Aiemmassa blogipostauksessamme käsittelimme hallinnollista tietoturvaa ja sitä, mitä hallinnollinen tietoturva oikein on. Lyhyesti tiivistettynä hallinnollinen tietoturva tarkoittaa teknisten tietoturvakontrollien keskitettyä hallintaa ja ohjausta. Jos hallinnollinen tietoturva ei ole vielä tuttua, aiemman postauksemme pääset lukemaan täältä.
Tällä kertaa käsittelemme postauksessamme sitä, mitä hallinnollinen tietoturva ja sen käyttöönotto vaatii yritykseltä tai organisaatiolta.
Henkilöstön sitouttaminen
Hallinnollinen tietoturva koskee koko organisaatiota ja kaikkia sen osia. Erityisesti johdon tulee sitoutua edistämään hallinnollista tietoturvaa, koska ilman johdon tukea hallinnollista tietoturvaa ei saada jalkautettua tehokkaasti koko organisaation laajuisesti.
Kun lähdetään kehittämään hallinnollista tietoturvaa organisaation sisällä, tulee prosesseihin ja käytäntöihin väistämättä muutoksia sekä uusia toimintatapoja. Näiden toimintatapojen sulauttaminen organisaation jokapäiväiseen toimintaan voi viedä aikaa ja myös muutosvastarintaa saatetaan kohdata. Kun projektilla on kuitenkin vahva mandaatti, sekä sitoutuminen johdolta, on muutokset helpompi viedä läpi koko organisaatiossa. Yksi iso tekijä hallinnollisen tietoturvan käyttöönotossa onkin johdolta saatu mandaatti ja tuki projektille.
Hallinnollisen tietoturvan kuntoon laittaminen vaatii myös muun organisaation sitoutumisen toimintaan. Toki sitouttaminen lähtee johdon tuesta, mutta ilman sitoutunutta henkilöstöä on toimintatapojen käyttöönottaminen hankalaa. Erityisen tärkeää on, että koko organisaatio saadaan ymmärtämään tietoturvan tärkeys ja sitoutumaan sen tuomiin muutoksiin, jotta ohjeiden noudattaminen ei jäisi puolitiehen, ja näin ollen vaarantaisi kontrollien toteutumista. Tähän henkilöstölle voidaan tarjota apua esimerkiksi koulutuksen muodossa. Johdon tuen lisäksi on siis myös tärkeää sitouttaa koko henkilöstö toimintaan, jotta hallinnollinen tietoturva saadaan kuntoon organisaatiossa.
Henkilöresurssit
Kun hallinnollisen tietoturvan edistämisellä on johdon tuki ja organisaation sitoutuminen, tarvitaan organisaatiolta henkilöresursseja, jotta eri liiketoimintojen omistajat ehtivät osallistua toiminnan kehittämiseen. Henkilöresurssien tarvittava määrä riippuu paljolti siitä, kuinka isosta organisaatiosta on kyse ja kuinka laaja projekti hallinnollisen tietoturvan projekti on. Henkilöresursseja lähtökohtaisesti tarvitaan kuitenkin usealta eri liiketoimintojen osa-alueelta, joten väistämättä henkilöresursseja projektiin tarvitaan.
Tärkeä tekijä henkilöresursseissa on myös yhteistyö eri liiketoimintojen omistajien välillä. Hallinnollinen tietoturva ammentaa suuntiaan liiketoiminnan vaatimuksista ja täten vaatii vahvan yhteistyön eri liiketoimintojen omistajilta. On siis hyvä huomioida yhteistyön sujuvuus ja vaikutus liiketoimintaan ja henkilöstöresursseihin kokonaisuutena, sekä projektin aikana että sen jälkeen, kun toimintatavat on otettu käyttöön.
Erilaiset vaiheet vaativat aikaa
Kun lähdetään laittamaan hallinnollista tietoturvaa kuntoon, vaatii projekti myös väistämättä aikaa. Usein projekti vaatii ajan osalta ainakin vuoden, mahdollisesti kauemmin, vaikkakin on myös projekteja, joissa päästään alle vuoteen. Ajallinen kesto muodostuu hyvin pitkälti lähtötilanteesta sekä projektin laajuudesta ja organisaation koosta.
