147 resultados para information security management system
Resumo:
Käyttäjien tunnistaminen tietojärjestelmissä on ollut yksi tietoturvan kulmakivistä vuosikymmenten ajan. Ajatus käyttäjätunnuksesta ja salasanasta on kaikkein kustannustehokkain ja käytetyin tapa säilyttää luottamus tietojärjestelmän ja käyttäjien välillä. Tietojärjestelmien käyttöönoton alkuaikoina, jolloin yrityksissä oli vain muutamia tietojärjestelmiä ja niitä käyttivät vain pieni ryhmä käyttäjiä, tämä toimintamalli osoittautui toimivaksi. Vuosien mittaan järjestelmien määrä kasvoi ja sen mukana kasvoi salasanojen määrä ja monimuotoisuus. Kukaan ei osannut ennustaa, kuinka paljon salasanoihin liittyviä ongelmia käyttäjät kohtaisivat ja kuinka paljon ne tulisivat ruuhkauttamaan yritysten käyttäjätukea ja minkälaisia tietoturvariskejä salasanat tulisivat aiheuttamaan suurissa yrityksissä. Tässä diplomityössä tarkastelemme salasanojen aiheuttamia ongelmia suuressa, globaalissa yrityksessä. Ongelmia tarkastellaan neljästä eri näkökulmasta; ihmiset, teknologia, tietoturva ja liiketoiminta. Ongelmat osoitetaan esittelemällä tulokset yrityksen työntekijöille tehdystä kyselystä, joka toteutettiin osana tätä diplomityötä. Ratkaisu näihin ongelmiin esitellään keskitetyn salasanojenhallintajärjestelmän muodossa. Järjestelmän eri ominaisuuksia arvioidaan ja kokeilu -tyyppinen toteutus rakennetaan osoittamaan tällaisen järjestelmän toiminnallisuus.
Resumo:
The successful performance of company in the market relates to the quality management of human capital aiming to improve the company's internal performance and external implementation of the core business strategy. Companies with matrix structure focusing on realization and development of innovation and technologies for the uncertain market need to select thoroughly the approach to HR management system. Human resource management has a significant impact on the organization and use a variety of instruments such as corporate information systems to fulfill their functions and objectives. There are three approaches to strategic control management depending on major impact on the major interference in employee decision-making, development of skills and his integration into the business strategy. The mainstream research has focus only on the framework of strategic planning of HR and general productivity of firm, but not on features of organizational structure and corporate software capabilities for human capital. This study tackles the before mentioned challenges, typical for matrix organization, by using the HR control management tools and corporate information system. The detailed analysis of industry producing and selling electromotor and heating equipment in this master thesis provides the opportunity to improve system for HR control and displays its application in the ERP software. The results emphasize the sustainable role of matrix HR input control for creating of independent project teams for matrix structure who are able to respond to various uncertainties of the market and use their skills for improving performance. Corporate information systems can be integrated into input control system by means of output monitoring to regulate and evaluate the processes of teams, using key performance indicators and reporting systems.
Resumo:
The traditional process of filling the medicine trays and dispensing the medicines to the patients in the hospitals is manually done by reading the printed paper medicine chart. This process can be very strenuous and error-prone, given the number of sub-tasks involved in the entire workflow and the dynamic nature of the work environment. Therefore, efforts are being made to digitalise the medication dispensation process by introducing a mobile application called Smart Dosing application. The introduction of the Smart Dosing application into hospital workflow raises security concerns and calls for security requirement analysis. This thesis is written as a part of the smart medication management project at Embedded Systems Laboratory, A° bo Akademi University. The project aims at digitising the medicine dispensation process by integrating information from various health systems, and making them available through the Smart Dosing application. This application is intended to be used on a tablet computer which will be incorporated on the medicine tray. The smart medication management system include the medicine tray, the tablet device, and the medicine cups with the cup holders. Introducing the Smart Dosing application should not interfere with the existing process carried out by the nurses, and it should result in minimum modifications to the tray design and the workflow. The re-designing of the tray would include integrating the device running the application into the tray in a manner that the users find it convenient and make less errors while using it. The main objective of this thesis is to enhance the security of the hospital medicine dispensation process by ensuring the security of the Smart Dosing application at various levels. The methods used for writing this thesis was to analyse how the tray design, and the application user interface design can help prevent errors and what secure technology choices have to be made before starting the development of the next prototype of the Smart Dosing application. The thesis first understands the context of the use of the application, the end-users and their needs, and the errors made in everyday medication dispensation workflow by continuous discussions with the nursing researchers. The thesis then gains insight to the vulnerabilities, threats and risks of using mobile application in hospital medication dispensation process. The resulting list of security requirements was made by analysing the previously built prototype of the Smart Dosing application, continuous interactive discussions with the nursing researchers, and an exhaustive stateof- the-art study on security risks of using mobile applications in hospital context. The thesis also uses Octave Allegro method to make the readers understand the likelihood and impact of threats, and what steps should be taken to prevent or fix them. The security requirements obtained, as a result, are a starting point for the developers of the next iteration of the prototype for the Smart Dosing application.
Resumo:
The traditional process of filling the medicine trays and dispensing the medicines to the patients in the hospitals is manually done by reading the printed paper medicinechart. This process can be very strenuous and error-prone, given the number of sub-tasksinvolved in the entire workflow and the dynamic nature of the work environment.Therefore, efforts are being made to digitalise the medication dispensation process byintroducing a mobile application called Smart Dosing application. The introduction ofthe Smart Dosing application into hospital workflow raises security concerns and callsfor security requirement analysis. This thesis is written as a part of the smart medication management project at EmbeddedSystems Laboratory, A˚bo Akademi University. The project aims at digitising the medicine dispensation process by integrating information from various health systems, and making them available through the Smart Dosing application. This application is intended to be used on a tablet computer which will be incorporated on the medicine tray. The smart medication management system include the medicine tray, the tablet device, and the medicine cups with the cup holders. Introducing the Smart Dosing application should not interfere with the existing process carried out by the nurses, and it should result in minimum modifications to the tray design and the workflow. The re-designing of the tray would include integrating the device running the application into the tray in a manner that the users find it convenient and make less errors while using it. The main objective of this thesis is to enhance the security of the hospital medicine dispensation process by ensuring the security of the Smart Dosing application at various levels. The methods used for writing this thesis was to analyse how the tray design, and the application user interface design can help prevent errors and what secure technology choices have to be made before starting the development of the next prototype of the Smart Dosing application. The thesis first understands the context of the use of the application, the end-users and their needs, and the errors made in everyday medication dispensation workflow by continuous discussions with the nursing researchers. The thesis then gains insight to the vulnerabilities, threats and risks of using mobile application in hospital medication dispensation process. The resulting list of security requirements was made by analysing the previously built prototype of the Smart Dosing application, continuous interactive discussions with the nursing researchers, and an exhaustive state-of-the-art study on security risks of using mobile applications in hospital context. The thesis also uses Octave Allegro method to make the readers understand the likelihood and impact of threats, and what steps should be taken to prevent or fix them. The security requirements obtained, as a result, are a starting point for the developers of the next iteration of the prototype for the Smart Dosing application.
Resumo:
Työn keskeisimpänä tavoitteena on tutkia SIEM-järjestelmien (Security Information and Event Management) käyttömahdollisuuksia PCI DSS -standardissa (Payment Card IndustryData Security Standard) lähtökohtaisesti ratkaisutoimittajan näkökulmasta. Työ on tehty Cygate Oy:ssä. SIEM on uusi tietoturvan ratkaisualue, jonka käyttöönottoa vauhdittavat erilaiset viralliset sääntelyt kuten luottokorttiyhtiöiden asettama PCI DSS -standardi. SIEM-järjestelmien avulla organisaatiot pystyvät keräämään valmistajariippumattomasti verkon systeemikomponenteista tapahtumatietoja, joiden avulla pystytään näkemään keskitetysti, mitä verkossa on tapahtunut. SIEM:ssa käsitellään sekä historiapohjaisia että reaaliaikaisia tapahtumia ja se toimii organisaatioiden keskitettynä tietoturvaprosessia tukevana hallintatyökaluna. PCI DSS -standardi on hyvin yksityiskohtainen ja sen vaatimusten täyttäminen ei ole yksinkertaista. Vaatimuksenmukaisuutta ei saavuteta hetkessä, vaan siihen liittyvä projekti voi kestää viikoista kuukausiin. Standardin yksi haasteellisimmista asioista on keskitetty lokien hallinta. Maksukorttitietoja käsittelevien ja välittävien organisaatioiden on kerättävä kaikki audit-lokit eri järjestelmistä, jotta maksukorttitietojen käyttöä pystytään luottamuksellisesti seuraamaan. Standardin mukaan organisaatioiden tulee käyttää myös tunkeutumisen ja haavoittuvuuksien havainnointijärjestelmiä mahdollisten tietomurtojen havaitsemiseksi ja estämiseksi. SIEM-järjestelmän avulla saadaan täytettyä PCI DSS -standardin vaativimpia lokien hallintaan liittyviä vaatimuksia ja se tuo samallamonia yksityiskohtaisia parannuksia tukemaan muita standardin vaatimuskohtia. Siitä voi olla hyötyä mm. tunkeutumisen ja haavoittuvuuksien havainnoinnissa. SIEM-järjestelmän hyödyntäminen standardin apuna on kuitenkin erittäin haasteellista. Käyttöönotto vaatii tarkkaa etukäteissuunnittelua ja kokonaisuuksien ymmärtämistä niin ratkaisutoimittajan kuin ratkaisun käyttöönottajan puolelta.
Resumo:
Työn tavoitteena oli perehtyä innovaatiojohtamisen ja järjestelmän soveltamiseen prosessiteollisuuden toimintaympäristöön. Kirjallisuuslähteitä apuna käyttäen perehdyttiin liiketoimintaympäristön innovaatiojohtamiselle asettamiin vaatimuksiin ja erilaisiin innovaatiojärjestelmiin. Olennaisena osana innovaatiojohtamiseen liittyy sidosryhmien tarpeiden ja niiden tarjoamien resurssien huomioiminen toiminnassa. Myöskin tuotekehityksen menetelmät ja työkalut ovat omalta osaltaan merkittävässä asemassa toiminnan tehokkuutta arvioitaessa. Innovaatiojärjestelmä tulee sopeuttaa yrityksen toimintoihin ja sen erityispiirteet huomioonottaen siten, että toiminnan johtaminen prosessina tuo yritykselle ja sen sidosryhmille lisäarvoa. Innovaatiojärjestelmän luominen yritykselle on ainayksilöllinen prosessi ja siihen ei ole olemassa yleispätevää menetelmää, joka voitaisiin ottaa käyttöön sellaisenaan. Yritys, jonka liiketoiminta keskittyy kuitupohjaisten pakkausmateriaalien valmistamiseen, joutuu täyttämään toiminnassaan materiaalintoimittajien, omien tuotantoprosessiensa ja asiakkaiden sekä jopa loppukäyttäjien uusille tuotteille luomat odotukset. Innovaatiojohtamista sävyttää toiminnan tulosten suuri epävarmuus ja sen vaativien aineellisten ja henkisten resurssien mittavuus. Innovaatiotoiminnan johtaminen prosessina, käyttäen hyväksi järjestelmämallia, tavoittelee systemaattista ja asetettujen kriteerien täyttämää lähestymistapaa tuotekehityksen ja uusien liiketoimintainnovaatioiden alueella. Kehitetyn mallin tulee palvella monimutkaista liiketoimintaympäristöä, jokatoisaalta perustuu tehokkaaseen massatuotantoon ja toisaalta pyrkii erilaistumaan palvelemalla sekä huomioimalla asiakkaidensa tuotteille asettamat vaatimukset.
