Kyberturvallisuus - näin otat haasteen haltuun organisaatiossasi

Kyberturvallisuus – näin otat haasteen haltuun organisaatiossasi

Jaa myös muille

Kyberturvallisuusuhista, kuten kalasteluviesteistä, palvelunestohyökkäyksistä, kiristyshaittaohjelmista ja tietovuodoista on tullut arkipäivää. Tämä haastaa organisaatiot kehittämään kyberturvallisuuskyvykkyyttään.

Kyberturvallisuutta tulisi hallita johdetusti. Valittujen toimien on tuettava organisaation perustehtävää ja strategian mukaisten tavoitteiden saavuttamista. Keskeistä työn aloittamisessa on johdon sitoutuminen ja riittävä resursointi, lopputuloksena kyberturvallisuuden olisi toteuduttava organisaation kaikilla tasoilla. Me Arterilla voimme auttaa tarjoamalla asiantuntijamme perehdyttämään kyberturvallisuuden hallintamallin rakentamiseen ARC-ohjelmistomme avulla.

Kyberturvallisuus osana kokonaisturvallisuutta

Kyberturvallisuus on osa kokonaisturvallisuutta. Kyberturvallisuus käsittää tietoturvallisuuden ja jatkuvuuden hallinnan sekä varautumisen. Tietoturvallisuus on viime kädessä tiedon luottamuksellisuuden, eheyden ja saatavuuden varmistamista eri keinoin. Se on laajempi käsite kuin viime keväänä huomiota saanut luonnollisten henkilöiden henkilötietojen tietosuoja (GDPR) - tietoturvallisuutta tarvitaan mm. siihen, että henkilötietojen tietosuoja voisi toteutua. Jatkuvuuden hallinnalla varmistetaan organisaation ydintoimintojen jatkuminen eri olosuhteissa. Se käsittää niin toiminnan jatkuvuutta uhkaavien tapahtumien ja häiriöiden mahdollisuuden vähentämisen kuin valmistautumisen häiriöiden korjaamiseen ja niistä palautumiseen.

Organisaation kyberturvallisuuskyvykkyys muodostuu käytössä olevista järjestelmistä, organisaatiokulttuurista, henkilöstön tietoisuudesta ja viime kädessä käyttäytymisestä oleellisissa tilanteissa.

Tarkoituksenmukaista käyttäytymistä on esimerkiksi olla klikkaamatta kalastelulinkkiä ja olla antamatta kirjautumistunnuksia kalastelijalle. Kyberturvallisuutta varmistetaan mm. riittävillä tietoteknisillä turvallisuusratkaisuilla, prosessien ja toimintatapojen kehittämisellä sekä koulutuksella ja viestinnällä. Kyberturvallisuutta voidaan johtaa kyberturvallisuuden hallintajärjestelmällä, joka koostuu politiikoista, prosesseista, menettelyistä, organisaatiorakenteista sekä ohjelmisto- ja laitteistotoiminnoista.

Lähestymistapa riskienhallinnassa

Kyberturvallisuuden kehittämiseen on syytä valita riskienhallintaan perustuva lähestymistapa. Sen sijaan, että digitaalisia riskejä käsiteltäisiin teknisenä ongelmana, joka edellyttää teknisiä ratkaisuja, niihin tulisi suhtautua taloudellisina riskeinä ja niiden tulisi näin ollen sisältyä olennaisena osana organisaation yleisiin riskienhallinnan ja päätöksenteon prosesseihin. Täydellistä tieto- tai kyberturvallisuutta ei ole. Sen sijaan toimet tulisi mitoittaa riskienhallinnan avulla organisaation toimintaan nähden hyväksyttäväksi katsottavalle riskitasolle. Lähtemällä liikkeelle riskienhallinnasta varmistetaan, että panostukset kohdistetaan ensisijaisesti niihin toimiin, joista saadaan tavoitteisiin nähden suurin hyöty.

Sen sijaan, että digitaalisia riskejä käsiteltäisiin teknisenä ongelmana, joka edellyttää teknisiä ratkaisuja, niihin tulisi suhtautua taloudellisina riskeinä ja niiden tulisi näin ollen sisältyä olennaisena osana organisaation yleisiin riskienhallinnan ja päätöksenteon prosesseihin.

Kyberturvallisuuden hallintajärjestelmä

Kyberturvallisuuden toteuttamiseen on runsaasti hyvää kotimaista pohjamateriaalia saatavilla ilmaiseksi. Haasteena onkin enemmän toteutus ja käytäntöön vienti.

