Kyberturva ilman johtamisjärjestelmää vuotaa -Siksi on hallinnollinen tietoturva
Onko kyberhyökkäys oikea uhka? Miten yritys varmistaa tietoturvan? Miten tietoturvaa tulee johtaa? Kysymyksiä on virrannut Elmolle, kun kyberturvauhat ovat lisääntyneet. Elmon toimitusjohtaja Janne Aaltonen kertoo, miten tietoturvaa johdetaan.
Aloitetaan tekemällä ero teknisen ja hallinnollisen tietoturvan välillä. Tietoturvapuhe keskittyy usein palomuureihin, virustorjuntaan ja kaksivaiheisiin tunnistautumisiin. Kaikki ne ovat tärkeä osa teknistä tietoturvaympäristöä. Tietoturvan suurin riski on kuitenkin ihminen. Aaltonen vertaa tilannetta autoiluun.
Auton mukana tulee turvajärjestelmiä, mutta kyse on lopulta siitä, miten niitä käyttää ja mitä kuski tekee. Samoin tietoturvaan on teknisiä ratkaisuja, mutta vasta hallinnollinen tietoturva kertoo, miten ratkaisuja käytetään.
Kun ihminen hölmöilee ja softassa on bugeja…
Hallinnollisen tietoturvan englanninkielinen nimi ISMS tulee termeistä Information Security Management System. Kyseessä on kokonainen johtamisjärjestelmä, joka kattaa prosessit, käytännöt ja toimintatavat, joilla yritys pyrkii takaamaan tietoturvan toteutumisen. Kuten Aaltonen huomauttaa, suurin osa liiketoimintaprosesseista liittyy tietoturvaan.
Miten ihmisten taustat tarkistetaan rekrytoinnissa, keillä on pääsy yrityksen tiloihin, kuinka käyttöoikeudet järjestelmiin jaetaan, mitä työkoneelle saa asentaa, Aaltonen listaa.
Aaltonen on pitänyt lukuisia luentoja hallinnollisesta tietoturvasta ja sanoo siitä tulleen yritysten kilpailuetu
Näiden ja lukuisten muiden periaatteiden dokumentointi on keskeinen osa hallinnollista tietoturvaa. Toinen on koulutus: vasta jalkauttamalla periaatteet varmistetaan, että tietoturvan heikoin lenkki, ihminen, tekisi mahdollisimman vähän virheitä.
Ongelmat syntyvät, kun ihminen hölmöilee ja softassa on bugeja. Bugit ovat inhimillisiä virheitä koodissa, ja mahdollistavat käyttöyhteyden järjestelmään.
Yrityksissä on valtava määrä koodia, joten on selvää, että bugejakin esiintyy. Lisäksi ihmiset tekevät virheitä, heitä johdetaan harhaan tai ihmiset toimivat tietoisesti ohjeita vastaan. Tämä avaa oven kiristysohjelmille.
…tarvitaan tietoturvan johtamisjärjestelmä
Mistä liikkeelle? Siitä, että yritys kehittää itselleen tietoturvan johtamisjärjestelmän. Omin päin sitä ei tarvitse keksiä, sillä kansainvälinen ISO/IEC 27001 -standardi kuvaa hyvin tarvitut vaatimukset. Standardi ei kuitenkaan aina avaudu helpolla.
Yhä useampi yritys tiedostaa, että tietoturvan johtamisjärjestelmä tarvitaan, ISO/IEC 27001:stä on ehkä kuultu ja usein se näkyy loppuasiakkaiden tarvitaan, ISO/IEC 27001:stä on ehkä kuultu ja usein se näkyy loppuasiakkaiden vaatimuksissa. Standardi koetaan kuitenkin monimutkaisesti ja työmäärä valtavaksi. Ja onhan siinä työtä: Elmon sertifiointi alkoi 2016 ja valmistui 2019.
Kokemuksensa pohjalta Elmo on kuitenkin kehittänyt asiakkailleen suoraviivaisen mallin ISO/IEC 27001 -sertifikaatin mukaiseen tietoturvan johtamisjärjestelmään. Elmon sertifioidut tietoturvakonsultit kartoittavat asiakkaan toiminnan ja tekevät varsin valmiin ehdotuksen rakenteesta ja sisällöstä.
