Kyberturva ilman johtamisjärjestelmää vuotaa -Siksi on hallinnollinen tietoturva
Onko kyberhyökkäys oikea uhka? Miten yritys varmistaa tietoturvan? Miten tietoturvaa tulee johtaa? Kysymyksiä on virrannut Elmolle, kun kyberturvauhat ovat lisääntyneet. Elmon toimitusjohtaja Janne Aaltonen kertoo, miten tietoturvaa johdetaan.
Aloitetaan tekemällä ero teknisen ja hallinnollisen tietoturvan välillä. Tietoturvapuhe keskittyy usein palomuureihin, virustorjuntaan ja kaksivaiheisiin tunnistautumisiin. Kaikki ne ovat tärkeä osa teknistä tietoturvaympäristöä. Tietoturvan suurin riski on kuitenkin ihminen. Aaltonen vertaa tilannetta autoiluun.
Auton mukana tulee turvajärjestelmiä, mutta kyse on lopulta siitä, miten niitä käyttää ja mitä kuski tekee. Samoin tietoturvaan on teknisiä ratkaisuja, mutta vasta hallinnollinen tietoturva kertoo, miten ratkaisuja käytetään.
Kun ihminen hölmöilee ja softassa on bugeja…
Hallinnollisen tietoturvan englanninkielinen nimi ISMS tulee termeistä Information Security Management System. Kyseessä on kokonainen johtamisjärjestelmä, joka kattaa prosessit, käytännöt ja toimintatavat, joilla yritys pyrkii takaamaan tietoturvan toteutumisen. Kuten Aaltonen huomauttaa, suurin osa liiketoimintaprosesseista liittyy tietoturvaan.
Miten ihmisten taustat tarkistetaan rekrytoinnissa, keillä on pääsy yrityksen tiloihin, kuinka käyttöoikeudet järjestelmiin jaetaan, mitä työkoneelle saa asentaa, Aaltonen listaa.
Aaltonen on pitänyt lukuisia luentoja hallinnollisesta tietoturvasta ja sanoo siitä tulleen yritysten kilpailuetu
Näiden ja lukuisten muiden periaatteiden dokumentointi on keskeinen osa hallinnollista tietoturvaa. Toinen on koulutus: vasta jalkauttamalla periaatteet varmistetaan, että tietoturvan heikoin lenkki, ihminen, tekisi mahdollisimman vähän virheitä.
Ongelmat syntyvät, kun ihminen hölmöilee ja softassa on bugeja. Bugit ovat inhimillisiä virheitä koodissa, ja mahdollistavat käyttöyhteyden järjestelmään.
Yrityksissä on valtava määrä koodia, joten on selvää, että bugejakin esiintyy. Lisäksi ihmiset tekevät virheitä, heitä johdetaan harhaan tai ihmiset toimivat tietoisesti ohjeita vastaan. Tämä avaa oven kiristysohjelmille.
…tarvitaan tietoturvan johtamisjärjestelmä
Mistä liikkeelle? Siitä, että yritys kehittää itselleen tietoturvan johtamisjärjestelmän. Omin päin sitä ei tarvitse keksiä, sillä kansainvälinen ISO/IEC 27001 -standardi kuvaa hyvin tarvitut vaatimukset. Standardi ei kuitenkaan aina avaudu helpolla.
Yhä useampi yritys tiedostaa, että tietoturvan johtamisjärjestelmä tarvitaan, ISO/IEC 27001:stä on ehkä kuultu ja usein se näkyy loppuasiakkaiden tarvitaan, ISO/IEC 27001:stä on ehkä kuultu ja usein se näkyy loppuasiakkaiden vaatimuksissa. Standardi koetaan kuitenkin monimutkaisesti ja työmäärä valtavaksi. Ja onhan siinä työtä: Elmon sertifiointi alkoi 2016 ja valmistui 2019.
Kokemuksensa pohjalta Elmo on kuitenkin kehittänyt asiakkailleen suoraviivaisen mallin ISO/IEC 27001 -sertifikaatin mukaiseen tietoturvan johtamisjärjestelmään. Elmon sertifioidut tietoturvakonsultit kartoittavat asiakkaan toiminnan ja tekevät varsin valmiin ehdotuksen rakenteesta ja sisällöstä.
