Blogi
Julkaistu 01.03.2021 kirjoittaja Ella Lindroos
Tietoturvallisuusuhista, kuten kalasteluviesteistä, palvelunestohyökkäyksistä, kiristyshaittaohjelmista ja tietovuodoista on tullut arkipäivää. Tämä haastaa organisaatiot kehittämään kyberturvallisuuskyvykkyyttään.
Tietoturvallisuutta tulee johtaa hallitusti. Valittujen toimien on tuettava organisaation perustehtävää ja strategian mukaisten tavoitteiden saavuttamista. Keskeistä työn aloittamisessa on johdon sitoutuminen ja riittävä resursointi, lopputuloksena tietoturvallisuuden olisi toteuduttava organisaation kaikilla tasoilla. Tässä blogitekstissä kerromme millaisia asioita sinun kannattaa ottaa huomioon tietoturvallisuuden haltuun ottamisessa ja sen kehittämisessä.
PwC:n Global Digital Trust Insights 2021: Cybersecurity comes of age -selvityksen mukaan yritys- ja teknologiajohtajista 96 % aikoo muuttaa yrityksensä kyberturvallisuusstrategiaa COVID-19-pandemian vuoksi. Raportin kyselyyn vastasi reilu 3000 yritys- ja teknologiajohtajaa eri puolilta maailmaa.
Tutkimuksen vastauksissa korostui viisi teemaa:
1️⃣ kyberstrategian päivittäminen,
2️⃣ kybertiimien valmisteleminen tulevaisuuden varalle,
3️⃣ kyberbudjettien hyödyntäminen parhaalla mahdollisella tavalla,
4️⃣ panostaminen kyberhyökkäysten vastaiseen taisteluun
5️⃣ ja resilienssin eli kesto- ja palautumiskyvyn kehittäminen.
Tietoturvallisuus on osa kokonaisturvallisuutta. Tietoturvallisuus käsittää tietoturvallisuuden ja jatkuvuuden hallinnan sekä varautumisen.
Tietoturvallisuus on viime kädessä tiedon luottamuksellisuuden, eheyden ja saatavuuden varmistamista eri keinoin. Se on laajempi käsite kuin luonnollisten henkilöiden henkilötietojen tietosuoja GDPR.
Jatkuvuuden hallinnalla varmistetaan organisaation ydintoimintojen jatkuminen eri olosuhteissa. Se käsittää niin toiminnan jatkuvuutta uhkaavien tapahtumien ja häiriöiden mahdollisuuden vähentämisen kuin valmistautumisen häiriöiden korjaamiseen ja niistä palautumiseen.
Organisaation tietoturvallisuuskyvykkyys muodostuu käytössä olevista järjestelmistä, organisaatiokulttuurista, henkilöstön tietoisuudesta ja viime kädessä käyttäytymisestä oleellisissa tilanteissa.
Tarkoituksenmukaista käyttäytymistä on esimerkiksi olla klikkaamatta kalastelulinkkiä ja olla antamatta kirjautumistunnuksia kalastelijalle.
Tietoturvallisuutta varmistetaan riittävillä tietoteknisillä turvallisuusratkaisuilla, prosessien ja toimintatapojen kehittämisellä sekä koulutuksella ja viestinnällä.
Tietoturvallisuutta voidaan johtaa tietoturvallisuuden hallintajärjestelmällä, joka koostuu:
Sen sijaan, että digitaalisia riskejä käsiteltäisiin teknisenä ongelmana, joka edellyttää teknisiä ratkaisuja, niihin tulisi suhtautua taloudellisina riskeinä ja niiden tulisi näin ollen sisältyä olennaisena osana organisaation yleisiin riskienhallinnan ja päätöksenteon prosesseihin.
Täydellistä tieto- tai kyberturvallisuutta ei ole. Sen sijaan toimet tulisi mitoittaa riskienhallinnan avulla organisaation toimintaan nähden hyväksyttäväksi katsottavalle riskitasolle. Lähtemällä liikkeelle riskienhallinnasta varmistetaan, että panostukset kohdistetaan ensisijaisesti niihin toimiin, joista saadaan tavoitteisiin nähden suurin hyöty.
Tietoturvallisuuden toteuttamiseen on runsaasti hyvää kotimaista pohjamateriaalia saatavilla ilmaiseksi. Haasteena onkin enemmän toteutus ja käytäntöön vienti.
1️⃣ Tietoturvallisuuden hallintajärjestelmän toteutus lähtee liikkeelle sitoutumisen ja resursoinnin varmistamisesta sekä projektin käynnistämisestä.
2️⃣ Aluksi tunnistetaan toimintaympäristö ja suojattavat kohteet sekä organisaatioon kohdistuvat kyberturvallisuuden vaatimukset.
