Blogi

Tietoturvallisuuden integroiminen osaksi johtamisjärjestelmää

Julkaistu 01.02.2021 kirjoittaja Jari Saali

Organisaation johtamisjärjestelmästä ja toimintaperiaatteista puhuttaessa tyypillisesti esiin nousevat laatu-, ympäristö- ja työturvallisuusasiat. Organisaation toiminnan kannalta yhtä tärkeää on ymmärtää prosesseihin, toimintaympäristöön ja johtamiseen liittyvä ja hallittava tieto, ja tiedon turvallisuus koko sen elinkaaren ajan.

Tietoturvallisuuden hallintakeinot ja toimintatavat riippuvat organisaation toimintaympäristöstä, historiasta ja tulevaisuuteen asetetuista tavoitteista

Tietoturvallisuudesta huolehtiminen on harvalle organisaatiolle ydinliiketoimintaa. Toimintatavat ja hallintakeinot on kannattavaa mitoittaa omaan toimintaympäristöön sopiviksi sekä asiakkaiden ja muiden sidosryhmien vaatimuksia, odotuksia ja tarpeita vastaaviksi.

Näin yhdessä sovitut toimintatavat toimivat käytännössä ja henkilöstö pystytään perehdyttämään niihin. Tietoturvaa on hyvä seurata ja kehittää tarpeen mukaan. Tuntemalla organisaation historia, toiminta ja toimintaympäristö, liiketoiminnan tarpeet sekä tulevaisuuden tahtotila, ymmärretään minkä tasoista tietoturvaa kannattaa tavoitella. Edellä mainittujen kokonaisuuksien avulla tietoturvallisuus pystytään viemään osaksi jokapäiväistä tekemistä.

Kuinka tietoturvallisuus saadaan tukemaan olemassa olevaa johtamisjärjestelmää?

Tietoturvallisuuden rakentamisessa on, sen laajuudesta riippumatta, tunnistettavissa seuraavia osioita:

  • Tarpeen ymmärtäminen, organisaation sitoutuminen ja projektiresursointi.
  • Toimintaympäristön tunnistaminen sekä organisaatioon kohdistuvat tietoturvavaatimukset ja suojattavat kohteet.
  • Riskikartoitus ja hallintakeinojen valitseminen.
  • Tietoturvallisuuspolitiikan ja -tavoitteiden luonti sekä vaadittavien toimenpiteiden suunnittelu.
  • Toimintamallien luonti, ohjeistus ja koulutus.
  • Viestintäsuunnitelma koskien tarvittavia sidosryhmiä niin sisäisesti kuin ulkoisesti.
  • Seurantaa varten luodaan sopivat mittarit sekä palaute- ja auditointikäytännöt.

Olennaista on huomata, että tarvittavat ja kuntoon laitettavat osiot ovat hyvin lähellä laatu-, ympäristö- ja työturvallisuusjärjestelmien vaatimuksia, siksi näiden kokonaisuuksien yhdistäminen onkin luontevaa. Perusrakenne on sama, mutta näkökulma vaihtuu eri hallintajärjestelmien välillä.

Tietoturvallisuus on jatkuvasti kehittyvä kokonaisuus, ei irrallinen projekti

Organisaation tietoturvallisuusjärjestelmä tulee rakentaa kokonaisuus mielessäpitäen, sillä täydellistä tietoturvallisuutta ja kaikkiin toimintaympäristöihin yhteensopivaa ratkaisumallia ei ole.

Kokonaisuuden kannalta tulee pohtia omasta organisaatiosta lähestyen keskeisten kolmen elementin

1️⃣ ihmiset,
2️⃣ toimintatavat
3️⃣ ja teknologiat

vahvuudet ja mahdollisuudet sekä heikkoudet ja uhat.

Toiset organisaatiot luottavat enemmän henkilöstöön esimerkiksi koulutuksen, perehdytyksen, luottamuksen avulla ja toiset taas teknologiaan ja sen tarjoamiin ratkaisuihin. On kannattavaa huomioida, että teknisin keinoin saavutetulla turvallisuudella on rajansa: sitä on tuettava asianmukaisella osaamisella ja menettelyillä.

Tietoturvaan liittyvät viitekehykset ohjaavat tekemistä – ISO 27001, KATAKRI ja VAHTI-ohjeistus

Miten päästä alkuun, jotta välttyy ylilyönneiltä ja turhan tekemiseltä? Vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä, oman nykytilan arvioinnissa, yhteneväisyyksissä olemassa oleviin laatu-, ympäristö- ja työturvallisuusjärjestelmiin sekä oikein mitoitettujen tulevaisuuden askelmerkkien asettamisessa on ISO 27000 -standardiperheen viitekehyksistä erinomainen hyöty.

ISO 27001:n yhteydessä näkökulma on tietoturvallisuudessa ja riskienhallinnassa. Standardin perusrakenne on sama kuin laatu-, ympäristö- ja työturvallisuusstandardeissa. Muita viitekehyksiä ja ohjeistusta ovat esimerkiksi suomalainen KATAKRI-auditointikriteeristä sekä VAHTI-ohjeistus.

Me Arterilla autamme sinua tarjoamalla asiantuntevaa koulutusta sekä apua johtamisjärjestelmän rakentamiseen tai olemassa olevan järjestelmän laajentamiseen kattamaan myös tietoturvatarpeet. Ohjelmisto riippumattomien Qualitas Fennica -koulutusten lisäksi IMS– ja ARC-ohjelmistomme tukevat johtamisjärjestelmäsi rakentamistyötä, sen ylläpitoa ja kehittämistä nyt ja tulevaisuudessa.

Suosittelen sinulle:

👉 Selkeät askelmerkit kyberturvallisuuden hallintaan | blogi
👉 ISO 27001 oppaana kyberturvallisuus matkalla | blogi
👉 Kyberturvallisuus näin otat haasteen vastaan organisaatiossasi | blogi

Katso alta webinaaritallenne Tietoturva osanana kokonaisarkkitehtuuria.  Webinaarin avulla:
  • Hahmotat, mitä yhteistä organisaation tietoturvalla ja kokonaisarkkitehtuurilla on
  • Näet käytännön esimerkin siitä, miten arkkitehtuuri- ja tietoturvatyötä voidaan soveltaa ja hyödyntää ristiin

 

Kirjoittaja

Jari Saali

Vanhempi konsultti

jari.saali@arter.fi +358 40 779 2682
Tietoa Tietoa

Arterin seniortason konsultti Jari Saalilla on lähes 30 vuoden historia eri organisaatioiden toiminnan kehittämisen parista. Hänellä on laaja kokemus ja tietämys johtamisen, toimintajärjestelmien, riskienhallinnan ja jatkuvuuden sekä tiedonhallinnan ja -turvan osa-alueilta. Jari saa usein palautetta siitä, miten hänen rauhallinen ja määrätietoinen tapansa luotsata asiakasprojekteja tarttuu projektiryhmiin: suunnitellut muutokset tulevat tehdyiksi ja ne juurtuvat arkeen.

Liittyvät materiaalit

Kaikki resurssit