Yritysjohdon vastuu/tilivelvollisuus yrityksen kyberturvakysymyksissä: Kuvaileva/tutkiva tapaustutkimus kyberturva-asioiden vastuunjaosta

Abstract

Tämän tutkimuksen päätavoitteena on tutkia yritysjohdon vastuukysymyksiä kyberturva-asioihin liittyen. Vastuukysymyksien tutkimisen lisäksi tutkielmassa pyritään selvittämään, millä tavalla ylin johto ymmärtää järjestelmähankkeita koskevat osa-alueet, ja pyrkiikö johto proaktiivisesti etsimään parempia ratkaisuja liiketoimintojen tehostamiseen järjestelmien näkökulmasta.Tutkimuksen empiirisen viitekehyksen luomiseen haettiin tukea Dutta’n & McCrohan’n (2002) tekemän tutkimuksen kautta, sillä nämä tutkijat olivat julkaisseet samansuuntaisia tutkimustuloksia, joita tässä tutkimuksessa tutkittiin. Valinnan pohjalta tehtiin alustava viitekehys, jota alettiin muokata eri asiantuntijoiden näkemyksien pohjalta. Tapaamisten jälkeen syntyi tässä tutkimuksessa käytetty viitekehys, jota voisi teoriassa käyttää uusien kyberturvaa ja yritysjohdon vastuuta koskevien tutkimusten pohjana.

Haastattelut toteutettiin case-tyyppisinä haastatteluina, ja haastateltavat organisaatiot olivat hyvin erilaisilta aloilta. Puolet haastateltavista organisaatioista olivat palvelu- ja teollisuusalan yhtiöitä, jotka valittiin tutkimukseen edustamaan ”perinteisiä” aloja, kun toinen puolisko organisaatioista koostui asiantuntija- ja neuvontapalveluita tarjoavista organisaatioista.Metodina käytettiin kuvailevaa tapaustutkimusta, sillä tutkimuksessa pyrittiin selvittämään ilmiön olemusta samankaltaisuuksia ja eroavaisuuksia verraten. Lisäksi, koska yritysjohdon vastuukysymyksiä ja kyberturvallisuutta on tutkittu varsin vähän rinnakkain, on kuvailevan tapaustutkimuksen rinnalla käytetty tutkivan tapaustutkimuksen metodia. Tutkivan tapaustutkimuksen metodia käytetään usein, kun ollaan luomassa jotain uutta tapaa tarkastella tiettyä ilmiötä, ja tästä syystä myös tämä toinen metodi valittiin tutkimukseen.

Tutkimuksen perusteella organisaatiot kohtaavat hyvin samankaltaisia haasteita riippumatta toimialasta. Näitä olivat esimerkiksi uusien käytäntöjen ja tapojen opettaminen järjestelmiin liittyvissä asioissa; viestintä ylimmän johdon ja toteuttavan henkilöstön välillä; sekä mahdollisimman monen tahon osallistaminen päätöksentekoon organisaation operatiivisessa toiminnassa. Tutkimustulos myös viittaa yritysjohdon vastuun ja tilivelvollisuuden käsitteiden olevan jossain määrin epäselviä eikä niitä välttämättä ymmärretä täysin yritysjohdon keskuudessa.

The main objective of this thesis is to research management responsibilities in terms of cyber security questions. In addition, this research aims to clarify how management and board understand different aspects that need to be considered in system projects.

The framework for the empirical part of this study was supported by Dutta & McCrohan (2002) since they had published same kind of conclusions that were research questions of this study. So, the framework started to evolve from what Dutta & McCrohan (2002) had published, but also the many meetings with different experts modelled the framework so that it would fit better for the purpose of this study. In theory, the framework that was developed, could be applied to information security/management responsibility theses in the future.

Interviews were conducted as case-type interviews and the organizations were scattered to different fields. Half of the organizations were service/industrial companies which were picked to represent the “traditional” industries whereas rest of the interviewed companies were advisory/consultant service companies.

Descriptive case study was the method that was picked for this study since the objective was to compare the similarities and divergencies of the phenomenon. In addition, because management responsibility questions and cyber security have not been researched that much abreast, this study has applied exploratory case study method as a secondary method. Exploratory method is often used when study pursues to find a new perspective to examine certain phenomenon and that’s why there are two different methods in this study.

Based on the interviews, organizations encounter similar troubles in their daily business regardless of the field they operate. These were, to mention some, teaching new technology related skills and policies according to new information systems; communication and interaction between management and executing personnel; transforming decision making process to more participating form where more parties could be involved. Results also imply that management and board might not necessarily acknowledge the difference between the terms accountability and responsibility.