Tietoturvallisuusuhista, kuten kalasteluviesteistä, palvelunestohyökkäyksistä, kiristyshaittaohjelmista ja tietovuodoista on tullut arkipäivää. Tämä haastaa organisaatiot kehittämään kyberturvallisuuskyvykkyyttään.
Tietoturvallisuutta tulee johtaa hallitusti. Valittujen toimien on tuettava organisaation perustehtävää ja strategian mukaisten tavoitteiden saavuttamista. Keskeistä työn aloittamisessa on johdon sitoutuminen ja riittävä resursointi, lopputuloksena tietoturvallisuuden olisi toteuduttava organisaation kaikilla tasoilla. Tässä blogitekstissä kerromme millaisia asioita sinun kannattaa ottaa huomioon tietoturvallisuuden haltuun ottamisessa ja sen kehittämisessä.
Kansainvälinen tutkimus kertoo, että yritysten agendalla on kyberturvallisuusstartegian päivittäminen
PwC:n Global Digital Trust Insights 2021: Cybersecurity comes of age -selvityksen mukaan yritys- ja teknologiajohtajista 96 % aikoo muuttaa yrityksensä kyberturvallisuusstrategiaa COVID-19-pandemian vuoksi. Raportin kyselyyn vastasi reilu 3000 yritys- ja teknologiajohtajaa eri puolilta maailmaa.
Tutkimuksen vastauksissa korostui viisi teemaa:
1️⃣ kyberstrategian päivittäminen,
2️⃣ kybertiimien valmisteleminen tulevaisuuden varalle,
3️⃣ kyberbudjettien hyödyntäminen parhaalla mahdollisella tavalla,
4️⃣ panostaminen kyberhyökkäysten vastaiseen taisteluun
5️⃣ ja resilienssin eli kesto- ja palautumiskyvyn kehittäminen.
Tietoturvallisuus osana kokonaisturvallisuutta
Tietoturvallisuus on osa kokonaisturvallisuutta. Tietoturvallisuus käsittää tietoturvallisuuden ja jatkuvuuden hallinnan sekä varautumisen.
Tietoturvallisuus on viime kädessä tiedon luottamuksellisuuden, eheyden ja saatavuuden varmistamista eri keinoin. Se on laajempi käsite kuin luonnollisten henkilöiden henkilötietojen tietosuoja GDPR.
Jatkuvuuden hallinnalla varmistetaan organisaation ydintoimintojen jatkuminen eri olosuhteissa. Se käsittää niin toiminnan jatkuvuutta uhkaavien tapahtumien ja häiriöiden mahdollisuuden vähentämisen kuin valmistautumisen häiriöiden korjaamiseen ja niistä palautumiseen.
Organisaation tietoturvallisuuskyvykkyys muodostuu käytössä olevista järjestelmistä, organisaatiokulttuurista, henkilöstön tietoisuudesta ja viime kädessä käyttäytymisestä oleellisissa tilanteissa.
Tarkoituksenmukaista käyttäytymistä on esimerkiksi olla klikkaamatta kalastelulinkkiä ja olla antamatta kirjautumistunnuksia kalastelijalle.
Tietoturvallisuutta varmistetaan riittävillä tietoteknisillä turvallisuusratkaisuilla, prosessien ja toimintatapojen kehittämisellä sekä koulutuksella ja viestinnällä.
Tietoturvallisuutta voidaan johtaa tietoturvallisuuden hallintajärjestelmällä, joka koostuu:
- politiikoista,
- prosesseista,
- menettelyistä,
- organisaatiorakenteista sekä
- ohjelmisto- ja laitteistotoiminnoista.
Tietoturvallisuuden kehittämiseen on syytä valita riskienhallintaan perustuva lähestymistapa
Sen sijaan, että digitaalisia riskejä käsiteltäisiin teknisenä ongelmana, joka edellyttää teknisiä ratkaisuja, niihin tulisi suhtautua taloudellisina riskeinä ja niiden tulisi näin ollen sisältyä olennaisena osana organisaation yleisiin riskienhallinnan ja päätöksenteon prosesseihin.
Täydellistä tieto- tai kyberturvallisuutta ei ole. Sen sijaan toimet tulisi mitoittaa riskienhallinnan avulla organisaation toimintaan nähden hyväksyttäväksi katsottavalle riskitasolle. Lähtemällä liikkeelle riskienhallinnasta varmistetaan, että panostukset kohdistetaan ensisijaisesti niihin toimiin, joista saadaan tavoitteisiin nähden suurin hyöty.
