An Information Security Extension to common Project Management Frameworks
Kossila, Johannes (2017-03-14)
An Information Security Extension to common Project Management Frameworks
Kossila, Johannes
(14.03.2017)
Tätä artikkelia/julkaisua ei ole tallennettu UTUPubiin. Julkaisun tiedoissa voi kuitenkin olla linkki toisaalle tallennettuun artikkeliin / julkaisuun.
Turun yliopisto
Kuvaus
Siirretty Doriasta
Tiivistelmä
IT-organisaatiot ovat jo vuosikymmenien ajan pilkkoneet suuria työmääriä pienemmiksi ja helpommin hallittaviksi projekteiksi saavuttaakseen kilpailullisia etuja ja parantaakseen sisäistä tehokkuutta. Projektien onnistumistodennäköisyyden parantamiseksi on kehitetty useita laajasti käytössä olevia projektihallintamalleja. Vaikka näiden mallien kehittämiseen on käytetty paljon aikaa ja resursseja, yksikään nykyisistä malleista ei huomioi IT-projektihallintaan liittyviä tietoturvatehtäviä tai riskejä. Tämän vuoksi projektien aikana käsitelty tieto on altis yleisille tietoturvauhille.
Tämä diplomityö tutkii tietoturvan sisällyttämistä osaksi projektihallintaa. Työssä esitellään tietoturvakontrollit, joiden avulla pystytään turvaamaan koko projektin elinkaari ja lopputuote. Näiden tietoturvakontrollien pohjalta luodaan tietoturvalaajennus, jota voidaan soveltaa yleisimpiin projektihallinnan malleihin. Tietoturvalaajennusta pystytään käyttämään sellaisenaan, tai sitä pystytään mukauttamaan organisaatioiden nykyisiin projektihallintamalleihin parantaakseen niiden jo olemassa olevia tietoturvaprosesseja. Näistä kahdesta lähestymistavasta jälkimmäinen on suositeltavampi vaihtoehto, sillä se vähentää päällekkäisiä tehtäviä, selkeyttää projektihallinnan vastuita, ja integroi tietoturvan nykyiseen projektihallintamalliin.
Tämän diplomityön löydökset tuovat merkittävää lisätietoa edellisiin projektihallintatutkimuksiin, sillä tietoturvan roolia projektihallinnassa ei ole ennen tutkittu kattavasti. Sen vuoksi tämä työ esittelee uuden mallin, jota voidaan käyttää tulevien projektihallintatutkimusten perustana.
Diplomityö luo ensin tieteellisen pohjan aiheelle esitellen edeltävät työn kannalta oleelliset tutkimustulokset. Tämän jälkeen se luo näiden tutkimustulosten pohjalta tietoturvalaajennuksen ja esittelee sen periaatteet. Lopulta tietoturvalaajennus sovelletaan olemassa olevaan projektihallintamalliin käyttäen kahta eri lähestymistapaa, joita voidaan soveltaa kaikkiin olemassa oleviin projektihallintamalleihin. IT organizations have been dividing large workloads into smaller and easy to manage projects for decades in order to achieve competitive advantages and internal efficiency. Several widely accepted project management frameworks have been adapted to further improve the success rate of project delivery. Although significant amount of time and resources have been used to create these project management frameworks, none of them address information security issues or tasks related to IT project delivery. This makes information processed during the project more prone to common security threats.
This thesis studies implementing information security practices into project management processes. It introduces information security controls into common project management frameworks in order to secure whole project lifecycle and the project deliverable. The thesis presents an information security extension which consists of a security management stream containing several security tasks necessary for securing the delivery of the project. The extension can be applied as such or it can be merged into the organization’s current project management framework to enhance the existing security processes. From these approaches, the second one is more preferable as it reduces the amount of overlapping tasks, clarifies responsibilities between management streams, and integrates security into the existing framework.
The results of this thesis contribute to the previous project management studies significantly as there have not been many previous studies about implementing security into project management processes. Therefore this thesis provides a novel model to be used as basis for future secure project management research.
First the thesis lays out the foundations for the topic and introduces previous relevant studies from project management and information security. Then it creates and introduces the security management extension, and explains its implementation methods. Finally, the extension is implemented into an external project management framework by suggesting two separate approaches that can be extended for all project management frameworks.
Tämä diplomityö tutkii tietoturvan sisällyttämistä osaksi projektihallintaa. Työssä esitellään tietoturvakontrollit, joiden avulla pystytään turvaamaan koko projektin elinkaari ja lopputuote. Näiden tietoturvakontrollien pohjalta luodaan tietoturvalaajennus, jota voidaan soveltaa yleisimpiin projektihallinnan malleihin. Tietoturvalaajennusta pystytään käyttämään sellaisenaan, tai sitä pystytään mukauttamaan organisaatioiden nykyisiin projektihallintamalleihin parantaakseen niiden jo olemassa olevia tietoturvaprosesseja. Näistä kahdesta lähestymistavasta jälkimmäinen on suositeltavampi vaihtoehto, sillä se vähentää päällekkäisiä tehtäviä, selkeyttää projektihallinnan vastuita, ja integroi tietoturvan nykyiseen projektihallintamalliin.
Tämän diplomityön löydökset tuovat merkittävää lisätietoa edellisiin projektihallintatutkimuksiin, sillä tietoturvan roolia projektihallinnassa ei ole ennen tutkittu kattavasti. Sen vuoksi tämä työ esittelee uuden mallin, jota voidaan käyttää tulevien projektihallintatutkimusten perustana.
Diplomityö luo ensin tieteellisen pohjan aiheelle esitellen edeltävät työn kannalta oleelliset tutkimustulokset. Tämän jälkeen se luo näiden tutkimustulosten pohjalta tietoturvalaajennuksen ja esittelee sen periaatteet. Lopulta tietoturvalaajennus sovelletaan olemassa olevaan projektihallintamalliin käyttäen kahta eri lähestymistapaa, joita voidaan soveltaa kaikkiin olemassa oleviin projektihallintamalleihin.
This thesis studies implementing information security practices into project management processes. It introduces information security controls into common project management frameworks in order to secure whole project lifecycle and the project deliverable. The thesis presents an information security extension which consists of a security management stream containing several security tasks necessary for securing the delivery of the project. The extension can be applied as such or it can be merged into the organization’s current project management framework to enhance the existing security processes. From these approaches, the second one is more preferable as it reduces the amount of overlapping tasks, clarifies responsibilities between management streams, and integrates security into the existing framework.
The results of this thesis contribute to the previous project management studies significantly as there have not been many previous studies about implementing security into project management processes. Therefore this thesis provides a novel model to be used as basis for future secure project management research.
First the thesis lays out the foundations for the topic and introduces previous relevant studies from project management and information security. Then it creates and introduces the security management extension, and explains its implementation methods. Finally, the extension is implemented into an external project management framework by suggesting two separate approaches that can be extended for all project management frameworks.