Blogi

Näin pääset alkuun tietoturvatyössä ja vältyt turhalta tekemiseltä

Ota konsultin ja tietoturvajohtajan vinkit talteen tietoturvatyön aloittamiseen ja siihen, kuinka voit välttyä turhalta tekemiseltä.

  • Pidimme aiheesta webinaarin yhdessä Aditron tietoturvajohtajana työskennelleen Jani Rätyn kanssa maaliskuussa 2021.
  • Webinaarissa keskustelimme organisaatioiden tietoturvan parantamisesta, sekä kävimme läpi konkreettisia oppeja matkalle kohti ISO 27001 -sertifiointia.

Tietoturva on kokonaisuus, jota ei tule päälleliimata olemassa olevan tekemisen rinnalle

Organisaation tietoturva on kokonaisuus, jota ei pidä rakentaa erikseen, ”päälleliimata” olemassa olevan rinnalle, tai sysätä vastuuta esim. ICT-osaston harteille. Täysimittaisen hyödyn, vaikuttavuuden ja kustannustehokkuuden voi saavuttaa, kun tietoturva

  • suunnitellaan,
  • toteutetaan,
  • koulutetaan,
  • arvioidaan,
  • seurataan ja
  • kehitetään

yhdessä kokonaisuutena.

Kattavuudeltaan tietoturva tulee sovittaa organisaation toimintaympäristöön, sidosryhmien ja liiketoiminnan tarpeisiin. Näin tietoturvallisuudesta tulee osa toimintaa eli arkea ja se myös tukee osaltaan organisaation kokonaisvaltaista riskienhallintaa.

Kuinka pääset alkuun tietoturvatyössä ja vältyt ylilyönneiltä tai turhan tekemiseltä?

Vaikka organisaation päämääränä ei olisikaan sertifioitu tietoturvallisuusjärjestelmä, oman nykytilan arvioinnissa, yhteneväisyyksissä olemassa oleviin laatu-, ympäristö- ja työturvallisuusjärjestelmiin sekä oikein mitoitettujen tulevaisuuden askelmerkkien asettamisessa on ISO 27001 viitekehyksestä erinomainen hyöty.

Voit lähteä liikkeelle tietoturvallisuuden kehittämisessä vaikkapa seuraavaa polkua pitkin:

Näin pääset liikkeelle tietoturvallisuuden kehittämisessä, Arter Oy
Näin pääset liikkeelle tietoturvallisuuden kehittämisessä. KLIKKAA KUVA ISOMMAKSI.

Yleensä pyörää ei tarvitse keksiä uudestaan, koska tarvittavat asiat ovat hyvin lähellä laatu-, ympäristö- ja työturvallisuusjärjestelmien vaatimuksia. Näiden samankaltaisuuksien huomiointi ja yhteen liittäminen säästää vaivaa, koska vaikka näkökulma vaihtuu eri hallintajärjestelmien välillä, niiden perusrakenne on sama.

ISO 27001 -standardin sisällysluettelon järjestystä mukaillen, tietoturvamatka voidaan kuvata myös seuraavasti:

ISO 27001 -standardin sisällysluettelon järjestystä mukaillen, tietoturvamatka voidaan kuvata myös seuraavasti: Alkukartoitus, Toimintaympäristö, Johtaminen, Suunnittelu, Tuki, Toiminta, Arviointi, Parantaminen, Sertifiointi
Tietoturvamatka ISO 27001 -standardin rakennetta mukaillen. KLIKKAA KUVA ISOMMAKSI.

Voiko tietosuojaa olla ilman tietoturvaa?

Webinaarin vierailevan puhujan, Aditron tietoturvajohtaja Jani Rädyn mukaan vastaus on ei:

Kuten taloa ei voi rakentaa ilman kunnollista perustaa, ei tietosuojaa voi toteuttaa jos tietoturva ei ole kunnossa. Henkilötiedot ovat organisaation kaikkien tietojen osajoukko ja niin tietosuoja- sekä tietoturvavastaavilla on yhteinen etu suojata henkilötietoja. Yhteinen sanasto ja ISO 27001 pohjalle rakentuva ISO 27701 ovat tässä työssä oivallisia lähtökohtia.

Tietoturvallisuus on jatkuvasti kehittyvä kokonaisuus, ei irrallinen projekti

Täydellistä tietoturvallisuutta ja kaikkiin toimintaympäristöihin yhteensopivaa valmista ratkaisumallia ei ole. Sen sijaan organisaation tietoturvallisuusjärjestelmä tulee rakentaa ymmärtämällä kokonaisuutta.

Kokonaisuuden kannalta tulee pohtia omasta organisaatiosta lähestyen keskeisten kolmen elementin: ihmiset, toimintatavat ja teknologiat

  • vahvuudet ja mahdollisuudet, sekä
  • heikkoudet ja uhat.

Tuntemalla oman organisaation kulttuuri ja historia, voidaan tehdä oikeat valinnat siitä, missä tilanteissa luotetaan enemmän henkilöstöön mm. koulutus, perehdytys, luottamus, ja milloin taas teknologiaan ja sen erilaisiin ratkaisuihin.

Muista, että teknisin keinoin saavutetulla turvallisuudella on rajansa, ja sitä on tuettava asianmukaisella osaamisella, tietoisuudella, viestinnällä ja menettelyillä.

Suosittelemme tutustumaan myös:

👉 Näin rakennat tietoturvallisuuden hallintamallin| ladattava pikaopas
👉 Kyberturvallisuus – näin otat sen haltuun organisaatiossasi | blogi
👉 ISO 27001 -standardin 10 keskeistä vaatimusta| blogi

Onko ISO 27001 -sertifikaatin haku tai tietoturvahallintajärjestelmän rakentaminen ajankohtaista? Ota meihin rohkeasti yhteyttä!

Ota yhteyttä

Voit ottaa meihin yhteyttä tällä lomakkeella ja kertoa tarkemmin liiketoiminnan kehittämisen tarpeistasi. Ratkaistaan haasteenne yhdessä. Vikatilanteissa otathan yhteyttä tekniseen tukeemme.

Kirjoittaja

Arterin seniortason konsultti Jari Saalilla on lähes 30 vuoden historia eri organisaatioiden toiminnan kehittämisen parista. Hänellä on laaja kokemus ja tietämys johtamisen, toimintajärjestelmien, riskienhallinnan ja jatkuvuuden sekä tiedonhallinnan ja -turvan osa-alueilta. Jari saa usein palautetta siitä, miten hänen rauhallinen ja määrätietoinen tapansa luotsata asiakasprojekteja tarttuu projektiryhmiin: suunnitellut muutokset tulevat tehdyiksi ja ne juurtuvat arkeen.

Liittyvät materiaalit