Kyberturva ilman johtamisjärjestelmää vuotaa -Siksi on hallinnollinen tietoturva
Onko kyberhyökkäys oikea uhka? Miten yritys varmistaa tietoturvan? Miten tietoturvaa tulee johtaa? Kysymyksiä on virrannut Elmolle, kun kyberturvauhat ovat lisääntyneet. Elmon toimitusjohtaja Janne Aaltonen kertoo, miten tietoturvaa johdetaan.
Aloitetaan tekemällä ero teknisen ja hallinnollisen tietoturvan välillä. Tietoturvapuhe keskittyy usein palomuureihin, virustorjuntaan ja kaksivaiheisiin tunnistautumisiin. Kaikki ne ovat tärkeä osa teknistä tietoturvaympäristöä. Tietoturvan suurin riski on kuitenkin ihminen. Aaltonen vertaa tilannetta autoiluun.
Auton mukana tulee turvajärjestelmiä, mutta kyse on lopulta siitä, miten niitä käyttää ja mitä kuski tekee. Samoin tietoturvaan on teknisiä ratkaisuja, mutta vasta hallinnollinen tietoturva kertoo, miten ratkaisuja käytetään.
Kun ihminen hölmöilee ja softassa on bugeja…
Hallinnollisen tietoturvan englanninkielinen nimi ISMS tulee termeistä Information Security Management System. Kyseessä on kokonainen johtamisjärjestelmä, joka kattaa prosessit, käytännöt ja toimintatavat, joilla yritys pyrkii takaamaan tietoturvan toteutumisen. Kuten Aaltonen huomauttaa, suurin osa liiketoimintaprosesseista liittyy tietoturvaan.
Miten ihmisten taustat tarkistetaan rekrytoinnissa, keillä on pääsy yrityksen tiloihin, kuinka käyttöoikeudet järjestelmiin jaetaan, mitä työkoneelle saa asentaa, Aaltonen listaa.
Aaltonen on pitänyt lukuisia luentoja hallinnollisesta tietoturvasta ja sanoo siitä tulleen yritysten kilpailuetu
Näiden ja lukuisten muiden periaatteiden dokumentointi on keskeinen osa hallinnollista tietoturvaa. Toinen on koulutus: vasta jalkauttamalla periaatteet varmistetaan, että tietoturvan heikoin lenkki, ihminen, tekisi mahdollisimman vähän virheitä.
Ongelmat syntyvät, kun ihminen hölmöilee ja softassa on bugeja. Bugit ovat inhimillisiä virheitä koodissa, ja mahdollistavat käyttöyhteyden järjestelmään.
Yrityksissä on valtava määrä koodia, joten on selvää, että bugejakin esiintyy. Lisäksi ihmiset tekevät virheitä, heitä johdetaan harhaan tai ihmiset toimivat tietoisesti ohjeita vastaan. Tämä avaa oven kiristysohjelmille.
…tarvitaan tietoturvan johtamisjärjestelmä
Mistä liikkeelle? Siitä, että yritys kehittää itselleen tietoturvan johtamisjärjestelmän. Omin päin sitä ei tarvitse keksiä, sillä kansainvälinen ISO/IEC 27001 -standardi kuvaa hyvin tarvitut vaatimukset. Standardi ei kuitenkaan aina avaudu helpolla.
Yhä useampi yritys tiedostaa, että tietoturvan johtamisjärjestelmä tarvitaan, ISO/IEC 27001:stä on ehkä kuultu ja usein se näkyy loppuasiakkaiden tarvitaan, ISO/IEC 27001:stä on ehkä kuultu ja usein se näkyy loppuasiakkaiden vaatimuksissa. Standardi koetaan kuitenkin monimutkaisesti ja työmäärä valtavaksi. Ja onhan siinä työtä: Elmon sertifiointi alkoi 2016 ja valmistui 2019.
Kokemuksensa pohjalta Elmo on kuitenkin kehittänyt asiakkailleen suoraviivaisen mallin ISO/IEC 27001 -sertifikaatin mukaiseen tietoturvan johtamisjärjestelmään. Elmon sertifioidut tietoturvakonsultit kartoittavat asiakkaan toiminnan ja tekevät varsin valmiin ehdotuksen rakenteesta ja sisällöstä.
