frantti, Tapio", "language": null, "element": "contributor", "qualifier": "advisor", "schema": "dc"}, {"key": "dc.contributor.author", "value": "Vento, Eero", "language": null, "element": "contributor", "qualifier": "author", "schema": "dc"}, {"key": "dc.date.accessioned", "value": "2024-12-02T09:01:14Z", "language": null, "element": "date", "qualifier": "accessioned", "schema": "dc"}, {"key": "dc.date.available", "value": "2024-12-02T09:01:14Z", "language": null, "element": "date", "qualifier": "available", "schema": "dc"}, {"key": "dc.date.issued", "value": "2024", "language": null, "element": "date", "qualifier": "issued", "schema": "dc"}, {"key": "dc.identifier.uri", "value": "https://jyx.jyu.fi/handle/123456789/98754", "language": null, "element": "identifier", "qualifier": "uri", "schema": "dc"}, {"key": "dc.description.abstract", "value": "We live in a world where romance scammers exploit innocent people for financial gain, sensitive health information is sold on the dark web, and cyberattacks can disrupt access to bank accounts. Today, the digital dimension is an integral part of our lives. Daily tasks are connected to the internet in one way or another. In almost all cyberattacks, human behavior plays a crucial role. The human factor is undoubtedly one of the most critical aspects that organizations must consider in security management. Society depends on internet-based services supported by the operations of companies and public sector organizations. One essential function is the implementation of social security, in which Kela, as an independent public institution, plays a significant role. Kela applies the internationally recognized ISO/IEC 27001 standard for managing information security. The standard sets requirements for information security awareness. To meet the requirements, Kela aims to design and implement an information security awareness program. This work has begun within Kela\u2019s Information Security Unit, which has started to identify program requirements based on standards, frameworks, legislation, regulations, and the expectations of internal and external stakeholders. This effort is documented in this Master\u2019s thesis, which uses a case study research strategy, employing interviews and document analysis as the primary methods. The research methods are supported by the literature review based on existing studies. Data sources include Kela\u2019s public documentation, experts from Kela, relevant legislation, and international standards and frameworks. The thesis resulted in a set of requirements to be used as the foundation for designing Kela\u2019s awareness program. Key findings emphasized requirements related to management support, resourcing, planning, content, implementation, and continuous improvement. The findings highlighted the importance of aligning the awareness program with the organizational strategy, ensuring sufficient time allocation, incorporating risk assessment in the planning phase, and employing diverse communication strategies.", "language": "en", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.abstract", "value": "El\u00e4mme maailmassa, jossa romanssihuijarit kalastelevat rahaa viattomilta ihmisilt\u00e4, terveystietoja kaupitellaan internetin pime\u00e4ll\u00e4 puolella ja kyberhy\u00f6kk\u00e4ys voi est\u00e4\u00e4 p\u00e4\u00e4syn pankkitilille jopa tunneiksi. T\u00e4n\u00e4 p\u00e4iv\u00e4n\u00e4 my\u00f6s digitaalinen ulottuvuus on jatkuvasti l\u00e4sn\u00e4 el\u00e4m\u00e4ss\u00e4mme. Arkiset askareet kytkeytyv\u00e4t internetiin tavalla tai toisella. L\u00e4hes kaikissa tietoverkkohy\u00f6kk\u00e4yksiss\u00e4 avainasemassa on ihmisen toiminta. Suunnitelmallinen hy\u00f6kk\u00e4ys alkaa usein t\u00e4ysin tavalliselta vaikuttavalla s\u00e4hk\u00f6postiviestill\u00e4 tai puhelinsoitolla. Tietoturvallisuudessa inhimillinen n\u00e4k\u00f6kulma on kiistatta yksi keskeisimmist\u00e4 n\u00e4k\u00f6kulmista, joka kaikkien organisaatioiden on otettava tietoturvallisuuden hallinnassa huomioon. Yhteiskuntamme ei toimi ilman internetin varaan rakennettuja palveluita, jotka riippuvat yritysten tai julkishallinnon organisaatioiden toiminnasta. Er\u00e4s yhteiskunnan elint\u00e4rkeist\u00e4 toiminnoista on sosiaaliturvan toteutuminen, jossa Kelalla on itsen\u00e4isen\u00e4 julkisoikeudellisena laitoksena keskeinen roolinsa. Kelassa tietoturvallisuus otetaan vakavasti ja sen hallintaan sovelletaankin kansainv\u00e4lisesti tunnettua ISO/IEC 27001 -standardia. Standardi edellytt\u00e4\u00e4 sen mukaisesti toimivilta organisaatioilta henkil\u00f6st\u00f6n tietoturvatietoisuudesta huolehtimista. T\u00e4t\u00e4 varten Kelassa on tavoitteena suunnitella ja toteuttaa koko