Hallinnollinen tietoturva ja tekninen tietoturva ovat kumpikin tärkeitä tietoturvan osa-alueita, jotka linkittyvät toisiinsa, mutta ovat kuitenkin hyvin erilaisia tietoturvan osa-alueita.
Tietoturvan nähdään nykyisin koostuvan karkeasti kahdesta osasta: teknisestä ja hallinnollisesta puolesta. Teknisessä tietoturvassa keskitytään perinteisempiin tietoturvan osa-alueisiin, kuten palomuureihin ja pääsynvalvontaan. Kun näitä teknisiä kontrolleja on kertynyt riittävästi, syntyy tarve hallita ja ohjata niitä keskitetysti. Tämä on hallinnollisen tietoturvan rooli.
Hallinnollinen tietoturva ei keskity pelkästään uusien kontrollien luomiseen, vaan ohjaamaan myös niiden määrää ja ominaisuuksia. Nykyteknologioilla on mahdollista luoda miltei loputon määrä erilaisia kontrolleja, mutta näiden tarpeellisuutta ja kustannuksia tulee arvioida ja hallita, jotta ne eivät vie resursseja muualta ja vastaavat oikeaan tarpeeseen. Hallinnollisen tietoturvan tehtävä on tasapainottaa tietoturvan toteuttamista kustannustehokkaasti. Tästä syystä hallinnollinen tietoturva on vahvasti kiinni myös liiketoiminnassa ja johdossa. Jotta tässä kokonaisuudessa voitaisiin onnistua, tulee tietoturvaa lähestyä kuten muitakin liiketoiminnan osa-alueita eli riskipohjaisesti.
Mistä hallinnollinen tietoturva rakentuu?
Riskienhallinnan kautta organisaatiot voivat tunnistaa liiketoimintaansa vaikuttavia epävarmuuksia, jotka ovat luonteeltaan joko positiivisia tai negatiivisia. Yleensä keskitytään kuitenkin negatiivisiin riskeihin eli uhkiin. Liiketoiminnan onnistumista varten on tärkeää tunnistaa erilaiset uhat, jotka voivat haitata liiketoimintaa nykytilanteessa tai tulevaisuudessa. Koska tietoaineistot ja -järjestelmät ovat nykyään entistäkin tärkeämpiä liiketoiminnan onnistumisen kannalta, tulee tietoturvariskit nähdä olennaisena osana liiketoimintariskejä. Näin voidaan tunnistaa erilaisia uhkakuvia ja valita niille sopivat kontrollit.
Hallinnollisen tietoturvan tuottamat kontrollit ovat luonteeltaan vähemmän teknisiä ja keskittyvät enemmän ihmisten toiminnan ohjaamiseen ohjeiden, kouluttamisen ja vaatimusten avulla. Hallinnollisessa tietoturvassa onkin keskeisessä roolissa juuri ihmisen toiminta organisaation sisällä, eivät niinkään erilaiset tekniset kontrollit.
Koska organisaatioilla on nykyään erittäin laajat tietoaineistot ja -järjestelmät, hallinnolliset järjestelmät tuottavat usein merkittävän määrän korkean tason vaatimuksia kontrolleille. Hallintajärjestelmistä tuotetut kontrollit jakautuvat myös useisiin eri osa-alueisiin, kuten esimerkiksi tiedon luokitteluun ja suojaamiseen, fyysiseen turvallisuuteen (työskentelytilat ja niiden valvonta), laitteiden turvallisuuteen ja jatkuvuuteen ja palautumiseen.
On siis selvää, että hallinnollinen tietoturva rakentuu hyvin paljon organisaation prosesseista sekä käytännöistä, niin teknisten tietoturvaratkaisujen osalta kuin myös esimerkiksi jatkuvuuden sekä toipumissuunnittelun osalta. Se ottaa kantaa siihen, kuinka vahvasti, miten ja mitä tietoa on suojattava, kenellä on pääsy kyseiseen tietoon ja miten sitä voidaan käyttää. Tämän lisäksi on myös otettava huomioon esimerkiksi organisaation fyysiset tilat; kuinka tilat ja niiden käyttö suunnitellaan tietoturvallisiksi? Mitkä ovat vaadittavat turvatoimet? Ketä päästetään tiloihin ja miten se toteutetaan? Mitä ulkopuolisia palveluita ostetaan ja keneltä?
Laajojen kontrollien avulla rakennetaan organisaation yksilöllisiä tarpeita tukevaa hallintajärjestelmää, joiden avulla voidaan taata organisaation kykyä hallinnoida tietoturvaansa kokonaisvaltaisesti.
Miten liiketoiminta hyötyy hallinnollisesta tietoturvasta?
Siinä missä teknisen tietoturvan hyödyt koostuvat teknisesti toteutetuista ratkaisuista, joilla pyritään estämään ja pienentämään erilaisia liiketoimintaan vaikuttavia riskejä, kuten esimerkiksi haittaohjelmia, on myös hallinnollisella tietoturvalla moninaisia riskejä pienentäviä sekä liiketoiminnallisia hyötyjä.
Hallinnollinen tietoturva ohjaa tietoturvaa kustannustehokkaammaksi, jonka ansiosta tietoturva osataan kohdentaa organisaation kannalta oikeisiin asioihin ja samalla saada säästöjä niin resursseissa kuin kustannuksissa. Hallinnollisen tietoturvan avulla voidaan myös varmistua toimivasta kokonaisuudesta tietoturvan osalta, joka vaikuttaa positiivisesti niin organisaation toimintaan kuin myös liiketoimintaan.
Yksi iso kilpailuvaltti on myös hallinnollisen tietoturvan mahdollistama organisaation tietoturvan kypsyystason todistaminen kolmansille osapuolille. Usein kolmansille osapuolille on tarpeellista osoittaa tietoturvan kypsyystaso esimerkiksi tarjouskilpailuun osallistuessa tai neuvotellessa sopimuksia uusien asiakkaiden kanssa. Organisaatio voi esimerkiksi ottaa käyttöön ISO27001 – tietoturvan hallintajärjestelmän ja sertifioitua, jonka avulla tietoturvan kypsyystaso on helppo osoittaa kolmansille osapuolille ja näin ollen saavuttaa etua kilpailutilanteessa. Tietoturva on siis usealle organisaatiolle myös selkeä kilpailuetu ja yhä enenevissä määrin myös vaatimus asiakkaalta. Tällöin huonosti hoidettu tietoturva voi itse asiassa jopa estää asiakassopimuksen syntymisen, jos yritys ei pysty vastaamaan potentiaalisen asiakkaan tietoturvavaatimuksiin. Hallinnollinen tietoturva vastaa tähän ongelmaan ja takaa, että näihin asiakkaiden vaatimuksiin voidaan vastata asianmukaisella tavalla.
Hallinnollisen tietoturvan avulla voidaan myös sitouttaa koko organisaatiota tietoturvan saralla. Kontrollien avulla luodaan säännöt, prosessit ja käytänteet erilaisiin tietoturvaan liittyviin tilanteisiin, jonka ansiosta jokaisen henkilökunnan jäsenen on helppo ottaa huomioon tietoturvalliset toimintatavat omassa työssään. Näiden ansiosta inhimilliset virheet vähenevät ja organisaation koko henkilöstö saadaan sitoutettua tietoturvallisiin toimintatapoihin, kun pelisäännöt ovat kaikilla selvillä.
Hallinnollinen tietoturva tuo siis moninaisia hyötyjä yrityksille ja organisaatioille. Se auttaa erityisesti ottamaan tietoturvan haltuun kokonaisuutena, sillä nykymaailmassa pelkät tekniset kontrollit eivät usein riitä. Tämän vuoksi hallinnolliseen tietoturvaan on hyvä panostaa, jotta erilaiset tietoturvauhat saadaan torjuttua mahdollisimman hyvin.
2NS toteuttaa erilaisia hallinnolliseen tietoturvaan liittyviä projekteja ja toimeksiantoja. Asiantuntijoillamme on laaja kokemus hallinnollisen tietoturvan kehittämisestä organisaatioissa sekä erilaisista hallintajärjestelmistä. Lue lisää hallinnollisen tietoturvan palveluistamme.