Työ tuottaa noin 20 dokumenttia, joissa kuvataan tietoturvan hallinnan politiikat, prosessit ja toimintaohjeet. Elmon mallilla investointi on noin 20 000 euroa, riippuen kattavuudesta. Kaikkea ei tarvitse tehdä heti, vaan yritykselle kriittisistä osa-alueista voidaan aloittaa, rauhoittelee Aaltonen.
ISO/IEC 27001 on jättiläinen, joka taipuu moneen sertifiointiin
Tietoturvan hallintajärjestelmiä ja sertifikaatteja on maailmalla muitakin, kuten SOC 2, C2M2, NIST CSF ja TISAX; uusimpana EU:n NIS2-kyberturvadirektiivi, jonka kansallinen soveltaminen Suomessa alkaa 18.10.2024. Myös näiden tarkasteluun ISO/IEC 27001 -pohjainen ISMS antaa hyvät lähtökohdat.
ISO/IEC 27001 kattaa järeimpänä versiona hyvin muiden sertifikaattien vaatimukset. Tietoturvaa ei ole pakko viedä sertifikaattiin asti, mutta kun asiat on tehty ISO-viitekehyksellä, säilyy sertifointi optiona tulevaisuudessa.
Lisätietoja
Tagit
Omat tagit
ICT Elmo - Asiantuntijat ja yhteyshenkilöt
ICT Elmo - Muita referenssejä
ICT Elmo - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- M-Files Oy - Accountant - Purchase to Pay (Finland)
- Laura - Senior Developer (Retail Devices & Solutions)
- Frends iPaaS - Finance Manager
- Laura - Talotekniikan asiantuntija
- Laura - Development Manager, Partner Platforms
- Laura - Software Engineer (C++/Qt)
- Laura - IT asiantuntija
Premium-asiakkaiden viimeisimmät referenssit
- Ampersand Design Oy - Sähköyhtiö sai kirkkaan brändistrategian ja selkeät verkkosivut laajentaessaan palveluitaan
- Ampersand Design Oy - Yrityskatalogin sisältö ja ulkoasu viestivät palveluista selkeästi
- Ampersand Design Oy - Varausjärjestelmä verkossa nostaa tienvarsimainoksen käyttöastetta
- Ampersand Design Oy - Hygieniatukulle toteutettiin kätevä tuotekatalogi verkkokauppapohjaan
- Ampersand Design Oy - Uusi kesäfestari sai sähäkän ilmeen
- Ampersand Design Oy - Kirkastettu palvelubrändi houkuttelee sijoittajia
- Ampersand Design Oy - Aluebrändin kehittäminen toi vetovoimaa Lahden seudulle
Tapahtumat & webinaarit
- 14.05.2024 - Rakettiwebinaari: Koodista kassavirtaan
- 14.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Mitä versionvaihdosta tulisi tietää?
- 15.05.2024 - Ilmainen ERP-webinaari: Mitä tulee ottaa huomioon ERP:n ja CRM:n projektien käyttöönotossa, eli onnistuneen projektin A ja O.
- 16.05.2024 - Five Years Out Helsinki
- 21.05.2024 - The path to productization
- 21.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Business Centralin mahdollisuudet versionvaihdon jälkeen
- 29.05.2024 - Efistream-webinaari: Näin rakennat modernin taloushallinnon, joka tukee tiedolla johtamista
Premium-asiakkaiden viimeisimmät bloggaukset
- Timeless Technology - ControlByWeb ohjelmoitavat logiikat (PLC) ovat saatavilla nyt myös WLAN-yhteyksillä
- SprintIT Oy - SprintIT säilyttää arvostetun Odoo Gold Partner -statuksen
- Efima Oyj - Älykäs ohjelmistorobotti – tekoäly palauttaa aiemmin kannattamattomaksi kuopatut RPA-automaatioideat takaisin kehityslistalle
- Nordea - Nordean työ taloustaitojen edistämiseksi palkittiin vuoden yhteiskunnallisena sponsorointitekona
- M-Files Oy - M-Files: A Global Leader in Information Management
- M-Files Oy - Unlocking the value of Knowledge Work Automation
- Timeless Technology - ControlByWeb ohjelmoitavat I/O kontrollerit ja ohjaimet prosessien ohjaamiseen sekä monitorointiin.
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |