Tietoturvallisuus ei ole saari kaukana merellä

Tietoturvallisuus ei voi elää erillään muusta johtamisesta. Tai ehkä se jotenkin voi, mutta ikävillä seurauksilla. Tietoturvallisuus ei, eikä tietoturvallisuudenhallinnan sertifiointi ole irrallinen IT-projekti, vaan osa organisaation toimintakulttuurin ja riskienhallinnan systemaattista kehittämistä. ISO/IEC 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä rakentuu samoista peruselementeistä kuin esimerkiksi laadunhallinta (ISO 9001) tai palvelunhallinta (ISO/IEC 20000-1): suunnittelusta, toteutuksesta, arvioinnista ja parantamisesta. Yhteinen rakenne ei ole sattumaa, vaan mahdollistaa kokonaisuuden hallinnan.

Jos tietoturvaa johdetaan erillään, syntyy siiloja. Heiveröisimmillään niissä sitten toteutetaan yksittäisiä vaatimuksia tarkistuslistan logiikalla, ymmärtämättä niiden merkitystä palvelun laatuun tai asiakaskokemukseen. Laatuajattelu (vrt ISO 9001) tuo mukanaan asiakasnäkökulman: tietoturva ei ole pelkkä velvoite, vaan osa lupausta, jonka organisaatio antaa sidosryhmilleen. Myös sisäiset sidosryhmät toisilleen, ja lisäksi jopa yksilöinä toinen toisillemme pieninä sidososasina. Tässä tarvitsemme johtamista, sillä pettymyksiä realisoituu usein juuri yksilöiden edesottamuksista johtuen. Lopputuloksen kannalta on yhdentekevää realisoituuko pettymys tietämättömyydestä ja vai jostakin muusta syystä. Jos lupaukset pettävät, myös luottamus murenee. Mikä on sinun organisaatiosi lupaus?

Palvelunhallinta puolestaan auttaa varmistamaan, että tietoturvallisuus näkyy prosesseissa ja palvelutuotannon arjessa. Siinä määritellään vaatimukset, joilla varmistetaan palveluiden johdonmukainen, tehokas ja asiakaslähtöinen tuottaminen. Standardi tukee jatkuvaa parantamista ja palveluiden laadunhallintaa. On eri asia, että työntekijöiltä vaaditaan tietoturvakoulutus, kuin että koulutus oikeasti muuttaa heidän toimintatapojaan esimerkiksi asiakastietojen käsittelyssä kiiretilanteissa. Arjen valinnat ratkaisevat.

Sisäiset auditoinnit muodostavat linkin suunnitelman ja todellisuuden välille. Ne eivät ole sisäinen syynäys, vaan oppimisen ja vuorovaikutuksen väline. Kun auditointia tehdään järjestelmällisesti ja monialaisesti, havaitaan paitsi poikkeamia myös mahdollisuuksia parantaa yhteispeliä ja tiivistää rivejä. Tietoturva ei kuulu vain it-asiantuntijoille, vaan sen on läpäistävä koko organisaatio. Vastuussa on aina ylin johto.

Standardit eivät ratkaise kaikkea, mutta ne tarjoavat yhteisen kielen ja rakenteen. Kun niitä hyödynnetään kokonaisuutena, tieto ei huku – eikä tietoturva jää yksin. Yhteinen hallinta tuo näkyväksi riippuvuudet, joita ei voi jättää huomioimatta. Tietoturvallisuus ei ole saari. Se on silta – vastuullisuuden, laadun ja toimivien palveluiden välillä.

Saat erinomaisen katsauksen tässä esitettyihin näkökulmiin osallistumalla Kiwan Tietoturvallisuuspäivä Kiwaliveen. Tässä mainittujen lisäksi on luvassa mainio asiakascase, ICT-Elmo, jossa hallintajärjestelmiä käytetään integroituna toiminnan viitekehyksenä.

Virtuaalitapahtuma järjestetään 24.10.2025 klo 9:00 alkaen. Parituntiseen asiantuntijatason tilaisuuteen on maksuton ja vapaa pääsy. Se sopii palveluiden johtajille, - tuottajille ja asiasta muuten kiinnostuneille… Ai niin, ja tietysti tietoturvavastaaville,- päälliköille ja – johtajille.

Ilmoittaudu tapahtumaan täällä. TERVETULOA!