5 + 5 tietoturvatyön vaikutusta ja haastetta

Arter Oy sai 24.6.2021 ISO 27001 -sertifikaatin. Miten tämä on vaikuttanut organisaatiomme arkeen? Onko sertifikaatin saamisen jälkeen elämä ollut laakereilla lepäämistä?

Ei aivan. Tässä blogissa avaan 5 konkreettista vaikutusta organisaation toimintaan sekä 5 haastetta, joiden eteen olemme tietoturvatyössä ja hallintajärjestelmän kanssa joutuneet.

👉 Lisäksi voit katsoa 25.1.2022 pitämäni webinaarin aiheesta ja hypätä syvemmälle tietoturvatyön arkeen alta.

Mikä ISO 27001 -standardi on?

Aluksi pitää täsmentää mikä ISO 27001 on ja mitä se ei ole.

ISO 27001 -standardi käsittelee tietoturvallisuuden hallintajärjestelmän luomista, toteuttamista, ylläpitämistä ja jatkuvaa parantamista koskevia vaatimuksia.” – insta.fi

ISO 27001 -standardissa määritellään yksityiskohtaisesti organisaation tietoturvallisuuden hallintajärjestelmän perustamista, täytäntöönpanoa, ylläpitoa, seurantaa ja parantamista koskevat vaatimukset.” – dnv.fi

Kuten yllä olevista lainauksistakin voidaan päätellä, ISO 27001 -standardi määrittää tietoturvan hallintajärjestelmän sisältöä ja vaatimuksia.

ISO 27001 ei  siis ole tietoturvasertifiointi muuta kuin välillisesti. Näin ollen, sertifikaatti ei ole tae organisaation tietoturvan tasosta vaan hallintajärjestelmästä, joka täyttää standardin vaatimukset.

ISO 27001 -standardin mukaisen hallintajärjestelmän toteutus

Arterilla tietoturvan hallintajärjestelmä on toteutettu Arterin ARC-ohjelmistolla. ARCiin on kuvattu kaiken yhteen keräävä hallintajärjestelmän etusivu, jonka kautta päästään syvemmälle esimerkiksi organisaatiokuvauksiin, riskeihin, dokumentaatioon ja soveltuvuuslausuntoon.

Myös IMS-ohjelmistoa hyödynnettiin muun muassa dokumenttien hallintaan, prosessikuvauksiin, mittareihin ja raporttipohjiin. Ohjelmistoja hyödyntämällä saavutettiin eheä kokonaisuus, jota on helppo ylläpitää ja käyttää.

👉 Lue lisää siitä, miten hallintajärjestelmä rakennettiin klikkaamalla tästä. 

Vaikutukset – näin ISO 27001 -sertifikaatti vaikuttaa Arterin toimintaan

Mikäli ISO 27001 -sertifikaatti ei ole suora tae hyvästä tietoturvasta, oliko sillä mitään väliä? Esittelen seuraavaksi 5 konkreettista muutosta, jotka ovat vaikuttaneet Arterin toimintaan. Vaikutuksia on ollut paljon muitakin, mutta alla oleva listaus on  henkilökohtainen top 5 -lista muutoksista.

1. Ryhtiliike organisaatiossa

ISO 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä pakotti Arterin tarkastelemaan tietoturvarooleja omassa organisaatiossamme.

Tämän seurauksena henkilöstön ja johdon rooleja kirkastettiin ja uutena roolina organisaatioomme tuotiin tietoturvapäällikkö.

Siinä missä ennen tietoturva-asioita ajettiin organisaatiossa alhaalta ylöspäin, on nyt koko organisaatio mukana toiminnassa, ja tietoturvapäällikkö seuraa asioiden etenemistä.

2. Tietoturvan vuosikello

ISO 27001 -standardi vaatii, että tiettyjä asioita tapahtuu tiettyinä ajankohtina. Dokumentteja tulee katselmoida, tavoitteita asettaa, riskejä tunnistaa ja auditointeja toteuttaa. Tämän lisäksi prosessit pyörivät jatkuvasti.

Kaiken tämän kanssa pysytään kartalla tietoturvan vuosikellon kanssa, jonne olemme ajastaneet toteutettavat tehtävät.

Toki tästä seuraa, että koko ajan on uusi deadline odottamassa, mutta tuleepahan asioita tehtyä!

3. Poikkeamien hallinta

Ehdoton suosikkini ISO 27001 -standardin tuomista muutoksista on poikkeamien hallinta. Tätä varten on olemme luoneet oman prosessin ja Arterin IMS-ohjelmistoon on luotu raporttipohja, jonka avulla kuka tahansa henkilöstöstä voi raportoida tietoturvapoikkeaman jos ja kun sellaisen toiminnassamme havaitsee.

Raportoidun poikkeaman jälkeen poikkeama tulee IMS-ohjelmiston välittämänä tietoturvapäällikölle tarkastettavaksi ja täydennettäväksi. IMS-ohjelmistossa poikkeama välitetään eteenpäin tiimin vetäjälle, joka on vastuussa toimenpiteistä. Kaiken huipuksi koko organisaatio on sitoutunut korjaamaan poikkeamat, jolloin raportoituja poikkeamia ei voi jättää huomiotta.

IMS-ohjelmiston raportointi-osio tarjoaa mahdollisuudet reagoida, kirjata ja käsitellä systemaattisesti saapuneita palautteita, läheltäpititilanteita ja poikkeamia. Erinomainen työkalu saada ongelmat korjattua, niin että koko prosessissa dokumentaatio pelaa!

