4.5 Aineistoanalyysi
4.5.1 Aineistoanalyysin toteutuksen valinta
Grounded Theory eli ankkuroitu teoria on lähestymistapa laadulliseen tutkimukseen. Mene-telmän kehittivät Glaser ja Strauss (ks. Glaser ja Strauss 1967). Grounded Theory jakautui kehittäjien (Glaser ja Strauss) riitauduttua tutkimusmenetelmän analyysistä 1990 Glaserilai-seen ja StaussilaiGlaserilai-seen lähestymistapaan. Tämä riita alkoi siitä, kun Strauss ja Corbin keskit-tyivät kehittämään teoriasta hieman analyyttisemman lisäämällä siihen välitason eli aksiaa-listason sekä sisällyttämään ohjauksen aloitteleville tutkijoille. Glaserilainen lähestymistapa noudatti alkuperäistä luotua analyysimallia, joka pitää sisällään sisällöllisen (engl. Substanti-ve Coding) ja teoreettisen (engl. Theoretical Coding) koodausvaiheen. Sisällöllinen koodaus on tietoriippuvaista, jolloin siitä tulee entistä abstraktimpia. Tällöin tiedot voidaan teoreetti-sen koodausvaiheen aikana uudelleen luokittaa, jolloin tiedot voidaan integroida syntynee-seen uuteen teoriaan. Straussilaista lähestymistapa taas pitää sisällään kolmitasoisen herme-neuttisen analyysitekniikan, joka koostuu avoimen koodauksen (engl. Open Coding), aksiaa-lisen koodauksen (engl. Axial Coding) ja selektiivisen koodauksen (engl. Selective Coding) vaiheesta. Eroina voidaan myös mainita, että Glaserilaisessa tulkinnassa ilmiöllä voidaan tar-koittaa useaa eri asiaa (koodia) samanaikaisesti, mutta Staussilaisessa lähestymistavassa näin ei voi olla. (ks. Heath ja Cowley 2004, 141–146)
Valitsin tutkimukseni aineistoanalyysiksi Grounded Theory analyysitekniikka, koska tämä laadullisen tutkimuksen lähestymistapana tuo parhaan vastaukseen selvitettäviin tutkimus-kysymyksiin. (ks. Hirsjärvi, Remes ja Sajavaara 2013, 224) Etenkin Straussilainen kolmi-tasoinen hermeneuttinen analyysitekniikka sopii parhaiten, koska se sisältää kolme eri me-kaanista vaihetta avoimen koodauksen (engl. Open Coding), aksiaalisen koodauksen (engl.
Axial Coding) ja selektiivisen koodausvaiheen (engl. Selective Coding) ja tässä lähestymis-tavassa luokalle annetaan vain yksi tarkoitus. Tämä oli mielestämme tärkeää, koska tutki-muksen alussa organisaation tietoturvan laaja-alaisuudesta johtuen, se jaettiin organisaatio-, ohjelmisto- ja tietoverkkotasoihin (ks. Kuvio 6)
4.5.2 Avoin koodaus
Tämän aineistoanalyysivaiheen tarkoituksena on harjoittaa tutkimalla, vertailemalla, käsit-teellistämällä sekä luokittelemalla tutkimuksen aineisto. Tällä tarkoitetaan joko lauseita, lausetta tai kohtia, joka antaa erilliselle tapaukselle idean, nimen tai jotain joka edustaa ilmiö-tä. Nämä kysymykset auttavat tunnistettavien käsitteellisten ilmiöiden kategorioiden ryhmit-telyssä analysoinnin ensimmäisen vaiheen aikana, jolloin menetryhmit-telyssä tunnistettujen ilmiöi-den käsitteitä voidaan luokitella kuuluvaksi samaan luokitukseen. Luokituksen nimeäminen tapahtuu suoraan aineistosta löytyvien käsitteiden mukaisesti, jolloin varmasti tiedetään nii-den tarkka merkitys. (ks. Strauss ja Corbin 1990, 63–65)
Tutkielman tässä vaiheessa otin käyttöön Atlas.ti analysointiohjelmiston. Aluksi perehdyin litteroituun haastatteluaineistoon lukemalla sen useaan kertaan läpi hyvän käsityksen aikaan-saamiseksi. Ensimmäisellä analysointikerralla etsin aineistosta ilmiöitä, joille kykenin anta-maan käsitteellisen nimen ja jatkoin tällä tavalla läpi koko aineiston.
