Selkeät askelmerkit kyberturvallisuuden hallintaan

Selkeät askelmerkit kyberturvallisuuden hallintaan

Jaa myös muille

Kyberturvallisuuden merkitys on kasvanut: kyberturvallisuusuhat haastavat digitalisoituneen toimintaympäristömme toimintakyvyn.

Tietoturvallisuuden hallintajärjestelmä tukevana runkona kyberturvallisuuden hallintaan

Kyberturvallisuuden hallintaa tulisi lähestyä strategisesti tärkeänä tehtävänä, joka tulee organisoida ja jota tulee johtaa. Kyberturvallisuus ei ole vain tekninen kysymys, joka voitaisiin ulkoistaa omalle tietohallinnolle tai ulkoiselle palvelutoimittajalle. Tukevan rungon kyberturvallisuuden johtamiselle tarjoaa tietoturvallisuuden hallintajärjestelmä, joka huomioi niin ihmiset, prosessit kuin teknologian.

Tietoturvallisuuden hallintajärjestelmän liiketoimintahyötyjä:

  • Vaatimustenmukaisuus – vakioidulla hallintajärjestelmällä osoitat vaatimustenmukaisuutenne kustannustehokkaasti
  • Markkinointihyöty – hallintajärjestelmän toteuttaminen auttaa erottumaan kilpailijoista
  • Kustannushyödyt – kyberturvallisuuden hallinta auttaa pienentämään tietoturvapoikkeamien aiheuttamia kustannuksia ja maineriskiä
  • Toimintatapojen kehittyminen – hallintajärjestelmä selkeyttää ja tehostaa toimintaa

Viitekehykset hallintajärjestelmän tukena

Hallintajärjestelmän toteutukseen on tarjolla eri viitekehyksiä. Keskeisin niistä on kansainvälinen ISO/IEC 27001 tietoturvallisuuden hallintajärjestelmästandardi. Se kuvaa, mitä kaikkea hallintajärjestelmän on katettava ollakseen toimintakykyinen. Standardia voi soveltaa hyvin erilaisiin organisaatioihin niin koon kuin toimialan puolesta. Toiminnan jatkuvuuden hallintaan on lisäksi tarjolla oma ISO 22301 hallintajärjestelmästandardinsa. Muita kyberturvallisuuden viitekehyksiä ovat esim. kansallinen KATAKRI auditointikriteeristö ja VAHTI-ohjeet. Voimaan tulevan tiedonhallintalain tueksi on tulossa VAHTI 100 soveltamis- ja arviointikehikko.

Askeleet tietoturvallisuuden hallintajärjestelmän rakentamiseen

Hallintajärjestelmän rakentamisen aloittamisen keskeiset askeleet ovat:

  1. Tutustu eri viitekehyksiin, valitse sopivin viitekehys ja perehdy siihen
  2. Hanki työlle johdon tuki
  3. Varmista työlle riittävät resurssit: mieluiten projekti tavoitteineen ja aikatauluineen
  4. Määrittele hallintajärjestelmän soveltamisala organisaatiossanne

Kun hallintajärjestelmää aletaan rakentaa, tarvitaan siihen mm. seuraavia työvaiheita, joihin tulee osallistaa johtoa ja henkilöstöä koko organisaatiosta tarvittavin osin. Työvaiheet pohjautuvat ISO 27001:n kuvaamaan hallintajärjestelmään. Vastaavia vaiheita voidaan soveltaa muidenkin viitekehysten toteuttamiseen.

  1. Tunnista organisaation konteksti: toiminnan luonne, sidosryhmät ja sisäiset tekijät.
  2. Suunnittele: tunnista suojattava omaisuus, arvioi ja käsittele riskit ja määrittele tarvittavat toimenpiteet, joilla päästään nykytilasta tavoitetilaan ja hyväksyttävälle jäännösriskin tasolle.
  3. Toteuta hallintakeinot: jalkauta uudet toimintakäytännöt ja tarvittavat tekniset toimet.
  4. Rakenna hallintakeinojen mittaaminen ja seuranta.
  5. Viesti, tiedota, kouluta ja ylläpidä tietoisuutta. Varmista johdon sitoutuminen edelleen.
  6. Suorita sisäisiä auditointeja yhdessä oppimiseksi ja mahdollinen sertifioituminen.
  7. Ylläpidä: hallitse poikkeamia, seuraa toimintaympäristön ja oman organisaation muutoksia, kerää palautetta, kehitä jatkuvasti eteenpäin.

ARC-ohjelmistolla kuvaat kyberturvallisuuden hallintamallin 

Arterin ARC-ohjelmisto on visuaalinen työkalu toiminnan eri osa-alueiden mallintamiseen. Sillä tuotetaan kokonaiskuvaa, jolla pystytään tekemään tiedostavampaa ja laadukkaampaa päätöksentekoa. ARC-ohjelmiston soveltamiskohteita ovat kokonaisarkkitehtuurityö, kyberturvallisuus, tietosuoja ja palvelumuotoilu. Kuvaukset ovat mukautettavissa organisaation tarpeisiin. Tarjoamamme valmis pohja kyberturvallisuuden hallintamallin kuvaamiseen auttaa tuomaan nopeita tuloksia. Suurimman hyödyn saatte yhdistämällä kyberturvallisuuden hallintamallin kokonaisarkkitehtuurin kuvaamistyöhön. Tarjoamme myös valmista kuuden konsultointipäivän Arter ARC-kyberturvallisuuspalvelua. Siinä käymme läpi ISO 27001:n edellyttämää sisältöä ja valmennamme organisaationne vastuuhenkilöt kyberturvallisuuden hallintamallin rakentamiseen ARC-työvälineellä. Tilaa ohjelmiston maksuton demo ja pyydä meiltä esittely!

Oiva tapa perehtyä hallintajärjestelmän rakentamiseen ovat myös Arterin palveluvalikoimaan kuuluvat avoimet ja yrityskohtaiset, ohjelmistoriippumattomat Qualitas Fennica-koulutukset ISO 27001 hallintajärjestelmästä ja sen auditoinnista. Tutustu koulutukseen tästä.

Katso aiheen webinaaritallenne:

Selkeät askelmerkit kyberturvallisuuden hallintaan
Tagged , .

Arter Oy - muutosta laadun ehdoilla!