Tietoturvan viitekehykset

Miten ammattimainen tietoturva rakennetaan yritykselle 2025

Tässä kirjoituksessa kerromme lyhyesti tietohallinnon viitekehyksen (kuten ISO 27001 tai CSF 2.0) käytöstä ja niiden hyödyistä.

Pistemäisistä ratkaisuista kokonaisvaltaiseen tietoturvaan

Tietoturvan viitekehykset, kuten ISO 27001 ja CSF 2.0, tarjoavat selkeät ohjeet ja parhaat käytännöt tietoturvan kokonaisvaltaiseen hallintaan. Näiden viitekehysten avulla organisaatiot voivat rakentaa kattavan ja tehokkaan tietoturvakokonaisuuden, joka suojaa liiketoiminnan kriittisiä tietoja ja varmistaa toiminnan jatkuvuuden.

Perinteisesti tietoturvaa on rakennettu pistemäisesti. Lähtökohtana on ollut tunnistaa potentiaalisimpia uhkakuvia ja pyrkiä ehkäisemään niitä. Käytännössä tämä on tarkoittanut esimerkiksi päätelaitteiden antivirusohjelmistoja, varmuuskopiointia ym. ratkaisujen käyttöönottoa silloin kun tarve on tunnistettu.

Kun järjestelmien lukumäärä on kasvanut, pistemäisestä lähestymisestä on tullut hankalaa:

• Kuinka varmistetaan että olemme suojanneet jokaisen järjestelmän, jota työssä käytetään?
• Mistä tiedämme, mitä tietoja jokaisessa järjestelmässä on, kuka tietoihin pääsee käsiksi ja millainen vaikutus minkäkin järjestelmän kaatumisella on liiketoimintaamme?
• Kuinka havaitaan tilanne, jossa murtautuja ei tuhoa mitään, vaan esimerkiksi kopioi tietoja itselleen yksittäisestä järjestelmästä?

Ongelma koskettaa käytännössä jokaista organisaatiota.

Ratkaisuksi ongelmaan Yhdysvaltojen National institute of standards and technology on kehittänyt standardin mallin tietoturvan viitekehykseksi (Cyber security framework CSF). Sen ensimmäinen versio julkaistiin jo yli 10 vuotta sitten. Malli on yleistynyt globaalisti tunnistetuksi ja se on tunnistettu erittäin toimivaksi.

Ajatus on siis ollut luoda yhteinen viitekehys, jonka mukaisesti tietoturva voidaan hoitaa ammattimaisesti riippumatta organisaation koosta tai siitä mitä organisaatio itseasiassa tekee.

Kyse ei siis ole siitä että suojattaisiin pistemäisesti yksittäistä järjestelmää tai otettaisiin käyttöön jotakin uutta teknologiaa. Tietoturvan viitekehyksen käytössä on kysymys erittäin kokonaisvaltaisesta lähestymisestä:

• Onko hallituksella ja omistajilla kokonaisvaltainen käsitys tietoturvan tilanteesta?
• Mitä laitteita, järjestelmiä, avainkortteja, fyysisiä avaimia, pääsyjä, tietoja, papereita ym. työntekijöillä on käytettävissään?
• Kuinka henkilökuntaa on ohjeistettu toimimaan järjestelmien ja arkaluontoisten tietojen kanssa?
• Kuinka kriittisiä järjestelmiä suojataan ja ehkäistään vahinkoja?
• Pystytäänkö murtotilanne havaitsemaan, entä kuka vahvistaa havainnnon tai ilmoittaa omistajille taikka viranomaisille tilanteesta?
• Millainen suunnitelma on tilanteesta palautumiseen ja onko palautumista koskaan harjoiteltu?

Traficom suosittelee Suomalaisia organisaatioita suojaamaan tietojaan näiden viitekehysten mukaisesti. Traficomin suositusten noudattaminen ei ole pelkästään järkevää liiketoiminnan kannalta, vaan se auttaa myös täyttämään lakisääteiset vaatimukset ja parantamaan organisaation tietoturvan tasoa.

Tietoturvan viitekehys: Riskienhallinta ja liiketoiminnan jatkuvuus

Nykyajan liiketoiminta nojaa vahvasti erilaisiin järjestelmiin, ja tietoturvan perimmäinen tehtävä on varmistaa liiketoiminnan jatkuvuus. Hyvin suunniteltu ja toteutettu tietoturva vähentää riskejä ja varmistaa, että liiketoiminta voi jatkua häiriöittä myös poikkeustilanteissa.