4. Riskienhallinta

Riskienhallinta on kenties tärkein yksittäinen osa-alue ISO 27001 -standardissa. Lisäksi toimiva riskienhallinta vaatii organisaatiolta osakseen resursseja ja systemaattisuutta.

Riskienhallinta prosessi vedettiin Arterilla kokonaan uusiksi sertifikaatin hakuprosessin aikaan ja nyt prosessi on huomattavasti kehittyneempi kuin ennen: olemme tunnistaneet riskejä toiminnastamme lisää ja riskienhallintaa on vastuutettu paremmin. Lisäksi olemme määrittäneet tunnistamiimme riskeihin uusia toimenpiteitä, joita toteutamme tälläkin hetkellä.

Silti riskienhallinnassa on aina tunne, että se voisi toimia aina vain paremmin. Pakollinen paha, mutta ehdottaman tärkeä osa organisaation toimintaa.

5. Tiedonhallinta

Tiedonhallinta ei  ole suoranaisesti merkittävä osa  ISO 27001 -standardia. Sitä toki sivutaan monestakin näkökulmasta, esimerkiksi turvaluokitusten ja säilytysaikojen puitteissa.

Arterilla tiedonhallintaa kirkastettiin laajaltikin ja se tehtiin riittävän selkeästi, jotta koko henkilöstö pystyttiin osallistamaan tiedonhallintaan mukaan.

Tiedon tallennuskohteet ovat nyt selvillä, tiedon omistajuus määritetään ja tiedon ylläpitoa painotetaan. Näiden toimenpiteiden seurauksena meillä on paljon vähemmän vanhentunutta tietoa ja duplikaattitiedostoja esimerkiksi omassa toimintajärjestelmässämme IMSissä.

Haasteet tietoturvallisuuden hallintajärjestelmän rakentamisessa ja jalkauttamisessa

ISO 27001 -sertifikaatin myötä tullut muutos on ollut sen verran merkittävä, että haasteilta emme ole välttyneet. Seuraavaksi listaan 5 esimerkkiä kohtaamistamme haasteista:

1. Jalkautus

Laajojen muutosten jalkauttaminen koko henkilöstölle on aina vaikeaa. ISO 27001 -standardin kanssa lisähankaluutta tuo se, kuinka paljon henkilöstön on tarpeen tietää itse hallintajärjestelmästä.

Enemmän on enemmän, mutta sitä enemmän se vie aikaa ja täydellistä tiedon omaksumista ei välttämättä tapahdu.

Joten me Arterilla keskitymme lähinnä tarpeellisiin aiheisiin, mutta tiedon sirpaloituminen on meillekkin mahdollista.

Oma ongelmansa on myös erinäisten ohjeiden päivittäminen ja päivityksistä viestiminen. Ei kukaan halua montaa kertaa kahlata ohjeita lävitse.

2. Aikataulutus ja resurssointi

Varmasti suurin ongelma on löytää riittävästi aikaa ja resursseja hoitaa kaikki uudet asiat.

Vuosikello toki pitää osittain huolta aikataulusta, mutta monia asioita varten tarvitsee varata useilta ihmisiltä aikaa. Kaikilla on kuitenkin omat työnsä ja nyt on kaikenlaista uutta hoidettavana.

Kuten aikaisemmin jo sanoin, koko ajan on uusi deadline häämöttämässä, joten laakereilla lepäämiseen ei ole aikaa.

3. Prosessin vastuutus

ISO 27001 -sertifikaatin myötä toimintaamme on tullut monia uusia ja uudistettuja prosesseja.

Riskienhallinta, haavoittuvuuksienhallinta ja muutosvaikutusten arviointi vaativat kaikki useamman ihmisten panostusta.

Se miten nämä ihmiset saadaan motivoitua tekemään näitä asioita ei ole välttämättä suoraviivaista – kaikille samat motivointikeinot eivät toimi.

4. Tavoitteet ja mittarointi

Tietoturvan mittarointi on oma haasteensa.

Ei ole olemassa universaalia Excel-taulukkoa, johon arvot syöttämällä saadaan vastaukseksi ”kaikki on hyvin”.

Organisaation tulee siis itse määrittää, mitä se toiminnastaa haluaa mitata.

Me Arterilla loimme jonkin verran mittareita ISO 27001 -hallintajärjestelmää rakentaessa, mutta lisääkin mittareita voisi olla.

Lisäksi kaikki tavoitteet pitäisi saada asetettua niin, jotta niiden etenemistä ja valmistumista voidaan seurata ja mitata.

5. Jatkuva parantaminen

Kaiken lisäksi meidän pitäisi jatkuvasti ja systemaattisesti parantaa koko organisaatiomme toimintaa.

Panostimme Plan, Do, Check, Act eli PDCA-mallin suunnitteluun ja mallin toimintavaiheisiin hallintajärjestelmää rakentaessa.

Tällä hetkelleä meidän tulisi seurata enemmän asettamiimme mittareihin kertyvää dataa ja havaintoja toiminnasta, ja tämän perusteella vetää korjausliikkeitä sekä kehitystä tavoittelemaamme suuntaan.

Entä kenelle tämä kaikki vastuutetaan? Loppupeleissä tässäkin on kyse resurssoinnista.

Suosittelen sinulle:

👉 Matka kohti ISO 27001 -sertifikaattia | blogi
👉 Näin rakennat tietoturvallisuuden hallintamallin | ladattava pikaopas
👉 Tietoturvallisuuden hallintajärjestelmän rakentaminen – ISO 27001 Arterilla | Laatulöpinät-podcast