Tietoturvapolitiikka on yrityksen tietoturvan perustuslaki. ISO 27001 -standardin mukaan sen on oltava ylimmän johdon hyväksymä ja saatavissa koko henkilöstölle dokumentoituna tietona. Mutta onko tämä pelkästään yksi rasti matkalla kohti sertifiointia vai jotain tärkeämpää? Pohditaan hetki, miten voidaan valjastaa tietoturvapolitiikka liiketoiminnan tueksi.
On helppoa nähdä, kuinka tietoturvapolitiikka auttaa tietoturvan sisäisessä jalkauttamisessa. Se määrittää toimivallan tietoturvan vastuuhenkilöille ja edellyttää kaikkia toimimaan sääntöjen mukaisesti. Tämä on toki tärkeätä, mutta sisäinen dokumentti ei lisää kumppaneiden ja asiakkaiden luottamusta yritykseen. Tästä syystä politiikkaa laatiessa ajatellaan usein myös ulkoisia sidosryhmiä. Joko niin, että tietoturvapolitiikkaa kirjoitetaan ilman liian arkaluonteisia yksityiskohtia tai niin, että siitä luodaan kaksi eri versiota, toinen sisäinen ja toinen muuta käyttöä varten.
Uskallan kuitenkin väittää, että pelkkä riisuttu tietoturvapolitiikka, joka toistaa standardin pakolliset asiat ei ole paras mahdollinen ulkoisessa käytössä. Luoko se todella vankan tunteen turvasta? Mitä jos hyppäämme asiakkaan rooliin ja mietimme, että mitä me haluaisimme nähdä yhteistyökumppanin tietoturvapolitiikassa? Mitkä ovat ne asiat laadukkaassa tietoturvapolitiikassa, jotka todella tukevat liiketoimintaa ja erottavat yrityksen kilpailijoistaan?
Miten valjastetaan tietoturvapolitiikka liiketoiminnan edistäjäksi?
Tässä muutama ajatus, joiden avulla voidaan valjastaa tietoturvapolitiikka liiketoiminnan edistäjäksi:
- Onko tietoturva todella tärkeä prioriteetti ylimmälle johdolle ja onko se strateginen tavoite? Kuvataanko tietoturvapolitiikassa miten ylin johto varmistaa tietoturvan koko organisaatiossa? Tuntuuko teksti aidolta vai pelkästään muodollisuudelta?
- Onko tietoturvan johtavat roolit määritelty tarpeeksi selkeästi? Onko niillä järkevät pätevyysvaatimukset ja resursointi? Onko yritys siis valmis satsaamaan tietoturvaan?
- Onko vastuu tietoturvasta jalkautettu koko organisaatiolle? Satsaako yritys henkilöstön tietoturvaosaamiseen? Onko yritys ymmärtänyt, että suurin osa tietomurroista liittyy henkilöstöön tavalla tai toisella?
- Tunnistaako yritys muiden osapuolten datan tärkeyden? Siis ulkoisen sidosryhmän oman datan tärkeyden. On rauhoittavaa lukea, että yritys on ymmärtänyt roolinsa kumppaneiden ja asiakkaiden datan turvaamisessa.
- Onko yrityksen toimintatapa aidosti riskilähtöinen, vai onko se pelkkä pakollinen muotisana? Perusteellinen riskienhallintaprosessi varmistaa, että rajalliset resurssit kohdistetaan oikein ja todelliset riskit torjutaan tehokkaasti.
- PDCA, suunnittele – toteuta – tarkista – toimi, on keskeinen periaate standardissa. Se ohjaa toimimaan itsekriittisesti ja jatkuvaan parantamiseen. Tämän asian esille tuominen on hyvä viesti, joka alleviivaa, että yrityksen tietoturva on elävä ja jatkuvasti kehittyvä.
- Tiedon luovuttaminen toiselle käsiteltäväksi edellyttää luottamusta. Avoimuus edistää luottamusta. Sitoutuuko yritys toimimaan avoimesti myös silloin, kun kaikki ei suju niin kuin Strömsössä?
Tässä listassa on mukana asioita, jotka eivät löydy valmiista tietoturvapolitiikan dokumenttipohjista, mutta ne ovat kaikki tärkeitä hyvässä tietoturvakulttuurissa. Joten miksi ei hyödyntäisi tilaisuutta ja viestittäisi näistä asioista myös tässä tärkeässä dokumentissa? Viesti, että ylin johto seisoo näiden periaatteiden takana, on hyödyllinen sisäisesti, mutta myös muille sidosryhmille. Tällainen tietoturvapolitiikka tukisi liiketoimintaa ja edistäisi organisaation tietoturvakulttuurin kasvua.
Esitän loppuun vielä rohkean ajatuksen tietoturvapolitiikan laadinnasta. Mitä jos otetaan mukaan viestinnän ammattilainen, kun tietoturvapolitiikkaa laaditaan? Se parantaisi dokumentin tehoa yrityksen imagon vahvistajana sekä sisäisessä että ulkoisessa viestinnässä ja samalla viesti tietoturvapolitiikasta liiketoiminnan edistäjänä saataisiin tehokkaammin näkyville.
Mikael Albrecht,
Senior Security Consultant, 2NS