Ohjaako tietoturvan hallintaan liittyvät opit meitä väärille raiteille?

Perinteisesti tietoturvatyön johtaminen perustuu siihen, että ensin tunnistetaan kriittiset suojeltavat kohteet. Sen jälkeen arvioidaan kohteisiin liittyvät riskit, joita sitten hallitaan organisaation riskienhallintamallien mukaisesti. Ylätasolla toimintaa ohjaa esimerkiksi johdon hyväksymä tietoturvapolitiikka.

Jos perinteistä johtamismallia lähestyy täysin mustavalkoisesti, se tarkoittaa, että ensin pitäisi olla ns. hallinnolliset asiat kunnossa. Pitäisi olla tietoturvapolitiikka, riskienhallinnan toimintamallit yms.

Aikoinaan itsekin suhtauduin tähän edellä kuvatulla tavalla, oppikirjamaisesti. Eikä mallissa ole mitään vikaa, päinvastoin. Kun hallinnolliset asiat on kunnossa, voidaan muuta toimintaa ja teknisiä suojauksia kehittää eteenpäin.

Se mitä en aikaisemmin täysin ymmärtänyt, tulee tässä:

Tietoturvavastaavana tarvitset työrauhan.

Ja työrauha edellyttää, aivan ensimmäiseksi, teknisiä perusasioita.

Tietyt tekniset asiat on oltava kunnossa, jotta voit toteuttaa hallinnollisempia asioita. Ja tätä kautta on mahdollista muodostaa positiivinen tietoturvan kehittämisen kierre.

Poista ensin todennäköiset ongelmat

Tietoturvavastaavana haluat poistaa ensin todennäköisimmät ongelmat ja niiden aiheuttajat, jotta sinun ei tarvitse olla jatkuvasti sammuttelemassa tulipaloja. Näin saat itsellesi työrauhan, jonka turvin pääset kehittämään ympäristöä ja hallitsemaan muita riskejä.

Et halua päivästä toiseen pohtia, onko tunnukset suojattu, onko tietoturvapäivitykset ajettu tai koneilla haittaohjelmia.

Työrauhan saa aikaiseksi huolehtimalla ensin perusasioista:

Suojaa käyttäjätunnukset monivaiheisella tunnistautumisella. Lisäsuojaa on tarjolla, kun sallii kirjautumiset vain työnantajan hallinnassa olevilta laitteilta. Käyttäjien kouluttaminen on myös olennaisessa roolissa.

Automatisoi tietoturvapäivitykset mahdollisimman pitkälle. Lisäksi tarvitset toimintamallin ja raportointimallin, joiden avulla pysyt tietoisena päivitysten tilanteesta.

Ota haittaohjelmien ja haitallisten toimijoiden torjuntasovellukset käyttöön mahdollisimman laajasti. Tähänkin tarvitset lisäksi toiminta- ja raportointimallin, joiden avulla näet tilannekuvan.

Huomasit varmaan yllä olevista erään tärkeän asian. Tekniset ratkaisut eivät yksinään riitä. Tarvitset avuksi myös toimintamalleja. Ja toiminnan johtamista.

Tietoturvallisuus ei siis ole pelkkää tekniikkaa, eikä pelkkää johtamista. Turvallisuus on niitä molempia samanaikaisesti.

Jos haluat kehittää organisaatiosi tietoturvaa fiksusti eteenpäin, niin varmista itsellesi ensin työrauha.