Kyberturva ilman johtamisjärjestelmää vuotaa -Siksi on hallinnollinen tietoturva
Onko kyberhyökkäys oikea uhka? Miten yritys varmistaa tietoturvan? Miten tietoturvaa tulee johtaa? Kysymyksiä on virrannut Elmolle, kun kyberturvauhat ovat lisääntyneet. Elmon toimitusjohtaja Janne Aaltonen kertoo, miten tietoturvaa johdetaan.
Aloitetaan tekemällä ero teknisen ja hallinnollisen tietoturvan välillä. Tietoturvapuhe keskittyy usein palomuureihin, virustorjuntaan ja kaksivaiheisiin tunnistautumisiin. Kaikki ne ovat tärkeä osa teknistä tietoturvaympäristöä. Tietoturvan suurin riski on kuitenkin ihminen. Aaltonen vertaa tilannetta autoiluun.
Auton mukana tulee turvajärjestelmiä, mutta kyse on lopulta siitä, miten niitä käyttää ja mitä kuski tekee. Samoin tietoturvaan on teknisiä ratkaisuja, mutta vasta hallinnollinen tietoturva kertoo, miten ratkaisuja käytetään.
Kun ihminen hölmöilee ja softassa on bugeja…
Hallinnollisen tietoturvan englanninkielinen nimi ISMS tulee termeistä Information Security Management System. Kyseessä on kokonainen johtamisjärjestelmä, joka kattaa prosessit, käytännöt ja toimintatavat, joilla yritys pyrkii takaamaan tietoturvan toteutumisen. Kuten Aaltonen huomauttaa, suurin osa liiketoimintaprosesseista liittyy tietoturvaan.
Miten ihmisten taustat tarkistetaan rekrytoinnissa, keillä on pääsy yrityksen tiloihin, kuinka käyttöoikeudet järjestelmiin jaetaan, mitä työkoneelle saa asentaa, Aaltonen listaa.
Aaltonen on pitänyt lukuisia luentoja hallinnollisesta tietoturvasta ja sanoo siitä tulleen yritysten kilpailuetu
Näiden ja lukuisten muiden periaatteiden dokumentointi on keskeinen osa hallinnollista tietoturvaa. Toinen on koulutus: vasta jalkauttamalla periaatteet varmistetaan, että tietoturvan heikoin lenkki, ihminen, tekisi mahdollisimman vähän virheitä.
Ongelmat syntyvät, kun ihminen hölmöilee ja softassa on bugeja. Bugit ovat inhimillisiä virheitä koodissa, ja mahdollistavat käyttöyhteyden järjestelmään.
Yrityksissä on valtava määrä koodia, joten on selvää, että bugejakin esiintyy. Lisäksi ihmiset tekevät virheitä, heitä johdetaan harhaan tai ihmiset toimivat tietoisesti ohjeita vastaan. Tämä avaa oven kiristysohjelmille.
…tarvitaan tietoturvan johtamisjärjestelmä
Mistä liikkeelle? Siitä, että yritys kehittää itselleen tietoturvan johtamisjärjestelmän. Omin päin sitä ei tarvitse keksiä, sillä kansainvälinen ISO/IEC 27001 -standardi kuvaa hyvin tarvitut vaatimukset. Standardi ei kuitenkaan aina avaudu helpolla.
Yhä useampi yritys tiedostaa, että tietoturvan johtamisjärjestelmä tarvitaan, ISO/IEC 27001:stä on ehkä kuultu ja usein se näkyy loppuasiakkaiden tarvitaan, ISO/IEC 27001:stä on ehkä kuultu ja usein se näkyy loppuasiakkaiden vaatimuksissa. Standardi koetaan kuitenkin monimutkaisesti ja työmäärä valtavaksi. Ja onhan siinä työtä: Elmon sertifiointi alkoi 2016 ja valmistui 2019.
Kokemuksensa pohjalta Elmo on kuitenkin kehittänyt asiakkailleen suoraviivaisen mallin ISO/IEC 27001 -sertifikaatin mukaiseen tietoturvan johtamisjärjestelmään. Elmon sertifioidut tietoturvakonsultit kartoittavat asiakkaan toiminnan ja tekevät varsin valmiin ehdotuksen rakenteesta ja sisällöstä.
Työ tuottaa noin 20 dokumenttia, joissa kuvataan tietoturvan hallinnan politiikat, prosessit ja toimintaohjeet. Elmon mallilla investointi on noin 20 000 euroa, riippuen kattavuudesta. Kaikkea ei tarvitse tehdä heti, vaan yritykselle kriittisistä osa-alueista voidaan aloittaa, rauhoittelee Aaltonen.
ISO/IEC 27001 on jättiläinen, joka taipuu moneen sertifiointiin
Tietoturvan hallintajärjestelmiä ja sertifikaatteja on maailmalla muitakin, kuten SOC 2, C2M2, NIST CSF ja TISAX; uusimpana EU:n NIS2-kyberturvadirektiivi, jonka kansallinen soveltaminen Suomessa alkaa 18.10.2024. Myös näiden tarkasteluun ISO/IEC 27001 -pohjainen ISMS antaa hyvät lähtökohdat.
ISO/IEC 27001 kattaa järeimpänä versiona hyvin muiden sertifikaattien vaatimukset. Tietoturvaa ei ole pakko viedä sertifikaattiin asti, mutta kun asiat on tehty ISO-viitekehyksellä, säilyy sertifointi optiona tulevaisuudessa.
Lisätietoja
Tagit
Omat tagit
ICT Elmo - Asiantuntijat ja yhteyshenkilöt
ICT Elmo - Muita referenssejä
ICT Elmo - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Full Stack kehittäjä
- Digia Oyj - iPaaS-integraatiokehittäjiä ja -arkkitehteja
- Laura - DevOps Engineer
- Laura - ICT-asiantuntija (service desk), Millog Oy Riihimäki
- Laura - RPA-Trainee
- Nordea - Strategic Partner, Data Strategy and Alignment
- Innofactor Oyj - Sales Manager (Data & Analytics)
Premium-asiakkaiden viimeisimmät referenssit
- Red & Blue Oy - Taivalkosken uusi saavutettava ja erottuva verkkopalvelu
- Hion Digital Oy - Vauvan ja vanhemman matkassa – Verkkosovellus, jonka sisältö mukautuu elämäntilanteeseen
- Verkkovaraani Oy - Uudet kotisivut Talin ja Ruusulan keilahalleille
- S1 Networks Oy - Pitäiskö teidän hankkia parempi netti?
- Altoros Finland Oy - Automaattinen kestävyysraportointityökalu CSRD siirtymää varten / Sustashift
- Digiteam Oy - Verkkokaupan toteutus Apollokaihdin.fi
- Digiteam Oy - Kattokeskuksen sivut ykköseksi Googlessa
Tapahtumat & webinaarit
Premium-asiakkaiden viimeisimmät bloggaukset
- Ready Solutions Oy - Harjoittelu data- ja tekoälyratkaisujen parissa Ready Solutions Oy:lla
- Timeless Technology - Tehoa ja luotettavuutta liiketoimintaasi Perle Systemsin 4G/5G reitittimillä ja gatewayilla!
- Timeless Technology - No-Code PLC vs. perinteinen PLC - Mikä on paras ratkaisu?
- Hion Digital Oy - Onko verkkopalvelusi valmis tulevaan vuoteen?
- Kisko Labs Oy - Prototyypillä säästät rahaa ja vähennät riskejä
- Rakettitiede Oy - Mistä on konsultit tehty?
- Innofactor Oyj - Näin Jedox tehostaa Excel-työskentelyä
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |