Asiantuntijat: "Tietoa tulisi hallinnoida kuin kirjanpitoa"
”Tietoa tulisi hallinnoida kuin kirjanpitoa.”
Yrityksen johdon käsitys tietoturvan tasosta poikkeaa merkittävästi tekijätason käsitykestä.
Yritysten tietoturvaa on perinteisesti tarkasteltu teknisen tietoturvan eli laitteiden ja järjestelmien kautta. Tietoturvariskien lisääntyessä huomio on kiinnittynyt yhä enemmän hallinnolliseen tietoturvaan, toisin sanoen tietoturvan johtamiseen, prosesseihin ja käytänteisiin.
Etätöihin siirtyminen on lisännyt tietoturvariskejä ja usein johdon käsitys yrityksensä tietoturvatasosta saattaa olla puutteellinen. Mitä yrityksissä tulisi nyt tehdä? Aiheesta keskustelemassa Elmon tietoturvakonsultti Janne Rinne ja tietoturva-asiantuntija Mikko Saarenpää.
Tietoturva on kuin ameeba, jossa on monta kulmaa, joista ottaa kiinni. Siksi aihe on monelle yritykselle haastava. Tietoturvasertifioinnit ovat kattavin tapa järjestää tietoturva kuntoon, mutta niissäkin oikea taso löytyy riskienhallinnan kautta, tietoturvakonsultti Janne Rinne linjaa.
Vaikka yrityskoko olisi pieni, ei se tarkoita, etteikö yrityksellä olisi tietoturvariskejä hallittavaksi.
Oikea tietoturvataso ei määrity yrityksen koon, vaan toimialan ja tekemisen luonteen kautta. Yrityksessä, jossa on esimerkiksi paljon kehitystyötä, on tietoturva erityisen kriittinen, Mikko Saarenpää painottaa.
Tietopääomaa tulisi hallinnoida kuin kirjanpitoa
Saarenpään mukaan keskeinen ongelma on, ettei yrityksissä tunnisteta, mitä suojattavaa omaisuutta talossa on. Tieto, prosessit, brändit – kaikki on suojattavaa omaisuutta. Usein vasta ongelmien kautta herätään asiaan.Tietoturvafoorumeilla keskustellaan tämän tästä, miksei tietoturva tunnu kiinnostavan organisaatioiden päättäjiä? Kiinteää omaisuutta ja rahaa seurataan, mutta immateriaalia omaisuutta kuten dataa ja tietoa ei. Ainakaan riittävästi, Saarenpää näkee.
Jos tätä pääomaa alettaisiin hallinnoida kirjanpitolainsäädösten tyylillä, saattaisi oman datan arvostus nousta huomattavasti.
Tietoturvakonsultoinnit osoittavat usein, kuinka erilainen ja puutteellinenkin käsitys yrityksen sisällä tietoturvasta vallitsee.
Usein viitataan järjestelmiin ja saatetaan sanoa, että juurihan me uusimme palomuurit. Jos sen sijaan kysytään työntekijöiltä, voi olla, ettei heillä ole hajuakaan yrityksensä tietoturvakäytänteistä. Samalla kyberhyökkäyksiä viuhuu kuin Tähtien sodassa, Rinne toteaa.
Rakenna, hallinnoi, jalkauta ja kouluta
Etätöihin siirtyminen on lisännyt loppukäyttäjän vastuuta ja niin kutsuttu “social engineering” eli käyttäjätietojen kalastelu on yhä yleisempää. Tähän tähtääviä puheluita tulee jo selvällä suomen kielellä.
Näissä on aina se riski, että jos yksi antaa tiedot, on koko yritys vaarassa, Saarenpää huomauttaa.
Yrityksissä tulisikin varmistaa koko polku jatkuvan kehittämisen periaatteen mukaisesti: rakenna, hallinnoi, jalkauta ja kouluta. Rakentaminen tapahtuu riskien hallinnan kautta ja hallinnointi selkeillä prosesseilla. Hallinnollinen tietoturva voidaan järjestää omaksi asiantuntijaroolikseen yrityksen sisällä tai ottaa se ulkoistettuna tietoturvapalveluna. Jalkautuksella ja koulutuksella varmistetaan, että kaikilla on yhtäläinen ymmärrys tietoturvakäytänteistä.
Mekin Elmolla koulutamme ja konsultoimme, mutta kukin yritys määrittää lopulta itse käytänteensä. Emme voi mennä sanomaan, että toimikaa aina näin, mutta voimme antaa best practise -ohjeistuksia. Tällaiset koulutukset ovatkin nyt kysyttyjä, Rinne toteaa.
Kiinnostuitko?