2020

Pöyhönen, Jouni

Modernin yhteiskunnan toiminta perustuu useiden kriittisen infrastruktuurin eri osien yhteistoimintaan. Niiden keskinäinen toimintakyky riippuu lähtökohtaisesti toiminnaltaan luotettavista organisaatioista, joista muodostavat infrastruktuurin osakokonaisuudet, systeemit. Tämä väitöstutkimus keskittyy kansalliseen kriittiseen infrastruktuuriin lukeutuvien yritysten ja muiden organisaatioiden kyberturvallisuuden kehittämiseen johtamisen näkökulmasta. Tutkimuksessa painottuu niiden toimintaprosessien jatkuvuuden hallinta kaikissa toimintaympäristöissä. Väitöskirjassa esitetään organisaation kyberturvallisuuden johtamisen ja kehittämisen malleja, jotka liittyvät proaktiiviseen toimintaan, toimintaprosessien jatkuvuuden hallintaan, luottamuksen edistämiseen ja maineen ylläpitämiseen. Tutkimusmenetelmänä on käytetty pehmeää systeemimetodologiaa. Organisaation ihmiset, prosessit ja käytettävät teknologiat muodostavat kyberturvallisuuden kyvykkyydet, mutta ne sisältävät myös haavoittuvuuksia. Väitöstyön keskeisimpään tutkimuskysymykseen menettelyistä kriittisen infrastruktuurin organisaation kyberturvallisuuden johtamisessa ja kehittämisessä esitetään vastauksena kokonaisvaltaista systeemitarkastelua kyberturvallisuuden hallintaan. Se tarkoittaa kyberturvallisuuden johtamis- ja kehittämistoimenpiteitä kaikilla organisaation päätöksentekotasoilla (strateginen, operatiivinen, teknillinen/taktinen). Käytännön kehittämistoimenpiteiksi esitetään yhtäältä organisaation ICT-infrastruktuurin vyöhykesuojaukseen integroituja uuden teknologian ratkaisuja, ja toisaalta kattavasti laadittavia kyberturvallisuuden riskitarkasteluja sekä niiden jatkuvaa ylläpitämistä, ja kolmantena menettelynä varautumissuunnitelmien laadintaa siten, että organisaation toiminnan resilienssiä voidaan parantaa. Väitöstyössä esitettävien organisaation kyberturvallisuuden kehittämistoimenpiteiden implementointiin voidaan soveltaa toiminnan kehittämisen PDCAmenetelmää. Organisaatiokohtaisilla toimenpiteillä edistetään kansallisen kriittisen infrastruktuurin suojaamista ja siten osaltaan myös kyberomavaraisuutta, kokonaisturvallisuutta, huoltovarmuutta ja sekä kansallista että organisaatiokohtaista kilpailuetua.