Tietoturvatoimintojen epäsuorat kulut ovat nyt paremmin mitattavissa (Väitös: MBA Kimmo Syrjänen, 26.8.2022, tietojärjestelmätiede)
MBA Kimmo Syrjänen kehitti väitöstutkimuksessaan tietoturvan epäsuorille kuluille mittausmallin, jota voidaan soveltaa muidenkin johtamis- ja hallintaprosessien optimointiin.
Tietoturvakulut ovat monissa yrityksissä jatkuva kiistakapula. Erityisesti, miten perustella kulut niihin toimiin, joita kaivataan vain harvinaisissa poikkeustilanteissa? IT-kustannukset saattavat muodostaa merkittävän osan yrityksen menoista, eivätkä ylin johto ja IT-johto aina löydä yhteistä säveltä, kun vaakakupissa ovat toisaalta taloudelliset tavoitteet ja kulujen hallinta, toisaalta tietoturva ja jatkuvuudenhallinta.
- Tämä ristiriita ja sosioteknisten kulujen mittaamisen haaste antoivat inspiraation tutkimukselleni. Halusin löytää keinon avata tietoturvakustannuksia päätöksenteon tueksi. Lopputuloksena syntyi tilastollinen malli, jota voidaan soveltaa työkaluna kulujen määrittämiseksi, kertoo Syrjänen.
Syrjänen lähestyi tietoisesti oletustaan käytännöllisestä kulmasta, testaamalla teoriaansa todellisella datalla. Teoreettisella tasolla tutkimus todistaa 60-luvulla esitetyn teorian monimuuttuja-regressioanalyysin käyttökelpoisuudesta prosessien toimintalaskennassa.
Syrjänen päätti tutkimuksessaan keskittyä tietoturvan yhteen osa-alueeseen eli tietojärjestelmäpalveluiden jatkuvuudenhallintaan. Lähtöoletus oli, että jatkuvuudenhallinnan toimenpiteiden ja IT-kustannusten välillä on syy-seuraussuhde. Testatakseen tätä Syrjänen kehitti tilastollisen mallin, jolla vertasi eri IT-palvelujen ryhmiä selvittääkseen, missä määrin toimenpiteet selittävät IT-kustannusten vaihtelua ja miten yksittäiset toiminnot vaikuttavat kokonaiskustannuksiin.
Tulokset vahvistavat toimintojen kustannusvaikutuksen, vaikka näiden toimintojen kustannuksia ei ollut raportoitu missään yhteydessä. Tuloksista voidaan erottaa henkilöstöön, teknologiaan ja palveluntarjoajiin kohdistuneet kustannukset. Mallin avulla voidaan tunnistaa myös jatkuvuudenhallinnan kustannusvaikutukset järjestelmäsuunnitteluun. Erityisen kiintoisaa on se, että malli paljastaa myös sellaiset toiminnot, joilla ei ole mitään kustannusvaikutusta ja jotka näin ollen eivät todennäköisesti ole todellisia toimintoja.
- Nähdäkseni tutkimukseni tarjoaa mielenkiintoisen keinon testata prosessien todennäköistä vaikuttavuutta yrityksen kustannuksiin ja siten mahdollistaa näiden optimoinnin. En löytänyt esteitä sille, etteikö mallia voisi tuotteistaa ja integroida yrityksen muihin kustannusarviotyökaluihin tai etteikö sitä voisi soveltaa myös muille IT-palvelujen hallinnon alueille, toteaa Syrjänen.
***
MBA Kimmo Syrjänen esittää väitöskirjansa ”Determining the cost of business continuity management - a case study of it service continuity management activity cost analysis” julkisesti tarkastettavaksi Turun yliopistossa perjantaina 26.8.2022 klo 12.00 (Turun kauppakorkeakoulu, LähiTapiola-sali, Rehtorinpellonkatu 3, Turku). Väitöstä voi seurata myös etänä.
Vastaväittäjänä toimii professori Mikko Siponen (Jyväskylän yliopisto) ja kustoksena yliopistonlehtori Jonna Järveläinen (Turun kauppakorkeakoulu). Tilaisuus on suomenkielinen. Väitöksen alana on tietojärjestelmätiede.
Väittelijän yhteystiedot: puh. +491754960579, kirasy@utu.fi
