Jokainen tietoturvastaan huolehtiva organisaatio kohtaa yhä laajemmat ja monisäikeisemmät haasteet riskienhallinnassa. Tietoturvan varmentaminen käy koko ajan haastavammaksi ja vaatii järjestelmällistä otetta, jotta jatkuvasti kehittyviä tietoturvariskejä voidaan hallita. Tietoturvan hallintajärjestelmä antaa mahdollisuuden tunnistaa, ylläpitää, kehittää ja jalkauttaa yrityksen tietoturvaa, jolloin riskienhallinta on helpompaa ja tietoturva tulee osaksi yrityksen strategiaa.
Hyökkäysten tekninen estäminen ei enää riitä vaan pitää olla valmiuksia tilanteisiin, jossa tietoturva on vaarantunut ja jotakin todellista on tapahtumassa tai jo tapahtunut. Tällainen valmius vaatii suunnitelmallista valmistelua, testausta sekä ohjeistusta. Suuri osa tästä on myös hallinnollista tietoturvatoimintaa ja siihen liittyviä prosesseja.
Todennäköistä on, että ennemmin tai myöhemmin jotakin konkreettista tapahtuu oman organisaation kohdalla ja silloin valmius selviytyä tilanteesta on ratkaiseva. Ei jää enää aikaa miettiä mitä tässä nyt sitten tulisi tehdä, sillä ollaan jo auttamattomasti myöhässä.
Miten tietoturvaa pitäisi sitten nykyisessä, verkottuneessa liike-elämässä rakentaa? Siitä meille kertoo Marcus Westren-Doll, jolla on yli 20 vuoden kokemus tietoturva-alalla työskentelemisestä. Westren-Doll on 2NS Oy:n hallituksen puheenjohtaja ja toimii aktiivisesti yrityksen asiakasrajapinnassa.
Tietoturvan hallintajärjestelmä liiketoiminnassa – Ohjeista laatustandardiksi
Nykyisin business yksiköt toivovat tietoturvan viitekehityksiä liiketoimen vauhdittamiseen ja erityisesti kansainvälisillä markkinoilla vaaditaan usein näyttöä jonkin tietoturvan viitekehyksen käyttämisestä. Yritykset, jotka pystyvät vastaamaan tähän vaatimukseen ovat kilpailutilanteessa aina paremmassa asemassa, erityisesti niihin kilpailijoihinsa nähden, jotka eivät pysty vastaamaan tällaiseen vaatimukseen.
Tietoturva on kasvattanut tärkeyttään osana liiketoimintaa jo 90-luvulta lähtien, jolloin julkaistiin ensimmäinen tietoturvan hallintajärjestelmä. Kasvun tärkeydestä kertoo se, että kyseinen hallintajärjestelmä nimettiin ISO 27001 -standardiksi vuonna 2005, jolloin se liitettiin osaksi kansainvälistä ISO laatujärjestelmää. Nyt, 15 vuotta liitoksen jälkeen on julkaistu uusin versio. Uusi ISO 27701 -lisäosa pitää sisällään myös tietosuojaan liittyvän henkilötietopuolen, jonka tärkeys on viime vuosina kasvanut, erityisesti lainsäädännön muuttumisen vuoksi.
Suosittu ISO 27001 -viitekehys ei tietystikään ole ainoa tietoturvan hallintajärjestelmä, vaan viitekehyksiä on muitakin. Esimerkkejä tunnetuista tietoturvan hallintajärjestelmistä ovat esimerkiksi ISF, SANS ja KATAKRI. ISO 27001 ja 27701 ovat kuitenkin tunnetuimpia sekä laajasti kansainvälisesti käytettyjä, tunnistettuja ja arvostettuja. ISO standardien mukainen tietoturva vastaa tietoturvan moderneihin vaatimuksiin ja edesauttaa liiketoiminnan kehittämistä sekä toiminnan jatkuvuutta.
