11 joulukuuta 2015

Kyberuhka on todellinen – oletko sertifioinut tietoturvan hallintajärjestelmäsi?

kyberuhka-tietoturva-kiwa.jpg

Tietoturvallisuus yläkäsitteenä on hyvin rönsyilevä, ja voi merkitä organisaation eri portailla kokonaan eri asioita. Tietoturva mielletään usein koskemaan näkyvää tietotekniikkaa ja ulkoisia tietoturvauhkia kuten viruksia. Kuulemme kuitenkin tuon tuosta uutisia kokonaisten valtioiden hallintokoneistoja tai vain omaa päivittäistä arkeamme koskettavista turvallisuusuhkista. Palvelunestohyökkäys voi lamauttaa luotettavana pidetyn organisaation verkkopalvelut hetkessä, aiheutuneet harmit ja kustannukset voivat koskettaa suurta ihmisjoukkoa, kaikkia kustannuksia ei kyetä laskemaankaan. Yrityksen työntekijät saattavat selailla sivustoja, jotka eivät aina ole sitä miltä näyttävät, vaan ujuttavat sisäiseen tietoverkkoon kutsumattomia vieraita. Yhä ovelammat arkaluonteisia tietoja tai selvää rahaa kalastelevat sähköpostihuijaukset vaativat alituista valppautta. Nämä ns. kyberuhkat lisääntyvät yhä, ja niille on alttiina käytännössä jokainen yhteiseen tietoverkkoon kytkeytynyt. Pahimmillaan tietoverkkojen välityksellä murtaudutaan yritysten sisäisiin tietojärjestelmiin.

Mediassa kyberturvallisuusuhkia on rummutettu vuosikausia: uhkiin tulisi suhtautua vakavasti. Tietotekniikka on välttämätöntä mutta valitettavan vaarallista, jopa pelottavaa. Pahimmillaan reagoimme työntämällä ikävät mietteet syrjään ja tuudittautumalla väärään turvallisuuden tunteeseen. Kukapa juuri meistä olisi kiinnostunut? Vahinkoja tapahtuu vain muille – meille ei voi käydä noin. Palvelunestohyökkäysten tuottamaa uhkaa ymmärretään huonosti, mikä näkyy liian alhaisena torjunnan tasona.

Tiedon turvaaminen on haastavaa

Digitaalisen informaatioteknologian levittäydyttyä kaikkialle ei yksikään organisaatio – koostaan riippumatta – voi jättää huomiotta tietojensa turvaamisen merkitystä. Yrityksen luottamuksellisten tietojen joutuminen vääriin käsiin tai korvaamattoman tiedon katoaminen eivät johda yksistään taloudellisiin menetyksiin, vaan jopa maineen, asiakkuuksien, kumppanuuksien ja koko liiketoiminnan vaarantumiseen. Suurimmat riskit ovat yrityksissä, joissa tieto on arvokkain pääoma, ja liiketoiminta suoraan riippuvainen siitä. Riskeistä huolimatta kaikissa organisaatioissa ei ole selkeää kuvaa tietojen suojaamisen käytäntöjen toimivuudesta. Miten tietoturvallisuutta johdetaan ja hoidetaan? Onko johdon ja työntekijöiden kuva tietoturvakäytännöistä yhteneväinen?

Jokapäiväisessä työssä tietoturvallisuus näyttäytyy toivon mukaan ainakin henkilökohtaiseen tietokoneeseen vaadittavana salasanana ja vähintäänkin tehtäväpalkissa lymyävänä internetin vaaroilta suojaavana sovelluksena. Yrityksen käytännöissä kyse on kuitenkin laajemmin tietojen, palvelujen, tietojärjestelmien ja tietoliikenteen luotettavasta suojaamisesta. Itse tiedon osalta kyse on sen luottamuksellisuudesta, eheydestä ja saatavuudesta. Tieto on kyettävä suojaamaan luvattomalta tarkastelulta ja käsittelyltä, sen on oltava vain käyttöoikeudet omaavien käyttäjien saatavilla virheettömänä, täydellisenä ja kiistämättömänä.

Tietojen turvaaminen vaatii tietojärjestelmältä paljon, ja vähänkin suuremmassa yrityksessä järjestelmiä on useita. On osattava erottaa ja kyettävä suojaamaan sellainen tieto, joka on ehdottomasti pidettävä yrityksen sisällä, jatkuvasti yleistyvät internetin yli käytettävät verkko- ja pilvipalvelut tuovat nekin omat haasteensa turvallisuudelle. Usein uhkiin on varauduttu tavalla tai toisella: tieto- ja palvelinliikenteen edellyttämät järjestelmät, tiedonvarmistukset, keskeiset sovellukset ja tukitoiminnot on voitu ulkoistaa niihin erikoistuneille asiantuntijayrityksille ja teleoperaattoreille. Parhaassa tapauksessa yritys on rakentanut tietoturvallisuuden sisältävän toimintajärjestelmän.

Tietoturvallisuus edellyttää sitoutumista

Pääosa tietoturvallisuudesta on edelleen usein IT-osastojen toimintakenttää, liiketoiminta ja IT puhuvat eri kieltä. Jälkimmäinen saattaa ajatella tietoturvaa lähinnä palomuurisääntöinä ja verkon aukkojen paikkailuna, ei osana johtamista. Rakennetaan ehkä linnakkeita huomaamatta, että tiedon käyttäjät ovat avainasemassa – heikoin lenkki on ihminen itse. Niinpä yrityksissä investoidaan usein mieluummin tietoteknisiin ratkaisuihin kuin henkilöstön tietoturva-osaamiseen. Tietoturvallisuus kuitenkin lähtee alhaalta, käytännön tasolta, alkaen henkilökohtaisen tietokoneen tai älypuhelimen lukitsemisesta tai vaikkapa näytön suojakalvon käyttämisestä sekä mahdollisten tietoteknisten säännösten sisäistämisestä.

Tietoturvallisuutta ei useinkaan nähdä yrityksen strategiaan kuuluvana asiana, vaikka kehittyneet tietojärjestelmät itsessään osaisivat tuottaa ja analysoida tietoa strategista päätöksentekoa varten. Toimivaa tietoturvaa ei saada aikaan ilman yritysjohdon vankkaa sitoutumista. Tietoturvallisuuden tulisi olla johdon omistuksessa ja ilmentyä johdon tahtona tukea koko organisaatiota asioiden viemiseksi eteenpäin. Mitä kriittisemmässä asemassa tieto on yrityksen liiketoiminnoissa, sitä merkittävämmäksi osaksi yrityksen riskien ja liiketoimintojen jatkuvuuden hallintaa tietoturvallisuus nivoutuu. Ja sitä merkittävämmäksi muodostuu myös koko yrityksen toiminnot lävistävä toimintajärjestelmä.

Standardeihin perustuvat toimintajärjestelmät käsittävätkin useimmiten johdon määrittelyjä laatupolitiikasta, strategisista tavoitteista sekä tiedon- ja resurssienhallinnasta. Kirjattuna on myös toimintatapoja toteutumisen seuraamiseksi. Jos toimintajärjestelmää rakennetaan vain laatuvastaavan toimesta, voi se asemoitua johdolle enimmäkseen kiusalliseksi ajanhaaskuuksi. Asiat sujuvat paperilla ja muistioissa, mutteivät realisoidu työnteon arkeen. Kehityskeskusteluissa tai auditoinneissa ilmenee ehkä puutteellinen johtaminen – vähintäänkin tiedonkulku tökkii. Standardit ovat kuitenkin parhaimmillaan johdon keskeisiä työkaluja, ja osassa vallitsevia toimintajärjestelmiä ne myös toimivat tehokkaasti.