Resumo:
Diplomityössä on tutkittu sulautetun järjestelmän liittämistä Ethernet-verkkoon sekä TCP/IP-protokollapinoon kuuluvien tavallisimpien protokollien toimintaa. Työn tuloksien perusteella on suunniteltu harjoitustyö, jota voidaan käyttää sähkötekniikan osaston opetuksessa. Työssä hankittiin Atmelin sulautettu Web-serverikortti (EWS) ja STK500-kortti serverin ohjelmointiin. Serverin mukana tuli Internet-yhteyden mahdollistava TCP/IP-pinon lähdekoodi. Työssä selvitettiin TCP/IP:hen kuuluvien protokollien toimintaa teoriassa ja käytännön toteutusta EWS:n avulla. Lähdekoodiin lisättiin ominaisuudet, joiden avulla laite hakee kellonaikatiedot aikapalvelimelta time-protokollaa käyttäen ja lähettää sähköpostia määriteltyyn osoitteeseen sähköpostipalvelimen kautta. Laitetta käytettiin sekä palvelimena että asiakkaana. Työssä perehdyttiin sulautettujen järjestelmien yleisiin ominaisuuksiin ja erilaisiin verkonhallinnan apuohjelmiin. Työssä tutkittiin palvelin- ja asiakaskoneen välillä Ethernetissä kulkevaa verkkoliikennettä. Työssä minimoitiin protokollatiedostojen viemä tila prosessorin muistista ja tutkittiin Internet-yhteyden kuluttamien kellojaksojen määrää. Työssä selvitettiin tietoturva-kysymysten merkitystä ja toteutusta sulautetuissa järjestelmissä.
Resumo:
Elektroninen kaupankäynti ja pankkipalvelut ovat herättäneet toiminnan jatkuvuuden kannalta erittäin kriittisen kysymyksen siitä, kuinka näitä palveluja pystytään suojaamaan järjestäytynyttä rikollisuutta ja erilaisia hyväksikäyttöjä vastaan.
Resumo:
Hyvällä sisällönhallinnalla on mahdollista vaikuttaa myönteisesti liiketoiminnalliseen tulokseen, jos sisällönhallinnan eri vaikutusmahdollisuudet tunnistetaan. Kun organisaatiossa syntyvä tieto on vapaasti saatavilla, ja sitä voidaan tulkita ja hyödyntää erilaisiin tarpeisiin, tietojärjestelmän avulla voidaan vauhdittaa kehitystä ja uuden tiedon löytämistä. Tiedon keskeisin tehtävä on kehittää ja parantaa organisaation osaamista, jolloin pitää olla tietoa siitä, mitä, miksi ja kuinka tietoa on käytetty organisaatiossa. Kaiken liiketoimintaprosesseissa tuotetun tiedon kohdalla pitäisi miettiä kolmea tiedonhallinnan osa-aluetta: tiedon luontia, hallintaa ja hyödyntämistä. Tavoitteena on saavuttaa yrityksen määrämuotoisen tietopääoman paras mahdollinen hallinta.Työssä kuvataan sitä, mitä sisällönhallinta on, sen eri tasoja, sen käsitteellistä sijoittumista tietämyksenhallintaan, sisällönhallinnan järjestelmiä ja niiden merkitystä liiketoimintaprosesseissa. Lisäksi tarkastellaan niitä syitä, joiden vuoksi yritykset kiinnostuvat organisaatiossa olevan määrämuotoisen tiedon sisällönhallinnasta. Lopuksi analysoidaan, millaisia voivat olla liiketoiminnalliset, kilpailulliset tai rahalliset tavoitteet, joita asetetaan sisällönhallinnan tietojärjestelmäprojektille. Työn tueksi on haastateltu neljän suomalaisen suuryrityksen sisällönhallinnan tietojärjestelmäprojektin asiantuntijoita. Heidän kommenttejaan on analysoitu ja niiden perusteella on tehty johtopäätöksiä niistä syistä, joiden vuoksi yritykset yleensä sijoittavat resurssejaan sisällönhallintaan.
