30.5.2016 | Tietoturva

Tietoturvapolitiikka liiketoiminnan tueksi

Tietoturvapolitiikka on dokumentti, joka tulisi löytyä jokaisesta yrityksestä. Se kertoo yrityksen asiakkaille, henkilöstölle ja sidosryhmille miten organisaatio näkee tietoturvan ja miten se siihen suhtautuu. Hyvä tietoturvapolitiikka auttaa luottamuks

Tietoturvapolitiikka on dokumentti, joka tulisi löytyä jokaisesta yrityksestä. Se kertoo yrityksen asiakkaille, henkilöstölle ja sidosryhmille miten organisaatio näkee tietoturvan ja miten se siihen suhtautuu. Hyvä tietoturvapolitiikka auttaa luottamuksen rakentamisessa asiakkaiden ja sidosryhmien suuntaan.

Ota tietoturva haltuun

Tietoturvapolitiikka on julkilausuma organisaation tavasta hoitaa tietoturva. Hyvin hoidettu tietoturva ja tätä kuvaava politiikka ovat jokaiselle organisaatiolle eduksi. Tietoturvapolitiikan tulee olla dokumentti, jonka voi näyttää ylpeydellä sidosryhmille ja asiakkaille. Samalla se ohjaa oman henkilöstön toimintaa.

Miten hyvä tietoturvapolitiikka luodaan? Aluksi tulee organisoida tietoturva niin, että sen eri osa-alueet tulevat katettua. Tähän voidaan käyttää tietoturvan hallintajärjestelmiä, kuten ISO 27001:tä. Samoin tietoturvasta vastaavat roolit tulee tunnistaa ja heille tulee antaa riittävät resurssit, sekä aikaa velvollisuuksiensa hoitamiseksi.

Kontrollien määrä saattaa aluksi tuntua ylitsepääsemättömän suurelta. Kaikkea ei kuitenkaan ole tarkoitus toteuttaa ja päätös tehtävistä kontrolleista tulee tehdä riskienhallinnan avulla. Tämän tulee olla säännöllinen prosessi, jossa riskejä käydään läpi ja tarvittaessa luodaan kontrollit riskien pienentämiseksi. On kuitenkin tärkeää muistaa, että tietoturvan tehtävänä on tukea liiketoimintaa ja auttaa hallitsemaan riskejä. Kontrolleja, jotka haittaavat liiketoimintaa, ei tulisi implementoida.

Edellä mainittujen toimien pohjalta voidaan luoda hyvä ja kompakti tietoturvapolitiikka. Sen ei tule olla yksityiskohtainen dokumentti, jossa on kuvattu organisaation jokainen kontrolli ja toimenpide. Sen sijaan sen tulee olla nopeasti luettava teksti, jonka lukija voi omaksua muutamassa minuutissa.

Näin syntyy hyvä tietoturvapolitiikka

Tietoturvapolitiikka on organisaatiossa ylin tietoturvaa koskeva dokumentti. Tämän tulee kestää aikaa, sillä sitä sitä ei ole tarkoitus päivittää jatkuvasti. Organisaation muun toiminnan ja tietoturvaan liittyvien muiden ohjeistusten tulee olla linjassa luodun politiikan kansa.

Hyvä tietoturvapolitiikka on siis lyhyt ja ytimekäs dokumentti, joka perustuu seuraaviin asioihin:

* Organisaation liiketoimintastrategia
* Organisaatiota koskevat lait, asetukset ja sopimukset
* Nykyiset ja ennustettavat liiketoimintaan kohdistuvat tietoturvauhat

Perustuen yllä mainittuihin asioihin, tietoturvapolitiikan tulee kattaa seuraavat asiat:

* Kaikkea tietoturvatoimintaa ohjaavien tavoitteiden ja periaatteiden määrittely liiketoiminnan tukemiseksi
* Tietoturvallisuuden hallintaan liittyvien roolien määrittely
* Poikkeustilanteita koskevien prosessien määrittely
* Sitoutuminen tietoturvallisuutta koskevien vaatimusten täyttämiseen
* Sitoutuminen tietoturvan hallintajärjestelmän jatkuvaan parantamiseen

Ylätason tietoturvapolitikan lisäksi organisaation tulee luoda yksityiskohtaisemmat käytännöt perustuen riskienhallintaan. Kun ylimmän tason tietoturvapolitiikka on tehty, tulee organisaation korkeimman johdon hyväksyä se.

Tarvitsetko apua?

2NS (Second Nature Security Oy) auttaa yrityksiä ja yhteisöjä varmistamaan liiketoimintansa jatkuvuuden. Ota yhteyttä, niin autamme sinua! (www.2ns.fi)

juhoranta

Kirjoittanut:

Juho Ranta on eettiseen hakkerointiin ja tietoturvan
varmentamiseen keskittyvän 2NS:n (Second Nature
Security Oy) johtava tietoturva-asiantuntija www.2ns.fi

Tule

Mukaan

Software Finland ry:n jäsenenä liityt elinvoimaiseen softa-alan yhteisöön, jossa opit huippuosaajilta, pääset jakamaan kokemuksia muiden yrittäjien ja johtajien kanssa, sekä kasvattamaan bisneksen kannalta elintärkeää verkostoasi.