Ads 468x60px

perjantai 22. elokuuta 2014

Hyvän tietoturvakulttuurin luominen ja ylläpito

Alkuvuodesta julkaistun KPMG:n tutkimuksen ”Tuntematon uhka” [1] tulokset tulivat yllätyksenä suurimmalle osalle meistä. Tutkimuksessa selvisi, että jopa noin puoleen tutkimukseen osallistuneista yrityksistä oli murtauduttu yrityksen tietämättä. Suomalaisissa yrityksissä panostetaan eittämättä tietoturvaan, mutta tutkimuksen tulosten valossa parannettavaa olisi vielä rutkasti.

Perinteinen tapa huolehtia organisaation tietoturvasta on istuttaa palomuuripurkki verkon laidalle, pitää antivirusohjelmisto ajan tasalla ja jatkaa ns. ”oikeita töitä”. Tässä piileekin ongelma, jonka monet organisaatiot jättävät vähälle huomiolle: tekniset toimet eivät yksinkertaisesti riitä. Teknisten keinojen lisäksi tarvitaan myös hallinnolliseen tietoturvaan panostamista.

Tietoturvakulttuurista puhutaan harvoin, vaikka sen rooli tietoturvallisen organisaation kehittämisessä on erittäin tärkeä. Tietoturvakulttuuri saattaa kuulostaa abstraktilta, mutta periaatteessa sillä tarkoitetaan tapaa, jolla organisaatiossa suhtaudutaan tietoturvaan. On tärkeää muistaa, että kaikilla organisaatioilla on tietoturvakulttuuri - harmittavan usein se vain ei ole riittävän hyvällä tasolla. Tietoturvakulttuuri ei ole prosessi, jonka voi vain luoda, piilottaa organisaation intranetiin ja unohtaa. Käytännössä tietoturvakulttuuri perustuu sekä tietoturvapolitiikkaan, että käyttäjien ohjeistukseen ja koulutukseen.

Ensimmäinen askel hyvän tietoturvakulttuurin luomisessa on organisaation tarpeiden selvitys. Jokainen organisaatio on yksilöllinen, ja siten myös niiden tarpeet vaihtelevat suuresti. Johdon tuki muutoksille, ja varsinkin heidän esittämä esimerkki, on erittäin tärkeää. Koska tietoturvaa on vaikea mitata, organisaation johto ei aina näe tietoturvallisuuden hyötyjä. Mitattavaa löytyy yleensä vasta, kun on jo liian myöhäistä: tietomurron aiheuttama taloudellinen menetys, joko suoraan rahallisesti tai välillisesti esim. maineen menetyksenä. Ellei johdon tukea tietoturvakulttuurin kehityksessä ole, ei muutoksesta luultavasti tule mitään.

Tarpeiden ja tavoitteiden pohjalta luodaan tietoturvapolitiikka, -menettelyt ja -asetukset. Näiden perusteella luodaan tekniset ohjeet sekä peruskäyttäjille suunnatut käytännönläheiset ohjeet, jotka neuvovat organisaation työntekijöitä tietoturvalliseen käyttäytymiseen.

Tietoturvakoulutuksessa käyttäjät tulisi saada ymmärtämään tietoturvallisen käyttäytymisen hyödyt, sillä heille aiheutuu harvoin tuntuvaa haittaa tietoturvaloukkauksista, varsinkaan työpaikalla. Tietoturvakoulutuksen tulee tapahtua säännöllisesti, vähintään vuosittain, sekä hyvin käytännönläheisesti: workshopit ja avoin keskustelu tukee sekä ymmärtämistä että oppimista paremmin kuin hikinen PowerPoint-maraton.  Tietoisuutta tulee myös ylläpitää säännöllisillä tiedotuskampanjoilla ja tietoiskuilla. Tärkeää on tehdä tietoturvasta osa arkipäivää, ei vuosittain kärsittävä koulutusrupeama.

On myös muistettava, että tietoturvakulttuuria on ylläpidettävä: organisaation ja toimintaympäristön muuttuessa myös riskit muuttuvat. Koulutukset ja ohjeistukset on pidettävä ajan tasalla, ja tietoturvatietoisuutta olisi hyvä mitata. ISO27001-standardista löytyvät PDCA-malli soveltuu mainiosti ylläpidon tueksi.

Yhdistämällä hyvä tietoturvakulttuuri ja kunnon tekniset tietoturvaratkaisut voidaan turvata organisaation kasvu ja kehitys paljon aiempaa paremmin.

Linkit:
[1]: http://www.hackingthroughcomplexity.fi/2014/01/tuntematon-uhka-suomessa-tulokset.html


Ei kommentteja:

Lähetä kommentti