12-01-2022

Miksi kiinnostua tietoturvallisuuden hallintajärjestelmästä?

Onko yrityksessäsi pohdittu tietoturvan kehittämistä? Oletko kuullut tietoturvallisuuden hallintajärjestelmästä (eng. Information Security Management System, ISMS), mutta et tiedä millaiselle yritykselle sellainen on tarkoitettu tai mitä hyötyä siitä olisi? Tässä blogissa asiantuntijamme Eero Paajanen avaa tarkemmin, miksi organisaatioiden päätöksentekijöiden kannattaisi olla kiinnostuneita tietoturvallisuuden hallintajärjestelmästä ja mitä hyötyä siitä on.

Eero Paajanen
Cyber Security Consultant

Tietoturvallisuuden hallintajärjestelmällä tarkoitan ISO/IEC 27001 -standardin vaatimukset täyttävää hallintajärjestelmää, joka sopii kaiken kokoisille ja näköisille organisaatioille. ISO/IEC 27001 -standardi on valittu viitekehykseksi tietoturvallisuuden hallintajärjestelmälle, koska se on kansainvälisesti tunnistettu, soveltuu eri toimijoille ja on noussut eri viranomaisten toimesta esiin keinoksi osoittaa laadukas tietoturvan hallinta. Tietoturvallisuuden hallintajärjestelmä (TTHJ) tarjoaa organisaatioille useita erilaisia hyötyjä ja tässä blogissa niitä tarkastellaan kolmen osa-alueen kautta:

  • Hyödyt kun ymmärretään organisaation toiminta ja toimintaympäristö paremmin
  • Hyödyt toiminnan ja sen jatkuvuuden kannalta
  • Hyödyt muiden vakuuttamisen näkökulmasta

Ymmärrät organisaatiosi paremmin

Ensimmäiset hyödyt, jotka organisaatio kohtaa luodessaan TTHJ:n, liittyvät oman toiminnan perusteellisempaan ymmärtämiseen. Kun TTHJ on hyvin suunniteltu ja toteutettu, organisaatio kykenee ymmärtämään paremmin:

  • millaiset asiat sen tietoturvalliseen toimintaan vaikuttavat
  • millaisia ulkoisia sekä sisäisiä uhkia sen toimintaan liittyy sekä
  • millaisia vaatimuksia esimerkiksi viranomaisilta, asiakkailta, omistajilta jne. toimintaan kohdistuu.

Tämän ymmärtämisen myötä kyetään paremmin hahmottamaan millaisessa maailmassa organisaatio elää, millaisista vahvuuksista ja heikkouksista organisaatio koostuu, sekä mitä organisaatiolta odotetaan tai vaaditaan.

Organisaation ”persoonallisuusanalyysin" myötä kyetään perusteellisemmin määrittämään ja jäsentelemään tietoturvalliseen toimintaan liittyviä vaatimuksia, rooleja, tehtäviä ja vastuita. Tämä helpottaa tietoturvaan liittyvien tehtävien jalkauttamista koko organisaatioon. Hallintajärjestelmän luomisen jälkeen tiedetään:

  • mitä tietoturvan eteen pitää organisaation arjessa konkreettisesti tehdä
  • kuka sen tekee ja
  • milloin tehtävä tulee hoitaa.

Toisin sanoen: ymmärretään ja kyetään yksilöimään erilaiset toimenpiteet, joiden tulee esimerkiksi vuodessa tapahtua, jotta tietoturvan taso toteutuisi ensiluokkaisesti organisaation sen hetkiseen tilaan suhteutettuna.

Näin tietoturvasta tehdään läpinäkyvää, helposti toiminnan kannalta ymmärrettävää ja tietoturva integroituu osaksi organisaation muuta toimintaa ja prosesseja. Kokonaisvaltainen toiminnan ja toimintaympäristön ymmärtäminen tuo perusteita päätöksentekoon, vähentää pähkäilyn määrää sekä päällekkäistä tekemistä. Aikaa säästyy, kun ei tarvitse ihmetellä ja tehdä samoja asioita yhtä aikaa.

Turvaa tulevaisuutesi

TTHJ:n keskeinen tarkoitus on tehdä organisaation tietoturvaan liittyvästä työstä tehokkaampaa ja älykkäämpää. TTHJ:n kautta saavutetaan se kaikkein oleellisin asia – liiketoiminnan jatkuvuuden turvaaminen. Kaksi keskeistä ideologiaa ISO 27001 -standardin mukaisen TTHJ:n taustalla ovat riskilähtöisyys ja jatkuva kehittäminen. Tämä tarkoittaa sitä, että yrityksen lähtötilanne ei koskaan voi olla liian huono tai hyvä – aina on kehitettävää.

