Tietoturvallisuuden kehittäminen on koko organisaation asia

Tietoturvallisuus, tietosuojakysymykset ja tiedon luottamuksellisuus puhuttavat ja mietityttävät, kun organisaation tieto-omaisuuden hallinta on nyt nostettu esille pohdittavaksi. Kuinka varmistetaan, että tietoturvallisuus on riittävällä tasolla ja miten taso tulee määritellä?

Suurimmassa osassa yrityksiä ja organisaatioita tietoturvallisuuden ja tietosuojan arviointiin tarvitaan ulkopuolisen asiantuntijan näkemystä. Parhaita käytäntöjä puolestaan tarjoaa kansainvälisesti tunnustettu tietoturvallisuuden ISO/IEC 27001 -standardi.  

Suomen ulkoministeriö vastaanotti 28.10.2020 Kiwa Inspectan luovuttaman ISO/IEC 27001 –sertifikaatin. Se osoittaa organisaation täyttävän standardissa määritellyt tietoturvallisuuden johtamisen vaatimukset. Sertifikaatin haltijana ulkoministeriön tietoturvallisuuden eteen tehtävä työ ei ole kuitenkaan loppu tai ole valmis, sillä jo standardissakin edellytetään jatkuvaa parantamista.

Artikkeli jatkuu kuvan jälkeen

Inspecta Sertifiointi Oy:n toimitusjohtaja Maija Vanttaja luovutti valtiosihteeri Matti Anttoselle ISO/IEC 27001 -sertifikaatin 28.10.2020. (Kuva: Ulkoministeriö)

 

Vaatimukset täyttyvät, mutta työ tietoturvallisuuden prosessien jatkuvaan parantamiseen jatkuu

Kansainvälisesti tunnustettu ISO/IEC 27001 -standardi ohjaa tietoturvallisuuden hallintaan liittyviä prosesseja. Se sisältää hallinnollisiin ratkaisuihin liittyvät vaatimukset sekä kattavan joukon muun muassa teknisiä menettelyitä tietoturvariskien hallitsemiseen. Keskeistä ISO/IEC 27001 -sertifioinnissa on todentaa organisaation systemaattisen, jatkuvasti kehittyvän ja johdon tukeman riskienhallintatavan uskottava suunnittelu ja toistuva käyttö.

Kiwa Inspecta varmisti sertifiointiprosessin aikana, että ulkoministeriön hallintajärjestelmä täyttää ISO/IEC 27001:n asettamat vaatimukset. Kattavassa auditoinnissa tarkasteltiin ministeriön tietoturvallisuuteen ja riskienhallintaan liittyviä käytäntöjä muun muassa johtamisen, tietojärjestelmien, arjen työn, dokumentoinnin sekä jatkuvan kehittämisen näkökulmista.

Artikkeli jatkuu kuvan jälkeen

Kiwa Inspectan tuoteryhmäpäällikkö ja pääarvioija
Jyrki Lahnalahti muistuttaa, että tietoturvallisuus
on päätöksenteko- ja toimintatapa, joka kattaa
koko organisaation.

Turvallisuuskulttuuri ensiarvoisen tärkeää

Kiwa Inspectan liiketoiminta- ja tietoturvallisuuden tuotepäällikkö Jyrki Lahnalahti korostaa organisaation turvallisuuskulttuurin merkitystä kehitystyössä ja riskienhallinnassa. Kulttuuri ilmenee työn tekemisen ja päätöksenteon arjessa, jossa turvallisuusnäkökulma on juurtunut koko organisaatioon. ”Tietoturvallisuus ei ole organisaatiossa tehty päätös, vaan toiminta-, päätöksenteko- ja ajattelutapa, joka kattaa koko organisaation ja sen johtamisen,” hän muistuttaa.

