Tietoturvan hallinta ja johtaminen ehkäisevät turvallisuusuhkia
Jaa sivu:
Organisaatioiden tietoturvallisuuteen kohdistuu turvallisuusuhkia yhä lisääntyvässä määrin. Turvallisuusuhkia voidaan kuitenkin ehkäistä tehokkaasti tietoturvan hallinnalla ja johtamisella.
Tiedot ja tietoturvallisuus ovat nykypäivän tietokeskeisessä yhteiskunnassa ehdottomia edellytyksiä organisaation toiminnalle. Keskeisten liiketoimintaa ja päätöksiä tukevien tietojen on oltava tarvittaessa välittömästi saatavilla.
Organisaation toiminta voi lamaantua täysin ilman keskeisiä toimintaympäristön tarvitsemia tietoja, tietojärjestelmiä ja yhteyksiä. Tietojen tulee olla oikeita ja luotettavia. Tietojen asianmukaisesta salassapidosta on huolehdittava tiedon edellyttämällä tavalla.
Uhkien toteutumisen todennäköisyyttä voidaan pienentää, jos tietoturvan hallinta hoidetaan asianmukaisella tavalla. Tietoturvasta huolehtiminen on siis riskienhallintaa samalla tavalla kuin muidenkin ongelmien hallitseminen.
Tietoturvan tärkeyttä ei voi koskaan liikaa korostaa. Nykyaikainen liiketoiminta vaatii, että ongelmat hoidetaan asianmukaisilla tavoilla. Asiakkaiden ja organisaation omien arkaluontoisten tietojen paljastuminen ulkopuolisille on haitaksi paitsi toiminnalle myös organisaation maineelle.
Uusi tietosuoja-asetus astui voimaan toukokuussa 2018, ja sitä rikkova voi saada sakon, jos mahdollinen tietoturvarikkomus johtuu huonosta tietoturvan hoidosta.
Erillinen järjestelmä helpottaa
Organisaation tietoturvatyön organisoimiseksi ja helpottamiseksi kannattaa luoda erillinen tietoturvan johtamis- ja hallintajärjestelmä. Sen tulisi kattaa kaikki tietoturvan johtamisessa, hallinnoimisessa ja valvonnassa tarvittavat menettelyt ja toimenpiteet.
Hallintajärjestelmä ei ole yksittäinen dokumentti, vaan moniosainen prosessi, jota on kehitettävä jatkuvasti. Yrityksen toimialasta ja koosta riippuen, tärkeimpiä hallintajärjestelmän osia ovat riskianalyysi, tietoturvapolitiikka, tietoturva-, jatkuvuus- ja toipumissuunnitelmat.
ISO/IEC 27001-standardi tarjoaa suosituksia tietoturvallisuuden hallintaan, riskeihin ja kontrollointiin tietoturvallisuuden hallintajärjestelmissä. Standardin tavoitteena on varmistaa organisaation tietoturvallisuuden hallinnan ajantasaisuus, kattavuus ja kehittyminen.
Standardin avulla suojellaan organisaation tietojen luottamuksellisuus, eheys ja saatavuus. ISO/IEC 27001 ei ole tekninen vaan hallinnointistandardi, joka keskittyy tietotekniikan lisäksi myös liiketoimintaprosesseihin. Standardi keskittyy löytämään, hallinnoimaan ja vähentämään tärkeään tietoon liittyviä riskejä.
ISO/IEC 27001-standardia käytetään yhdessä ISO/IEC 27002-standardin kanssa. ISO/IEC 27002-standardi sisältää tarkemmat kuvaukset ISO/IEC 27001-standardin tietoturvan hallintatavoitteista ja -keinoista. Hallintatavoitteet on jaettu 14 pääkohtaan, jotka muodostuvat 114 erillisestä hallintakeinosta.
Mitä hyötyä organisaatio saa tietoturvallisuusstandardin käyttöönotosta?
- Tietoturvaan liittyvän tiedon määrä ja ymmärrys sen tärkeydestä lisääntyy.
- Vältetyt riskit vähentävät tietoturvarikkomuksista aiheutuvia kuluja.
- Organisaation toiminnot sujuvat paremmin, koska tietoturvan vastuut ja eri prosessit on määritelty ja ohjeistettu.
- Organisaation tietämys tietoturvasta paranee.
- Yhteiset termit ja käytännöt selkeyttävät ja helpottavat kommunikointia muiden organisaatioiden kanssa.
- Asiakkaiden luottamus yritykseen paranee.