Tietoturva ei ole pelkästään tietohallinnon asia
Tietoturva tai ehkä paremminkin riskienhallinta ei ole enää pelkästään tietohallinnon asia, Westren-Doll painottaa. Se on toiminto siinä missä rahoitus, markkinointi, henkilöstöhallinto tai joku muu yrityksen jatkuva toiminta ja näin ollen se vaatii ylläpitoa sekä kehitystä.
Kun katsotaan liiketoiminnan tarvetta kehitykselle tietoturvan osalta, on ISO 27001 -standardilla ehdoton etu puolellansa. ISO 27001 -standardin mukainen tietoturva tarkastetaan säännöllisesti ja auditoidaan kolmen vuoden välein ulkoisen toimijan toimesta, mikäli halutaan, että sertifikaatti pysyy voimassa. Tarkastusten ansiosta tietoturvaa ylläpidetään ja kehitetään systemaattisesti ja riittävän usein, jotta se vastaa jatkuvasti digitalisoituvan liike-elämän tarpeita.
Marcus Westren-Doll painottaa, että tietoturvan hallinta ei kuitenkaan ole välttämättä työlästä, jos se tehdään oikein ja oikeassa järjestyksessä. Eniten työtä ja vaativin vaihe on sen aloitus, muttei sekään ole niin monimutkaista kuin joskus kuulee arvuuteltavan. Työn määrään sekä vaativuuteen vaikuttaa paljon yrityksen lähtötilanne. Projektia ei kannata jättää väliin suuren työmäärän pelossa, vaan työmäärä kannattaa selvittää ja katsoa yrityksen tietoturvan tilannetta kokonaisuutena selvityksen jälkeen. Tämän jälkeen on helpompi tehdä päätöksiä tarvittavista kehitysaskelista.
Ihannetilanne on, että yritys sisällyttää tietoturvan omaan strategiaansa jo aloittaessaan toimintansa ja sisällyttää sen vuosittain strategian kehitykseensä. Tällöin saadaan asiaan pienellä panostuksella tehokas alku, ja ylläpito sekä kehittäminen on vaivatonta, kun tietoturvan vaateisiin vastataan pitkin matkaa ja tarpeen mukaan. Yritysten mahdollisuudet tähän ovat tietysti erilaiset, vanhemmissa yrityksissä tietoturvaa ei tietenkään ole voitu sisällyttää toimintaan alusta alkaen, mutta start-upeissa se on jo usein mukana heti alkuvaiheesta, joskus jopa lainsäädännöllisenä vaatimuksena.
Tietoturva voidaan kuitenkin integroida strategiaan mukaan yrityksen myöhemmissä vaiheissa, jolloin se saadaan vastaamaan yrityksen yksilöllisiä tarpeita ja näin ollen palvelee liiketoimintaa. Peliä ei siis ole menetetty, vaikka tietoturvan hallintajärjestelmä leivotaan mukaan osaksi yrityksen hallittua toimintaa vasta myöhemmin. Jos näin ei kuitenkaan tehdä ja jotain tapahtuu, voidaan olla tilanteessa, jossa peli on menetetty. Tärkeää onkin laittaa tietoturva kuntoon, jotta voidaan välttyä uhilta, pienentää riskejä sekä luoda lähtökohdat koko organisaation toipumiseen, jos jotain tapahtuu.
Hallintajärjestelmän käyttöönotto
Tietoturvan hallintajärjestelmän käyttöönotto edellyttää projektia, jonka vetäjäksi on hyvä ottaa henkilö, jolla on kokemusta vastaavasta. Jollei yritykseltä löydy sisäistä kokemusta tai resursseja projektin toteuttamiseen, kannattaa avuksi ottaa ulkoinen vetäjä projektiin. Ulkoinen vetäjä on myös ”irti” organisaatiosta ja helpottaa siksi monesti organisaatiossa toimimista sekä projektin toteutusta. Oleellista projektin onnistumisen kannalta on myös johdon sekä muiden keskeisten henkilöiden sitoutuminen projektiin. Erikseen mainitsematta on selvää, että vetäjällä tulee olla riittävä mandaatti tehtävään.