Ulkoministeriön tietohallintojohtaja Ari Uusikartano näkee vastaavasti tietoturvallisuuden toteutuvan organisaatiossa silloin, kun se on sisään rakennettuna toimintoihin ja prosesseihin. Päälle liimattu tai erillisenä mietitty turvallisuustematiikka ei jalkaudu käytäntöön. Työ on myös jatkuvaa, sillä uhkatekijät elävät ajassa. ”Varsinkin ulkoasiainhallinnon toiminta ja tietovarannot ovat jatkuvan, myös oikeudettoman mielenkiinnon kohteena. Tietoturvallisuuden ylläpitäminen ja kehittäminen ovat siten koko henkilöstön yhteinen asia”, Uusikartano korostaa.

Sertifioinnin ainutlaatuinen kokonaisuus

Ulkoministeriön tietoturvallisuuden hallintajärjestelmän sertifiointi on laajuudessaan ainutlaatuinen koko Suomessa. Se kattaa koko ministeriön ja jatkokehityksen myötä tulevaisuudessa myös kaikki Suomen ulkomaanedustustot, noin 90 kappaletta. Ensimmäisessä vaiheessa sertifiointi rajattiin vain ministeriön toimintoihin kotimaassa, eli Helsingissä ja Kouvolassa.

Kun sertifioinnin piiriin lisätään tulevaisuudessa kymmenittäin edustustoja, jotka sijaitsevat maantieteellisesti ja kulttuurisesti laajalla alueella, ollaan ison haasteen edessä. Yhteneväisten toimintatapojen ja turvallisuuskonseptin jalkauttamisessa tulee ottaa huomioon paikalliset eroavaisuudet ja toimintaympäristö. Kyseessä on siis ainutlaatuinen sertifioitava kokonaisuus.

Vuosien määrätietoinen työ ennen sertifiointia

Sertifiointiprosessi ja standardin vaatimusten täyttämisen osoittava sertifikaatti ovat vain pieni osa tietoturvallisuuden eteen tehtyä työtä ulkoministeriön organisaatiossa. Prosessia edeltää pitkäjänteinen, vuosien pituinen määrätietoinen työ tietoturva- ja riskienhallintakäytäntöjen mm. johtamisen, tietojärjestelmien, arjen työn, dokumentoinnin ja jatkuvan kehittämisen eteen.

”Kehitystyö on kestänyt yli kymmenen vuotta”, tietohallintojohtaja Uusikartano toteaa. ”Alun perin sertifiointi ei ollut tavoitteena, vaan pyrittiin valtionhallinnon terminologiassa korotetun tietoturvatason saavuttamiseen. Lopulta kuitenkin kehitystyön todettiin olevan niin pitkällä, että sertifikaattia katsottiin kannattavan tavoitella.”

Varsinaisessa sertifiointiarvioinnissa asiantunteva arvioija katsoo kokonaiskuvaa ulkopuolelta. ”Auditointi antaa tärkeää näkökulmaa kokonaisuuteen ulkopuolisin silmin”, kertoo Uusikartano arvioinnin hyödyistä jatkuvassa parantamisessa. ”Sertifiointi on erinomainen tapa peilata organisaation suoriutuvuutta”, hän jatkaa.

Sertifikaatti kertoo luotettavasta kumppanista

”Sertifikaatti pitää yllä ryhtiä tietoturvallisuuden johtamiskäytännöissä sekä toteuttaa hyvää hallintotapaa ja hallinnon avoimuutta perinteisesti suljetulla toiminnan alueella. Sertifikaatti osoittaa yhteistyökumppaneillemme, että ulkoministeriö panostaa tietoturvallisuuteen ja on luotettava kumppani”, arvioi ministeriön valtiosihteeri Matti Anttonen.

Ulkoministeriön kannalta sertifiointi viestii kuvaa kehittävästä ja ajan vaateiden mukaan kehittyvästä organisaatioista. Digitalisaatio tuo hallinnon kehittämisessä hyötyjä, mutta sisältää myös tieto- ja kyberturvallisuuteen liittyviä uhkia, joita ei sovi unohtaa. ISO/IEC 27001 tarjoaa hyvän rakenteellisen viitekehyksen turvallisuustoiminnan kehittämiseen ja ylläpitämiseen.

 

Lisätietoja:
Jyrki Lahnalahti, Kiwa Inspecta p. 0400 571 892