Julkaisemme sarjan blogikirjoituksia, joissa käsitellään tietoturvallisuuden johtamista ja tietoturvaprosesseja. Luvassa on hyödyllistä asiaa kaikenkokoisille yrityksille, joilla on hallussaan luottamuksellista tietoa — missä tahansa muodossa — ja halu suojata niitä sekä tarve osoittaa suojaamisen tärkeys omassa liiketoiminnassaan.
Erityisesti toivomme viestimme tavoittavan tuotekehitystaloja, finanssialan toimijoita, ohjelmistoyrityksiä ja tahoja, jotka palvelevat itseään suurempia asiakkaita. Uskomme, että jakamamme tieto on hyödyksi uusien asiakkaiden hankinnassa, luottamuksen luomisessa, yrityskauppa- ja fuusiojärjestelyissä ja hedelmällisten asiakassuhteiden ylläpitämisessä.
Tietoturvan johtamisen keskittäminen kannattaa
Tietoturvan johtamisjärjestelmän (ISMS) perustaminen ja sen mukaan toimimisen edut ovat kiistattomia. Tärkeänä osana johtamisjärjestelmää ovat prosessit ja dokumentoidut toimintatavat. Ne auttavat tietoturvallisen ja riskilähtöisen tekemisen parantamisessa ja optimoinnissa, turvaavat tärkeiden toimintojen keskeytymättömän jatkumisen yrityksen muutosvaiheissa ja vähentävät päällekkäistä tekemistä.
Johtamisjärjestelmä – tai tietoturvan hallintajärjestelmä – on määrämuotoinen tapa kerätä yhteen kaikki tietoturvaan liittyvät aktiviteetit, toimia hallitusti – ja näyttää tämä ulospäin.
Monissa yrityksissä tietoturvanäkökohtia on yleensä jollain tavalla jo huomioitu käytännön tasolla, mutta niiden tehokkuutta tai vaikutusta ei kyetä asianmukaisesti mittaamaan — eikä tällöin myöskään hyödyntämään niiden tuottavuutta täysimääräisesti. Yrityksellä saattaa jo olla aiemmin kirjoitettua, enemmän tai vähemmän jäsenneltyä tietoturvadokumentaatiota — ehkä tehtynä johonkin yksittäiseen tarpeeseen tai tiettyä, jo mennyttä projektia varten. Oikealla johtamisella myös nämä olemassa olevat materiaalit ja käytännöt voidaan valjastaa hyötykäyttöön.
Prosessien kuvaamisessa ja erityisesti niiden toteuttamisessa on tärkeää osoittaa että prosessi on jatkuva ja että vuositasolla on toistuvia ja järjestelmällisiä aktiviteetteja. Osoittamisen lisäksi on tietenkin tärkeää myös toimia omien toimintamallien mukaisesti joka tilanteessa. Tietoturva on osa laatua ja laatulupausta.
Standardin mukaisesti ja omannäköisesti
Kuka tahansa voi kutsua itseään, toimintaansa ja tuotteitaan tietoturvalliseksi. Mutta vasta konkreettiset dokumentoidut prosessit, valvotut ja toimivat kontrollit sekä ajanmukaiset raportit todistavat väitteen oikeaksi. Mint Security tuntee muun muassa ISO/IEC 27001:n ja siihen liittyvät ”apustandardit”. Me autamme rakentamaan johtamisjärjestelmän, joka on standardin mukainen ja myös juuri teidän yrityksenne näköinen ja kokoinen. Sertifioituminen ei ole lähtökohta, vaan lähtökohta on uskottavan näköinen tietoturva joka ei ole kotikutoinen. Mikäli yrityksenne myöhemmin päättää sertifioitua tai ryhtyy vaikkapa käymään kauppaa sertifioidun yrityksen kanssa, voitte johtamisjärjestelmän avulla osoittaa jo yhteistyön varhaisessa vaiheessa toimivanne oikealla tavalla.
Meillä on vahvaa osaamista ja käytännön kokemusta mm. finanssialalta, joten tiedämme tasan tarkkaan mistä puhumme, emmekä anna tuhdeimmankaan regulaatiovarjostimen himmentää loistoamme. Isoista kuvioista skaalaudumme alaspäin myös esim. tuotekehitys- ja softakehitystaloihin, jossa myyjän ja ostajan kokoluokkaerot voivat olla mittavia.
Pysy siis kuulolla ja poimi blogeista hyvät eväät tietoturvan järjestelmälliseen kehittämiseen.
Työtapamme
ISMS projektin ensimmäiset askeleet
ISMS tai ISO27001 -projekti voi lähteä hyvin erilaisista lähtökohtista liikkeelle. Jotkut ovat tutustuneet standardiin, jotkut jo kirjoittaneet ensimmäisiä dokumentteja – joillekin taas tämä on ensikosketus ylipäätään mihinkään määrämuotoiseen tietoturvatyöskentelyyn.
Miten alkaa kehittää tietoturvan johtamisjärjestelmää, ISMS:ää
Tietoturvan johtamisjärjestelmän kehittämispäätös lähtee liiketoiminnasta ja liiketoiminnan tarpeesta. Johtamisjärjestelmän kehittäminen voidaan katsoa tietoturvatoiminnan aikuistumisena ja kypsymisenä.
Tietoturvaprosessit
Tietoturvaprosessien kehittäminen & ISMS Tietoturvaprosessien kehittäminen lyhyesti Tietoturva liittyy olennaisena osana sekä ylläpidon että kehityksen eri vaiheisiin aina hankintapäätösten valmistelusta tuotannon ylläpitoon tai ulkoistamiseen. Tietoturvaprosesseja
