Tietoturva

Tietoturvapolitiikka suomalaisyrityksissä

Julkaistu:

Tutkimuksen mukaan kasvava määrä suomalaisia yrityksiä ja organisaatiota laatii yrityksen tietoturvan ylimmäksi ohjeeksi tietoturva politiikan. Tietoturvapolitiikan sisältö ja merkitys tuntuvat kuitenkin jäävän usein epäselväksi. Ongelmia on myös politiikan jalkauttamisessa.
International Standardisation Organisation o­n määritellyt tieturvapolitiikan standardissaan ISO 17799.   -Tietoturvapolitiikka osoittaa yrityksen työntekijöille yritysjohdon asettamat tietoturvatavoitteet ja painottaa tietoturvan tärkeyttä yrityksen toiminnassa. Yritysjohto sitoutuu myös itse noudattamaan samoja periaatteita, kerrotaan standardissa.Standardissa politiikka jaetaan eri osa-alueisiin kuten tietoturvan organisoimiseen, suojattavien kohteiden luokitukseen, henkilöstön turvallisuuteen, fyysiseen turvallisuuteen sekä tietoliikenteen ja käyttötoimintojen hallintaan ja pääsyoikeuksien valvontaan.TurvaohjeitaTietoturvapolitiikka tulee myös jakaa erillisiin tietoturvaohjeisiin, jotka ottavat kantaa tarkemmin rajattuihin tietoturvan alueisiin kuten sähköpostin ja internetin käyttöön, toimitilaturvallisuuteen tai etätyöskentelyyn. Tietoturvaohjeet tarkentavat tietoturvapolitiikkaa ja antavat käyttäjilleen konkreettisia ohjeita ja sääntöjä, joita noudattamalla henkilöstö toteuttaa tietoturvapolitiikkaa. Lisäksi tietoturvapolitiikkaan kuuluu erillisiä elpymis- ja jatkuvuussuunnitelmia eli konkreettisia toimintaohjeita mahdollisimman nopeaan toipumiseen poikkeus- ja vahinkotilanteista.Tietoturvapolitiikan olennaisia osia ovat myös koulutus ja muut menetelmät, joilla politiikan jalkauttaminen henkilöstötasolle saadaan mahdolliseksi.Yleistyvä tietoturvapolitiikkaMarket Vision Stonesoftille viime vuonna tekemän tutkimuksen mukaan vain hieman yli puolille suomalaisista yrityksistä oli laadittu erillinen tietoturva politiikka. Useimmissa yrityksissä politiikka oli laadittu viimeisen kahden vuoden aikana.Yleisimmin tietoturvapolitiikka oli laadittu suurille, liikevaihdoltaan yli 84 miljoonaan euron yrityksille. Tutkimuksen mukaan liikevaihdoltaan 8-17 miljoonan euron ryhmään kuuluvat muodostavat tietoturvapolitiikan suhteen väliinpuotoajaryhmän; näistä yrityksistä alle 40 prosenttilla oli tietoturvapolitiikka laadittuna. Pienemmillä yrityksillä, joiden liikevaihto jää alle kahdeksan miljoonan euron, tietoturvapolitiikka löytyi 67 prosentilta yrityksistä.Toimialoittain jaettuna parhaiten tietoturvan ohjeistamisessa pärjää julkinen sektori, jossa noin 57 prosenttia organisaatioista   oli laatinut tietoturva politiikan. Häntää pitävän teollisuuden puolella vastaava luku o­n 48 prosenttia Stonesoft Finland Oy:n konsulttiyksikön johtaja Markku Sani arvioi, että tutkimuksen jälkeen tietoturvapolitiikan laatiminen  o­n edelleen yleistynyt melko nopeasti suomalaisyrityksissä.-Nyt tietoturvapolitiikka o­n laadittu arvioiden mukaan jo yli 70% organisaatioista. Julkinen sektori o­n toimialoista edelleen muita edellä, Sani kertoo.Kehittämisen varaaJulkisen sektorin edustajat suhtautuivat tutkimuksen mukaan myös muita kriittisimmin politiikkaansa. 88 prosenttia oli sitä mieltä, että tietoturvapolitiikkaa  o­n syytä kehittää.Yleisesti yrityksistä valtaosa eli 77 prosenttia näki kehittämistarvetta tietoturvapolitiikassaan. Vain viidennes haastatelluista koki silloisen politiikkansa riittävänä.- Kehittämistarpeet ovat toki voimakkaita, koska ympäristö muuttuu nopeasti, uusia tarpeita huomataan ja uusia uhkia syntyy, Markku Sani toteaa. Hän näkee tietoturvapolitiikan yrityksen päivittäisessä toiminnassa mukana olevana osa-alueena, jota ei voikaan ajatella hoidettavan ?kerralla kuntoon?. Sanin mukaan lisäksi kehittämistarpeita o­n erityisesti tietoturvapolitiikan ja tietoturva-ajattelun integroinnissa koko toimintaan.Politiikan jalkautus- O­n hienoa että tietoturvapolitiikkojen laatiminen o­n lisääntynyt nopeasti. Meillä o­n ollut nähtävissä, että samalla organisaatioissa o­n myös herätty pohtimaan tietoturvaa laajempana kokonaisuutena: miten tämä linkittyy liiketoimintaamme ja strategiaamme, miten voimme määritellä toiminnallemme riittävän tietoturvatason ja toisaalta hyväksyttävän riskitason, Sani kertooSanin mukaan tietoturvapolitiikkaa ei tulisi koskaan käsitellä irrallisena asiana, koska sen tulee kummuta liiketoiminnan tarpeista.Toisaalta tietoturvapolitiikkojen yleistyminen o­n nostanut esiin myös toisen suuren haasteen: tietoturvapolitiikan jalkauttamisen eli kuinka politiikka ja ohjeistus saadaan aidosti osaksi toimintaa.Tietoturvapolitiikan toteutumisen seuraaminen auditoinnilla o­n Sanin mukaan tärkeä osa koko prosessia. Viime kädessä toteutus o­n kuitenkin kiinni henkilöstöstä.-Tietoturvapolitiikan jalkautuksen o­nnistumiseksi henkilöstölle o­n pystyttävä konkretisoimaan mitä tietoturva tai toisaalta tietoturvattomuus merkitsevät omalle työlle: politiikan noudattamiselle tulee löytää henkilökohtainen motiivi, Sani selittää- Toisaalta myös johdon esimerkki ja sitoutuminen ovat avainasioita, joita ilman ei voi o­nnistua, Sani lisää. 

Kommentit

    Näytä lisää