Blogi
Näin pääset alkuun tietoturvatyössä ja vältyt turhalta tekemiseltä
Tietoturva on nykyisin lähes päivittäin otsikoissa. Muutos on nykyään jatkuvaa ja tarpeet sekä tilanteet voivat vaihtua ja jopa yllättää organisaation hyvinkin nopeasti.
Tästä blogista voit lukea vinkit tietoturvatyön aloittamiseen ja kokonaisuuden huomioimiseen tai katsoa webinaaritallenteen alta.
Pidimme aiheesta webinaarin yhdessä Aditron tietoturvajohtajan, Jani Rätyn kanssa maaliskuussa 2021, jonka aikana keskustelimme organisaatioiden tietoturvan parantamisesta, sekä kävimme läpi konkreettisia oppeja matkalle kohti ISO 27001 -sertifiointia.
Organisaation tietoturva on kokonaisuus, jota ei pidä rakentaa erikseen, ”päälleliimata” olemassa olevan rinnalle, tai sysätä vastuuta esim. ICT-osaston harteille. Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden voi saavuttaa, kun tietoturva
- suunnitellaan,
- toteutetaan,
- koulutetaan,
- arvioidaan,
- seurataan ja
- kehitetään
yhdessä kokonaisuutena.
Kattavuudeltaan tietoturva tulee sovittaa organisaation toimintaympäristöön, sidosryhmien ja liiketoiminnan tarpeisiin. Näin tietoturvallisuudesta tulee osa toimintaa eli arkea ja se myös tukee osaltaan organisaation kokonaisvaltaista riskienhallintaa.
Kuinka pääset alkuun tietoturvatyössä ja vältyt ylilyönneiltä tai turhan tekemiseltä?
Vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä, oman nykytilan arvioinnissa, yhteneväisyyksissä olemassa oleviin laatu-, ympäristö- ja työturvallisuusjärjestelmiin sekä oikein mitoitettujen tulevaisuuden askelmerkkien asettamisessa on ISO 27001 viitekehyksestä erinomainen hyöty.
Voit lähteä liikkeelle tietoturvallisuuden kehittämisessä vaikkapa seuraavaa polkua pitkin:
Yleensä pyörää ei tarvitse keksiä uudestaan, koska tarvittavat asiat ovat hyvin lähellä laatu-, ympäristö- ja työturvallisuusjärjestelmien vaatimuksia. Näiden samankaltaisuuksien huomiointi ja yhteen liittäminen säästää vaivaa, koska vaikka näkökulma vaihtuu eri hallintajärjestelmien välillä, niiden perusrakenne on sama.
ISO 27001 -standardin sisällysluettelon järjestystä mukaillen, tietoturvamatka voidaan kuvata myös seuraavasti:
Voiko tietosuojaa olla ilman tietoturvaa?
Webinaarin vierailevan puhujan, Aditron tietoturvajohtaja Jani Rädyn mukaan vastaus on ei:
Kuten taloa ei voi rakentaa ilman kunnollista perustaa, ei tietosuojaa voi toteuttaa jos tietoturva ei ole kunnossa. Henkilötiedot ovat organisaation kaikkien tietojen osajoukko ja niin tietosuoja- sekä tietoturvavastaavilla on yhteinen etu suojata henkilötietoja. Yhteinen sanasto ja ISO 27001 pohjalle rakentuva ISO 27701 ovat tässä työssä oivallisia lähtökohtia.
Tietoturvallisuus on jatkuvasti kehittyvä kokonaisuus, ei irrallinen projekti
Täydellistä tietoturvallisuutta ja kaikkiin toimintaympäristöihin yhteensopivaa valmista ratkaisumallia ei ole. Sen sijaan organisaation tietoturvallisuusjärjestelmä tulee rakentaa ymmärtämällä kokonaisuutta.
Kokonaisuuden kannalta tulee pohtia omasta organisaatiosta lähestyen keskeisten kolmen elementin: ihmiset, toimintatavat ja teknologiat
- vahvuudet ja mahdollisuudet, sekä
- heikkoudet ja uhat.
Tuntemalla oman organisaation kulttuuri ja historia, voidaan tehdä oikeat valinnat siitä, missä tilanteissa luotetaan enemmän henkilöstöön mm. koulutus, perehdytys, luottamus, ja milloin taas teknologiaan ja sen erilaisiin ratkaisuihin.
Muista, että teknisin keinoin saavutetulla turvallisuudella on rajansa, ja sitä on tuettava asianmukaisella osaamisella, tietoisuudella, viestinnällä ja menettelyillä.
Tarjoamme koulutuksen ja työkalut avuksesi tietoturvatyöhön
Me Arterilla autamme sinua matkalla kohti tietoturvasertifiointia tarjoamalla asiantuntevaa koulutusta, sekä apua toimivan ratkaisun rakentamisessa tai olemassa olevan toimintajärjestelmän laajentamisessa.
Ohjelmistoriippumattomien Qualitas Fennica -koulutusten lisäksi ohjelmistomme, sekä tietoturvallisuuden palvelumme tukevat järjestelmällistä tietosuoja ja -turvatyötä ja sen ylläpitoa ja kehittämistä nyt ja tulevaisuudessa. Tietoturvapalvelulla tarjoamme teille kokonaisvaltaisen ratkaisun tietoturvallisuuden hallintaan. Palvelu räätälöidään tarpeidenne mukaan vastaamaan ajankohtaisimpia tietoturvallisuuden standardeja, ja sen aikana toteutatte asettamienne tavoitteiden mukaisen tietoturvan hallintamallin. Valmis tietoturvallisuusviitekehys ohjaa kuvausten tekemistä ja luotavien elementtien linkittämistä toisiinsa.
Tietoturvallisin kevätterveisin
Jari Saali, Arter ja Jani Räty, Aditro
Suosittelemme tutustumaan myös:
👉 Näin rakennat tietoturvallisuuden hallintamallin| ladattava pikaopas
👉 Kyberturvallisuus – näin otat sen haltuun organisaatiossasi | blogi
👉 ISO 27001 -standardin 10 keskeistä vaatimusta| blogi
Onko ISO 27001 -sertifikaatin haku tai tietoturvahallintajärjestelmän rakentaminen ajankohtaista? Ota meihin rohkeasti yhteyttä!
Ota yhteyttä
Voit ottaa meihin yhteyttä tällä lomakkeella ja kertoa tarkemmin liiketoiminnan kehittämisen tarpeistasi. Ratkaistaan haasteenne yhdessä. Vikatilanteissa otathan yhteyttä tekniseen tukeemme.