Aloittaessani aineiston koodaus sovimme että käytän (ks. Kuvio 6) rajauksen mukaisia in-dikaattoreita (engl. Indicator) luokkien nimissä, jotta pystyisin jatkossa erottamaan mihinkä rajauksen mukaiseen kategoriaan kukin tagi kuuluu. Tämä jako säilytettiin sotkematta kokoa aineistoanalyysin ajan, myös muissa koodausvaiheissa vaikka muissa koodauksen vaiheissa yläluokille tulisi eri nimi. Tässä merkinnässä ensimmäinen osa on indikaattori ja toinen osa on luokan nimi, ne ovat muotoa:
• Organisaatiotaso:OR:<merkitys>
• Ohjelmistotaso:OH:<merkitys>
• Tietoverkkotaso:TV:<merkitys>
Ensimmäiset tämän koodausvaiheen aikana syntyneet luokat olivat joko liian abstrakteja tai tarkkoja, koska käytin alussa vain mikroanalyysin virkeanalyysiä, joka on rivi-riviltä analyy-si. Tämän takia syntyi useita iteraatiokierroksia, joista usea päättyi käsitteiden ja luokkien uudelleen muodostamiseen, koska suoritimme näistä tutkielman ohjaajien kanssa laadullista analyysia katselmointien yhteydessä. Vaikeutena oli luokkien nimeäminen niiden ominai-suuksien ja ulottuvuuksien mukaan. Muutimme tässä vaiheessa aineistoanalyysilähestymis-tapaa ja otin käyttöön myös "In Vivo"-koodauksen, jossa nimesin suoraan eli käsitteellistin
tutkimusaineistosta vastaajien antamia avainsanoja. (ks. Strauss ja Corbin 1990, 63–65) Jat-kaessani vertailua joidenkin ilmiöiden selittäminen tavalliseen tapaan ei onnistunut, tällöin käytin tarvittaessa tarkempaa järjestelmällisen vertailun analyysiä, jolloin suoritin vertailun löydöksen ja kirjallisuuden tietoja, koska muuten nämä ilmiöt olisivat jääneet huomioimatta (ks. Strauss ja Corbin 1998, 93–94). Kirjoitin nämä tiedot Atlas.ti ohjelman tageihin muistiin myöhempää luokittelua ja analysointia varten.
Avoimen koodauksen tuloksena syntyi yhteensä 321 tagia (ks. Taulukko 6). Käsitteellistämi-sen eli ilmiöiden tunnistamiKäsitteellistämi-sen jälkeen päällekkäiset ilmiötä jakautuivat yhteiseen luokka-rakenteeseen niiden yhteisten ominaisuuksien mukaisesti (ks. Strauss ja Corbin 1998, 103).
Luokitellessani näitä tageja kirjoitin myös luokan nimen yhteyteen muistion, johon lisäsin tiedon siitä mitä olin luokan nimeä tehdessäni miettinyt. Nämä muistiot auttoivat minua, kun luokittelin tageja järjestykseen niiden ominaisuuksien ja ulottuvuuksien mukaan. Tämä vai-he kesti useita viikkoja. Käsitteellistämisen tuloksena syntyi 61 luokkaa, jotka jakautuivat työn rajauksen mukaisten indikaattorien alaisuuteen siten, että niitä oli organisaatiotasolla 41, ohjelmistotasolla 12 ja tietoverkkotasolla 9 kappaletta.
Avoinkoodaus Tagien lkm.
Avoinkoodaus Tagien
lkm.
OH: Päivitys 5 OR: Tietoturvaohjeistuksen päivittäminen 10
OH: Käyttöönoton tarkastukset 6 OR: Tietoturvaohjeistuksen puutteiden luettelointi
11
OH: Lokitiedot 4 OR: Tietoturvaohjeistuksen saatavuus 8
OH: MST Ohjelmistotuki 4 OR: Tietoturvaohjeistuksen sisältö 9 OH: MST ohjelmistot 4 OR: Tietoturvaohjeistuksen yhdenmukaisuus 5
OH: MST testaus 8 OR: Tietoturvaongelman tapahtuma analyysi 12
OH: MST tietoturva 7 OR: Tietoturvaongelmien havaitseminen 5
OH: OST ohjelmistot 2 OR: Tietoturvaongelmista tiedottaminen 5
OH: OST riskit 2 OR: Tietoverkkojen käyttösäännöt 5
OH: OST testaus 5 OR: Tietoverkonsuunnittelu 2
OH: Päivityksien testaus 8 OR: Toimenkuva 11
OH: Testiympäristö 3 OR: Toimintapolitiikan ja -strategian muutokset
3 OR: Asiakirjahallinnan tietoturva 3 OR: Toimintapolitiikka ja –strategia 3
OR: Asiakirjahallinta 4 OR: Työn ohessa kouluttautuminen 4
OR: Hiljainen tieto 5 OR: Uhkista raportointi 8
OR: Järjestelmän käyttö-ohjeistus 6 OR: Yleisoheistuksen yhdenmukaisuus 6 OR: Käyttäjätunnustenhallinnan
uudistaminen
3 OR: Yleisohjeistuksen haku 3
OR: Käyttäjätunnustenhallinta 3 OR: Yleisohjeistuksen päivittäminen 2 OR: Kokematon työntekijä 10 OR: Yleisohjeistuksen puutteiden kirjaaminen 7
OR: Kouluttautuminen 5 OR: Yleisohjeistuksen sisältö 7
OR: Koulutuksesta saadun tiedon jakaminen
3 TV: Dokumentaatio 11
OR: Koulutusmahdollisuus 11 TV: Hallinnanvalvontajärjestelmä 2
OR: Koulutusmuodot 7 TV: Palomuuri 4
OR: Laitteiden käyttö-ohjeistus 4 TV: Palvelinlaitteisto 1
OR: Laitteiden valvonta 2 TV: Rakenteellinen tietoturva 6
OR: Nykyinen työkokemus 9 TV: Rakenteelliset puutteet 2
OR: Palvelujen ostaminen 3 TV: Sisäverkko 2
OR: Rekrytointi - Aiempi työkokemus 8 TV: Varmuuskopio 1
OR: Sisäinen koulutus 5 TV: VPN-yhteys 2
OR: Tapahtumanhallintajärjestelmä 4 OR: Tietohallinnon tehtävät 5 OR: Tietohallinnon vahvuus 3
OR: Tietoturvanhallinta 3 Yhteensä 321