Implementation of information security controls in small and medium-sized businesses

Abstract

Information systems and networks play an important role in today’s working environments. To keep offering their products and services, companies need to handle large amounts of data. Businesses need to be prepared to face criminals, who see this data as a high value target. While large enterprises can spend great amount of money for keeping their systems secure, SMEs are struggling with their limited resources. In this paper, a group of Finnish companies with 10–250 employees are surveyed to find out what information security controls they are using as defense measures against hostile actors. Although no alarming shortcomings are discovered, there is a lot of variation in what controls different companies are using.

Tietojärjestelmät ja -verkot ovat tärkeä osa nykypäivän työympäristöjä. Jatkaakseen tuotteidensa ja palveluidensa tarjoamista yritysten on käsiteltävä suuret määrät dataa. Yritysten täytyy valmistautua kohtaamaan rikollisia, jotka näkevät tämän datan arvokkaana kohteena. Suuret yhtiöt voivat käyttää suuria summia järjestelmiensä suojaamiseen, kun taas pk-yritykset koettavat selviytyä rajallisten resurssiensa kanssa. Tässä tutkielmassa ryhmältä 10–250 henkeä työllistäviä suomalaisia yrityksiä selvitetään kyselyn avulla, mitä tietoturvakontrolleja niillä on käytössä järjestelmien suojaamiseen vihamieliseltä toiminnalta. Vaikka kyselyssä ei ilmene mitään hälyttäviä puutteita, kontrollien käytössä on eri yritysten osalta paljon vaihtelua.