Kustannustehokas tietoturva lähtee suojaamisvaatimusten ja riskien tuntemisesta

Tietoturvayhtiöitä lukuun ottamatta kyber- ja tietoturvallisuudesta huolehtiminen on harvalle organisaatiolle ydinliiketoimintaa. Joillekin organisaatioille hyvä tietoturva voi  olla kilpailutekijä, jolla erottaudutaan muista. Useimmille organisaatioille riittävä tietoturvan taso on hygieniatekijä, jonka on oltava kunnossa, jotta voi toimia luotettuna toimijana ja kumppanina. Yritykselle tietoturvavaatimusten täyttäminen mahdollistaa esimerkiksi tarjouskilpailuihin osallistumisen ja niiden voittamisen, julkisella sektorilla puolestaan lakisääteisten velvoitteiden täyttämisen.

Tietoturva ja oikea taso

Mikä on riittävä tietoturvallisuuden taso? Tähän ei voi vastata tuntematta organisaation toiminnan luonnetta ja tavoitteita sekä sen toimintaympäristöä laajemmin.

Mitä korkeampaa tietoturvan tasoa tavoitellaan, sitä enemmän panostuksia vaaditaan ja sitä enemmän kustannuksia syntyy.

Tietoturvallisuuden toteutuksen tulee olla linjassa organisaation strategisten päämäärien kanssa ja lähteä organisaation liiketoiminnallisista vaatimuksista tietoturvallisuudelle. 

• Mitä roolia tietoturvallisuus näyttelee meille ja asiakkaillemme?
• Missä haluamme olla?

Organisaation on tunnettava, mitä suojattavaa omaisuutta organisaatiolla on ja mitä suojausvaatimuksia siihen kohdistuu

Jotta strategian mukaista tietoturvaa voidaan toteuttaa, on tunnettava, mitä suojattavaa omaisuutta organisaatiolla on, ja millaiset suojausvaatimukset siihen kohdistuvat. 

Organisaation käsittelemä tieto on luokiteltava. Julkisesti saatavilla olevan tiedon suojaamiseen ei ole mielekästä käyttää yhtä paljon resursseja kuin asiakkaan henkilötiedon suojaamiseen tai liikesalaisuuksien saatikka kansalliseen turvallisuuteen vaikuttavan tiedon suojaamiseen.

Suojausvaatimuksia on syytä tarkastella ainakin tietoturvallisuuden kolmen keskeisen ulottuvuuden näkökulmista: 

1. luottamuksellisuuden,
2. eheyden ja
3. saatavuuden.

Tunnista ja arvioi suojattavaan omaisuuteen kohdistuvat riskit

Tietoturvan tason oikeaksi mitoittamiseksi ja kustannustehokkaaksi toteuttamiseksi täytyy vielä tunnistaa ja arvioida suojattavaan omaisuuteen kohdistuvat riskit. 

Vasta riittävällä riskien arvioinnilla saadaan näkyvyys siihen, mitä hallintakeinoja tarvitaan riskien pienentämiseksi ja mitä on syytä priorisoida, toiminnan luonne ja turvallisuusympäristö huomioon ottaen.

Huolellisesti tehty riskiarvio auttaa kohdistamaan tietoturvaan käytettävät eurot oikeisiin kohteisiin. 

Tietoturvallisuuden ylläpitäminen vaatii jatkuvaa kehittämistä

Tietoturvallisuuden yleinen toimintaympäristö muuttuu jatkuvasti: Teknologiat kehittyvät, uudet uhkat nousevat merkityksellisiksi, samalla ratkaisut kehittyvät. Tietoturvallisuuden ylläpitäminen vaatii jatkuvaa kehittämistä. 

• Organisaation toiminnassa ja turvallisuusympäristössä tapahtuvia muutoksia on seurattava ja arvioitava niiden vaikutuksia tietoturvallisuuden toteutumiselle.
• Hyvin tehty riskiarvio tarjoaa luontevan perustan muutosten huomioimiselle, kunhan riskiarvio käydään läpi ja päivitetään tarpeen vaatiessa ja säännöllisin väliajoin. Samalla saatetaan huomata, että moni perusasia pysyy myös ennallaan.
• Tietoturvallisuuden tason parantaminen on pitkäjänteistä tekemistä. Samalla se kehittää organisaatiota.
• Tietoturvallisuuden toteutumiseksi on huomioitava niin ihmiset, prosessit kuin teknologia, sekä tietoturvallisuuden hyvä hallinnointi. Tässä organisaatioiden apuna toimivat hallintajärjestelmästandardit kuten ISO 27000 yhdessä kokonaisarkkitehtuurin kuvausten kanssa.

Me Arterilla voimme auttaa kustannustehokkaasti toteutettavan ja ylläpidettävän tietoturvallisuuden hallintajärjestelmän rakentamisessa ARC-ohjelmistomme avulla.

Blogin on kirjoittanut Jani Mattsson.

Kiinnostaako tietoturvallisuuden kehittäminen? Suosittelemme sinulle näitä sisältöjä:

👉 Kyberturvallisuus näin otat sen haltuun organisaatiossasi | blogi
👉 Näin pääset alkuun tietoturvatyössä ja vältyt turhalta tekemiseltä | blogi
👉 ISO 27001 -standardin 10 keskeistä vaatimusta | blogi