Yritysjohdon vastuu/tilivelvollisuus yrityksen kyberturvakysymyksissä

Rignell, Jere

Kuvaileva/tutkiva tapaustutkimus kyberturva-asioiden vastuunjaosta

Files

master_Rignell_Jere_2019.pdf (2.21 MB)

School of Business | Master's thesis

Unless otherwise stated, all rights belong to the author. You may download, display and print this publication for Your own personal use. Commercial use is prohibited.

Authors

Rignell, Jere

Date

2019

Department

Laskentatoimen laitos

Degree programme

Accounting

Language

fi

Pages

70 + 15

Abstract

Tiivistelmä Tämän tutkimuksen päätavoitteena on tutkia yritysjohdon vastuukysymyksiä kyberturva-asioihin liittyen. Vastuukysymyksien tutkimisen lisäksi tutkielmassa pyritään selvittämään, millä tavalla ylin johto ymmärtää järjestelmähankkeita koskevat osa-alueet, ja pyrkiikö johto proaktiivisesti etsimään parempia ratkaisuja liiketoimintojen tehostamiseen järjestelmien näkökulmasta. Tutkimuksen empiirisen viitekehyksen luomiseen haettiin tukea Dutta’n & McCrohan’n (2002) tekemän tutkimuksen kautta, sillä nämä tutkijat olivat julkaisseet samansuuntaisia tutkimustuloksia, joita tässä tutkimuksessa tutkittiin. Valinnan pohjalta tehtiin alustava viitekehys, jota alettiin muokata eri asiantuntijoiden näkemyksien pohjalta. Tapaamisten jälkeen syntyi tässä tutkimuksessa käytetty viitekehys, jota voisi teoriassa käyttää uusien kyberturvaa ja yritysjohdon vastuuta koskevien tutkimusten pohjana. Haastattelut toteutettiin case-tyyppisinä haastatteluina, ja haastateltavat organisaatiot olivat hyvin erilaisilta aloilta. Puolet haastateltavista organisaatioista olivat palvelu- ja teollisuusalan yhtiöitä, jotka valittiin tutkimukseen edustamaan ”perinteisiä” aloja, kun toinen puolisko organisaatioista koostui asiantuntija- ja neuvontapalveluita tarjoavista organisaatioista. Metodina käytettiin kuvailevaa tapaustutkimusta, sillä tutkimuksessa pyrittiin selvittämään ilmiön olemusta samankaltaisuuksia ja eroavaisuuksia verraten. Lisäksi, koska yritysjohdon vastuukysymyksiä ja kyberturvallisuutta on tutkittu varsin vähän rinnakkain, on kuvailevan tapaustutkimuksen rinnalla käytetty tutkivan tapaustutkimuksen metodia. Tutkivan tapaustutkimuksen metodia käytetään usein, kun ollaan luomassa jotain uutta tapaa tarkastella tiettyä ilmiötä, ja tästä syystä myös tämä toinen metodi valittiin tutkimukseen. Tutkimuksen perusteella organisaatiot kohtaavat hyvin samankaltaisia haasteita riippumatta toimialasta. Näitä olivat esimerkiksi uusien käytäntöjen ja tapojen opettaminen järjestelmiin liittyvissä asioissa; viestintä ylimmän johdon ja toteuttavan henkilöstön välillä; sekä mahdollisimman monen tahon osallistaminen päätöksentekoon organisaation operatiivisessa toiminnassa. Tutkimustulos myös viittaa yritysjohdon vastuun ja tilivelvollisuuden käsitteiden olevan jossain määrin epäselviä eikä niitä välttämättä ymmärretä täysin yritysjohdon keskuudessa.

The main objective of this thesis is to research management responsibilities in terms of cyber se-curity questions. In addition, this research aims to clarify how management and board understand different aspects that need to be considered in system projects. The framework for the empirical part of this study was supported by Dutta & McCrohan (2002) since they had published same kind of conclusions that were research questions of this study. So, the framework started to evolve from what Dutta & McCrohan (2002) had published, but also the many meetings with different experts modelled the framework so that it would fit better for the purpose of this study. In theory, the framework that was developed, could be applied to infor-mation security/management responsibility theses in the future. Interviews were conducted as case-type interviews and the organizations were scattered to differ-ent fields. Half of the organizations were service/industrial companies which were picked to repre-sent the “traditional” industries whereas rest of the interviewed companies were adviso-ry/consultant service companies. Descriptive case study was the method that was picked for this study since the objective was to compare the similarities and divergencies of the phenomenon. In addition, because management responsibility questions and cyber security have not been researched that much abreast, this study has applied exploratory case study method as a secondary method. Exploratory method is often used when study pursues to find a new perspective to examine certain phenomenon and that’s why there are two different methods in this study. Based on the interviews, organizations encounter similar troubles in their daily business regard-less of the field they operate. These were, to mention some, teaching new technology related skills and policies according to new information systems; communication and interaction between man-agement and executing personnel; transforming decision making process to more participating form where more parties could be involved. Results also imply that management and board might not necessarily acknowledge the difference between the terms accountability and responsibility.

Thesis advisor

Ikäheimo, Seppo

Keywords

tietoturva, kyberturva, tilivelvollisuus, ylin johto

Permanent link to this item

https://urn.fi/URN:NBN:fi:aalto-202002021929

Collections

[gradu] Kauppakorkeakoulu / BIZ

Show all metadata

Kuvaileva/tutkiva tapaustutkimus kyberturva-asioiden vastuunjaosta

Files

URL

Journal Title

Journal ISSN

Volume Title

Authors

Date

Department

Major/Subject

Mcode

Degree programme

Language

Pages

Series

Abstract

Description

Thesis advisor

Keywords

Other note

Citation

Permanent link to this item

Collections