Olemme aiemmin käsitelleet hallinnollista tietoturvaa blogissamme ja kertoneet enemmän siitä, mitä hallinnollinen tietoturva oikein on ja mitä hallinnollisen tietoturvan kuntoon laittaminen vaatii yritykseltä. Tällä kertaa kerromme hieman lisää siitä, mistä on hyvä aloittaa, kun lähdetään rakentamaan organisaatiolle hallinnollista tietoturvaa.
Aiemmat postauksemme hallinnollisesta tietoturvasta:
Mistä aloittaa?
Kun organisaatiossa on tehty päätös hallinnolliseen tietoturvaan panostamisesta ja johdolta on saatu siihen vahva mandaatti, ensimmäisenä kannattaa selvittää nykyisen tietoturvan hallitsemisen maturiteetti. Ohjataanko toimintaa jotain kautta jo nyt vai syntyvätkö nykyiset ratkaisut tyypillisesti ad-hocisti?
Nykyisten toimintatapojen selvittäminen antaa osviittaa siitä, kuinka paljon organisaatiossa on kehitettävää ja tämän perusteella voidaan myös arvioida projektin kestoa, laajuutta sekä kustannuksia. Tästä on myös apua erityisesti niissä tilanteissa, kun hallinnollisen tietoturvan kehittämisessä käytetään apuna ulkoista konsulttia.
Projektin alussa kannattaa myös käydä läpi nykyisiä tietoturvaprosesseja ja dokumentoida niitä. Dokumentointi auttaa jatkokehityksessä, sillä silloin on selkeästi tiedossa aiemmat toimintatavat, jolloin nähdään helposti, että mitä ja missä on kehitettävää. Dokumentoinnin perusteella nähdään myös, onko toiminta yhtenäistä vai toimitaanko kaikkialla eri tavoin, jolloin esimerkiksi eri osastojen toimintatapoja on helppo verrata ja tarvittaessa yhtenäistää tai luoda jollekin toiselle osastolle omia, yksittäisiä kontrolleja.
Projektin eteenpäin vieminen ja johtaminen helpottuu myös huomattavasti, kun asiat ovat dokumentoitu, eikä näin ollen projektiin jää yksittäisiä aukkoja. Jos projektissa on mukana ulkoisia konsultteja, dokumentointi auttaa heitä työssään, kun konsultit arvioivat ja kehittävät organisaation toimintaa.
Kartoita sisäiset kyvykkyydet
Koska johdon mandaatti ja koko organisaation sitoutuminen tietoturvan toimintatapojen kehittämiseen on oleellista projektin onnistumisen kannalta, on hyvä miettiä myös mikä on yrityksen sisäinen kyvykkyys asian osalta. Löytyykö organisaatiosta jo henkilöä, joka voisi lähteä omistamaan/johtamaan hallinnollista tietoturvaa? Jos tehtävään löytyy sisäisesti sopiva henkilö, joka sitoutuu ja on motivoitunut johtamaan projektia, on sen läpivienti huomattavasti helpompaa. Tällainen henkilö voi hakea johdon tukea tietoturvan hallinnoimiselle, toimia tietoturvallisuuden omistajana, ohjata tietoturvan kehittämistä muualla organisaatiossa projektien kautta ja hakea neuvoa ulkopuolisilta konsulteilta. Sisäisesti tehtävään löydetyn henkilön avulla on myös helpompi sitouttaa muu henkilöstö ja organisaatio toimintatapojen kehitykseen ja muutokseen.
Kevyestikin voi lähteä liikkeelle
Monesti organisaatioilla saattaa olla mielikuva, että hallinnollisen tietoturvan kehittäminen on monimutkainen, pitkä ja hankala projekti. Asia ei kuitenkaan ole näin suoraviivainen, sillä hallinnollista tietoturvaa voidaan lähteä kehittämään myös kevyemmin. Aina ei tarvitse lähteä tavoittelemaan jonkin standardin asettamia vaatimuksia, vaan organisaatiolle voidaan kevyellä työllä luoda kontrollit, jotka palvelevat heidän organisaationsa yksilöllisiä tarpeita. Toki, mitä suurempi organisaatio ja mitä kriittisempää tietoa käsitellään, niin kontrollitkin monimutkaistuvat.
Standardien vaatimuksia voidaan esimerkiksi pilkkoa osiin ja ottaa käyttöön ne, jotka ovat organisaatiolle tarpeellisia, jolloin kontrollien kokonaisuudesta tulee huomattavasti kevyempi ja voidaan myös keskittyä juuri organisaation kannalta kriittisimpiin osiin. Hallinnollisen tietoturvan kehittämisprojektissa voidaan lähteä alkuun liikkeelle kevyemmin ja kun asiat kehittyvät, voidaan myös tietoturvaa toteuttaa syvällisemmin riippuen aina organisaation yksilöllisistä tarpeista.
Onkin siis hyvä muistaa, että hallinnollinen tietoturva rakennetaan perustuen organisaation yksilöllisiin tarpeisiin ja sen on tarkoitus auttaa organisaatiota menestymään sekä varmentaa organisaation tietoturvaa ja toimintaa. Tällöin myös tietoturvaan liittyvät asiat pyritään rakentamaan niin, että ne helpottavat ja varmentavat organisaation työtä.
Lyhyesti tiivistettynä organisaation olisikin hyvä lähteä liikkeelle tarkistamalla oman hallinnollisen tietoturvansa maturiteetin taso, jonka jälkeen on hyvä käydä läpi tietoturvakäytänteet ja dokumentoida ne, jotta kehitys voidaan tehdä mahdollisimman ketterästi. Olisi myös hyvä saada organisaation sisältä henkilö, jolla on tietoturvan omistajuus ja mandaatti vetää projektia eteenpäin. Kun projektiin lähdetään on hyvä muistaa, että sen on tarkoitus auttaa organisaatiota, jolloin projekti rakennetaan vastaamaan organisaation yksilöllisiä tarpeita ja se voidaan mahdollisesti tehdä myös kevyempänä, riippuen organisaation tarpeista.
2NS toteuttaa erilaisia hallinnolliseen tietoturvaan liittyviä projekteja ja toimeksiantoja. Asiantuntijoillamme on laaja kokemus hallinnollisen tietoturvan kehittämisestä organisaatioissa sekä erilaisista hallintajärjestelmistä. Lue lisää hallinnollisen tietoturvan palveluistamme.