Aikaan vaikuttavia tekijöitä on projektissa paljon ja osa projektin sisältämistä tehtävistä ovat ajalliselta kestoltaan pitkiä. Aikaa kuluu esimerkiksi riskienhallintatyöpajoihin, liiketoimintaprosessien esittelyyn ja kriittisten prosessivaiheiden tunnistamiseen yhdessä tietoturva-asiantuntijan kanssa, erilaisiin koulutuksiin ja harjoituksiin, sekä koko organisaation tietoturvatietoisuuden kehittämiseen.
Projekti etenee usein esimerkiksi seuraavasti; yritys on päättänyt lähteä kehittämään hallinnollista tietoturvaa. Liiketoimintaomistajia on pyydetty osallistumaan riskityöpajoihin, joissa käydään läpi liiketoimintaprosesseja ja pyritään yhdessä tunnistamaan niihin liittyviä riskejä. Tätä varten kunkin liiketoimintaomistajan tulee yhdessä tiimin kanssa dokumentoida prosessinsa ja käyttämänsä työkalut.
Kun riskit on tunnistettu, kehitetään erilaisia kontrolleja niiden hallintaan. Kontrollien luonteesta riippuen ne saattavat vaatia koulutuksiin osallistumista ja uusien työkalujen käytön opettelua. Tällaiset tehtävät väistämättä vievät aikaa sekä henkilöresursseja organisaatiossa, mutta toisaalta niiden avulla pystytään luomaan tietoturvan hallinnan kannalta tarpeellisia kontrolleja ja juurruttamaan tietoturvakäytäntöjä toimintatapoihin.
Sitoutuneisuus vaatii jatkuvuutta
Kun hallinnollista tietoturvaa on otettu käyttöön organisaatiossa, tulee sen toimintaa jatkuvasti kehittää ja sitoutua sen tuomiin muutoksiin myös jatkossa. Tämä vaatii sitoutuneisuutta organisaatiolta ja sen ymmärtämistä, että tietoturvaa on kehitettävä myös jatkossa, eikä tietoturvaa voida hallita yksittäisellä projektilla ja unohtaa projektin päättymisen jälkeen. Myös jatkokehitykseen sekä sitoutumiseen vaikuttaa vahvasti johdon suhtautuminen tietoturvaan; kun tietoturvaan ja sen kehittämiseen sitoudutaan johtoa myöten, tulee siitä myös vähitellen osa organisaation kulttuuria ja tietoturvallisista toimintatavoista arkipäiväisiä.
Tulevaisuus huomioon suunnittelussa
Kun hallinnollista tietoturvaa lähdetään kehittämään, on hyvä suunnitella projektia myös sen mukaan, millaisia suunnitelmia yrityksellä on tulevaisuuden varalle. Halutaanko jossain vaiheessa sertifioitua esimerkiksi ISO/IEC 27001/27701 standardien mukaan? Onko tulevaisuudessa tarvetta todistaa yrityksen tietoturvakäytännöistä kolmansille osapuolille, esimerkiksi uusille asiakkaille?
Tulevaisuuden suunnitelmat saattavat vaikuttaa hallinnollisen tietoturvan kehittämiseen, joten niitä olisi hyvä ainakin pohtia, kun lähdetään kehittämään tietoturvakontrolleja, jotta pystytään myös tulevaisuudessa mahdollisimman ketterästi rakentamaan hallinnollista tietoturvaa, joka vastaa yrityksen yksilöllisiin tarpeisiin.
Tiivistettynä voitaisiin sanoa, että suurimpia asioita, joita hallinnollinen tietoturva vaatii organisaatiolta, on sitoutuminen tietoturvan kehittämiseen. Erityisen tärkeää on johdon sitoutuminen projektin alussa, mutta sillä on merkitystä myös tulevaisuuden jatkokehityksen aikana. Prosessille on myös annettava aikaa, sillä itse projektin läpiviemiseen ja tietoturvallisten toimintatapojen oppimiseen päivittäisissä työtehtävissä menee aikaa. Projektin suunnittelussa on myös hyvä huomioida organisaation tulevaisuuden suunnitelmat, jotta tietoturvakontrollit saadaan myös tulevaisuudessa toteutettua mahdollisimman ketterästi.
2NS toteuttaa erilaisia hallinnolliseen tietoturvaan liittyviä projekteja ja toimeksiantoja. Asiantuntijoillamme on laaja kokemus hallinnollisen tietoturvan kehittämisestä organisaatioissa sekä erilaisista hallintajärjestelmistä. Lue lisää hallinnollisen tietoturvan palveluistamme.