Tietoturva-Talk

Kaksi Elmon tietoturva-asiantuntijaa istui alas keskustelemaan siitä, miksi hallinnollinen tietoturva on yksi yrityksen tärkeimmistä vakuutuksista. Keskustelemassa tietoturvakonsultti Janne Rinne ja asiakaskokemusarkkitehti Mikko Saarenpää.

Janne: Hallinnollisen tietoturvan tärkein eurooppalainen standardi on ISO27001, jossa on 14 turvallisuuden hallintaa koskevaa pääkohtaa, 35 pääturvallisuusluokkaa ja 114 hallintakeinoa. Elmon tietoturvan hallintajärjestelmälle myönnettiin ISO/ IEC 27001-sertifikaatti viime vuonna mikä antaa meille valmiudet auttaa muita yrityksiä prosessissa. ISO27001:n mukainen hallintajärjestelmä on kuin ameeba, jossa on monta kulmaa, joista ottaa kiinni. Tässä pystymme auttamaan asiakkaitamme alkuun omasta kokemuksestamme käsin.

Mikko: Serfitikaatti itsessään ei tarjoa käytänteitä, vaan ne määritetään kussakin yrityksessä. Ylipäänsä jos mietitään tietoturvan hallintaa ja oikeaa tasoa, ei yrityksen koko ole niinkään määräävä, vaan toimiala ja tekemisen tyyppi. Jos yrityksessä on esimerkiksi paljon kehitystyötä, on tietoturva erityisen kriittinen.

Janne: Niin, oikea tietoturvan taso määritetään riskien hallinnan kautta. Sertifioinnit ovat isoja investointeja, mutta standardin viitekehyksestä tarjoutuu näkökulmia, joita voidaan lähteä tarkastelemaan. ISO27001-viitekehys on käytettävissä organisaation koosta riippumatta, eikä kannata tehdä myöskään liian isosti tai tarpeettomasti. Ratkaisut ovat aina tapauskohtaisia.

Mikko: Kyllä. Aina voidaan ottaa kantaa vain osakokonaisuuksiin, kunhan tiedostetaan riskienhallinnan ulkopuolelle jäävät mustat pisteet. 

Mikko: Keskeinen ongelma kentällä on se, ettei yrityksissä tunnisteta, mitä suojattavaa omaisuutta yrityksellä on. Tieto, prosessit, brändit – kaikki tämä on suojattavaa omaisuutta. Usein vasta ongelmien kautta asiaan herätään.

Janne: Niin, merkittävä osa yritysten omaisuudesta on tänä päivänä bittejä.

Mikko: Eräällä tietoturvafoorumilla oli juuri mielenkiintoinen keskustelu siitä, miksei tietoturva tunnu kiinnostavan organisaatioiden päättäjiä? Tällä hetkellä kiinteää omaisuutta ja rahaa seurataan, mutta immateriaalia omaisuutta kuten dataa ja tietoa ei. Ainakaan riittävästi. Jos tätä pääomaa alettaisiin hallinnoida kirjanpitolainsäädösten tyylillä, saattaisi oman datan arvostus ja arvo nousta huomattavasti.

Janne: Asiat on aina helpompi mieltää rahassa. Jos 100 000 euron varasto palaisi suunnilleen noin 10 vuoden välein, on helppo laskea, että sen suojaamiseen kannattaa laittaa maksimissaan 10000 euroa vuosittain. Hallinnollinen tietoturva on vähän kuin yrityksen datan vakuutus, jonka arvoa ei aina pystytä rahassa tarkasti määrittelemään. 

Janne: Totta kai sen lisäksi, että tietoturva on rakennettu oikealle tasolle, pitää varmistaa, että se myös oikeasti toimii. Uhkakuvat kun lisääntyvät koko ajan.

Mikko: Niin, perinteisesti tietoturva on mielletty tekniseksi ratkaisuksi, mutta se ei ole koko totuus. Digitalisaatio lisää myös yritysten haavoittuvuutta ja usein asiakkaiden tietoturvaa tutkittaessa havahdutaan siihen, että “onko meillä tosiaan tilanne noin heikko?”. Saatetaan tuudittautua siihen, että juurihan meillä uusittiin palomuurit.

Janne: Uskon, että GDPR-asetus lisäsi osaltaan yritysten valmiuksia tarkastella ja hahmottaa tietoturva-asioitaan, mutta tietosuoja on vain yksi osa-alue muiden joukossa.

Mikko: Suuri vastuu on lopulta loppukäyttäjällä. “Social engineering” on tänä päivänä kehittyvä ja kasvava tietoturvariski. Siis tällaiset muka Microsoftilta tulevat puhelut tai postin nimissä lähetyt viestit, joilla kalastellaan tietoja. Jos yksi antaa tiedot, on koko yritys vaarassa.

Janne: Näitä kampanjoita on ollut tänäkin syksynä paljon. Kehittymisestä kertoo se, että soittoja tulee nyt jopa selvällä Suomen kielellä. Palvelunestohyökkäykset ovat enempi isompien yritysten ongelma ja niistä kertova reaaliaikainen graafi näyttää lähinnä Tähtien sodalta: joka puolella viuhuu hyökkäyksiä. 

Mikko: Olen työssäni huomannut, että johtoportaan käsitys yrityksen tietoturvan kokonaiskuvasta voi olla täysin eri kuin lattiatason. Mehän emme voi mennä yritykseen sanomaan, että toimikaa aina näin, mutta toki voimme antaa best practise -tyyppisiä käytäntöjä ja pidämme tämän tyyppisiä koulutuksia yrityksille.

Janne: Asiakastarpeen mukaan pitää mennä kaikessa, mutta toki ihmisten toiminta on oleellinen osa tietoturvaa. Tietoturvavaatimukset saadaan määritettyä yleensä kolmesta lähteestä: riskienhallinnan kautta, kunkin yrityksen toimialaa ohjaavista laeista ja sopimuksista sekä kunkin yrityksen omista toimintaperiaatteista ja ohjeista.

Mikko: Yksittäinen koulutus ei välttämättä ratkaise kaikkea, mutta yksi toimiva ratkaisu yritykselle on ottaa ulkoistettu tietoturva-asiantuntija vastaamaan kokonaisuudesta. Ainakin jos omat resurssit eivät riitä takaamaan tietoturvakäytänteiden hallintaa. Ulkoistettu asiantuntijapalvelu kuuluu meillä Elmolla hallinnollisen tietoturvan palveluihin.

Lisätietoja:

Mikko Saarenpää,
asiakaskokemusarkkitehti
+358 (0)40 341 3669
mikko.saarenpaa@elmo.fi

Tutustu palveluihin:

Hallinnollinen tietoturva

Tekninen tietoturva