Monessa yrityksessä uskotaan, että tietoturva on kunnossa. Todellisuudessa vastuut voivat olla epäselviä ja dokumentaatio hajallaan. Sääntelyn ja vaatimusten kasvaessa tietoturvaan liittyvä tekeminen pitää pystyä myös todentamaan. Tietoturva-asiantuntija Teo Nurminen kertoo, miten tietoturvan hallintajärjestelmä Cyberday auttaa tietoturvatyössä – ja miten Decens tukee käytännön tekemistä.
”Cyberday-järjestelmän avulla saat hallinnolliseen tietoturvaan selkeän rakenteen ja näkyvyyden. Decens auttaa käyttämään keskitettyä järjestelmää niin, että se tukee arkea ja auttaa täyttämään esimerkiksi ISO-standardin ja kyberturvallisuuslain vaatimukset – niin että jokainen tietää, mitä tekee”, sanoo Teo Nurminen, konsulttityötä tekevä Decensin tietoturva-asiantuntija.
Kun vaatimukset kasvavat, hallinta ratkaisee
Automatisoidut tehtävälistat, vastuuhenkilöt, dokumentaatiorakenteet ja valmiit vaatimuskehikot jäsentävät tietoturvan hallintaa. Cyberdayn vaatimuskehikot tukevat niin NIS2-, ISO/IEC 27001- kuin DORA-vaatimustenkin toteutumista. Koska Cyberday on kotimainen, myös kyberturvallisuuslain vaatimukset suomalaisyrityksille ovat mukana.
”Hallintajärjestelmän avulla vastuutat tehtäviä ja dokumentaatiota selkeästi. Järjestelmä on suosittu säädellyillä toimialoilla, kuten kriittisen infran yrityksissä ja julkisella sektorilla, joissa tarvitaan keskitettyä tietoa ja raportointia. Tietoturvan hallinnan tarve toki vaihtelee organisaaton koosta ja IT-ympäristön kompleksisuudesta riippuen”, toteaa Nurminen.
Cyberdayn avulla yrityksen on helppo osoittaa asiakkaille ja viranomaisille, että asiat on tehty oikein. Myös auditoijat arvostavat sitä, kun asiat saa käytyä nopeasti läpi.
”Decens auttaa käyttöönotossa ja arjessa niin, että hallintajärjestelmän hyödyntäminen on soveltuvalla syvyystasolla. Kun asiat kuvattuna siellä missä niitä tarvitaan, hallintatyön kuormittavuus vähenee. Cyberdayn ei ole tarkoitus olla pelkkä kulu, vaan väline tietoturvan johtamiseen ja sisäisen työn tehostamiseen.”
Omistajuus ratkaisee – mutta kenellä se on?
Organisaatiota ei uhkaa ainoastaan ulkoiset tekijät, vaan myös epäselvä vastuunjako. Kysymys kuuluukin: kuka vastaa, kun kaikki luulevat jonkun muun olevan vastuussa? Tietoturva-asiat kuuluvat niin yrityksen johdolle, IT- ja tietoturvavastaaville, laatupäälliköille, riskivastaaville tai esimerkiksi HR-osastolle.
”Tietoturvan hallinnassa omistajuus on olennaista. Kyse ei ole ainoastaan digitaalisista järjestelmistä ja teknisistä toimenpiteistä, vaan myös esimerkiksi riskien hallinnasta, henkilöstöturvallisuudesta, yhteistyökumppaneista sekä toimitilaturvallisuudesta. Vastuiden jakaminen selkeyttää toimintaa ja tuo monesti esiin puutteita prosesseissa”, Nurminen kertoo.
Etenkin häiriötilanteissa selkeä tehtävälista ja vastuut ovat elintärkeitä liiketoiminnan jatkuvuuden varmistamiseksi. Soveltuvien tietoturvavaatimusten toteuttaminen hallintajärjestelmän kautta auttaa myös liittämään hallinnolliset vaatimukset käytännön tekemiseen, jolloin vastuuhenkilöt tietävät, miksi jotain tehdään ja mihin kokonaisuuteen tai vaatimukseen asia liittyy.
Hallintajärjestelmän tärkeimpiä hyötyjä ovat myös ristiinviittaukset ja linkitykset dokumentoituun tietoon.
”Jos johto tarvitsee tiedon yksittäisestä tietoturvapoikkeamasta, hallintajärjestelmään asianmukaisesti dokumentoidusta tietoturvahäiriöstä näkee suoraan esimerkiksi analyysin juurisyille ja vaikutuksille, häiriöön liittymän omaisuuden, kuten tieto, järjestelmät, kumppanit tai toimitilat, tehdyt toimenpiteet sekä uutena tai jo aiemmin tunnistetut riskit.
Decens auttaa hallintajärjestelmän käyttöönotossa ja kehittämisessä niin, ettei tietoturva jää irralliseksi. Decensin kattava tietoturvapalvelutarjonta vastaa moneen haasteeseen, ja tietoturvakonsultointi tukee tietoturvakäytäntöjen viemistä tosielämän arkeen.
”Tietoturvan hallintajärjestelmän avulla pyritään keskittymään olennaiseen ja löytämään organisaatiolle sopiva taso eri hallintakeinojen toteuttamiseen. Autamme tulkitsemaan eri vaatimuksia oman organisaatiosi tarpeiden näkökulmasta”, muistuttaa Nurminen.