organisaan kattava tietoturvatietoisuusohjelma. Ty\u00f6 on aloitettu tietoturvayksik\u00f6st\u00e4, jonka tietoisuusohjelmaa koskevia standardeihin, viitekehyksiin, lains\u00e4\u00e4d\u00e4nt\u00f6\u00f6n, m\u00e4\u00e4r\u00e4yksiin, sis\u00e4isiin ja sidosryhmien odotuksiin perustuvia vaatimuksia on l\u00e4hdetty selvitt\u00e4m\u00e4\u00e4n t\u00e4m\u00e4n pro gradu -tutkielman muodossa. Tutkielman tutkimusstrategiana on k\u00e4ytetty tapaustukimusta, jossa keskeisin\u00e4 menetelmin\u00e4 toimivat haastattelut sek\u00e4 dokumenttianalyysi. Tutkimusmenetelmiss\u00e4 on hy\u00f6dynnetty laajaa tutkimustietoon nojaavaa teoreettista viitekehyst\u00e4. Tutkimusty\u00f6n aineistona toimivat sen lis\u00e4ksi Kelan laatima julkinen dokumentaatio, tietoturvayksik\u00f6n asiantuntijat sek\u00e4 sidosryhm\u00e4t, Kelaa koskeva lains\u00e4\u00e4d\u00e4nt\u00f6 sek\u00e4 kansainv\u00e4liset standardit ja viitekehykset. Tutkielman tuloksena muodostettiin aineiston pohjalta vaatimuskehikko, jota Kelassa on tarkoitus k\u00e4ytt\u00e4\u00e4 perustana tietoturvatietoisuusohjelman suunnittelussa. Tutkielman keskeisi\u00e4 havaintoja olivat johdon tukeen, ohjelman resursointiin, suunnitteluun, sis\u00e4lt\u00f6\u00f6n, toteutukseen sek\u00e4 jatkuvaan parantamiseen liittyv\u00e4t vaatimukset. Vaatimuksissa korostuivat tietoisuusohjelman kytkeminen organisaation strategiaan, riitt\u00e4v\u00e4n ajank\u00e4yt\u00f6n mahdollistaminen, riskienarvioinnin merkitys suunnittelussa sek\u00e4 monipuolisen viestinn\u00e4n toteuttaminen.", "language": "fi", "element": "description", "qualifier": "abstract", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Submitted by jyx lomake-julkaisija (jyx-julkaisija.group@korppi.jyu.fi) on 2024-12-02T09:01:14Z\nNo. of bitstreams: 0", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.description.provenance", "value": "Made available in DSpace on 2024-12-02T09:01:14Z (GMT). No. of bitstreams: 0", "language": "en", "element": "description", "qualifier": "provenance", "schema": "dc"}, {"key": "dc.format.extent", "value": "64", "language": null, "element": "format", "qualifier": "extent", "schema": "dc"}, {"key": "dc.format.mimetype", "value": "application/pdf", "language": null, "element": "format", "qualifier": "mimetype", "schema": "dc"}, {"key": "dc.language.iso", "value": "fin", "language": null, "element": "language", "qualifier": "iso", "schema": "dc"}, {"key": "dc.rights", "value": "In Copyright", "language": "en", "element": "rights", "qualifier": null, "schema": "dc"}, {"key": "dc.title", "value": "Tietoturvatietoisuusohjelman vaatimukset Kelan tietoturvayksik\u00f6ss\u00e4", "language": null, "element": "title", "qualifier": null, "schema": "dc"}, {"key": "dc.type", "value": "master thesis", "language": null, "element": "type", "qualifier": null, "schema": "dc"}, {"key": "dc.identifier.urn", "value": "URN:NBN:fi:jyu-202412027575", "language": null, "element": "identifier", "qualifier": "urn", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Informaatioteknologian tiedekunta", "language": "fi", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.faculty", "value": "Faculty of Information Technology", "language": "en", "element": "contributor", "qualifier": "faculty", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "University of Jyv\u00e4skyl\u00e4", "language": "en", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.contributor.organization", "value": "Jyv\u00e4skyl\u00e4n yliopisto", "language": "fi", "element": "contributor", "qualifier": "organization", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Kyberturvallisuuden opintosuunta", "language": "fi", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "dc.subject.discipline", "value": "Cyber security", "language": "en", "element": "subject", "qualifier": "discipline", "schema": "dc"}, {"key": "dc.type.coar", "value": "http://purl.org/coar/resource_type/c_bdcc", "language": null, "element": "type", "qualifier": "coar", "schema": "dc"}, {"key": "dc.rights.copyright", "value": "\u00a9 The Author(s)", "language": null, "element": "rights", "qualifier": "copyright", "schema": "dc"}, {"key": "dc.rights.accesslevel", "value": "openAccess", "language": null, "element": "rights", "qualifier": "accesslevel", "schema": "dc"}, {"key": "dc.type.publication", "value": "masterThesis", "language": null, "element": "type", "qualifier": "publication", "schema": "dc"}, {"key": "dc.format.content", "value": "fulltext", "language": null, "element": "format", "qualifier": "content", "schema": "dc"}, {"key": "dc.rights.url", "value": "https://rightsstatements.org/page/InC/1.0/", "language": null, "element": "rights", "qualifier": "url", "schema": "dc"}]
|