3️⃣ Tämän jälkeen tehdään suunnittelu kartoittamalla ja käsittelemällä riskit, valitsemalla hallintakeinot, asettamalla kyberturvallisuustavoitteet sekä kirjaamalla tarvittavat toimenpiteet.
4️⃣ Laaditaan tietoturvapolitiikka ja jatkuvuussuunnitelma sekä muu tarvittava dokumentaatio.
5️⃣ Henkilöstön koulutustarpeet selvitetään riittävän osaamisen varmistamiseksi ja laaditaan viestintäsuunnitelma.
6️⃣ Tietoturvallisuuden huomiointi viedään osaksi toiminnan prosesseja.
7️⃣ Tietoturvallisuuden toteutumisen jatkuva seuranta varmistetaan määrittelemällä muutama seurattava keskeinen mittari ja esimerkiksi sisäisin auditoinnein.
8️⃣ Suunnitellut toimenpiteet toteutetaan ja dokumentointia täydennetään, mahdollisena tavoitteena ulkopuolinen sertifioitumisauditointi.
Tässä vaiheessa tietoturvallisuuden hallintajärjestelmän tulisikin alkaa olla integroitunut osaksi organisaation jatkuvaa toimintaa. Järjestelmää kehitetään edelleen mm. ottamalla opiksi havaituista poikkeamatilanteista ja seuraamalla kyberturvallisuuden osaamisyhteisöjä.
Tietoturvallisuuden hallintajärjestelmän toteuttajan apuna ovat erilaiset viitekehykset, kuten ISO 27001 -standardi ja KATAKRI-auditointikriteeristö.
ISO 27001 kuvaa tietoturvallisuuden hallintajärjestelmän rakentamisen edellä kuvattujen vaiheita noudattaen. Käsittely voidaan laajentaa kattamaan myös jatkuvuussuunnittelu laatimalla jatkuvuussuunnitelma sekä ottamalla toiminnan jatkuvuuteen liittyvät näkökohdat osaksi riskienhallintaa ja toimenpiteiden suunnittelua.
ISO 27001 tarjoaa joukon hallintakeinoja (114 kpl), hyviä käytäntöjä, joita vasten organisaatio voi peilata omaa tietoturvallisuuden toteutustaan. Jos kaikki 114 keinoa tuntuvat alkuun liian suurelta määrältä, voit aloittaa lukemalla 10 keskeisintä ISO 27001 vaatimusta täältä.
KATAKRI on puolustusministeriön julkaisema tietoturvallisuuden auditointityökalu viranomaisille. Sisällöltään siinä on paljon samankaltaisuutta ISO 27001:n luettelemien hallintakeinojen kanssa.
KATAKRI esittää paikoin konkreettisempia vaatimuksia esimerkiksi fyysisen ja teknisen tietoturvallisuuden toteutuksen osalta.
Viranomaislähtökohdasta huolimatta sitä voi soveltaa myös suosituksena elinkeinoelämän tietoturvallisuuden parhaisiin käytäntöihin. Valtiovarainministeriön julkaisemiin VAHTI-ohjeisiin kannattaa tutustua myös liike-elämän puolella.
Organisaation tietoturva on kokonaisuus, jota ei pidä rakentaa erikseen, ”päälleliimata” olemassa olevan rinnalle, tai sysätä vastuuta ICT-osaston harteille. Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden voi saavuttaa, kun tietoturva
yhdessä kokonaisuutena.
Me Arterilla voimme auttaa tarjoamalla asiantuntijamme perehdyttämään tietoturvallisuuden hallintamallin rakentamiseen ARC-ohjelmistomme avulla. Olemme toteuttaneet ARC-ohjelmistoon pohjan, jolla voit kuvata tietoturvallisuuden hallintajärjestelmä selkeästi ja helposti. ARC-ohjelmisto helpottaa myös Tietoturvallisuuden hallintamallin ylläpitoa ja kehittämistä.
ARC-ohjelmistollamme kuvaat asiat ja niiden väliset yhteydet – näet mikä kokonaisuus liittyy mihinkin. Tietoturvallisuuspalvelumme on valmiiksi suunniteltu paketti. Asiakkaan tavoitteesta riippuen palvelumme avulla luodaan perusta valitun viitekehyksen (ISO 27001 tai KATAKRI) auditointivalmiuden rakentamiselle tai sovelletaan viitekehysten hyödyllisimpiä osia ilman sertifiointitavoitetta.
👉 Tietoturvallisuuden integroiminen osaksi johtamisjärjestelmää | blogi
👉 ISO 27001 -standardin minimi vaatimukset | blogi
👉 Näin rakennat tietoturvallisuuden hallintamallin | ladattava materiaali
Voit ottaa meihin yhteyttä tällä lomakkeella ja kertoa tarkemmin liiketoiminnan kehittämisen tarpeistasi. Ratkaistaan haasteenne yhdessä. Vikatilanteissa otathan yhteyttä tekniseen tukeemme.
