fbpx

Tietoturvallisuus osana organisaation johtamisjärjestelmää

”Onko järkeä lähteä sotkemaan tietoturvallisuutta osaksi johtamista ja johtamisjärjestelmää? Kyllä sen IT-osasto hoitaa!”

Entä jos saman asian kysyykin:

  • Kuuluuko organisaation johtamiseen hallita liiketoimintaan kuuluvia riskejä ja mahdollisuuksia?
  • Kiinnostaako organisaation kaikista kriittisimpien toimintojen ja prosessien ylläpitäminen toiminnassa?
  • Mitkä asiat voivat kaataa koko yrityksen toiminnan ja miten niihin olemme varautuneet?

Itse lähdin työstämään tietoturvallisuutta (ja ISO 27001 sertifiointia) omana erillisenä osana niin johtamisesta kuin käytössä olevastamme laatujärjestelmästä. Täällä irtosi tietystä näkökulmasta uusia asioita, mutta kovin irrallisilta ne vaikuttivat, saati että niillä olisi vaikutusta tekemiseen ja siihen, että tietoturvaa saisi oikeasti jalkautettua käytäntöön.

Tietoturva on enemmän kuin tietotekninen tietoturva

Kovin vähissä ovat olleet ainakin omalla kohdallani tietotekniset tietoturvaongelmat, kuten virukset ja hakkeroinnit. Tietotekniset tietoturvaongelmat voisi mennä yhdeksi osaksi tietoturvallisuuden osa-aluetta: luottamuksellisuus (tieto on suojattua). Toimialasta riippuen voi olla eri painotuksia tietoturvan osa-alueissa, mutta kovin usein tuntuu unohtuvan tietoturvan kaksi muuta tärkeintä osa-aluetta:

Tiedon eheys ja saatavuus

eli se että tarvittava tieto (ohjeet, hinnat, web-sivut, tilaukset, tuotteet…) on saatavilla juuri sillä hetkellä kun sitä tarvitsee ja että se on vielä ajantasaista ja virheetöntä. Laatujärjestelmä (ISO 9001) on ollut Moment Groupilla käytössä jo yli 10 vuotta ja siihen liittyvä hallintajärjestelmä hioutunut ajan saatossa. Tähän hallintajärjestelmään olemme määritelleet liiketoiminnan kriittisimmät prosessimme, tietomme, toimintamme ja kuinka niitä ylläpidämme. Pidämme sisäiset auditoinnit ja johdon katselmukset säännöllisin aikavälein, joissa käymme nämä kriittisimmät prosessit läpi ja kehitämme niitä. Kun tämän tietoturvan kokonaisuuden (ja ISO 27001) tuoman potentiaalin ymmärsi, oli itsestään selvää, että meillä tulee olla koko organisaation yhteinen toimintajärjestelmä, joka sisältää niin johtamisen, laatujärjestelmän kuin tietoturvan hallinnan.

Tietoturva osana koko organisaation toimintaa

Tietoturva määritellään hienosti usein, että

”Tietoturva eli tietoturvallisuus tarkoittaa tiedon saatavuuden, luottamuksellisuuden ja eheyden ylläpitämistä.”-Wikipedia

ja että se ei ole vain IT:n juttuja. Ihan oikein sinänsä. Väittäisin silti, että matkaa on vielä niin määritysten ja kirjallisuuden osalta siinä, että osattaisiin viedä tietoturva vielä enemmän osaksi koko organisaation toimintaa ja johtamista. Ehkä tietoturvasta pitäisi puhua jollain muulla termillä? Vielä isompi matka on organisaatioiden kypsyä mukaan tähän. Vai onko teidän yrityksessä esim. tietoturva merkittävässä roolissa johtoryhmän palavereita?

Pasi Nääppä
Chief Opportunity Officer
Puh. 050 327 8764
pasi.naappa@momentgroup.fi

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.