Kyberturvallisuuden hallintajärjestelmän toteutus lähtee liikkeelle sitoutumisen ja resursoinnin varmistamisesta sekä projektin käynnistämisestä. Aluksi tunnistetaan toimintaympäristö ja suojattavat kohteet sekä organisaatioon kohdistuvat kyberturvallisuuden vaatimukset. Tämän jälkeen tehdään suunnittelu kartoittamalla ja käsittelemällä riskit, valitsemalla hallintakeinot, asettamalla kyberturvallisuustavoitteet sekä kirjaamalla tarvittavat toimenpiteet. Laaditaan tietoturvapolitiikka ja jatkuvuussuunnitelma sekä muu tarvittava dokumentaatio. Henkilöstön koulutustarpeet selvitetään riittävän osaamisen varmistamiseksi ja laaditaan viestintäsuunnitelma. Kyberturvallisuuden huomiointi viedään osaksi toiminnan prosesseja. Kyberturvallisuuden toteutumisen jatkuva seuranta varmistetaan määrittelemällä muutama seurattava keskeinen mittari ja esimerkiksi sisäisin auditoinnein. Suunnitellut toimenpiteet toteutetaan ja dokumentointia täydennetään, mahdollisena tavoitteena ulkopuolinen sertifioitumisauditointi. Tässä vaiheessa kyberturvallisuuden hallintajärjestelmän tulisikin alkaa olla integroitunut osaksi organisaation jatkuvaa toimintaa. Järjestelmää kehitetään edelleen mm. ottamalla opiksi havaituista poikkeamatilanteista ja seuraamalla kyberturvallisuuden osaamisyhteisöjä.

Viitekehykset toteuttajan apuna

Kyberturvallisuuden hallintajärjestelmän toteuttajan apuna ovat erilaiset viitekehykset, kuten ISO 27001 -standardi ja KATAKRI auditointikriteeristö. ISO 27001 kuvaa tietoturvallisuuden hallintajärjestelmän rakentamisen edellä kuvattujen vaiheita noudattaen. Käsittely voidaan laajentaa kattamaan myös jatkuvuussuunnittelu laatimalla jatkuvuussuunnitelma sekä ottamalla toiminnan jatkuvuuteen liittyvät näkökohdat osaksi riskienhallintaa ja toimenpiteiden suunnittelua. ISO 27001 tarjoaa joukon hallintakeinoja (114 kpl), hyviä käytäntöjä, joita vasten organisaatio voi peilata omaa tietoturvallisuuden toteutustaan. Jos kaikki 114 keinoa tuntuvat alkuun liian suurelta määrältä, voit aloittaa lukemalla 10 keskeisintä ISO 27001 vaatimusta täältä.

KATAKRI on puolustusministeriön julkaisema tietoturvallisuuden auditointityökalu viranomaisille. Sisällöltään siinä on paljon samankaltaisuutta ISO 27001:n luettelemien hallintakeinojen kanssa. KATAKRI esittää paikoin konkreettisempia vaatimuksia esimerkiksi fyysisen ja teknisen tietoturvallisuuden toteutuksen osalta. Viranomaislähtökohdasta huolimatta sitä voi soveltaa myös suosituksena elinkeinoelämän tietoturvallisuuden parhaisiin käytäntöihin. Valtiovarainministeriön julkaisemiin VAHTI-ohjeisiin kannattaa tutustua myös liike-elämän puolella. Kyberturvallisuuden toteuttamiseen on runsaasti hyvää kotimaista pohjamateriaalia saatavilla ilmaiseksi. Haasteena onkin enemmän toteutus ja käytäntöön vienti.

Kyberturvallisuuden hallintamalli ARC-ohjelmistolla

Me Arterilla voimme auttaa tarjoamalla asiantuntijamme perehdyttämään kyberturvallisuuden hallintamallin rakentamiseen ARC-ohjelmistomme avulla. Olemme toteuttaneet ARC-ohjelmistoon pohjan, jolla kyberturvallisuuden hallintajärjestelmä voidaan kuvata selkeästi ja helposti ylläpidettävällä tavalla.

ARC-ohjelmistollamme kuvaat asiat ja niiden väliset yhteydet - näet mikä liittyy mihinkin. Kyberturvallisuuspalvelumme on valmiiksi suunniteltu paketti, jonka kuusi työpajapäivää noudattelevat ISO 27001:n kuvaamaa rakennetta hallintajärjestelmän toteuttamiseksi ja jalkauttamiseksi organisaatioon. Asiakkaan tavoitteesta riippuen luodaan perusta valitun viitekehyksen (ISO 27001 tai KATAKRI) auditointivalmiuden rakentamiselle tai sovelletaan viitekehysten hyödyllisimpiä osia ilman sertifiointitavoitetta.

Katso myös aiheeseen liittyvä webinaaritallenne:

Kiinnostuitko? Täytä tietosi oheiseen lomakkeeseen ja tilaa maksuton ARC-ohjelmiston demo!

Tagged , , .

Jani Mattsson toimii Arterilla konsulttina. Janin tavoitteena on auttaa organisaatioita kehittymään kokonaisvaltaisesti kestävän hyvinvoinnin luomisessa. Janin kiinnostuksen kohteita ovat vuorovaikutuksen laadun parantaminen, liiketoiminnan kehittäminen ja kokonaisarkkitehtuuri. Janilla on kokemusta liiketoiminnan johtamisesta ja kehittämisestä yrittäjänä, kouluttamisesta ja valmentamisesta, sekä erilaisista tehtävistä tietojärjestelmien kehittämishankkeissa. Jani toimii myös ratkaisukeskeisenä valmentajana ja työnohjaajana avainhenkilöiden ja tiimien jatkuvan kehittymisen tukena.