Tietoturva nousee toimintakulttuurista
Tietoturvan pettäminen voi aiheuttaa isoja ongelmia organisaatioille. Silti se on liian usein yksittäisten sankaritekojen varassa eikä olennainen osa organisaation toimintatapoja.
Tietoturvaa pidetään usein IT-ihmisten mystisenä mellastuskenttänä, jota tavallinen talliainen ei voi ymmärtää ilman syvällistä tekniikan tuntemusta.
”Tekniset ratkaisut auttavat kyllä, mutta tietoturvassa on niitä enemmän kyse toimintamalleista – jokapäiväisestä tekemisestä tietoturvan varmistamiseksi”, toteaa turvallisuuspäällikkö Riku Nykänen Huldista, joka on teknologisen suunnittelun asiantuntijatalo.
Tekniset ratkaisut auttavat kyllä, mutta tietoturvassa on niitä enemmän kyse toimintamalleista – jokapäiväisestä tekemisestä tietoturvan varmistamiseksi.
Riku Nykänen, turvallisuuspäällikkö, Huld
Tietoturvasta puhuttaessa korostuu usein luottamuksellisuuden näkökulma, mutta yhtä lailla kyse on tiedon saatavuudesta ja eheydestä. Tiedon on oltava saatavilla tarvittaessa, ja se ei saa muuttua esimerkiksi virheen tai hyökkäyksen takia tai vähintäänkin muutos pitää havaita.
Tietovuodot, kiristysohjelmat tai päätösten tekeminen väärien tietojen pohjalta ovat vain joitain esimerkkejä mahdollisista ongelmista.
Jatkuvuuden takaamiseksi
Organisaatioille tietoturva on tärkeää toiminnan jatkuvuuden näkökulmasta. Pahimmillaan suuri tietoturvaongelma voi aiheuttaa toiminnan keskeytymisen tai jopa konkurssiin joutumisen. Pienetkin ongelmat aiheuttavat organisaatiolle ylimääräistä työtä ja tarpeettomia kustannuksia.
Tietoteknisten ratkaisujen pitää olla kunnossa, mutta tärkeintä on tehdä tietoturvallisuudesta osa organisaation toimintakulttuuria – ottaa se osaksi toimintamalleja ja prosesseja. Kulttuurin rakentaminen on pitkäjänteistä työtä ja vaatii ennen kaikkea viestintää.
”Jos ajatellaan tänä vuonna paljon tulleita Microsoft-huijauspuheluja, ihmisille pitää selittää, miksi niitä tulee ja mitä pitää tehdä. Työntekijöille annetaan näin työkaluja toimia omassa työssään turvallisesti.”
Sama turvallisuuskulttuuri pitää ulottaa organisaation sidosryhmiinkin. Tietojen omistajalla on vastuu silloinkin, kun tietoja käsitellään toisissa organisaatioissa esimerkiksi toimintojen ulkoistuksen takia.
Ulkoistajan pitää varmistua, että sen kumppani käsittelee tietoja vähintään yhtä turvallisesti kuin se itse. Usein vaatimukset tietoturvan tasosta kirjataan sopimukseen, mutta tason määrittäminen ei ole yksinkertaista. Lisäksi kannattaa varata riittävästi resursseja sen varmistamiseksi, että kumppani toimii luvatulla tavalla.
Standardit avuksi
Standardit ovat hyvä väline yhtä lailla oman tietoturvakulttuurin kehittämisessä kuin tietoturvavaatimusten määrittämisessä kumppaneille.
Helppo tapa edellyttää palveluntarjoajilta tietoturvallisuutta on vaatia niiltä tietoturvasertifikaattia. Silloin toimittajan toiminta on varmasti tietyllä tasolla, koska riippumaton auditoija on varmistanut standardin vaatimusten toteutumisen organisaatiossa. Organisaation omassa toiminnassa standardit toimivat mittapuuna nykytilan arvioinnissa ja antavat hyviä työkaluja tietoturvan kehittämiseen.
Standardeihin voi perehtyä omin voimin tai pyytää ulkopuolista tahoa apuun kartoittamaan tilannetta ja luomaan kehittämisohjelmaa.
Tietoturvaa ei voi ulkoistaa
Olennaista olisi saada kaikkiin organisaatioihin tietoturvallisuudesta vastaava henkilö, jolla on riittävästi valtaa ja resursseja työhönsä.
”Vastuussa ei saisi kuitenkaan olla it-päällikkö, koska se antaa vääränlaisen, teknisen kuvan tietoturvasta. Minusta hän toteuttaa tietoturvaa, mutta vaatimusten pitäisi tulla joltain muulta taholta”, Nykänen korostaa.
Tietoturvallisuudesta vastaavan pitäisi raportoida suoraan ylimmälle johdolle, sillä toimitusjohtaja ja johtoryhmä ovat on loppujen lopuksi vastuussa tiedon turvallisuuden toteutumisesta organisaatiossa.
Vastuuta tietoturvasta ei voi ulkoistaa, vaan organisaatiossa pitää olla ymmärrys nykytilasta ja näkemys kehityssuunnasta. Hallinnan on säilyttävä omissa käsissä.
Ylimmän johdon pitää ottaa tietoturva huomioon yhtenä riskinä liiketoiminnan jatkuvuudelle. Riskejä ei voi välttää kokonaan, vaan olennaista on sovittaa niihin varautuminen toiminnan kannalta hyväksyttävälle tasolle. Maailman muuttuessa koko ajan ympärillämme riskejä pitää arvioida säännöllisesti ja miettiä, miten muutoksiin vastataan.
”Vastaamo-tapauksen takia sääntelyä todennäköisesti kiristetään terveystietojen käsittelyssä. Tällaisia tietoja käsittelevien organisaatioiden kannattaa ryhtyä varautumaan tähän jo nyt.”
Sankareita kaikki?
Suomalaisissa organisaatiossa tietoturvan taso vaihtelee hyvästä huonoon. Välimaastossa on suuri joukko organisaatioita, joissa ei ole varattu riittävästi resursseja tietoturvallisuuden varmistamiseen.
”Erään asiakkaamme sanoin ’tietoturvallisuus perustuu yksittäisten ihmisten sankaritekoihin’. Tällaisesta tilanteesta pitäisi päästä siihen, että tietoturva perustuu toimintakulttuuriin ja -toimintamalliin.”
Ylimmän johdon kannattaisikin herätä miettimään oman organisaationsa tietoturvaa ja onko siinä kehittämistarpeita – perustuuko se urotekoihin vai järjestelmälliseen toimintaan.
Huldissa tietoturvakonsultointia tekevä Riku Nykänen on ollut mukana SFS:n tietoturvastandardeista vastaavassa ryhmässä lähes kymmenen vuotta. Hän osallistuu myös muihin standardointiverkostoihin ja on tutkinut tietoturvaa Jyväskylän yliopistossa. Hänellä on siis sekä käytännön että akateeminen näkökulma asiaan.
ISO/IEC 27000 Tietoturvallisuuden standardisarja
Traficomin kyberturvallisuuskeskuksen ohje: Kyberturvallisuus ja yrityksen hallituksen vastuu