👉 Ota selvää, mistä ominaisuuksista koostuu organisaation vahva riskikulttuuri ja miten voit kehittää organisaation resilienssiä.
👉 Traficomin Kyberturvallisuus ja yrityksen hallituksen vastuu -oppaasta löydät lisää työkaluja sekä tukea organisaation kyberturvallisuuden parantamiseen.
Tietoturvallisuuden hallintajärjestelmä – toteutus ja käytäntöön vienti
Tietoturvallisuuden toteuttamiseen on runsaasti hyvää kotimaista pohjamateriaalia saatavilla ilmaiseksi. Haasteena onkin enemmän toteutus ja käytäntöön vienti.
1️⃣ Tietoturvallisuuden hallintajärjestelmän toteutus lähtee liikkeelle sitoutumisen ja resursoinnin varmistamisesta sekä projektin käynnistämisestä.
2️⃣ Aluksi tunnistetaan toimintaympäristö ja suojattavat kohteet sekä organisaatioon kohdistuvat kyberturvallisuuden vaatimukset.
3️⃣ Tämän jälkeen tehdään suunnittelu kartoittamalla ja käsittelemällä riskit, valitsemalla hallintakeinot, asettamalla kyberturvallisuustavoitteet sekä kirjaamalla tarvittavat toimenpiteet.
4️⃣ Laaditaan tietoturvapolitiikka ja jatkuvuussuunnitelma sekä muu tarvittava dokumentaatio.
5️⃣ Henkilöstön koulutustarpeet selvitetään riittävän osaamisen varmistamiseksi ja laaditaan viestintäsuunnitelma.
6️⃣ Tietoturvallisuuden huomiointi viedään osaksi toiminnan prosesseja.
7️⃣ Tietoturvallisuuden toteutumisen jatkuva seuranta varmistetaan määrittelemällä muutama seurattava keskeinen mittari ja esimerkiksi sisäisin auditoinnein.
8️⃣ Suunnitellut toimenpiteet toteutetaan ja dokumentointia täydennetään, mahdollisena tavoitteena ulkopuolinen sertifioitumisauditointi.
Tässä vaiheessa tietoturvallisuuden hallintajärjestelmän tulisikin alkaa olla integroitunut osaksi organisaation jatkuvaa toimintaa. Järjestelmää kehitetään edelleen mm. ottamalla opiksi havaituista poikkeamatilanteista ja seuraamalla kyberturvallisuuden osaamisyhteisöjä.
Viitekehykset toteuttajan apuna – ISO 27001 ja KATAKRI
Tietoturvallisuuden hallintajärjestelmän toteuttajan apuna ovat erilaiset viitekehykset, kuten ISO 27001 -standardi ja KATAKRI-auditointikriteeristö.
ISO 27001 kuvaa tietoturvallisuuden hallintajärjestelmän rakentamisen edellä kuvattujen vaiheita noudattaen. Käsittely voidaan laajentaa kattamaan myös jatkuvuussuunnittelu laatimalla jatkuvuussuunnitelma sekä ottamalla toiminnan jatkuvuuteen liittyvät näkökohdat osaksi riskienhallintaa ja toimenpiteiden suunnittelua.
ISO 27001 tarjoaa joukon hallintakeinoja, hyviä käytäntöjä, joita vasten organisaatio voi peilata omaa tietoturvallisuuden toteutustaan.
KATAKRI on puolustusministeriön julkaisema tietoturvallisuuden auditointityökalu viranomaisille. Sisällöltään siinä on paljon samankaltaisuutta ISO 27001:n luettelemien hallintakeinojen kanssa.
KATAKRI esittää paikoin konkreettisempia vaatimuksia esimerkiksi fyysisen ja teknisen tietoturvallisuuden toteutuksen osalta.
Viranomaislähtökohdasta huolimatta sitä voi soveltaa myös suosituksena elinkeinoelämän tietoturvallisuuden parhaisiin käytäntöihin. Valtiovarainministeriön julkaisemiin VAHTI-ohjeisiin kannattaa tutustua myös liike-elämän puolella.
Organisaation tietoturva on kokonaisuus, jota ei pidä rakentaa erikseen, ”päälleliimata” olemassa olevan rinnalle, tai sysätä vastuuta ICT-osaston harteille. Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden voi saavuttaa, kun tietoturva
- suunnitellaan,
- toteutetaan,
- koulutetaan,
- arvioidaan,
- seurataan ja
- kehitetään
yhdessä kokonaisuutena.