Hyvin luotu TTHJ auttaa tunnistamaan riskiperusteisesti kehityskohteet ja priorisoimaan ne. Hyvin luotu riskienhallintamalli tuo jo itsessään lukuisia hyötyjä toiminnan, ajankäytön ja talouden kannalta. Mikäli riskienhallintaa ei ole perusteellisesti suunniteltu etukäteen, törmää organisaatio usein seuraavan kaltaisiin ongelmiin:

  • Ei tunnisteta vakavaa riskiä, mikä uhkaa toiminnan jatkuvuutta tai johtaa siihen että ongelmaan herätään liian myöhään. Tällöin korjaaminen on huomattavasti kalliimpaa.
  • Tunnistetaan vain hyvin samankaltaisia riskejä (kuten teknisiä ja tietojärjestelmiin liittyviä) ja monipuolisuus tunnistamisessa puuttuu. Lopputuloksena päädytään erityyppisiin ongelmatilanteisiin, kuten päättäjien poissaoloon tai prosessissa tapahtuviin virheisiin ei osata puuttua riittävän aikaisin.
  • Lähdetään korjaamaan vähäpitoisia asioita tärkeämpien edellä.
  • Riskin ehkäisemiseen tai vähentämiseen käytetään liikaa aikaa tai rahaa riskin vakavuuteen nähden.

TTHJ:n avulla hahmotetaan paremmin omat kyvykkyydet sekä toimintaan liittyvät riskit ja vaatimukset, jolloin johto kykenee kohdistamaan resursseja älykkäämmin juuri sinne missä niitä tarvitaan. Resurssien kohdistaminen pystytään selkeästi perustelemaan ja kehitys ei koostu pistemäisistä projekteista. Lisäksi, kun organisaatio ymmärtää toimintansa, toimintaympäristönsä ja riskinsä paremmin, organisaatio kykenee jalkauttamaan tietoturvaan liittyviä tehtäviä ja vastuita tasaisemmin koko organisaatioon. Tänä päivänä on täysin kestämätön ajatus, että tietoturvasta huolehtiminen olisi esimerkiksi yksin IT:n vastuulla.

Yksittäisen ryhmän tai henkilön on mahdotonta tietää ja tunnistaa millaisia riskejä koko toimintaan liittyy. Lisäksi tietoturvaan liittyvien tehtävien hajauttaminen ympäri organisaatiota kasvattaa tietoisuutta merkittävästi. Tietoisuus ja monipuolinen erilaisiin toimintoihin liittyvä suunnitelmallisuus auttaa organisaatioita vähentämään häiriöitä tai ainakin toipumaan niistä nopeammin ilman turhaa sähläystä.

 

Vakuutat muut

TTHJ:n tuomat hyödyt eivät jää ainoastaan organisaation sisäisiksi asioiksi. Lainsäätäjät, kilpailu, asiakkaat, käyttäjät ja kuluttavat vaativat yhä voimakkaammin toimenpiteitä tietoturvan kehittämiseksi ja kyvykkyyden osoittamiseksi. Tasaisesti tiukentuva ja lisääntyvä lainsäädäntö tietoturvan suhteen, kyberrikollisuuden kasvaminen sekä kuluttajien ja asiakkaiden tietoturvatietoisuus luovat kasvavia paineita.

Tämä toisaalta luo mahdollisuuden kääntää paineet ja velvoitteet kilpailueduksi. Esimerkiksi edellä mainituista syistä johtuen tarve investoinneille ei tule vähentymään eikä eri sidosryhmien odotukset tietoturvan tasosta tule laskemaan. Mitä nopeammin organisaatio kykenee muuntamaan tietoturvan kilpailueduksi, sitä paremmat mahdollisuudet sillä on kasvaa.

ISO 27001 -sertifioitu TTHJ auttaa jo itsessään kasvattamaan nykyisten ja potentiaalisten asiakkaiden luottamusta. Sertifioidusta TTHJ:sta saattaa olla konkreettista, taloudellista hyötyä kun asiakas vertailee kahta tasapuolista toimijaa keskenään. Joillakin asiakkailla, erityisesti kansainvälisesti toimivilla, saattaa olla jopa ehtona, että toimittaja täyttää tietyntyyppiset tietoturvavaatimukset.

Lisäksi sertifioitu TTHJ saattaa säästää organisaatiolta merkittävästi aikaa, kun sen ei tarvitse täyttää asiakkaiden ja viranomaisten Excel-kyselyjä organisaation tietoturvakäytänteistä. Sertifioidun TTHJ:n myötä ei tarvitse e nää osallistuttaa teknisiä asiantuntijoita myyntipalavereihin perustelemaan, kuinka tarjottavassa tuotteessa tai palvelussa on tietoturva huomioitu. Lisäksi sertifioitu TTHJ on merkki organisaation ylimmän johdon kiinnostuksesta tiedon turvaamiseen sekä on sitoutuneisuuteen tietoturvan jatkuvasta kehittämisestä. Aktiiviset toimet ja motivaatio liiketoiminnan jatkuvuuden eteen lujittavat ja luovat niin sijoittajien kuin asiakkaiden luottamusta yrityksen toimintaan.

Riippumatta siitä, haluaako organisaatio sertifioida TTHJ:n ulkopuolisen toimijan kautta vai ei, se voi silti saavuttaa merkittäviä hyötyjä oman toimintansa kannalta. Laadukkaalla tietoturvan hallinnalla ja johtamisella turvataan

  • liiketoiminnan jatkuvuutta
  • vähennetään epätietoisuutta ja stressiä
  • säästetään aikaa ja kustannuksia
  • sekä joissain tapauksissa kasvatetaan liikevaihtoa.

Mikäli aihe herätti kiinnostuksesi ja haluaisit kuulla lisää niin ole rohkeasti meihin yhteydessä. Kerromme mielellämme kokemuksistamme ja siitä, millaisen mallin me olemme kehittäneet ISO27001-standardin mukaisen TTHJ:n luomiseen.