Väike- ja keskettevõtete infoturbe hindamine: kohandamise vajadused F4SLE raamistikule ja sellele tuginevale MASS tööriistale

Abstract

In today’s digital environment, ensuring cybersecurity has become critically important for businesses, yet small and medium-sized enterprises (SMEs) often face limited resources, low awareness, and a lack of suitable tools. Although cyber threats aect both large and small organizations, SMEs are particularly vulnerable due to the frequent absence of a systematic approach to security assessment. According to the Estonian Information System Authority, many smaller organizations lack the capacity to adequately evaluate their cybersecurity needs. The aim of this master’s thesis is to analyse to what extent the self-assessment tool MASS (Measurement Application for Self-assessing Security) meets the needs of SMEs, with a focus on usability, clarity, and practical applicability. While MASS is not based on any specic standard, it is analysed here in the context of the F4SLE (Framework for Security Level Evaluation) framework, which supports maturity-level assessments in cybersecurity. The study concentrates on the experiences, expectations, and practical challenges SMEs face when using the tool. The empirical part includes semi-structured interviews and expert evaluations to gather input on user experience and functional requirements. The analysis highlighted four main development needs: improving the questionnaire’s structure and usability, enabling role-based completion, adding a proling page, and enhancing linguistic clarity. This thesis contributes to a little-studied area in Estonia– the adaptation of cybersecurity self-assessment tools for SMEs– and presents concrete recommendations for improving the usability and applicability of the MASS tool.

Tänapäeva digikeskkonnas on infoturbe tagamine ettevõtete jaoks vältimatult oluline, kuid väike- ja keskettevõtted (VKEd) seisavad sageli silmitsi piiratud ressursside, vähese teadlikkuse ning sobivate tööriistade puudumisega. Kuigi küberohud ohustavad nii suuri kui väikeseid organisatsioone, on VKEd haavatavamad, kuna neil puudub sageli süsteemne lähenemine infoturbe hindamisele. Riigi Infosüsteemi Ameti hinnangul ei ole paljudel väiksematel organisatsioonidel suutlikkust infoturbe vajadusi adekvaatselt hinnata. Magistritöö eesmärk on analüüsida, kuivõrd vastab enesehindamise tööriist MASS (Measurement Application for Self-assessing Security) VKEde vajadustele, keskendudes selle kasutusmugavusele, arusaadavusele ja praktilisele rakendatavusele. Kuigi MASS ei tugine otseselt ühele kindlale standardile, on seda uuringus käsitletud F4SLE (Framework for Security Level Evaluation) raamistiku kontekstis, mis toetab infoturbe küpsustaseme hindamist. Töö keskendub VKEde kogemustele, ootustele ja praktilistele takistustele tööriista kasutamisel. Empiirilises osas viidi läbi poolstruktureeritud intervjuud ja eksperthinnangud, mille abil koguti sisendit tööriista kasutatavuse ja funktsionaalsete nõuete kohta. Analüüsi tulemusena tõid kasutajad ja eksperdid esile neli peamist arendusvajadust: küsimustiku struktuuri ja kasutatavuse parandamine, rollipõhise täitmise võimaldamine, profiililehe lisamine ning tööriista keelelise selguse suurendamine. Magistritöö panustab väheuuritud valdkonda – infoturbe enesehindamise töövahendite kohandamisse VKEde vajadustele – ning esitab sisulised ettepanekud tööriista MASS kasutajakogemuse ja rakendatavuse parendamiseks.