Projektin eteneminen – Kuinka hallintajärjestelmä otetaan käyttöön?
Projekti alkaa kartoituksella nykytilanteesta, joka mielellään rinnastetaan johonkin tavoitteelliseen standardiin, esimerkiksi ISO 27001 -standardiin. Tilanteen analysoinnin jälkeen tehdään GAP -analyysi, joka paljastaa eroavaisuudet sekä mahdolliset puutteet rinnastettuna valittuun standardiin. Analyysin pohjalta tehdään suunnitelma siitä, kuinka yritys saavuttaa vaatimuksenmukaisuudet.
Tämän jälkeen ryhdytään työstämään ja rakentamaan hallintajärjestelmää sekä jalkautetaan prosessit ja toiminnot. Sisäisellä tarkastuksella varmennetaan valmius ulkoiseen tarkastukseen, jos yrityksen tavoitteena on sertifioituminen.
Osa yrityksistä voi myös toimia jonkun viitekehityksen mukaan, esimerkiksi ISO 27001:n mukaan, ilman sertifikaattitodistustakin. Sertifioituminen kuitenkin ohjaa ja varmentaa toiminnan pitkäjänteiseksi toiminnaksi, jolloin se on hyvä vaihtoehto erityisesti suurimmille yrityksille. Jollei sertifikaattia haeta, kannattaa yrityksen hankkia ulkoisen toimijan lausunto, joka selventää yrityksen vaatimuksenmukaisuuden valittuun hallintajärjestelmään. Näin toimimalla yrityksellä on tarvittaessa mahdollisuus todistaa toimivansa tietoturvan osalta standardien mukaan.
Paljonko aikaa sitten kannattaa varata ISO tietoturvastandardin istuttamiseen? ”Hihasta heitettynä aika monta hyvin toteutunutta projektia on valmistunut noin vuodessa”, Marcus Westren-Doll sanoo. ”Oli meillä projekti, joka toteutui 10 kuukaudessa. Siinä kaikki osui kohdalleen, meillä oli selkeä mandaatti ja asiakkaan koko henkilöstö oli hyvin sitoutunutta.” Tosin samaan hengenvetoon Westren-Doll painottaa, että vasta alkukartoituksen ja Gap-analyysin jälkeen todelliset aikataulut alkavat käytännössä hahmottua ja toteutusaikaan toki vaikuttaa toiminnan kompleksisuus.
Hallintajärjestelmään investointi kannattaa
Tietoturvan hallintajärjestelmän käyttöönotto on iso, mutta kannattava projekti. Yrityksen liiketoiminta hyötyy hallintajärjestelmästä ja se vahvistaa yrityksen valmiuksia liiketoiminnan kehittämisessä sekä kasvussa.
Digitalisoituneessa maailmassa tietoturva ei ole vain tietohallinnon asia, vaan se on kokonaisuus, jota on hallittava organisaation jokaisessa yksikössä. Tietotekniikan sekä verkottumisen rooli ylettyy nyt laajemmin organisaatioon ja vaikuttaa laajemmin liiketoimintaan, jolloin ollaan kompleksisimman kokonaisuuden äärellä, joka pitää hallita. Juuri tähän tarpeeseen tietoturvan hallintajärjestelmät on kehitetty.
Järjestelmä on hyvä valita vastaamaan yrityksen yksilöllisiä tarpeita, mutta usein parhaimmat mahdollisuudet liiketoiminnan kehittämiselle antaa kansainvälinen ISO 27001 -standardi. Tunnettu kansainvälinen standardi tuo liiketoiminnalle kilpailuetua esimerkiksi tarjouskilpailuissa. Yleisesti ottaen voidaan sanoa, että panostamalla hyvään tietoturvan hallintajärjestelmään, pienenevät riskit huomattavasti, yrityksellä on toipumissuunnitelma ja joissain tapauksissa hallintajärjestelmä tuo myös oikeudellista suojaa. Investointi tietoturvan hallintajärjestelmään siis kannattaa.