Elina Partanen

Elina Partanen

Elina is a partner and owner of Mint Security and specializes in risk management.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Tietoturvan johtamisjärjestelmän kehittämispäätös lähtee liiketoiminnasta ja liiketoiminnan tarpeesta. Johtamisjärjestelmän kehittäminen voidaan katsoa tietoturvatoiminnan aikuistumisena ja kypsymisenä. Liiketoiminnan tarve on useimmiten tarve osoittaa ulospäin sidosryhmille tietoturvan laadullinen taso. Johtamisjärjestelmällä osoitetaan että tietoturva otetaan vakavasti ja että sitä johdetaan ja toteutetaan johdonmukaisesti.

Tarpeen tunnistaminen

Tietoturvan kehittäminen ja sitä kautta johtamisjärjestelmä nousee usein keskusteluun ja pohdintaan kahdesta syystä.

Sääntely

Jokin yritystoimintaa säätelevä taho esittää osoitettavia vaatimuksia yrityksen tietoturvalle.

Asiakkaat

Yrityksen asiakkaat vaativat tietoturvaa osana toimintaa joka näkyy tarjouspyynnöissä vaatimuksina.

Hallintajärjestelmän edut

Yksittäisten tietoturvaan liittyvien vaatimusten täsmätoteuttaminen on toki mahdollista, mutta pitkässä juoksussa tehotonta. Yksittäiset toimet muuttuvat loputtomaksi ja kohta hallitsemattomaksi todo -listaksi tai backlogiksi, jota pitää olla koko ajan vahtimassa. Varsinkin toimenpiteiden ja niiden tehokkuuden osoittaminen – siis sitä mitä joko sääntely tai asiakkaat oikeasti vaativat – on jopa mahdotonta. Tämä syö sekä aikaa ja rahaa, ja kaikkein kurjinta on se, että tekeminen yleensä toistaa itseään, virheistä ei opita eikä tietoturva viestinä tavoita juuri ketään.

Yleensä kannattaa katsoa kokonaisuutta ja suunnitella kehitystoimet kokonaisuutena. Tästä kokonaisuudesta voidaan valita prioriteettijärjestyksessä totetutettavia asioita. Tätä kokonaisuutta, johon kuuluu olennaisina osina tietoturvan johtaminen, tietoturvatehtävien toteuttaminen, koulutus sekä riskien- ja poikkeamienhallinta, kutsutaan usein tietoturvan hallintajärjestelmäksi.

Mistä lähteä liikkeelle

Koska kyseessä on johtamisjärjestelmä, perustana on yrityksen johdon sitoutuminen sekä linjaus tietoturvan tavoitetasosta. Tätä vaatimusta, liiketoimintaa säätelevien vaatimusten sekä yrityksen olemassa olevan dokumentaation ja toimintatapojen perusteella tehdään GAP-analyysi käyttäen viitekehyksenä esimerkiksi ISO 270xx-standardiperhettä.

Meillä tehdään jo riskienhallintaa - pitääkö riskienhallinta rakentaa uudelleen?
Tietoturva- ja IT-riskienhallinta on tärkeä osa tietoturvan hallintajärjestelmää ja sille on osoitettu viitekehyksissä useita vaatimuksia. Niissä yrityksissä, joissa organisaatiosta löytyy jo operatiivisten riskien hallintaa, on hyvä hyödyntää olemassa olevia prosesseja ja rikastaa riskidataa tietoturvanäkökulmalla. ISO 27001 standardin riskienhallinta ei poikkea ISO31000-standardista, jota yleisesti käytetään operatiivisen riskienhallinnan viitekehyksenä.

Scope

Liikkelle lähdetään useimmiten workshop-tyyppisesti. Tällä tavoin löydetään hallintajäjestelmän sidosryhmät ja sitoutetaan eri tahot yhteiseen toimintaan.

Workshopin aihealueet vaihtelevat toimialan mukaisesti ja toteutus tehdään yrityksen oman sisäisen kypsyyden ehdoilla.

Workshop -työskentely auttaa myös hahmottamaan hallintajärjestelmän laajuutta, scopea – koko toimintaa ei tarvitse tuoda yhdellä kertaa hallintajärjestelmän piiriin. Tämä on ajankohtaista yrityksissä, joissa on monenlaista toimintaa, jotka olennaisesti poikkeavat toisistaan – esimerkkinä fyysinen kauppa ja logistiikka ja tämän tietojärjestelmien kehittäminen. Hyvä esimerkki laajuuden määrittelystä on maakohtaisuus, tai alkuun vain ydintoimintojen sisällyttäminen ja asiakaspalvelupisteiden tai konttoreiden jättäminen pois.  

Laajuuden määrittely (scope) auttaa hallitsemaan työmäärää, tavoitteita, viestintää sekä aikataulua. 

Lopuksi

Tietoturvan hallintajärjestelmä ohjaa ensisijaisesti toimintaa ja on dokumentti- sekä prosessikokoelma. Näistä pitäisi synnyttää toimintamalli ja -kulttuuri. Kulttuuri taas syntyy ihmisten välisestä interaktiosta. Yrityksen johdon on tarjottava tälle kaikelle puitteet. 

Tietoturvaprosessit & ISMS

Tietoturvaprosessien kehittäminen & ISMS Tietoturvaprosessien kehittäminen lyhyesti Tietoturva liittyy olennaisena osana sekä ylläpidon että kehityksen eri vaiheisiin aina hankintapäätösten valmistelusta tuotannon ylläpitoon tai ulkoistamiseen. Tietoturvaprosesseja

Read More »
Elina Partanen

Elina Partanen

Elina is a partner and owner of Mint Security and specializes in risk management.
Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.