3.7

Tietoturva, riskienhallinta ja laadunvarmistus

Yritysten tietoturvaperiaatteet ovat perinteisesti perustuneet oletukselle, jonka mukaan yrityksen sisäinen verkko on turvallinen alue, jota on suojeltava ulkoisia uhkia vastaan. Digiajan verkkorakenne on kuitenkin paljon monimutkaisempi ja sen vuoksi myös tietoturvaperiaatteet on määriteltävä uudelleen.

Tietoturvaa voidaan käsitellä kolmesta eri näkökulmasta:

  1. Päätelaitteissa tulisi olla mahdollisimman vähän luottamuksellista tietoa, koska ne ovat alttiita katoamisille, varkauksille sekä väärinkäytöille. Kaikki päätelaitteet tulisi suojata tunkeutumisen estojärjestelmällä (Intrusion Prevention System, IPS) ja salata kaikki niiden sisältämä data. Edellä mainittuja toimenpiteet toimivat kuin ”rokottaminen”: ne eivät takaa 100 prosenttista suojaa, mutta ovat kuitenkin riittävän hyvä varotoimenpide virusten leviämistä vastaan.
  2. Tietoverkot, joissa laitteita käytetään, vaihtelevat avoimista täysin suljettuihin verkkoihin. Useimpien yritysten sisäiset verkot voivat suojauksesta huolimatta olla epäluotettavia. Siksi verkkojen tietoliikennettä pitää jatkuvasti kontrolloida sekä analysoida poikkeusten havainnoimiseksi, jotta mahdolliset vauriot saadaan pysäytettyä tai minimoitua. Tietoverkkojen suojaus tarvitsee sekä ennaltaehkäiseviä että palautumista edistäviä toimenpiteitä yhdistettynä kykyyn reagoida nopeasti ja ammattimaisesti erilaisiin tietoturvariskeihin.
  3. Tietovarastot, jotka sisältävät tietoja yrityksestä, tulee olla suojattuja tiedon kriittisyyden mukaan. Kaikki tieto pitää luokitella, mieluiten mahdollisimman yksinkertaisesti. Tietoluokittelu voi olla esimerkiksi kolmetasoinen: salainen, sisäinen tai julkinen. Tällä tavoin suojaus voidaan määritellä erikseen jokaiselle tasolle. Esimerkiksi korkeinta suojamekanismia, joka on useimmiten myös se kallein, käytetään vain välttämättömissä tapauksissa, kun taas muiden tasojen suojaus sovitetaan tarkoituksenmukaisesti.

Tietoturvaa ei kuitenkaan tule yhdistää pelkästään tekniikkaan. Sen lisäksi tarvitaan hyvin suunniteltua identiteetinhallintaa (Identity and Access Management, IAM) ennaltaehkäisemään identiteettien väärinkäyttöä, josta voi seurata:

  • ulkopuolisten pääsy luottamuksellisiin tietoihin
  • tiedon kopiointi ja/tai käyttö laittomiin/luvattomiin tarkoituksiin
  • datan tuhoaminen tai sen vahingoittaminen
  • datan muokkaaminen omiin tarkoitusperiin sopivaksi

Yksi tärkeimmistä turvallisuustoimenpiteistä on minimoida inhimillisten virheiden mahdollisuus, sillä ne toimivat usein lähtökohtana laajemmille turvallisuusrikkomuksille.

  1. Käyttäjien ohjaaminen ja tukeminen huolimattomasta käytöstä johtuvien turvallisuusuhkien ennaltaehkäisemiseksi. Kaikkia käyttäjiä on ohjeistettava luomaan vahvoja salasanoja ja säilyttämään ne turvallisesti. Lisäksi on annettava selvät ohjeet, kuinka toimia, mikäli päätelaite on kadoksissa tai herää epäilys turvallisuusrikkomuksesta. Edellä mainitut toimenpiteet ovat tarkoitettu nimenomaan suojamaan identiteettivarkauksilta.
  2. Käyttäjäoikeuksien asianmukainen määrittely luvattoman pääsyn tai käyttäjäoikeuksia rikkovien toimenpiteiden ennaltaehkäisemiseksi. Työntekijällä ei pitäisi esimerkiksi olla oikeuksia sekä luoda että hyväksyä samaa laskua. Kyseisillä toimenpiteillä pyritään ehkäisemään identiteetin väärinkäyttö.

Yrityksen tietoturvaa toteutetaan yhteistyöllä seuraavien osapuolien kesken:

  • Tietoturvapäällikkö (Chief Information Security Officer, CISO) on vastuussa yrityksen tietoturvaa koskevasta suunnittelusta sekä sen toteuttamisesta
  • Liiketoimintajohto on vastuussa liiketoiminnan jatkuvuuden turvaamisesta sekä hyväksyttävän riskitason määrittelystä
  • Palveluntarjoajat ovat vastuussa tietoturvaa koskevista toimenpiteistä

Tietohallintoon liittyvän riskienhallinnan tulee olla osa yrityksen kokonaisvaltaista johtamisjärjestelmää. Riskienhallinnassa on kyse järjestelmällisestä yrityksen tavoitteisiin ja toimintaan vaikuttavien epävarmuus- ja uhkatekijöiden tunnistamisesta ja niihin varautumisesta. Koska riskejä voidaan harvoin eliminoida kokonaan, yrityksen johdon on määriteltävä hyväksyttävä riskitaso. Yrityksen johto määrittää myös riskienhallintapolitiikan, sovellettavat menetelmät, eri toimijoiden vastuut ja tehtävät, sekä seuranta- ja raportointikäytännöt. Riskienhallinta tulee nähdä jatkuvana prosessina, koska liiketoiminnan tavoitteet ja epävarmuustekijät muuttuvat ajan kuluessa.

Laadunvarmistus tukee standardien ja parhaiden käytäntöjen mukaista toimintaa tietohallinnossa ja varmistaa, että tietohallinnolle asetetut laatuvaatimukset täyttyvät. Tietohallinnon prosessit pitää kuvata, ja lisäksi niiden pitää pyrkiä tuottamaan paras käyttökokemus. Laadunvarmistus pitää integroida kaikkiin tietohallinnon prosesseihin ja palveluihin. Laadunvarmistaminen ei ole pelkästään toimintojen, prosessien ja palveluiden systemaattista mittaamista, vaan myös niiden jatkuvaa kehittämistä, sekä yleistä liiketoiminnan suorituskyvyn varmistamista. Tämä tarkoittaa, että laadunvarmistukseen kuuluu myös huomion kiinnittäminen tietohallinnon liiketoiminnalle luomaan arvoon.

Ota yhteyttä Tietohallintomalli PDF

Haluatko tietää lisää Tietohallintomallista ja sen soveltamisesta käytännössä? Ota yhteyttä.