MSc Andro Kullin tietojenkäsittelyopin alaan kuuluva väitöskirja

A Method for Continuous Information Technology Supervision: The Case of the Estonian Financial Sector (Menetelmä tietotekniikan jatkuvaa valvontaa varten: Menetelmän sovelluksena Viron Finanssivalvonta)

tarkastetaan 20.1.2012 klo 12 Tampereen yliopiston Paavo Koli -salissa Pinni A rakennuksessa, Kanslerinrinne 1, Tampere.

Vastaväittäjinä ovat professori Mikko Siponen (Oulun yliopisto) ja professori Peeter Normak (Tallinnan yliopisto). Kustoksena toimii emeritusprofessori Pertti Järvinen.

                                                ***

Andro Kull on syntynyt Virossa ja hän on suorittanut MSc -tutkinnon Tallinnan yliopistossa.

Andro Kullin väitöskirja ilmestyy sarjassa Acta Universitatis Tamperensis; 1694, Tampere University Press, Tampere 2012. ISBN 978-951-44-8688-3, ISSN 1455-1616. Väitöskirja ilmestyy myös sähköisenä sarjassa Acta Electronica Universitatis Tamperensis; 1160, Tampere University Press 2012. ISBN 978-951-44-8689-0, ISSN 1456-954X.
http://acta.uta.fi.

Väitöskirjan tilausosoite: Verkkokirjakauppa Granum, http://granum.uta.fi, tai Tiedekirjakauppa TAJU, PL 617, 33014 Tampereen yliopisto, puh. 040 190 9800, e-mail: taju@uta.fi.

Lisätietoja: Andro Kull, puh. +372 50 93296, Andro.Kull@fi.ee, http://www.fi.ee/

LEHDISTÖTIEDOTE


Nykyään yritykset ja niiden liiketoiminta ovat yhä enemmän riippuvaisia tietotekniikan (IT) ratkaisuista, ja liiketoiminnan IT-riskit lisääntyvät edelleen. Rahoitusala on erityisen herkkä, koska se hallinnoi asiakkaan varoja, ja tämä asettaa suuria vaatimuksia rahoituslaitoksille, kuten esimerkiksi pankkien ja vakuutusyhtiöiden IT-ratkaisuille. Ja se taas asettaa vaatimuksia Finanssivalvonnalle, kun sen pitää valvoa rahoitusalan riskejä.

Jotta näitä riskejä voidaan hallitusti pienentää, on vastattava kysymyksiin: “Kuinka paljon turvajärjestelyjä tarvitaan?” ja “mitkä turvajärjestelyt ovat riittäviä?” Finanssivalvonnan tarkastajien tulee vastata noihin kysymyksiin, jotta voidaan varmistaa, että ihmisten rahat ovat turvassa pankeissa ja muissa rahoituslaitoksissa. Tässä väitöskirjassa laaditaan uusi menetelmä em. vaatimusten arviointia ja jatkuvaa seurantaa varten.

Koko tutkimuksen keskeinen idea on yhdistää parhaat käytännöt ja kansainväliset standardit sekä rakentaa järkevä menetelmä IT:n valvontaa varten. Tutkimus keskittyy tietotekniikan riskeihin, jotka on jäsennetty kolmeen pääryhmään - tietotekniikan hallintoon, tietoturvan hallintoon ja liiketoiminnan jatkuvuuteen.
IT-valvonnan välineeksi Finanssivalvonta kehittää monipuoliset ohjeet kutakin kolmea pääryhmää varten ja jatkuvasti arvioi ohjeiden noudattamista rahoituslaitosten todellisessa toiminnassa.

Tutkimus alkoi huolellisella kirjallisuuskatsauksella, ja sen jälkeen yhdistettiin tuloksia joistakin osatutkimuksista. Jotta voitiin määrittää rahoitussektorin IT:n valvonnan tarve, konsultoitiin saman tehtävän yksiköitä Euroopassa sekä tutkittiin valvottavia paikallistasolla, ja siten saatiin määritettyä järkevät mutta ei liian tiukat IT:n valvonnan vaatimukset.
Seuraavaksi laadittiin menetelmä, kuinka eritasoisia vaatimuksia voitaisiin soveltaa erikokoisiin organisaatioihin rahoitussektorilla. Idea konkretisoitiin koekyselyksi, joka toteutettiin tapaustutkimuksena yhden organisaation puitteissa. Vastaukset analysoitiin ja arvioitiin, missä määrin tietoturvavaatimuksiin oli mahdollista vastata. Lopputuloksena oli metodi IT:n turvajärjestelyjen arvioimiseksi sekä isoissa että pienissä finanssialan yksiköissä.

Tutkimuksen aikana luotiin arviointikriteerit sisältävä käsikirja ja se on kuvattu väitöskirjan liitteessä. Sitä voidaan pitää koko tutkimuksen tärkeimpänä tuloksena. Käsikirja on yhteenveto aiemmista osatutkimuksista ja antaa käsityksen siitä, miten käyttää vaatimustenmukaisuuden arviointia finanssisektorin yksiköissä. Se tarjoaa konkreettiset arviointiperusteet yksiköiden syväanalyysiin ja kohtelee erikokoisia yksiköitä tasa-arvoisesti.

Väitöskirjassa laadittua metodia on arvioitu universaaleilla kriteereillä (toimivuus, tehokkuus, yleisyys ja helppokäyttöisyys) ja osoitettu niiden täyttäminen. Metodia on tarkoitus ainakin kerran vuodessa soveltaa Viron finanssisektorin IT-turvavaatimusten arviointiin. Sillä tavalla saadaan esille kohdat, joissa on parantamisen varaa, ja kohdat, joissa on tarvetta kehittää metodin osa-alueita. Tavoitteena jatkuvalla tietojen keruulla IT-turvajärjestelyistä on auttaa parantamaan valvontaa koskevaa päätöksentekoa.

Kun menetelmä otetaan käyttöön, saamme aineistoa, jonka perusteella voimme tutkia, ovatko asiansa hyvin hoitaneet yksiköt kokeneet vähemmän menetyksiä IT-hyökkäyksissä ja tahattomissa väärinkäytöissä. Tutkimustulokset auttavat kehittämään metodia edelleen. Tekninen kehitys ja yhteiskunnan muutos vaativat, että myös metodin arviointiperusteita kehitetään jatkuvasti.