Hallinnollinen tietoturva on kaiken perusta

/ Tero Tapanainen

Salasana, virustorjunta ja palomuuri ei riitä. Tietoturva vaatii johtamista ja suunnittelua, tylsemmin sanottuna hallinnollista tietoturvaa.

 

Hallinnollisessa tietoturvassa on kyse johtamisesta. Esimerkiksi siitä, että tietoturvallisuuden periaatteet ja käytännöt täytyy luoda yritystasolla ja johdon toimeksiannosta, ei yksilöiden vaihtelevina käytäntöinä.

Hallinnollisen tietoturvan tasolla määrätään ne prosessit, joita kaikkien tulee noudattaa. Se on myös taso, jolla kokonaisuutta valvotaan: johto seuraa ja ohjaa periaatteiden ja toimenpiteiden toteutusta.

Hyvään tietoturvan johtamistapaan kuuluu varmistua siitä, että asiat on määritelty, vastuutettu ja niitä valvotaan.
 

Käy läpi seuraavat asiat johtoryhmässäsi:

 

  • Riskianalyysi

Mitkä ovat tieturvariskimme? Arkaluontoinen ja korvaamaton tieto? Vaatimukset järjestelmien käytettävyydelle ja keskeytyksettömälle toiminnalle? Henkilöriskit ja kumppaneihin liittyvät riskit? Miten ja millooin riskianalyysiä päivitetään? Arvio tarvittavasta suojautumistasosta ja keinoista.

 

  • Vastuuhenkilöt

Kuka vastaa mistäkin? Yllättävän monessa yrityksessä ei ole määritelty vastuita esimerkiksi tilanteessa, jossa tietojärjestelmät tippuvat käytöstä, liiketoiminta pysähtyy hetkeksi ja se pitäisi ajaa uudestaan ylös. Tekniikka on helppoa, mutta kuka varmistaa kassakirjausten oikeellisuuden, selvittää mahdollisesti katkoshetkellä kadonneet tiedot, informoi asiakkaita, alihankkijoita ja yhteistyökumppaneita jne.

 

  • Resurssit

Millä resursseilla tietoturvaa toteutetaan? Miten tarvittavat henkilöresurssit ja investoinnit budjetoidaan? Kuka johtaa henkilöitä?

 

  • Dokumentointi

Onko asiat dokumentoitu? Voisiko dokumentteja seuraamalla hoitaa keskeiset tehtävät, vaikka aiempi vastuuhenkilö ei yllättäen olisikaan käytettävissä? Kuka ylläpitää dokumentteja ja vastaa niiden tuoreudesta?

 

  • Tekninen suojaus

Mitä suojaamme milläkin turvallisuustasolla? Miten varmistetaan riittävän helppo käytettävyys ja riittävä suoja samaan aikaan? Laite- ja ohjelmistokirjo kasvaa koko ajan – miten suojaudutaan? Kenellä on pääsy mihinin tietoihin ja miten henkilöllisyydestä varmistutaan?

 

  • Fyysisen ympäristön suojaus

Kuinka järjestämme kulunvalvonnan, paloturvallisuuden, varmuuskopioiden turvallisen säilytyksen jne?

 

  • Prosessit

Mitkä ovat yhdessä sovitut tietoturvan käytännöt päivittäisessä työssä, projekteissa ja asiakastöissä? Valvotaanko tämän toteutumista jollakin tavalla?

 

  • Kumppanisuhteet ja ulkoistukset

Kuinka varmistamme tietoturvan myös kumppanien osalta? Sopimukset, vastuuhenkilöt, käytännöt? Entä kumppanuuden päättyessä; kuka sulkee yhteydet ja

 

  • Henkilötietosuoja

Miten varmistamme toiminnan EU:n tietosuoja-asetuksen (GDPR), Tietoyhteiskuntakaaren ja tulevan ePrivacy-asetuksen mukaiseksi? Onko meillä nimetty tietosuojavastaava? Kuinka varmistamme, että myös kumppanit noudattavat tietosuoja-asetuksen vaatimuksia?

 

  • Sopimukset

Millaisin sopimuksin suojaudumme? Millaisiin sopimuksiin ja velvoitteisiin itse sitoudumme?

 

  • Koulutukset

Verkostoituneessa maailmassa työntekijä- ja alihankkijakirjon kasvaa koko ajan. Työntekijät toimivat hyvin erilaisin taustoin ja osaamisprofiilein. Kuinka heitä koulutetaan? Entä koulutetaanko alihankkijoita? Millaista koulutusta tarjotaan puolestaan niille, joiden päätyönä on organisaatiomme tietoturvan varmistaminen? Entä johdon kolutus?

 

  • Tietoisuus

Kuinka suojaudumme kalasteluyrityksiltä, huijauksilta yms. tavoilta murtautua järjestelmiimme ihmisten hyväuskoisuutta tai huolimattomuutta hyväksikäyttäen? Miten ja kuinka usein henkilöstöä koulutetaan? Entä miten toimimme sosiaalisen median kanavissa ja mitä turvallisuuskäytäntöjä niissä noudatamme? Mitä tietoja lähetämme sähköpostissa ja mitä emme koskaan lähetä?

 

Suunnittele tietoturvasi. Jo se, että käyt ylläolevan listan läpi nostaa kokonaiskuvasi tietoturvasta paremmalle tasolle!