Työ tuottaa noin 20 dokumenttia, joissa kuvataan tietoturvan hallinnan politiikat, prosessit ja toimintaohjeet. Elmon mallilla investointi on noin 20 000 euroa, riippuen kattavuudesta. Kaikkea ei tarvitse tehdä heti, vaan yritykselle kriittisistä osa-alueista voidaan aloittaa, rauhoittelee Aaltonen.
ISO/IEC 27001 on jättiläinen, joka taipuu moneen sertifiointiin
Tietoturvan hallintajärjestelmiä ja sertifikaatteja on maailmalla muitakin, kuten SOC 2, C2M2, NIST CSF ja TISAX; uusimpana EU:n NIS2-kyberturvadirektiivi, jonka kansallinen soveltaminen Suomessa alkaa 18.10.2024. Myös näiden tarkasteluun ISO/IEC 27001 -pohjainen ISMS antaa hyvät lähtökohdat.
ISO/IEC 27001 kattaa järeimpänä versiona hyvin muiden sertifikaattien vaatimukset. Tietoturvaa ei ole pakko viedä sertifikaattiin asti, mutta kun asiat on tehty ISO-viitekehyksellä, säilyy sertifointi optiona tulevaisuudessa.
Lisätietoja
Tagit
Omat tagit
ICT Elmo - Asiantuntijat ja yhteyshenkilöt
ICT Elmo - Muita referenssejä
ICT Elmo - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Tecinspire Oy - Dev Team Lead - Kehityksen tiimipäällikkö
- Laura - IT Manager
- Laura - Network Specialist
- Laura - Tiedonhallinnan erityisasiantuntija
- Laura - Junior Cyber Security Specialist
- Laura - Senior Cyber Security Specialist
- Red & Blue Oy - Projektipäällikkö verkkopalvelu- ja verkkokauppaprojekteihin
Premium-asiakkaiden viimeisimmät referenssit
- Verkkovaraani Oy - Lentorata.fi-sivuston saavutettavuusauditointi
- Innofactor Oyj - Apotek 1 tarjoaa innovatiivisia palveluja Azure Kubernetes -ratkaisun avulla
- Innofactor Oyj - Business Centralin lisäarvoratkaisut tehostavat Domicetin liiketoimintaa
- Efima Oyj - Case Martela: Luottamus ERP-kumppaniin rakentui tehtaan lattialla
- Valve - Korsisaari uudistunut verkkopalvelu
- Valve - Musiikkituottajat – IFPI Finland ry verkkopalvelun uudistus
- Valve - Näytelmät.fi verkkosivusto
Tapahtumat & webinaarit
- 21.05.2024 - The path to productization
- 21.05.2024 - Ilmainen ERP-webinaari: NAV:stä Business Centraliin | Business Centralin mahdollisuudet versionvaihdon jälkeen
- 23.05.2024 - Ilmainen BI ja ERP-webinaari: Paradigman muutos
- 28.05.2024 - SprintIT webinaari ti 28.5. klo 10: Odoo Raportointi - Sitä saat mitä mittaat!
- 29.05.2024 - Efistream-webinaari: Näin rakennat modernin taloushallinnon, joka tukee tiedolla johtamista
- 29.05.2024 - Ilmainen ERP-webinaari: Forbesin maailman parhaaksi valitseman liiketoimintaohjelmiston, Business Centralin, esittely ja demo
- 30.05.2024 - Palvelumuotoilu osana DevOpsia
Premium-asiakkaiden viimeisimmät bloggaukset
- Timeless Technology - Milesight UR32L Lite Series teollisuusreititin hintaan 115,00€!
- Innofactor Oyj - Dynasty Asiointipalvelun 3 tärkeintä hyötyä
- Efima Oyj - Microsoft Fabric -sanakirja: esittelyssä Fabricin analytiikkatyökalut
- Staria Oyj - Citycon ulkoistaa pohjoismaiseen talous- ja vuokrahallintoon liittyvät toiminnot Starialle
- Timeless Technology - Perlen 4G ja 5G reitittimet: Virtaviivaista verkonhallintaasi Docker OCI-säilöillä.
- Ready Solutions Oy - Lakehouse – alusta vai tietovarasto moderniin analytiikkakehitykseen?
- Ready Solutions Oy - Mitä on saatavienhallinnan analytiikka?
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |