Tietoturvallisuuden johtaminen
Yritysjohdon tietoturvatyön organisoimiseksi ja helpottamiseksi kannattaa luoda erillinen tietoturvan johtamis- ja hallintajärjestelmä. Sen tulisi kattaa kaikki tietoturvan johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet. Hallintajärjestelmä ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti. Yrityksen toimialasta ja koosta riippuen, tärkeimpiä hallintajärjestelmän osia ovat riskianalyysi, tietoturvapolitiikka, tietoturva-, jatkuvuus- ja toipumissuunnitelmat. Muita olennaisia asioita on löydettävissä esimerkiksi Valtiohallinnon tietoturvallisuuden VAHTI -työryhmän asiakirjasta Tietoturvallisuuden hallintajärjestelmän arviointisuositus. [1]
Tietoturvan johtamis- ja hallintajärjestelmän kehittämisessä suositellaan PDCA -mallia (Plan-Do-Check-Act). Suomenkielinen vastine on Suunnittele-Toteuta-Arvioi-Toimi. PDCA-mallin avainkohdat hallintajärjestelmän näkökulmasta ovat seuraavat:
Suunnitteluvaiheessa määritellään suojattavat kohteet, mietitään millainen tietoturvan taso yritykselle halutaan ja lopuksi luodaan tietoturvan hallintajärjestelmä. Toteuttamisen jälkeen työtä arvioidaan ja kehitetään oikeaan suuntaan. Tilanteen muuttuessa suunnittelu ja muut toimenpiteet aloitetaan alusta. Näin prosessi saa jatkuvaa huomiota, joka mahdollistaa sen kehittymisen.[2]
Suojeltavien kohteiden määrittely
Tietoturvallisuuden hallintajärjestelmän suunnittelu ja käyttöönotto kannattaa aloittaa tavoitteiden määrittelyllä. ”Ensimmäinen askel onnistuneeseen tietoturvaan on tietää, mitä pitää suojata”, toteaa yliopettaja Vainikka. Ne voivat olla esimerkiksi IT-järjestelmiä tai fyysisiä dokumentteja. Määrittelyn tavoitteena on tunnistaa yrityksen toiminnan kannalta tärkeimmät turvattavat asiat.
Kun suojattavat kohteet on dokumentoitu, pitää ne vielä luokitella kriittisyyden mukaan. Liiketoiminnan kannalta oleellisimmat järjestelmät on turvattava ensin, joten ne on merkittävä tärkeysjärjestyksen kärkipäähän. Vastaavasti muut laitteet, kuten testipalvelimet tai henkilöstön tietokoneet, sijoittuvat luokittelussa alempaan kategoriaan. [3]
Riskienhallinta
Suojattavien kohteiden määrittelyn jälkeen on pohdittava tärkeitä tietoja uhkaavia ongelmatekijöitä. Riskienhallinnaksi kutsutaan kaikkia niitä toimenpiteitä, joilla näitä uhkia pyritään kontrolloimaan. Tässä tutkimuksessa käsitellään kuitenkin vain tietoturvan kannalta oleellisia riskejä, kuten esimerkiksi tietomurtoja tai varkauksia. Toisaalta myös vesiputken rikkoutuminen on ongelma, varsinkin IT-laitteita sisältävässä tilassa. Yrityksen kannattaakin luokitella kaikki erilaiset uhat ja niiden toteutumismahdollisuudet. Saatujen tietojen perusteella voidaan tehdä riskianalyysi, jonka tarkoituksena on kartoittaa liiketoimintaa uhkaavia tietoturvaongelmia. [4]
Tietoturvapolitiikka
Riskianalyysistä paljastuvien epäkohtien korjaaminen aloitetaan tekemällä tietoturvapolitiikka. Se on yritysjohdon laatima ja allekirjoittama dokumentti, joka sisältää yleisellä tasolla tietoturvalinjaukset ja -tavoitteet. Asiakirja ei sisällä mitään teknisiä ohjeistuksia tai toimenpiteitä. Ne sijoitetaan erilliseen dokumenttiin, tietoturvasuunnitelmaan. Politiikan tarkoituksena on motivoida ja rohkaista henkilöstöä tietoturvallisempiin toimintatapoihin sekä osoittaa, että myös yritysjohto on mukana tässä prosessissa. [5]
Tietoturvapolitiikan pitäisi olla juuri omalle yritykselle räätälöity dokumentti. Internetissä on luettavissa myös muiden tekemiä tuotoksia, mutta niiden suora kopioiminen ei ole järkevää. Laatimalla oman asiakirjan yritys varmistaa itselleen tärkeimpien asioiden huomioimisen ja kirjaamisen. Tietoturvapolitiikkaan dokumentoitavia asioita voivat olla esimerkiksi vastuut, koulutukset, yleiset linjaukset, tietojenkäsittelyn suojaaminen sekä laiminlyöntitapaukset [6].
Tietoturvasuunnitelma
Tietoturvapolitiikassa määriteltyihin tavoitteisiin pääseminen vaatii suunnitelmallisuutta ja loogista etenemistä. Yrityksen kannattaa luoda erillinen dokumentti, joka sisältää tarkasti käytössä olevat tietoturvaratkaisut. Kirjattavia asioita ovat esimerkiksi IT-järjestelmien suojamekanismit. Kyseisiä tietoja sisältävää asiakirjaa voidaan kutsua nimellä tietoturvasuunnitelma.
Nimitys on kuitenkin harhaanjohtava, sillä dokumentti kuvaa nykyisiä tietoturvan ylläpitämiseksi tehtyjä teknisiä ja hallinnollisia toimenpiteitä. Parempi nimitys on esimerkiksi VAHTI -työryhmän käyttämä tietoturvakäytännöt ja -periaatteet . [7] Varsinainen suunnitelmaosa voidaan nimetä tietoturvan kehittämissuunnitelmaksi. Dokumenttien arkaluontoisen sisällön vuoksi kannattaa asiakirjat luokitella luottamuksellisiksi tai salaisiksi.
Lue seuraavaksi jatkuvuus- ja toipumissuunnitelmasta tai palaa sisällysluetteloon.
Lähteet
1 (VAHTI 2003.)
2 (Hakala ym. 2006, 106; ISO/IEC 27001:fi 2006, 8.)
3 (Harju 2010, 23.)
4 (Pk-yrityksen riskienhallinta 2010.)
5, 6 (Laaksonen ym. 2006, 146 – 147.)
7 (VAHTI 2007.)