Tietoturvan pelikirja

2017-05-11

Urheilussa on usein tarkat säännöt. Peli, jossa 11 miehen joukkue juoksee hillittömästi eri suuntiin pallon perässä, sisältää erittäin hienostuneet säännöt. Sääntöjä kunnioitetaan ja niiden tulkinnasta sovitaan hyvin tarkasti, jopa vähempiarvoisissa otteluissa.

Markku Selin
Markku Selin Business Manager, Network and Security

Olemme lähtökohtaisesti tottuneet sääntöihin ja lainalaisuuksiin hyvin monissa asioissa. Osaan sääntöjä suhtaudumme kapinoiden, mutta miellämme että ne ovat olemassa ja että ainakin osaa niitä tulee noudattaa. Silti organisaatioiden sisäinen tietoturvan pelikirja voi puuttua tai se voi olla hyvin hajallaan, pahimmillaan jopa hiljaista tietoa, jota oletetaan jokaisen vastuullisen työntekijän noudattavan.

Globaalia pilveä kaikille

Projektityö yhdistää organisaatiota ja tietoja, nykyään myös helposti työvälineitä. Ei ole tavatonta, että projektiluonteisesti luodaan tiedolle säilytyspaikka ja välineet tiedon jakamiseen eri osapuolille. Ei ole tavatonta, että projektipäällikkö jakaa tiedostoja esim. Dropbox-palvelun kautta ilman, että hän on varmistanut, että tämä on soveltuva tapa kaikkien projektin kuuluvien organisaatioiden tietoturvamäärittelyiden kannalta. Tämän kautta päädytään siihen, että moni organisaatio ajautuu käyttämään sovelluksia, jotka eivät ole organisaation varsinaisesti ”siunaamia” työvälineitä. Tälle on oma terminsä varjo-IT (Shadow IT). Organisaation sisällä siis hyödynnetään vaihtoehtoisia sovelluksia tiedon käsittelemiseen. Väitän, että tämä ei ole kaikille organisaatioille vieläkään tiedossa ja se voi aiheuttaa monenlaisia haasteita ja ongelmia. Organisaation työntekijöiden pitäisi tietää, mitä välineitä työntekoon hyödynnetään ja mitkä ovat organisaation valitsemat tiedon tallennuspaikat.

Politiikan sietämätön keveys

Suurimmalla osalla organisaatioista on laadittu tietoturvapolitiikka. Tämä politiikka on ylimmän tason dokumentti, jonka pohjalta yrityksen johto suuntaa toimintaansa. Tämä dokumentti harvoin sisältää tarkkoja yksittäisiä määrityksiä, koska politiikan ylläpitäminen yhden dokumentin osalta on haastavaa. Tästä johtuen politiikka voi olla hyvin lyhyt. Silti se voi olla erittäin hyvä. Tätä politiikkaa tulee täydentää ohjeilla ja ohjeistuksilla. Seuraavaksi loogisin asia olisi määrittää hallinnolliseen tietoturvaan liittyviä periaatteita (esimerkiksi henkilötietojen suojaamisen periaatteet) ja teknisen tietoturvan periaatteet (esimerkiksi haittaohjelmien torjunta eri tasoilla). Uhkapelissä voi laittaa kaikki yhden kortin varaan, tietoturvassa tämä ei voi olla vaihtoehto vaan tietoturvaa on rakennettava yhteisten valintojen ja toimintamallien mukaisesti. Tästä on siis tehtävä pelikirja.

Yhdessä enemmän

Pelikirja voidaan harvoin rakentaa yksin vaan siinä tulee ottaa mukaan huomioon asiakkaat ja yhteistyökumppanit organisaation liiketoiminnan laajuuden sanelemalla tavalla. Tietoturva ei voi olla nippu kaoottisesti laajenevia teknologioita, käytäntöjä, ominaisuuksia, regulaatiota ja ohjeita vaan se on oltava kokonaisuus, jonka mukaan toiminnan laatua ja jatkuvuutta voidaan loogisesti arvioida. Tämä on jokaiselle organisaatiolle haasteellinen, toisia osapuolia yhdistävä tekijä. Kenties jopa osa jatkuvaa laatuajattelua.

Jos sinulla heräsi halu lähteä kehittämään tietoturvan pelikirjaa omaan organisaatioosi, ota yhteyttä meihin.