Tietotekniikan olennaisuuden ja tietoturvallisuuden tärkeyden jokaisen organisaation toiminnassa ei pitäisi enää olla tuoreita uutisia, mutta tietomurrot, tietovuodot ja kyberhyökkäykset tai niiden mahdollisuudet ovat otsikoissa viikoittain. Ikävien tilanteiden taustalla on useita erilaisia syitä, mutta hyvällä tietoturvakulttuurilla ennakointi ja henkilöstön tietoisuus tietoturvauhista auttavat estämään tai ainakin lieventämään hyökkäysten tai häiriöiden vaikutuksia.
Turvallisuuskulttuurin kehittämisessä ja ylläpitämisessä tarvitaan johtamista ja varsinkin johtajuutta. Tietoturvallisuudenkaan johtaminen ei voi olla enää vain tekninen tehtävä, vaan se vaatii selkeää strategista ohjausta ja johdon sitoutumista. Ilman vahvaa johtajuutta tietoturvariskit jäävät helposti hallitsemattomiksi, mikä voi johtaa vakaviin seurauksiin.
Tietoturvallisuus on kaikkien vastuulla
Merkittävä rooli koko yhteiskunnan turvallisuudessa on yksityisillä yrityksillä ja muilla toimijoilla. Samoin me, jokainen yksilö, olemme merkittävässä roolissa omien yhteisöjemme tietoturvallisuuden osalta – oli sitten kyse monikansallisesta konsernista, mikroyrityksestä tai järjestötoiminnasta. Esihenkilöinä tai johtajina roolimme on erityisen tärkeä näyttää esimerkkiä mm. ennakoinnista ja asioihin tarttumisesta.
Tietoturvallisuuden johtajan rooli ja vastuut
Tietoturvallisuuden johtamiseen ei tarvita tietoturvapäällikköä tai turvallisuuspäällikköä, vaikka toki nämä tehtävät varsinkin suuremmissa organisaatioissa ovat välttämättömiä. Tietoteknisestä osaamisesta on johtajallekin hyötyä, mutta välttämätöntä se ei ole pystyäkseen varmistamaan organisaation tietoturvallisuuden riittävän korkean tason ja kehittymisen. Apua nykytilan kartoittamiseen ja esimerkiksi koko organisaation osaamisen kehittämiseen on saatavissa.
Johdon vastuun tietoturvallisuudessa voisi kiteyttää tiedostamiseen ja rohkeuteen. Tiedostamista on tunnistaa ja tunnustaa tietoturvallisuuden tärkeys, ja rohkeutta on etsiä osaamista ja siten vastauksia siihen onko kaikki tarvittava tehty sekä omien että vastuullamme olevien asiakas-, henkilö- tai finanssitietojen suojaamiseksi. Missään organisaatiossa ei johdon enää pidä strutsin tapaan upottaa päätä hiekkaan ja olettaa, ettei meitä mikään digimaailman pahuus kohtaa.
Johdon sitoutuminen ja tietoturvakulttuuri
Ovatko johdon sitoutuminen ja varsinkin tietoturvakulttuuri vain sanahelinää, jota viljellään konsulttien puheenvuoroissa tai standardeissa? Toki näihinkin voi suhtautua vain tyhjinä sanoina, mutta mitä hyötyä sellaisesta on kenellekään?
Sitoutuminen näkyy konkreettisesti esimerkiksi siinä, kuinka asiakas- tai lakivaatimuksiin suhtaudutaan, tai kuinka itse havaittuihin tai ulkopuolisen tahon esiin nostamiin puutteisiin vastataan. Hyvää kulttuuria on johdon sitoutumisen esimerkkien ohella myös mm. turvallinen asenneilmapiiri, joka tukee havaituista puutteista ilmoittamista, niistä oppimista ja asioiden tekemistä oikein ja periaatteiden mukaisesti.
Strateginen suunnittelu ja jatkuva kehittäminen
Tieto- ja kyberturvallisuuden johtaminen ja hallinta ovat organisaation strategisen tason päätöksiä, eivät vain tietohallinnosta vastaavan esillä pitämiä hyviä tavoitteita.
Mitä tarkoittavat NIS2 ja ISO/IEC 27001?
Mutta mistä aloittaa ja mitä tehdä, kun asiakas tai yrityksen tai organisaation hallitus alkaa puhua EU:n NIS2-direktiivistä tai ISO/IEC 27001 –standardista, joissa molemmissa keskeisenä aiheena on tietoturvallisuuden johtaminen ja riskienhallinta?
Kansainväliset johtamisen standardit ovat vaatineet merkittävän määrän asiantuntijatyötä tullakseen hyväksytyiksi ja julkaistuiksi. Niiden sisältöä hyödyntämällä ei voi mennä pahasti väärään suuntaan ja vaikka usein jäykkää tekstiä ovatkin, asiat sinänsä ovat yleispäteviä ja ymmärrettäviä.
ISO/IEC 27001 on tietoturvallisuuden hallintakokonaisuuden standardi, joka sisältää vaatimuksia ja jota vasten voi hakea sertifikaattia kolmannelta osapuolelta – tyypillisesti akkreditoidulta sertifiointielimeltä. Standardin kuvaaman hallintamallin ytimessä on riskiperusteinen tapa päättää mitä tunnistetuille, tieto-omaisuutta uhkaaville tekijöille tehdään. Järjestelmällisen ja jatkuvasti kehittyvän tuen johtamiseen varmistavat standardin lukuisat hyvät käytännöt mm. dokumentoidun tiedon, osaamisen, tavoitteellisuuden, sisäisen auditoinnin, poikkeamien ja ylimmälle johdolle raportoinnin hallintaan.
Tietoturvallisuuden konkretiaan standardissa on avuksi 93 ns. hallintakeinoa, joiden avulla riskejä muokataan siedettävälle tasolle, tai joilla suoraan vastataan mm. asiakkaiden vaatimuksiin. Hallintakeinoissa on esimerkiksi prosesseja kuten häiriönhallinta, kapasiteetinhallinta ja muutoksenhallinta, teknisiä hyviä käytäntöjä kuten turvallinen laitteiden kierrätys ja verkkoliikenteen suojaus, ja hallinnollisia menettelyitä kuten henkilöiden taustatarkistukset ja tietojen luokittelu.
Paitsi että ISO/IEC 27001 antaa yleispätevästi rakenteita ja apua johtajalle tietoturvallisuuden johtamiseen ja johtajuuteen, laajasti tulkitaan sen vaatimukset täyttävän tietoturvallisuuden johtamisjärjestelmän pitkälti vastaavan NIS2-direktiivin ja siihen pohjautuvan kansallisen lain vaatimuksiin.
Jyrki Lahnalahti
Tuoteomistaja Kiwa Comply, Johdon konsultti