Resumo:
Projektin johtaminen informaatioaikakaudella merkitsee, yhä useammassa tapauksessa, virtuaalisen verkoston tietämyksen hallitsemista ja johtamista. Kolmannen sukupolven matkaviestinverkon rakentaminen on virtuaaliverkostoa hyväkseen käyttävä projekti, joka koostuu lukuisista osapuolista.Matkaviestinverkkoprojektien laajentuminen ja kilpailun kiristyminen alalla ovat nostaneet knowledge management -järjestelmien kysyntää. Kysyntä kohdistuu voimakkaimmin järjestelmiin, joiden avulla matkaviestinverkkotoimitusprojektin kaikki toiminnot pystytään käsittelemään yhdessä järjestelmässä. Tämän tutkimuksen pääasiallisena tavoitteena on ollut selvittää keskeisimmät vaatimukset kolmannen sukupolven matkaviestinverkon rakentamisprojektin knowledge management ?järjestelmälle. Tutkimus toteutettiin kirjallisuuden ja avoimien teemahaastattelujen avulla, käyttäen kvalitatiivisiä tutkimusmenetelmiä.Haastattelut osoittivat, että tärkeimmät vaatimukset kolmannen sukupolven matkaviestinverkkoja rakentavan projektiorganisaation knowledge management -järjestelmälle ovat: 1. Knowledge management -järjestelmän tulee toimia keskitettynä tietovarastona.2. Projektissa käsiteltävään tietoon on pystyttävä porautumaan vähintään prosessi- ja paikkatietoon pohjautuvista näkökulmista. 3. Pääsyn knowledge management -järjestelmään tulee olla mahdollista kaikille projektin osapuolille.4. Pääsyn knowledge management -järjestelmään tulee olla mahdollista mistä tahansa ja mihin kellonaikaan tahansa.5. Knowledge management -järjestelmän käyttöliittymän tulee olla mahdollisimman yksinkertainen. Järjestelmän tulee olla yhteydessä organisaatioiden muihin järjestelmiin.
Resumo:
The main objective of this study is to assess the potential of the information technology industry in the Saint Petersburg area to become one of the new key industries in the Russian economy. To achieve this objective, the study analyzes especially the international competitiveness of the industry and the conditions for clustering. Russia is currently heavily dependent on its natural resources, which are the main source of its recent economic growth. In order to achieve good long-term economic performance, Russia needs diversification in its well-performing industries in addition to the ones operating in the field of natural resources. The Russian government has acknowledged this and started special initiatives to promote such other industries as information technology and nanotechnology. An interesting industry that is basically less than 20 years old and fast growing in Russia, is information technology. Information technology activities and markets are mainly concentrated in Russia’s two biggest cities, Moscow and Saint Petersburg, and areas around them. The information technology industry in the Saint Petersburg area, although smaller than Moscow, is especially dynamic and is gaining increasing foreign company presence. However, the industry is not yet internationally competitive as it lacks substantial and sustainable competitive advantages. The industry is also merely a potential global information technology cluster, as it lacks the competitive edge and a wide supplier and manufacturing base and other related parts of the whole information technology value system. Alone, the industry will not become a key industry in Russia, but it will, on the other hand, have an important supporting role for the development of other industries. The information technology market in the Saint Petersburg area is already large and if more tightly integrated to Moscow, they will together form a huge and still growing market sufficient for most companies operating in Russia currently and in the future. Therefore, the potential of information technology inside Russia is immense.
Resumo:
Lainsäädäntö velvoittaa valtionhallintoa huolehtimaan riittävästä ICT-varautumisesta, jotta yhteiskunnan kriittiset toiminnot ovat turvattu normaaliolojen lisäksi normaaliolojen häiriötilanteissa ja poikkeusoloissa. ICT-varautumisen vaatimukset on määrätty VAHTI ICT-varautumisen vaatimukset - ohjeessa. ICT-varautuminen on riskienhallintaan perustuvaa toimintaa, joka liittyy keskeisesti organisaation kokonaisturvallisuuteen, tietohallintoon ja yleiseen varautumiseen. Tutkielman teoriakatsauksessa perehdytään riskienhallintaan ja kokonaisturvallisuuteen painottaen ICT-varautumisen kannalta tärkeitä osa-alueita tietoturvallisuutta ja IT-riskienhallintaa. Kohdeorganisaation ICT-varautumisen toimintajärjestelmää varten kartoitetaan ICT-varautumisen viitekehys. Empiirisessä osiossa toteutetaan tapaustutkimuksena kohdeorganisaation ICT-varautumisen nykytilan suppea analyysi ja laaditaan kehittämisehdotelmana toimintamalli ICT-varautumisen organisoimiseksi ja käyttöönottamiseksi. Tutkielman tuotoksena kohdeorganisaatiolla on systemaattinen organisaation eri tasot huomioiva toimintamalli ICT-varautumisen toteuttamiseksi.
