Marko Juvonen; Mikko Koskensyrjä; Leena Kuhanen; Virva Ojala; Anne Pentti; Paavo Porvari; Tero Talala Finanssi ja vakuutuskustannus Oy FINVA (2014) Pehmeäkantinen kirja
Yrityksissä ja julkishallinnon organisaatioissa tietoturvallisuuden ongelmat ovat ajankohtaiset aiheuttaen toiminnan jatkuvuudelle suuria riskejä – liiketoimintariskejä. Tämän vuoksi tietoturvallisuutta tulee käsitellä ylimmässä johdossa. Tietoturvallisuuden hallinnasta on tullut monitahoinen, usean eri alan asiantuntijoita ja erityisosaamista vaativa alue. Siksi tietoturvallisuus on erillään liiketoiminnasta ja sen johtamisesta. Ruotsalaisten tutkimuksen mukaan tekniset turvatoimet kattavat noin 36 % yritysten tietoturvallisuudesta, kun taas organisatoristen toimien (johtaminen, henkilökunnan valmiuksien luonti ) osuus on 56 % ja ympäristöolosuhteisiin varautumisen osuus 8 %. Yrityksissä on kuitenkin keskitytty pääasiassa teknisiin turvatoimiin.
Väitöstutkimuksessa pureudutaan tietoturvallisuuden johtamiseen, inhimillisiin ja organisatorisiin tekijöihin, tietoturvatietoisuuden ja tietoturvakäyttäytymisen kohentamiseen, tietoturvallisuuden arviointiin sekä arvioinnin työvälineisiin. Tutkimuksen tuloksina esitetään kaksi mallia yrityksen tietoturvallisuuden johtamiseen. Verkkopohjaisen tietoturvallisuuden arvioinnin ja johtamisen työvälineen vaatimukset määritetään. Merkittävimpinä tuotoksina kiteytetään neljä suositusta tietoturvallisuuden johtamiseen. Ne koskevat
1. Tietoturvallisuuden johtamisen sulauttamista liiketoimintaprosessien johtamiseen
2. Tietoturvallisuuden kehittämisen toimintamallin räätälöintiä
3. Henkilöstön tietoturvatietoisuuden ja -käyttäytymisen kohentamista ja osallistumista turvallisuutta koskevien asioiden käsittelyyn ja
4. Tietoturvallisuuden arvioinnin ja johtamisen tietoteknisiä työvälineitä.
Kirja on laatuteos. Siinä kirjoittaja on yhdistänyt 30 vuoden ajalta karttuneen tiedon yritysten tietoturvallisuuden kehittämisestä ja väitöstutkimuksessa saadun uuden tiedon. Kirjaan sisältyy kaksi erinomaista seikkaa: 1) kokonaisvaltainen näkemys esitetään pk-yrityksen tietoturvallisuuden kehittämiseen ja johtamiseen, 2) tutkimus on tieteellinen, sillä olennaisimmat teoriat, mallit ja menetelmät on kuvattu. Kirja on kuitenkin käytännönläheinen. Se antaa vastauksia kysymyksiin, miten pk-yrityksissä tietoturvallisuutta voi määrätietoisesti, tavoitteellisesti ja jatkuvasti kehittää paremmaksi ja tietoturvavahinkojen syntyminen estää? Tällaisia teoksia ilmestyy Suomessa n. kerran 10 vuodessa.