Toukokuun lopulla sovellettavaksi tuleva tietosuoja-asetus GDPR on herättänyt yritysjohdon huomaamaan turvallisuuskulttuurin ja tietoturvastrategian merkityksen liiketoiminnan turvaajana.
Tietoturva ei ole tekniikkaa, palomuureja ja virustorjuntaa, vaan ennen kaikkea liiketoiminnan turvaaja ja mahdollistaja.
“Tietoturvan kehittäminen on osa liiketoiminnan turvaamista riskienhallinnan keinoin, ei irrallinen liiketoiminnan ulkopuolinen osa. Tieto, kaikissa eri olomuodoissa, on yrityksen arvokkain pääoma. Sen turvaaminen on liiketoiminnalle elintärkeää. Liiketoiminta voi kasvaa ja kehittyä vain silloin, kun teemme asioita tietoturvallisesti, Elisan Cyber Security Manager Petri Vilander sanoo.
Tietoturva osana digitaalista riskienhallintaa
Tietosuoja-asetus GDPR on tuonut tietoturvakysymykset kevään aikana lähes jokaisen yritysjohdon pöydälle. Asetuksessa vaaditaan muun muassa riittävän tietoturvan tason varmistamista henkilötietoja käsitellessä. Rekisterinpitäjän vastuulla on määritellä riittävä tietoturvan taso sekä vaadittavat toimenpiteet. GDPR:ään liittyy myös toinen mielenkiintoinen näkökulma.
“On hälyttävää, että vasta lakimuutos, joka ei tuo Suomen tilanteeseen juurikaan uutta, on herättänyt monen organisaation johdon huomaamaan, että liiketoiminnalle kriittinen tieto pitää suojata kunnolla. On tajuttu, että yritykselle on iso riski, jos tietoja menetetään tai jos kriittiset tiedot eivät ole käytettävissä, Elisan Head of Privacy Pekka Pussinen pohtii yritysten turvallisuuskulttuuria ja tietoturvastrategiaa.
Kyse on digitaalisesta riskienhallinnasta, joka on modernissa yrityksessä yhtä tärkeää kuin esimerkiksi palo- tai henkilöturvallisuus. Digitaalisen omaisuuden riskienhallinta on osa johtamisen muutosta, jossa yritysjohto on ymmärtänyt ottaa vastuun tietosuojan ja tietoturvan kehittämisestä sekä alkanut tukea niihin liittyviä hankkeita.
Tietoturvastrategialla taataan liiketoiminnan jatkuvuus
Tietoturvastrategia on osa yrityksen kaiken kattavaa turvallisuusstrategiaa. Siinä tietoturvan osa-alueille on määritelty esimerkiksi kolmen vuoden suunnittelukauden päätavoitteet, joihin pääsemiseksi asetetaan toimenpiteet ja mittarit.
“Yritysjohdon on määriteltävä, mitä tietoturva merkitsee organisaatiolle. Sen tulee koskea ihmisiä, tekniikkaa, käyttöoikeuksia, häiriötilanteita sekä lakeja ja asetuksia. Yleensä tietoturvalla on useita rooleja, jolloin on ymmärrettävä, mitä kukin rooli edellyttää tietoturvalta, Pussinen opastaa.
Tietoturvastrategian luominen lähtee yrityksen missiosta ja visiosta: mitkä ovat yrityksen toiminnalle nyt ja tulevaisuudessa tärkeimmät tiedot. Tältä pohjalta määritellään, mille tietoturvan tasolle yritys itsensä asettaa ja minkälaisilla toimilla se vastaa lainsäädännön ja sidosryhmien asettamiin tietoturvan vaatimuksenmukaisuuden haasteisiin.
“Tietoturvan ylläpito ja kehittäminen osa kokonaisvaltaista riskienhallintaa, joka mahdollistaa yrityksen strategisiin tavoitteisiin pääsemisen”, Vilander sanoo.
Tietoturvan priorisointia pitää tehdä riskiperusteisesti, koska kaikkea tietoa ei voi suojata absoluuttisesti parhaalla tavalla. Isoimmat paukut pannaan sinne, missä arvokkain tieto on.
“Jos yrityksellä on puuovi, siihen ei välttämättä kannata asentaa 10 000 euron lukkoa. Murtohälytin voisi olla fiksumpi investointi, Pussinen vertaa. Sama ajattelu pitää viedä digitaalisiin oviin.
Jatkuvan kehittämisen turvallisuuskulttuuriin
Tietoturvan hallintamallilla ohjataan riskienhallintaa ja vastataan vaatimuksenmukaisuuden haasteisiin. Tähän on jo luotu selkeitä standardeja kuten esimerkiksi ISO 27001. Sen avulla voi helpottaa oman hallintamallin rakentamista ja luontia. Standardeissa on määritelty muun muassa tietoturvan johtajuus, hallintaorganisaatio, suunnitteluprosessi sekä tukiorganisaatiot. Hallintamalli ei vaadi erityistä tietojärjestelmää, vaan se voi olla esimerkiksi laskentataulukossa oleva malli.
“Mallit pitää aina suhteuttaa omaan toimintaan. Malleissa on myös syytä muistaa, että ne ovat pohja jatkuvalle parantamiselle. Hyväkään ohjeistus ei yksin riitä, vaan mukana pitää olla koko ajan kehittyvä turvallisuuskulttuuri”, Pussinen muistuttaa.
Hallintamallilla on oltava selkeästi mitattavia vaikutuksia organisaation sisällä.
“Mitattava muutos voi esimerkiksi olla turvallisuuskulttuurin muutosta ja johtamisen muutosta. Riskienhallinnan käsittely- ja hallintamekanismit tulevat osaksi tietoista toimintaa, jolloin organisaatio voi arvioida päivittäisessä työssään riskejä: onko esimerkiksi asiakastietojen käsittelyllä vaikutusta tietoturvaan, Vilander kertoo.
Lue myös
Yritysten kriittisin data turvaan kyberhyökkäyksiltä