Tietoturvapolitiikka on dokumentti, joka tulisi löytyä jokaisesta yrityksestä. Se kertoo yrityksen asiakkaille, henkilöstölle ja sidosryhmille, miten organisaatio näkee tietoturvan ja miten se siihen suhtautuu. Hyvä tietoturvapolitiikka auttaa luottamuksen rakentamisessa asiakkaiden ja sidosryhmien suuntaan.
Ota tietoturva haltuun
Tietoturvapolitiikka on julkilausuma organisaation tavasta hoitaa tietoturva. Hyvin hoidettu tietoturva ja tätä kuvaava politiikka ovat jokaiselle organisaatiolle eduksi. Tietoturvapolitiikan tulee olla dokumentti, jonka voi näyttää ylpeydellä sidosryhmille ja asiakkaille. Samalla se ohjaa oman henkilöstön toimintaa tietoturvallisempiin toimintatapoihin.
Miten hyvä tietoturvapolitiikka luodaan? Aluksi tulee organisoida tietoturva niin, että sen eri osa-alueet tulevat katettua. Tähän voidaan käyttää tietoturvan hallintajärjestelmiä, kuten ISO 27001:tä. Samoin tietoturvasta vastaavat roolit tulee tunnistaa ja heille tulee antaa riittävät resurssit sekä aikaa velvollisuuksiensa hoitamiseksi.
Kontrollien määrä saattaa aluksi tuntua ylitsepääsemättömän suurelta. Kaikkea ei olekaan tarkoitus toteuttaa ja päätös tehtävistä kontrolleista tulee tehdä riskienhallinnan avulla. Tämän tulee olla säännöllinen prosessi, jossa riskejä käydään läpi ja tarvittaessa luodaan kontrollit riskien pienentämiseksi. Tulee kuitenkin muistaa, että tietoturvan tehtävänä on tukea liiketoimintaa ja auttaa hallitsemaan riskejä. Kontrolleja, jotka haittaavat liiketoimintaa, ei tulisi implementoida.
Edellä mainittujen toimien pohjalta voidaan luoda hyvä ja kompakti tietoturvapolitiikka. Sen ei tule olla yksityiskohtainen dokumentti, jossa on kuvattu organisaation jokainen kontrolli ja toimenpide. Sen sijaan sen tulee olla nopeasti luettava teksti, jonka lukija voi omaksua muutamassa minuutissa.
Näin syntyy hyvä tietoturvapolitiikka
Tietoturvapolitiikka on organisaatiossa ylin tietoturvaa koskeva dokumentti. Tämän tulee kestää aikaa, sillä sitä sitä ei ole tarkoitus päivittää jatkuvasti. Organisaation muun toiminnan ja tietoturvaan liittyvien muiden ohjeistusten tulee olla linjassa luodun politiikan kanssa.
Hyvä tietoturvapolitiikka on siis lyhyt ja ytimekäs dokumentti, joka perustuu seuraaviin asioihin:
- Organisaation liiketoimintastrategiaan
- Organisaatiota koskevat lait, asetukset ja sopimukset
- Nykyiset ja ennustettavat liiketoimintaan kohdistuvat tietoturvauhat
Perustuen yllä mainittuihin asioihin, tietoturvapolitiikan tulee kattaa seuraavat asiat:
- Kaikkea tietoturvatoimintaa ohjaavien tavoitteiden ja periaatteiden määrittely liiketoiminnan tukemiseksi
- Tietoturvallisuuden hallintaan liittyvien roolien määrittely
- Poikkeustilanteita koskevien prosessien määrittely
- Sitoutuminen tietoturvallisuutta koskevien vaatimusten täyttämiseen
- Sitoutuminen tietoturvan hallintajärjestelmän jatkuvaan parantamiseen
Ylätason tietoturvapolitiikan lisäksi organisaation tulee luoda yksityiskohtaisemmat käytännöt perustuen riskienhallintaan. Kun ylimmän tason tietoturvapolitiikka on tehty, tulee organisaation korkeimman johdon hyväksyä se.
Tarvitsetko apua?
2NS (Second Nature Security Oy) auttaa yrityksiä ja yhteisöjä varmistamaan liiketoimintansa jatkuvuuden. Autamme mielellämme sinua luomaan hyvän tietoturvapolitiikan organisaatiollesi!
Juho Ranta
Juho Ranta (CISA, CISSP, CISM, CRISC) on kyberturvallisuusyhtiö 2NS:n johtava tietoturva-asiantuntija, CTO ja eettinen hakkeri, joka on ollut mukana noin tuhannessa tietoturvaprojektissa. Juhon osaamista käyttävät kymmenet koti- ja ulkomaiset yritykset, julkishallinto, ohjelmistokehitysyritykset ja finanssilaitokset, muun muassa Finnair, CSC – Suomen tieteen tietotekniikan keskus, Neste Oil, Sato ja Veikkaus. Juho johtaa myös 2NS:n haavoittuvuustutkimustiimiä, joka on julkaissut lukuisia haavoittuvuustiedotteita, muun muassa A-Linkin, Buffalon, Checkpointin, IBM:n, F-Securen, HP:n, Oraclen, SAP:n, Xeroxin ja Zyxelin järjestelmistä.