Resumo:
This study examines information security as a process (information securing) in terms of what it does, especially beyond its obvious role of protector. It investigates concepts related to ‘ontology of becoming’, and examines what it is that information securing produces. The research is theory driven and draws upon three fields: sociology (especially actor-network theory), philosophy (especially Gilles Deleuze and Félix Guattari’s concept of ‘machine’, ‘territory’ and ‘becoming’, and Michel Serres’s concept of ‘parasite’), and information systems science (the subject of information security). Social engineering (used here in the sense of breaking into systems through non-technical means) and software cracker groups (groups which remove copy protection systems from software) are analysed as examples of breaches of information security. Firstly, the study finds that information securing is always interruptive: every entity (regardless of whether or not it is malicious) that becomes connected to information security is interrupted. Furthermore, every entity changes, becomes different, as it makes a connection with information security (ontology of becoming). Moreover, information security organizes entities into different territories. However, the territories – the insides and outsides of information systems – are ontologically similar; the only difference is in the order of the territories, not in the ontological status of entities that inhabit the territories. In other words, malicious software is ontologically similar to benign software; they both are users in terms of a system. The difference is based on the order of the system and users: who uses the system and what the system is used for. Secondly, the research shows that information security is always external (in the terms of this study it is a ‘parasite’) to the information system that it protects. Information securing creates and maintains order while simultaneously disrupting the existing order of the system that it protects. For example, in terms of software itself, the implementation of a copy protection system is an entirely external addition. In fact, this parasitic addition makes software different. Thus, information security disrupts that which it is supposed to defend from disruption. Finally, it is asserted that, in its interruption, information security is a connector that creates passages; it connects users to systems while also creating its own threats. For example, copy protection systems invite crackers and information security policies entice social engineers to use and exploit information security techniques in a novel manner.
Resumo:
This study is based on a large survey study of over 1500 Finnish companies’ usage, needs and implementation difficulties of management accounting systems. The study uses quantitative, qualitative and mixed methods to answer the research questions. The empirical data used in the study was gathered through structured interviews with randomly selected companies of varying sizes and industries. The study answers the three research questions by analyzing the characteristics and behaviors of companies working in Finland. The study found five distinctive groups of companies according to the characteristics of their cost information and management accounting system use. The study also showed that the state of cost information and management accounting systems depends on the industry and size of the companies. It was found that over 50% of the companies either did not know how their systems could be updated or saw systems as inadequate. The qualitative side also highlighted the needs for tailored and integrated management accounting systems for creating more value to the managers of companies. The major inhibitors of new system implementation were the lack of both monetary and human resources. Through the use of mixed methods and design science a new and improved sophistication model is created based on previous research results combined with the information gathered from previous literature. The sophistication model shows the different stages of management accounting systems in use and what companies can achieve with the implementation and upgrading of their systems.
Resumo:
Inside cyber security threats by system administrators are some of the main concerns of organizations about the security of systems. Since operating systems are controlled and managed by fully trusted administrators, they can negligently or intentionally break the information security and privacy of users and threaten the system integrity. In this thesis, we propose some solutions for enhancing the security of Linux OS by restricting administrators’ access to superuser’s privileges while they can still manage the system. We designed and implemented an interface for administrators in Linux OS called Linux Admins’ User Interface (LAUI) for managing the system in secure ways. LAUI along with other security programs in Linux like sudo protect confidentiality and integrity of users’ data and provide a more secure system against administrators’ mismanagement. In our model, we limit administrators to perform managing tasks in secure manners and also make administrators accountable for their acts. In this thesis we present some scenarios for compromising users’ data and breaking system integrity by system administrators in Linux OS. Then we evaluate how our solutions and methods can secure the system against these administrators’ mismanagement.
