Pieces of a puzzle : Exploring information security services
Kulta, Lotta (2018-04-12)
Pieces of a puzzle : Exploring information security services
(12.04.2018)
Turun yliopisto. Turun kauppakorkeakoulu
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe201804126520
https://urn.fi/URN:NBN:fi-fe201804126520
Tiivistelmä
Digitalization is changing the society and its operations from consumers to organizations: the world is becoming connected 24/7. This sets increasing demands on organizations as new threats against information security are continuously arising. Companies need to ensure that they are protecting their information assets against information security threats. Digiwars programme aims at strengthening the digital services market and ensuring a reliable operating environment in Finland. As part of the programme, this thesis aims at exploring what information security (later infosec) services are, how the services can be categorized and what type of services are utilized in companies operating in Finland.
To answer the aforementioned research questions, this study combines a systematic literature review (SLR) on infosec services and a survey that investigates the use of these services. Furthermore, based on the infosec services identified in the SLR, an infosec service categorization (ISSeCa) was built. ISSeCa offers a structured manner to understanding the infosec service concept and its complexity. Based on the results of the research, the definition of a security service lacks cohesion as the range of infosec services is wide; additionally, there are multiple perspectives on the services from which a technical perspective was pronounced in the results. In addition, to some extent, academia is still describing infosec services by characteristics typically seen as the components of information security itself. Furthermore, although the results of the survey cannot be generalized to a larger population due to low response rate, the results provide insights on the outlook of organizations towards infosec services by suggesting that companies utilize a balanced set of infosec services from different infosec categories and regard these services as important.
Based on the findings of the research it can be stated, that the infosec service concept lacks coherence; additionally, a consensus on the definition of an infosec service is yet to be achieved. The ISSeCa categorization, consequently, offers a fertile ground for further research regarding infosec services. Furthermore, based on the findings of the research it can be stated, that organizations should adopt a holistic approach in building their information security service palette, where different services are fitted tightly together like the pieces of a puzzle. This puzzle, however, is not built static but needs to be altered based on emerging organizational needs and new arising threats. Digitalisaatio vaikuttaa yhteiskuntaan ja sen toimintaan aina kuluttajista organisaatioihin maailman muuttuessa verkottuneeksi. Tämä luo haasteita organisaatioille uusien tietoturvauhkien myötä. Yritysten onkin tärkeää varmistaa tieto-omaisuutensa turvaaminen näitä uhkia vastaan. Tämä pro gradu -työ on toteutettu osana Digiwars-hanketta, joka pyrkii vahvistamaan digitaalisten palveluiden markkinoita ja takaamaan luotettavan toimintaympäristön Suomessa. Työ pyrkii selvittämään, mitä tietoturvapalvelut ovat, miten kyseisiä palveluita voidaan kategorisoida, ja millaisia palveluita hyödynnetään Suomessa toimivissa yrityksissä.
Vastatakseen yllä mainittuihin tutkimuskysymyksiin työ yhdistää systemaattisen kirjallisuuskatsauksen tietoturvapalveluista ja kyselyn, jolla kartoitettiin näiden palveluiden käyttöä. Systemaattisessa kirjallisuuskatsauksessa tunnistetuista palveluista luotiin tietoturvapalveluiden kategorisointi (ISSeCa). ISSeCa tarjoaa jäsennellyn tavan ymmärtää tietoturvapalvelun käsitettä ja sen monimuotoisuutta. Tutkimuksen tuloksissa tuli esille, että aiemmissa akateemisissa tutkimuksissa tietoturvapalvelun määritelmä on hajanainen, ja palveluiden kirjo laaja. Yhtenä tutkimuksen löydöksenä havaittiin, että tietoturvapalveluita tarkastellaan useista eri näkökulmista; näistä näkökulmista tuloksissa korostui erityisesti tekninen näkökulma. Tulokset osoittavat myös, että osa artikkeleista kuvaa tietoturvapalveluiksi tietoturvan käsitteeseen yleisesti liitettyjä piirteitä. Kyselyn tulokset taas viittaavat siihen, että yritykset pitävät tietoturvapalveluita tärkeinä ja hyödyntävät toiminnassaan tasapainoista tietoturvapalvelukokonaisuutta yhdistäen palveluita eri tietoturvapalvelukategorioista. Vaikka kyselyn tuloksia ei voida yleistää laajempaan joukkoon matalan vastausprosentin vuoksi, tarjoavat tulokset oivalluksia siitä, miten yritykset suhtautuvat tietoturvapalveluihin.
Tutkimuksen tulosten perusteella voidaan todeta, että sekä tietoturvapalvelun käsitteeltä, että tietoturvapalvelun määritelmältä puuttuu yhdenmukaisuus. ISSeCa-tietoturvapalvelukategorisointi tarjoaakin mahdollisuuden jatkotutkia tietoturvapalveluita ja selkeyttää niiden määritelmää. Tutkimusten löydösten pohjalta voidaan lisäksi todeta, että yritysten tulisi rakentaa tietoturvapalveluiden valikoimaansa kokonaisvaltaisesti. Tätä kokonaisuutta voidaan kuvata palapelinä, jonka kaikki palaset tulee sovittaa saumattomasti yhteen. Tietoturvapalveluiden kokonaisuutta ei kuitenkaan voi rakentaa muuttumattomaksi, vaan tätä kokonaisuutta tulee jatkuvasti kehittää vastaamaan organisaation tulevia tarpeita ja uusia, kasvavia turvallisuusuhkia.
To answer the aforementioned research questions, this study combines a systematic literature review (SLR) on infosec services and a survey that investigates the use of these services. Furthermore, based on the infosec services identified in the SLR, an infosec service categorization (ISSeCa) was built. ISSeCa offers a structured manner to understanding the infosec service concept and its complexity. Based on the results of the research, the definition of a security service lacks cohesion as the range of infosec services is wide; additionally, there are multiple perspectives on the services from which a technical perspective was pronounced in the results. In addition, to some extent, academia is still describing infosec services by characteristics typically seen as the components of information security itself. Furthermore, although the results of the survey cannot be generalized to a larger population due to low response rate, the results provide insights on the outlook of organizations towards infosec services by suggesting that companies utilize a balanced set of infosec services from different infosec categories and regard these services as important.
Based on the findings of the research it can be stated, that the infosec service concept lacks coherence; additionally, a consensus on the definition of an infosec service is yet to be achieved. The ISSeCa categorization, consequently, offers a fertile ground for further research regarding infosec services. Furthermore, based on the findings of the research it can be stated, that organizations should adopt a holistic approach in building their information security service palette, where different services are fitted tightly together like the pieces of a puzzle. This puzzle, however, is not built static but needs to be altered based on emerging organizational needs and new arising threats.
Vastatakseen yllä mainittuihin tutkimuskysymyksiin työ yhdistää systemaattisen kirjallisuuskatsauksen tietoturvapalveluista ja kyselyn, jolla kartoitettiin näiden palveluiden käyttöä. Systemaattisessa kirjallisuuskatsauksessa tunnistetuista palveluista luotiin tietoturvapalveluiden kategorisointi (ISSeCa). ISSeCa tarjoaa jäsennellyn tavan ymmärtää tietoturvapalvelun käsitettä ja sen monimuotoisuutta. Tutkimuksen tuloksissa tuli esille, että aiemmissa akateemisissa tutkimuksissa tietoturvapalvelun määritelmä on hajanainen, ja palveluiden kirjo laaja. Yhtenä tutkimuksen löydöksenä havaittiin, että tietoturvapalveluita tarkastellaan useista eri näkökulmista; näistä näkökulmista tuloksissa korostui erityisesti tekninen näkökulma. Tulokset osoittavat myös, että osa artikkeleista kuvaa tietoturvapalveluiksi tietoturvan käsitteeseen yleisesti liitettyjä piirteitä. Kyselyn tulokset taas viittaavat siihen, että yritykset pitävät tietoturvapalveluita tärkeinä ja hyödyntävät toiminnassaan tasapainoista tietoturvapalvelukokonaisuutta yhdistäen palveluita eri tietoturvapalvelukategorioista. Vaikka kyselyn tuloksia ei voida yleistää laajempaan joukkoon matalan vastausprosentin vuoksi, tarjoavat tulokset oivalluksia siitä, miten yritykset suhtautuvat tietoturvapalveluihin.
Tutkimuksen tulosten perusteella voidaan todeta, että sekä tietoturvapalvelun käsitteeltä, että tietoturvapalvelun määritelmältä puuttuu yhdenmukaisuus. ISSeCa-tietoturvapalvelukategorisointi tarjoaakin mahdollisuuden jatkotutkia tietoturvapalveluita ja selkeyttää niiden määritelmää. Tutkimusten löydösten pohjalta voidaan lisäksi todeta, että yritysten tulisi rakentaa tietoturvapalveluiden valikoimaansa kokonaisvaltaisesti. Tätä kokonaisuutta voidaan kuvata palapelinä, jonka kaikki palaset tulee sovittaa saumattomasti yhteen. Tietoturvapalveluiden kokonaisuutta ei kuitenkaan voi rakentaa muuttumattomaksi, vaan tätä kokonaisuutta tulee jatkuvasti kehittää vastaamaan organisaation tulevia tarpeita ja uusia, kasvavia turvallisuusuhkia.