Asiakkaiden toimintajärjestelmiä kehitettäessä työpajakeskusteluissa vilahtavaa myös seuraavia sanoja:
- tiedonhallinta,
- tietojärjestelmät ja -verkot,
- pilvipalvelut,
- järjestelmäintegroinnit,
- digitalisointi,
- käyttäjähallinta ja -koulutus.
Yllättävän useasti kuulee myös, että edellä mainittuja asioita kyllä pohditaan, mutta se tehdään jossain muualla – kuin irrallaan.
Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden vuoksi näitä asioita tulisi suunnitella, toteuttaa, kouluttaa, arvioida ja kehittää yhdessä kokonaisuutena, mikä on kattavuudeltaan sovitettu organisaation toimintaympäristöön. Näin kyberturvallisuudesta tulee osa toimintaa eli arkea ja tukee osaltaan organisaation kokonaisvaltaisen riskienhallintaa.
Toisaalta kuulee myös kysymyksen kuinka ja miten päästä alkuun, jotta välttyy ylilyönneiltä ja turhan tekemiseltä. Vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä, niin oman nykytilan arvioinnissa, yhteneväisyyksissä olemassa oleviin laatu-, ympäristö- ja työturvallisuusjärjestelmiin sekä oikein mitoitettujen tulevaisuuden askelmerkkien asettamisessa on ISO 27001 viitekehyksestä erinomainen hyöty.
ISO 27001 tukee muita standardeja
ISO 27001:n perusrakenne on toiminut pioneerina muiden (ISO 9001, 14001 ja 45001) viitekehysten rakenteelle, joten tänä päivänä eri viitekehysten välinen tuki ja yhteys on ilmeinen ja toinen toistaan tukevaa. ISO 27001:n yhteydessä näkökulmana on tietoturvallisuus ja sen perusrakenne ja sisällys koostuu jo tutuiksi tulleista elementeistä.
Tutustu ISO 27001 -standardeihin tarkemmin Suomen Standardoimisliiton sivuilla.
Kyberturvallisuutta voidaan parantaa ja kehittää omaan organisaatioon ja toimintaympäristöön sopivaksi eri tavoilla esim. vesiputousmallilla ylhäältä alas. Näin kyberturvallisuuden kehitysmatka voidaan yksinkertaistaa alusta maaliin ja visualisoida henkilöstölle, vaikka näin askelmerkein: