Learning Centre

Improving efficiency in digital high reliability organization

 |  Login

Show simple item record

dc.contributor Aalto University en
dc.contributor Aalto-yliopisto fi
dc.contributor.advisor Penttinen, Esko
dc.contributor.author Ruotsila, Jukka
dc.date.accessioned 2021-01-31T17:03:42Z
dc.date.available 2021-01-31T17:03:42Z
dc.date.issued 2020
dc.identifier.uri https://aaltodoc.aalto.fi/handle/123456789/102404
dc.description.abstract Security Operations Center (SOC) aims to find abnormal and malicious events from a mass of data. Security analysts investigate hundreds of alerts per day, which have been correlated from billions on single events by Security Information and Event Management (SIEM) systems. Several manual mundane tasks are required before starting mindful investigation. Those mundane tasks are affecting employee satisfaction and efficiency of the SOC operations. This research studies which tasks are the most fitting to be automated and how large proportion of the operations are mundane tasks. Automation should not risk high reliability. Digital High Reliability Organizations (HRO) is a less researched area. Access to the HROs is usually blocked because of confidentiality and security reasons. This research provides information how a digital HRO aims to minimize false negatives, which are incidents that went unnoticed. Characteristics of traditional HROs are compared to the digital HRO studied in this research. Previous research about epistemic and pragmatic actions, and mindful and mindless actions is reviewed in the literature section. Those classifications of actions were used when ten hours of direct observation of SOC Tier 1 security analyst work was documented and categorized. Total of 113 security alerts investigations by five security analysts were observed, and the analysts also answered a semi-structured questionnaire about satisfaction with the current systems, their competence with the most important technology and how they would develop the systems. Hierarchical Task Analysis (HTA) was used to draw a complete picture from the operations to get detailed information about the most problematic areas. HTA was created by analyzing the observed security incidents bottom-up, one by one. Number of steps and used time needed to make decisions in security alerts were calculated between the analysts and between different alert categories. HTA and calculations using the direct observation data revealed some differences in alert handling process between the analysts. Standardizing the process could produce more constant quality of the investigations. Multiple tasks were identified that could be automated to improve efficiency by reducing overhead. Those tasks were repetitive in all the of observed security alerts and with all the observed analysts. In the shortest investigations the proportion of manual mundane tasks was the highest, so the value add of automation is also the highest. en
dc.description.abstract Tietoturvavalvomo pyrkii löytämään epänormaaleja ja vihamielisiä tapahtumia tietomassasta. Tietoturva-analyytikot tutkivat päivittäin satoja hälytyksiä, jotka Security Information and Event Management (SIEM) -järjestelmä on korreloinut miljardeista yksittäisistä tapahtumista. Tarvitaan useita tylsiä, käsin tehtäviä toimia ennen tietoista tutkintaa. Tylsät tehtävät vaikuttavat negatiivisesti työntekijöiden tyytyväisyyteen sekä operoinnin tehokkuuteen. Tässä tutkimuksessa pyritään löytämään tehtävät, jotka sopivat parhaiten automatisoitaviksi sekä kuinka iso osuus operoinnista on tylsiä tehtäviä. Automaation ei tulisi riskeerata korkeaa luotettavuutta. Digitaaliset korkean luotettavuuden organisaatiot on vähemmän tutkittu alue. Kyseisiin organisaatioihin on yleensä vaikeaa päästä turvallisuuteen ja luottamuksellisuuteen liittyvien syiden vuoksi. Tämä tutkimus antaa tietoa miten digitaalinen korkean luotettavuuden organisaatio pyrkii minimoimaan vääriä negatiivisia tapahtumia, jotka ovat huomaamatta jääneitä tapahtumia. Perinteisten korkean luotettavuuden organisaatioiden ominaisuuksia verrataan tässä työssä tutkittuun digitaaliseen organisaatioon. Aiempaa tutkimusta episteemisistä ja pragmaattisista sekä tietoisista sekä järjettömistä toimista käydään läpi kirjallisuusosiossa. Kyseisiä toimien klassifiointeja käytettiin kun 10 tuntia tietoturvavalvomon 1-tason analyytikon työtä seurattiin, dokumentoitiin ja kategorisoitiin. Yhteensä 113 tietoturvahälytyksen tutkintaa viiden analyytikon tekemänä seurattiin. Analyytikot vastasit myös teemahaastattelussa kysymyksiin tyytyväisyydestä nykyisiin järjestelmiin, heidän kompetensseistaan tärkeimpiin teknologioihin ja kuinka he kehittäisivät järjestelmiä. Hierarkkista tehtäväanalyysia (HTA) käytettiin piirtämään kokonaiskuva operoinnista sekä saamaan yksityiskohtaista tietoa ongelma-alueista. HTA luotiin analysoimalla seurattuja tietoturvahälytyksiä alhaalta ylöspäin yksi kerrallaan. Päätöksiä edellyttäneiden työvaiheiden määrää ja analysointiin käytetty aikaa verrattiin analyytikoiden sekä eri hälytyskategorioiden välillä. HTA sekä seurannasta saadun datan vertailu paljasti joitain eroja analyytikoiden välillä hälytystenkäsittelyprosessissa. Prosessin standardointi voisi tuottaa tasaisempaa laatua tutkimuksiin. Tutkimuksessa löydettiin useita tehtäviä, joiden automatisoinnilla voitaisiin parantaa tehokkuutta. Kyseiset tehtävät toistuivat jokaisen analyytikon jokaisessa seuratussa hälytyksessä. Lyhimmissä tutkimuksissa tylsien tehtävien osuus oli suurin, jolloin automaation tuoma hyöty on niissä suurin.
dc.format.extent 54+4
dc.language.iso en en
dc.title Improving efficiency in digital high reliability organization en
dc.type G2 Pro gradu, diplomityö fi
dc.contributor.school Kauppakorkeakoulu fi
dc.contributor.school School of Business en
dc.contributor.department Tieto- ja palvelujohtamisen laitos fi
dc.subject.keyword automation en
dc.subject.keyword SOAR en
dc.subject.keyword SOC en
dc.subject.keyword HRO en
dc.identifier.urn URN:NBN:fi:aalto-202101311706
dc.type.ontasot Master's thesis en
dc.type.ontasot Maisterin opinnäyte fi
dc.programme Information and Service Management (ISM) en
dc.location P1 I fi
local.aalto.electroniconly yes
local.aalto.openaccess no


Files in this item

Files Size Format View

There are no open access files associated with this item.

This item appears in the following Collection(s)

Show simple item record

Search archive


Advanced Search

article-iconSubmit a publication

Browse

Statistics