Tietoturvapolitiikka liiketoiminnan tueksi

Tietoturvapolitiikka on dokumentti, joka tulisi löytyä jokaisesta yrityksestä. Se kertoo yrityksen asiakkaille, henkilöstölle ja sidosryhmille, miten organisaatio näkee tietoturvan ja miten se siihen suhtautuu. Hyvä tietoturvapolitiikka auttaa luottamuksen rakentamisessa asiakkaiden ja sidosryhmien suuntaan.

OTA TIETOTURVA HALTUUN

Tietoturvapolitiikka on julkilausuma organisaation tavasta hoitaa tietoturva. Hyvin hoidettu tietoturva ja tätä kuvaava politiikka ovat jokaiselle organisaatiolle eduksi. Tietoturvapolitiikan tulee olla dokumentti, jonka voi näyttää ylpeydellä sidosryhmille ja asiakkaille. Samalla se ohjaa oman henkilöstön toimintaa.

Miten hyvä tietoturvapolitiikka luodaan? Aluksi tulee organisoida tietoturva niin, että sen eri osa-alueet tulevat katettua. Tähän voidaan käyttää tietoturvan hallintajärjestelmiä, kuten ISO 27001:tä. Samoin tietoturvasta vastaavat roolit tulee tunnistaa ja heille tulee antaa riittävät resurssit sekä aikaa velvollisuuksiensa hoitamiseksi.

Kontrollien määrä saattaa aluksi tuntua ylitsepääsemättömän suurelta. Kaikkea ei olekaan tarkoitus toteuttaa ja päätös tehtävistä kontrolleista tulee tehdä riskienhallinnan avulla. Tämän tulee olla säännöllinen prosessi, jossa riskejä käydään läpi ja tarvittaessa luodaan kontrollit riskien pienentämiseksi. Tulee kuitenkin muistaa, että tietoturvan tehtävänä on tukea liiketoimintaa ja auttaa hallitsemaan riskejä. Kontrolleja, jotka haittaavat liiketoimintaa, ei tulisi implementoida.

Edellä mainittujen toimien pohjalta voidaan luoda hyvä ja kompakti tietoturvapolitiikka. Sen ei tule olla yksityiskohtainen dokumentti, jossa on kuvattu organisaation jokainen kontrolli ja toimenpide. Sen sijaan sen tulee olla nopeasti luettava teksti, jonka lukija voi omaksua muutamassa minuutissa.

NÄIN SYNTYY HYVÄ TIETOTURVAPOLITIIKKA

Tietoturvapolitiikka on organisaatiossa ylin tietoturvaa koskeva dokumentti. Tämän tulee kestää aikaa, sillä sitä sitä ei ole tarkoitus päivittää jatkuvasti. Organisaation muun toiminnan ja tietoturvaan liittyvien muiden ohjeistusten tulee olla linjassa luodun politiikan kansa.

Hyvä tietoturvapolitiikka on siis lyhyt ja ytimekäs dokumentti, joka perustuu seuraaviin asioihin:
* Organisaation liiketoimintastrategia
* Organisaatiota koskevat lait, asetukset ja sopimukset
* Nykyiset ja ennustettavat liiketoimintaan kohdistuvat tietoturvauhat

Perustuen yllä mainittuihin asioihin, tietoturvapolitiikan tulee kattaa seuraavat asiat:
* Kaikkea tietoturvatoimintaa ohjaavien tavoitteiden ja periaatteiden määrittely liiketoiminnan tukemiseksi
* Tietoturvallisuuden hallintaan liittyvien roolien määrittely
* Poikkeustilanteita koskevien prosessien määrittely
* Sitoutuminen tietoturvallisuutta koskevien vaatimusten täyttämiseen
* Sitoutuminen tietoturvan hallintajärjestelmän jatkuvaan parantamiseen

Ylätason tietoturvapolitikan lisäksi organisaation tulee luoda yksityiskohtaisemmat käytännöt perustuen riskienhallintaan. Kun ylimmän tason tietoturvapolitiikka on tehty, tulee organisaation korkeimman johdon hyväksyä se.

TARVITSETKO APUA?

2NS (Second Nature Security Oy) auttaa yrityksiä ja yhteisöjä varmistamaan liiketoimintansa jatkuvuuden. Ota yhteyttä, niin autamme sinua! (www.2ns.fi)

Juho Ranta, CISA, CISSP, CISM, johtava tietoturva-asiantunija, 2NS (Second Nature Security Oy)

juho

Juho Ranta, on kyberturvallisuusyhtiö 2NS:n johtava tietoturva-asiantuntija, CTO ja eettinen hakkeri, joka on ollut mukana noin tuhannessa tietoturvaprojektissa. Juhon osaamista käyttävät kymmenet koti- ja ulkomaiset yritykset, julkishallinto, ohjelmistokehitysyritykset ja finanssilaitokset, mm. Finnair, CSC – Suomen tieteen tietotekniikan keskus, Neste Oil, Sato ja Veikkaus. Juho johtaa myös 2NS:n haavoittuvuustutkimustiimiä, joka on julkaissut lukuisia haavoittuvuustiedotteita, mm. A-Linkin, Buffalon, Checkpointin, IBM:n, F-Securen, HP:n, Oraclen, SAP:n, Xeroxin ja Zyxelin järjestelmistä.