Tunnustettua tietoturvallisuusarviointia

Standardeihin nojaava sertifioitu laatu- tai toimintajärjestelmä on nykyisin kiistaton kilpailuetu ja joillakin toimialoilla jo edellytys. Suomessa tietoturvallisuuden hallintajärjestelmien sertifiointi on pääsemässä vauhtiin. Inspectalle myönnettiin ensimmäisenä toimijana Suomessa akkreditointi ko. järjestelmien sertifiointiin standardin ISO/IEC 27001 mukaisesti vuonna 2005. Vankka kokemus ja laaja-alainen osaaminen näkyvät jo sertifioinnin läpikäyneiltä asiakkailta saapuvassa palautteessa. Tietoturvallisuuden hallintajärjestelmällä saavutetaan poikkeuksetta liiketoimintaa edistäviä hyötyjä. Henkilöstön asenteet ja tietoisuus paranevat, kuten itse toiminnotkin. Arkiset asiat tulevat kuntoon, toimintatavat on ennalta mietitty. Asiakkaan ja työpaikan aineistojen säilytys selkeytyy, tiedon varmistukset ja varajärjestelmät saatetaan kuntoon. Yrityksen luotettavuus yhteistyökumppanina lisääntyy ja asiakkaiden tekemät auditoinnit vähenevät merkittävästi. Sertifiointi antaa myös työkaluja alihankkijoiden tietoturvallisuuden varmistamiseen.

Sertifiointiprosessi alkaa asiakkaan tarpeesta. Sertifiointihakemuksen saavuttua suoritetaan asiakkaan tilanteesta riippuen mahdollinen ennakkoarviointi. Varsinainen sertifiointi sisältää suunnittelu- ja arviointivaiheet, minkä tuloksena asiakas saa arviointiraportin mahdollisine poikkeamineen. Niiden laadusta riippuen riittää asiakkaan selvitys tehdyistä korjaavista toimenpiteistä tai suoritetaan uusinta-arviointi. Kun standardin vaatimukset täyttyvät, myöntää Inspecta asiakkaalle sertifikaatin. Seuranta-arviointeja tehdään yhdestä kahteen kertaa vuosittain, ja kolmen vuoden välein toteutetaan uudelleensertifiointiarviointi.

Inspectan järjestelmäsertifioinnin palveluita

  • Tietoturvallisuuden hallintajärjestelmän sertifiointi ISO/IEC 27001-standardin pohjalta osoittaa organisaation hallinnoivan tietoaan. Samalla se viestittää organisaation panostavan riskien hallintaan ja olevan luotettava yhteistyökumppani. Lue lisää palvelusta.
  • Tietoturvallisuusjohtamisen tasoarviointi on kattava selvitys tietojen suojaamisen käytännöistä organisaatiossa. Palvelun avulla tunnistetaan ne osa-alueet, joita kehittämällä todennäköisimmin vähennetään tietoturvariskien toteutumista. Lue lisää palvelusta.
  • IT-palvelunhallintajärjestelmien sertifiointi (ISO/IEC 20000-1).Kansainvälisen ISO/IEC 20000-1 -standardin pohjalta sertifioitu IT-palvelunhallinnan järjestelmä osoittaa palvelun tarjoajan sitoutumisen palveluiden suunnitteluun, käyttöönottoon, toimittamiseen ja parantamiseen. Lue lisää palvelusta.
  • Laatujärjestelmän sertifiointi (ISO 9001).  ISO 9001 on maailman käytetyin johtamismalli, joka perustuu jatkuvan parantamisen filosofiaan. Se toimii työkaluna liiketoiminnan, prosessien ja johtamisen kehittämisessä. Inspectan ISO 9001 -sertifikaatti on luotettava todistus, joka osoittaa yrityksen toimivan asiakaslähtöisesti ja järjestelmällisesti laadun kehittämisessä. Lue lisää palvelusta.