Työ tuottaa noin 20 dokumenttia, joissa kuvataan tietoturvan hallinnan politiikat, prosessit ja toimintaohjeet. Elmon mallilla investointi on noin 20 000 euroa, riippuen kattavuudesta. Kaikkea ei tarvitse tehdä heti, vaan yritykselle kriittisistä osa-alueista voidaan aloittaa, rauhoittelee Aaltonen.
ISO/IEC 27001 on jättiläinen, joka taipuu moneen sertifiointiin
Tietoturvan hallintajärjestelmiä ja sertifikaatteja on maailmalla muitakin, kuten SOC 2, C2M2, NIST CSF ja TISAX; uusimpana EU:n NIS2-kyberturvadirektiivi, jonka kansallinen soveltaminen Suomessa alkaa 18.10.2024. Myös näiden tarkasteluun ISO/IEC 27001 -pohjainen ISMS antaa hyvät lähtökohdat.
ISO/IEC 27001 kattaa järeimpänä versiona hyvin muiden sertifikaattien vaatimukset. Tietoturvaa ei ole pakko viedä sertifikaattiin asti, mutta kun asiat on tehty ISO-viitekehyksellä, säilyy sertifointi optiona tulevaisuudessa.
Lisätietoja
Tagit
Omat tagit
ICT Elmo - Asiantuntijat ja yhteyshenkilöt
ICT Elmo - Muita referenssejä
ICT Elmo - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Software Engineer (C++/Qt)
- Laura - IT asiantuntija
- Laura - Software Engineer
- Red & Blue Oy - Senior Web Developer
- Laura - Cybersecurity Compliance Lead
- Efima Oyj - Senior Data Engineer
- Laura - Tietosuojasuunnittelija: tiedonhallinta- ja tietosuojayksikkö; Joensuu; määräaikainen (id8753)
Premium-asiakkaiden viimeisimmät referenssit
- Roidu Oy - Eloisa - työntekijäkokemuksen kehittäminen osa toimintaa ja strategiaa
- Roidu Oy - Eerikkilä sai kerättyä palautetta erityisesti lapsilta ja nuorilta Roidun avulla
- Roidu Oy - Pohjanmaan hyvinvointialue tavoittelee Pohjoismaiden huippua asiakas- ja potilasturvallisuudessa
- Roidu Oy - Esperi Caren asiakaskokemuksen mittaaminen vietiin uudelle tasolle
- Virnex Group Oy - Palvelu asumisturvallisuuden parantamiseen
- Lekab Communication Systems Oy - Lekab Communication Systems Oy voitti Kansaneläkelaitoksen kilpailutuksen ohjelmistorobotiikan alustaratkaisusta
- Verkkovaraani Oy - Google Ads -konsultaatio Nordic Progressille
Tapahtumat & webinaarit
- 30.04.2024 - Ilmainen CRM-webinaari: Microsoft Dynamics Sales: Integroinnit CRM-ratkaisun kanssa
- 07.05.2024 - Koulutus: Tekoäly markkinoijan työkaluna
- 07.05.2024 - Ilmainen CRM-webinaari: Microsoft Dynamics Sales | Sisäänrakennetun BI-moduulin käyttö toimintojen suunnitteluun ja tulosraportointiin
- 07.05.2024 - Aamiaisseminaari: Kehitä ohjelmistoja tehokkaammin tekoälyllä
- 14.05.2024 - Rakettiwebinaari: Koodista kassavirtaan
- 14.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Mitä versionvaihdosta tulisi tietää?
- 15.05.2024 - Ilmainen ERP-webinaari: Mitä tulee ottaa huomioon ERP:n ja CRM:n projektien käyttöönotossa, eli onnistuneen projektin A ja O.
Premium-asiakkaiden viimeisimmät bloggaukset
- Rakettitiede Oy - Kaksi yrityskulttuuria, yksi konsultti
- Zone Media Oy - Zone blogissa joka viikko uusi blogijuttu
- Zone Media Oy - Zone+:n hyödyllisiä ominaisuuksia: WordPressin staging-ympäristö
- Zone Media Oy - Zone+ WordPress Assistant: kuinka luoda verkkosivusto sekunneissa tekoälyn avulla
- Kamu Digital Oy - Koulutus: Tekoäly markkinoijan työkaluna
- Kamu Digital Oy - Tekoäly markkinoinnissa
- Kamu Digital Oy - Vinkit tekoälyn promtaamiseen eli kehotemuotoiluun
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |