Kokonaisarkkitehtuuri häiriöiden hallinnan työkaluna normaalioloissa
Pelkonen, Helmi (2025-11-05)
Kokonaisarkkitehtuuri häiriöiden hallinnan työkaluna normaalioloissa
(05.11.2025)
Julkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.
avoin
Julkaisun pysyvä osoite on:
https://urn.fi/URN:NBN:fi-fe20251124110979
https://urn.fi/URN:NBN:fi-fe20251124110979
Tiivistelmä
Digitaalisen transformaation myötä häiriöiden määrä organisaatioissa on kasvanut huomattavasti viimeisten vuosien aikana. Lisäksi häiriöiden hallintaan ja kyberturvallisuuteen liittyvät vaatimukset ovat tiukentuneet. Euroopan unionin NIS2-direktiivi laajentaa sen edeltäjän NIS-direktiivin vaatimuksia ja velvoittaa yhä useampia toimialoja. Organisaatioissa on käyty paljon keskustelua siitä, miten uudet vaatimukset voitaisiin täyttää. Laajentuneiden vaatimusten ohella häiriöiden hallintaan tarvitaan parempia ja tehokkaampia ratkaisuja, jotta organisaatiot pystyisivät suojautumaan häiriöiltä ja niiden vaikutuksilta tulevaisuudessa. Kokonaisarkkitehtuuria on ehdotettu toimivaksi työkaluksi muun muassa riskienhallintaan ja kriisienhallintaan, mutta kokonaisarkkitehtuurin ja häiriöiden hallinnan välistä yhteyttä ei ole vielä tutkittu yhtä paljon.
Tämän tutkimuksen tarkoituksena on selvittää, voisiko kokonaisarkkitehtuuri tukea häiriöiden hallintaa. Lisäksi halutaan tarkastella kokonaisarkkitehtuuria suhteessa NIS2-direktiiviin ja selvittää, mikäli kokonaisarkkitehtuurin avulla voidaan vastata direktiivin vaatimuksiin. Tutkimuksen toimeksiantajaorganisaatio lukeutuu NIS2-direktiivin määrittelemäksi kriittisen sektorin toimijaksi ja heihin kohdistuvat direktiivin velvoitteet. Lisäksi he ovat mallintaneet jo useamman vuoden ajan kokonaisarkkitehtuuriaan ja seuranneet organisaatiossa tapahtuneita häiriöitä raportointijärjestelmänsä avulla.
Tutkielman viitekehys on luotu yhdistämällä Kotusevin (2017) kahdeksan kokonaisarkkitehtuurin artefaktia ja NIST kyberturvallisuusviitekehys (2024). Viitekehyksessä yhdistyvät kyberturvallisuusviitekehyksen häiriöiden hallinnan toiminnot ja kokonaisarkkitehtuurin artefaktit, minkä avulla on tutkittu häiriöiden hallinnan ja kokonaisarkkitehtuurin välistä yhteyttä. Tutkimus on toteutettu laadullisena tutkimuksena, jossa yhdistyvät suunnittelutieteellinen tutkimusote ja tapaustutkimus. Suunnittelutieteellisessä tutkimusotteessa testataan ja arvioidaan luotua artefaktia, joka tässä tutkielmassa on tutkielman viitekehys. Tapaustutkimus toteutettiin tutkimalla toimeksiantajaorganisaation kokonaisarkkitehtuurin mallinnuksia ja häiriöraportteja tutkielman viitekehyksen avulla. Tämän jälkeen tutkielman viitekehystä arviointiin NIS2-direktiivin vaatimuksiin peilaten.
Kahdessa tutkitussa häiriössä tunnistettiin seitsemän tapaa, joilla kokonaisarkkitehtuuri tukee kyberturvallisuusviitekehyksen mukaista häiriöiden hallintaprosessia. Kokonaisarkkitehtuurin avulla pystyttiin erityisesti tukemaan häiriöiden ja niiden vaikutusten laajuuden kartoittamista sekä yhtenäistämään ja selkeyttämään häiriöiden hallintaprosessia. Tutkielman viitekehyksen ja kokonaisarkkitehtuurin avulla pystyttiin vastaamaan neljään kuudesta tunnistetusta NIS2-direktiivin vaatimuksesta ja osittain viidenteen. Kokonaisarkkitehtuuri toteutti erityisesti toimitusketjuihin, häiriöiden hallintaan ja riskienhallintaan liittyviä vaatimuksia. Tutkimus osoittaa, että kokonaisarkkitehtuurilla voidaan tukea häiriöiden hallintaa ja tehostaa siihen liittyviä toimintoja. Lisäksi kokonaisarkkitehtuuria hyödyntämällä voidaan vastata useampaan NIS2-direktiivin vaatimukseen. Jatkotutkimusta olisi hyvä tehdä aiheesta laajemmin, jotta erilaisten häiriöiden ja toimialojen erot tulisivat tarkasteltua.
Tämän tutkimuksen tarkoituksena on selvittää, voisiko kokonaisarkkitehtuuri tukea häiriöiden hallintaa. Lisäksi halutaan tarkastella kokonaisarkkitehtuuria suhteessa NIS2-direktiiviin ja selvittää, mikäli kokonaisarkkitehtuurin avulla voidaan vastata direktiivin vaatimuksiin. Tutkimuksen toimeksiantajaorganisaatio lukeutuu NIS2-direktiivin määrittelemäksi kriittisen sektorin toimijaksi ja heihin kohdistuvat direktiivin velvoitteet. Lisäksi he ovat mallintaneet jo useamman vuoden ajan kokonaisarkkitehtuuriaan ja seuranneet organisaatiossa tapahtuneita häiriöitä raportointijärjestelmänsä avulla.
Tutkielman viitekehys on luotu yhdistämällä Kotusevin (2017) kahdeksan kokonaisarkkitehtuurin artefaktia ja NIST kyberturvallisuusviitekehys (2024). Viitekehyksessä yhdistyvät kyberturvallisuusviitekehyksen häiriöiden hallinnan toiminnot ja kokonaisarkkitehtuurin artefaktit, minkä avulla on tutkittu häiriöiden hallinnan ja kokonaisarkkitehtuurin välistä yhteyttä. Tutkimus on toteutettu laadullisena tutkimuksena, jossa yhdistyvät suunnittelutieteellinen tutkimusote ja tapaustutkimus. Suunnittelutieteellisessä tutkimusotteessa testataan ja arvioidaan luotua artefaktia, joka tässä tutkielmassa on tutkielman viitekehys. Tapaustutkimus toteutettiin tutkimalla toimeksiantajaorganisaation kokonaisarkkitehtuurin mallinnuksia ja häiriöraportteja tutkielman viitekehyksen avulla. Tämän jälkeen tutkielman viitekehystä arviointiin NIS2-direktiivin vaatimuksiin peilaten.
Kahdessa tutkitussa häiriössä tunnistettiin seitsemän tapaa, joilla kokonaisarkkitehtuuri tukee kyberturvallisuusviitekehyksen mukaista häiriöiden hallintaprosessia. Kokonaisarkkitehtuurin avulla pystyttiin erityisesti tukemaan häiriöiden ja niiden vaikutusten laajuuden kartoittamista sekä yhtenäistämään ja selkeyttämään häiriöiden hallintaprosessia. Tutkielman viitekehyksen ja kokonaisarkkitehtuurin avulla pystyttiin vastaamaan neljään kuudesta tunnistetusta NIS2-direktiivin vaatimuksesta ja osittain viidenteen. Kokonaisarkkitehtuuri toteutti erityisesti toimitusketjuihin, häiriöiden hallintaan ja riskienhallintaan liittyviä vaatimuksia. Tutkimus osoittaa, että kokonaisarkkitehtuurilla voidaan tukea häiriöiden hallintaa ja tehostaa siihen liittyviä toimintoja. Lisäksi kokonaisarkkitehtuuria hyödyntämällä voidaan vastata useampaan NIS2-direktiivin vaatimukseen. Jatkotutkimusta olisi hyvä tehdä aiheesta laajemmin, jotta erilaisten häiriöiden ja toimialojen erot tulisivat tarkasteltua.