Yksi tapa arvioida tietoturvallisuuden tilaa on ajatuskokeella:

• Jos emme tee mitään, kuinka pitkään kestää että meille on murtauduttu, tietoja on kopioitu ja meiltä varastettua tietoa käytetään esimerkiksi jonkin toisen organisaation huijauksessa?
• Arvioimme optimistisesti että pistemäinen suojautuminen kantaa kymmenisen vuotta, eli vuoteen 2035 saakka.
• Tietomurroista palautuminen kestää muutamista päivistä, viikkoihin, joskus jopa vuosien oikeusprosesseihin, riippuen organisaation valmiudesta.
• Mikäli teillä tuotanto pysähtyisi vaikka keskimääräiseksi 2-3 viikoksi ja esimiehistön seuraavat 2-3 viikkoa käytettäisiin tästä hetkestä eteenpäin yksin tietomurrosta palautumiseen (murto ei kysy sopivaa aikaa). Millainen olisi murron kustannus?
• Jotta voimme arvioida kannattavuutta, täytyy vielä tietää millaiset kustannukset syntyvät viitekehyksen käyttämiseen siirtymisestä? Otamme tämän esiin seuraavana.

Tietoturvan viitekehys ja tietohallinnon tehokkuus

Tietohallinnon tehtävänä on myös mahdollistaa tehokas liiketoiminta ja hyödyntää teknologiaa parhaalla mahdollisella tavalla varsinaisen liiketoiminnan tekemiseen. Viitekehysten käyttäminen saattaa aluksi vaikuttaa kustannuksia lisäävältä toimelta, kokemuksemme mukaan viitekehyksen noudattaminen kuitenkin tehostaa tietohallinnon toimintaa merkittävästi. Kun ad-hoc tekeminen vähenee ja toiminta on suunniteltua, kokonaiskustannukset usein itse asiassa pienentyvät.

Säädösten ja lakien mukainen toiminta ja sen osoittaminen

Yritykset haluavat noudattaa lakeja ja asetuksia, ja yhä useammin ne joutuvat osoittamaan tämän myös sopimuksissaan. Kansainvälisesti tunnetun standardin viitekehyksen noudattaminen on suoraviivainen tapa kertoa, kuinka tietosuoja, tietoturva ja tietohallinto on hoidettu yrityksessänne.

Usein myös ne kaikista tärkeimmät asiakkaat ja sidosryhmät vaativat sopimuksilleen tietoa, kuinka tietosuoja toteutuu heidän suuntaansa. Viitekehyksen noudattaminen lisää luottamusta ja antaa hyvän kuvan siitä kuinka asiat hoidetaan. Euromääräistä arviota tämän vaikutuksesta on hankala sanoa, negatiivinen asia tämä ei kuitenkaan ole.

Myös lainsäädännön kehitys näyttää menevän yhä enemmän siihen suuntaan, että viitekehyksen noudattaminen on tulevaisuudessa jopa pakollista. Kansainvälisten viitekehysten avulla organisaatiot voivat osoittaa vaatimustenmukaisuutensa ja varmistaa, että ne täyttävät sekä nykyiset että tulevat lakisääteiset vaatimukset.

Sertifiointien hankkiminen ja auditoinnit voivat toki olla työläitä ja kalliita hankkeita. Esimerkiksi ISO 27001 -viitekehyksen noudattaminen ei sinällään kuitenkaan vaadi ulkopuolista sertifiointia. Halutessaan yritys voi siis noudattaa ISO 27001 -vaatimuksia ja hankkia virallisen auditoinnin vasta kun syntyy varsinainen tarve osoittaa valmius virallisen sertifioinnin kautta.

Vetoavuksi it-ulkoistus tai kevyempi ulkopuolinen apu?

Mikäli haluat hoitaa tietohallintonne ammattimaisesti, viitekehyksen käyttäminen on siis erinomainen idea! Me Jalo IT:llä olemme erikoistuneet palvelemaan PK-sektorin organisaatioita ja kerromme mielellämme lisää siitä mistä voisimme kanssanne aloittaa. Yksi mahdollisuus on käyttää viitekehystä raamina, jonka mukaan kaikki mahdollinen ulkoistetaan Jalo IT:n ammattilaisten tehtäväksi.

Kiinnostuitko?

Lähetä meille viesti, otamme sinuun yhteyttä viimeistään seuraavana päivänä.

Yhteydenotto

Yhteydenotto

Nimi *

Yritys

Puhelin

Sähköposti

Viesti

ehdot *

Hyväksyn ehdot

Ehdot

Kunnioitamme tietojesi luottamuksellisuutta. Lomakkeen tietojen lähetys on suojattu ja annettuihin tietoihin on pääsy vain Jalo IT:n valtuuttamilla henkilöillä. Tietoja käsitteleviä henkilöitä sitoo salassapito- ja vaitiolovelvollisuus.

Tarkemman kuvauksen tietojen käsittelystä löydät sivumme äärimmäisestä alalaidasta (Tietosuojaseloste).

Captcha

If you are human, leave this field blank.

Lähetä

Kirjoittaja: