Mitä on hallinnollinen tietoturva?
Hallinnollinen tietoturva on osa yrityksen tietoturvakokonaisuutta ja sen avulla hallitaan tietoturvaa kokonaisuutena. Tekniset ratkaisut, kuten palomuurit, kulkukortit, tiedon salaaminen tai virustentorjunta eivät modernissa yrityksessä enää riitä tietoturvan hallintaan, jolloin hallinnollisen tietoturvan tärkeys korostuu.
Hallinnollisella tietoturvalla nimensä mukaisesti hallitaan tietoturvaa kokonaisuutena, luodaan tietoturvapolitiikka sekä käytännöt ja prosessit tietoturvalliseen toimintatapaan, varmistetaan henkilöstön tietoturvaosaaminen ja luodaan prosessit sekä käytänteet tietoturvapoikkeamista ja -hyökkäyksistä selviämiseen. Hallinnollinen tietoturva vastaa moniin tarpeisiin organisaation tietoturvassa niin käytänteistä lainsäädännöllisiin vaatimuksiin.
Tietoturvan johtamisjärjestelmä apuna tietoturvan hallinnassa
Usein hallinnollisessa tietoturvassa käytetään apuna jotakin tietoturvan johtamisjärjestelmää. Esimerkkejä tällaisista järjestelmistä on kansainvälisesti tunnettu ISO 27001 standardi ja sen lisäosa ISO 27701. Muita tunnettuja järjestelmiä ovat COBIT, VAHTI ja KATAKRI. Tietoturvan johtamisjärjestelmä auttaa organisaatiota saamaan tietoturvan osaksi yrityksen päivittäisiä työskentelytapoja ja sitouttaa koko organisaatiota toimimaan tietoturvallisesti. Se myös mahdollistaa tietoturvan jatkuvan hallinnan, seurannan, jalkautuksen ja kehityksen.
Järjestelmä tuo myös kilpailuetua yrityksille, sillä sen avulla voidaan todistaa kolmansille osapuolille, että yritys huolehtii tietoturvastaan asianmukaisella tavalla. Tämä nousee esiin erityisesti tarjouskilpailuun osallistumisessa, joissa saattaa vaatimuksena olla tietoturvan asianmukaisen huolehtimisen todistaminen. Näin ollen yritys, jolla on käytössä johtamisjärjestelmä on lähtökohtaisesti paremmassa asemassa verrattuna yritykseen, jolla järjestelmää ei ole käytössä.
Tietoturva osaksi liiketoimintaa
Tietoturva-alalla on tapahtunut hiljalleen muutos, jossa tietoturva on siirtynyt teknisistä ratkaisuista myös osaksi liiketoimintaa, jolloin hallinnollisen tietoturvan merkitys on kasvanut yrityksissä. Tästä muutoksesta löydät lisätietoa toisesta artikkelistamme.
Riskienhallinta on osa jokaisen yrityksen toimintaa ja niiden varalle tehdään useita erilaisia toimenpiteitä. Tietoturvariskit ja niiden hallitsemiseen käytettävät järjestelmät ovat jo nykyään osa yrityksen strategiaa, sillä pelkät tekniset ratkaisut eivät varmista laaja-alaista riskien hallintaa tietoturvan osalta. Hallinnollisen tietoturvan tärkeys korostuukin juuri suunnitelmallisuutta tarvitsevissa riskien hallinnassa, hyökkäys kun voidaan tehdä esimerkiksi henkilöstön kautta eivätkä tekniset ratkaisut myöskään auta yrityksen toipumisessa mahdollisen hyökkäyksen uhriksi joutumisen jälkeen. On myös tärkeää muistaa, että lainsäädäntö vaikuttaa liiketoimintaan sekä sen kehittämiseen ja kasvattamiseen suurissa määrin. Lainsäädännössä kiinnitetään huomiota yhä enenevissä määrin tietoturvaan sekä tietosuojaan, jolloin myös yritysten on otettava nämä asiat huomioon toiminnassaan. Hyvänä esimerkkinä hallinnolliseen tietoturvaan sekä liiketoimintaan vaikuttaneesta lainsäädännöstä on EU:n yleinen tietosuoja-asetus, eli GDPR.
Kuinka hallinnollinen tietoturva otetaan mukaan yrityksen strategiaan?
Tietoturvan hallintajärjestelmän käyttöönotto tapahtuu useimmiten projektina, joka alkaa organisaation tarpeiden kartoittamisella ja niihin sopivan järjestelmän valitsemisella. Tämän jälkeen tehdään analyysi siitä, kuinka käytännöt poikkeavat ja missä on puutteita haluttuun järjestelmään verrattuna. Kun nämä on löydetty, tehdään analyysi siitä mitä vaaditaan, jotta halutun järjestelmän vaatimuksenmukaisuudet täyttyvät. Tämän jälkeen prosesseja, käytäntöjä ja organisaation kulttuuria lähdetään systemaattisesti rakentamaan, jotta haluttu järjestelmä voidaan ottaa käyttöön. Käyttöönoton jälkeen osa yrityksistä haluaa virallisen sertifikaatin järjestelmän käytöstä, mutta tämä ei kaikissa tapauksissa ole tarpeellista.
Projektin kestoon ja työmääriin vaikuttavat oleellisesti yrityksen lähtötilanne. Jossain organisaatioissa tietoturva on jo viety hyvin pitkälle ilman hallintajärjestelmää, kun taas osassa yrityksiä tietoturvakäytännöt ovat vasta alussa.
Hallinnollinen tietoturva auttaa yrityksiä sekä erilaisia organisaatioita hallitsemaan tietoturvaa kokonaisuutena, ei vain osana tietohallinnon tehtäviä. Modernissa liiketoiminnassa digitaaliset palvelut ovat osa yrityksen kaikkia toimintoja, jolloin tietoturvasta huolehtiminen vaatii organisaatioilta kokonaisvaltaisuutta. Tietoturvasta huolehtiminen kokonaisuutena kuitenkin kannattaa, sillä se auttaa yritystä pienentämään monia erilaisia riskejä, jotka voivat realisoitua tietoturvaloukkauksen uhriksi joutumisen vuoksia näin ollen auttaa kehittämään liiketoimintaa, sekä takaa toiminnan jatkuvuuden mahdollisen tietoturvapoikkeaman jälkeen.