8 TIETOTURVAOPAS YRITYKSILLE KESKEISET TURVALLISUUSPERIAATTEET Vaikka yritysten tietoturvaratkaisut voivat vaihdella useista tekijöistä6 johtuen, järkevät tietoturvakäytännöt perustuvat muutamiin yleisluonteisiin periaatteisiin, jotka soveltuvat kaikille yrityksille koosta tai toimialasta riippumatta. Tässä oppaassa esitellään viisi keskeistä periaatetta, jotka jakautuvat kahteen luokkaan: A. visio ja ajattelutapa B. organisaatio ja prosessit. Näitä viittä periaatetta täydentää kuusi keskeistä tietoturvatoimea ja viisi lähtökohtaa näiden periaatteiden soveltamiseksi yrityksen tietoturvapolitiikan tukena. Yhdessä tässä esitetyt periaatteet ja toimet parantavat yrityksen varautumistasoa tietoturvauhkiin liittyen ja rajoittavat tietoturvaloukkauksiin liittyviä häiriöitä. A. VISIO JA AJATTELUTAPA Ensimmäinen periaate: Keskity tietoon, älä tekniikkaan Yritysjohto toimii organisaatioon kohdistuvien tietoturvauhkien torjunnan etulinjassa ja vaikuttaa osaltaan siihen, miten organisaatiossa suhtaudutaan tietoturva-asioihin. Tietoturvallisuutta tuleekin ajatella sen laajimmassa merkityksessä eikä vain tietotekniikan näkökulmasta. Tietoturvallisuudessa on kyse koko yritystä koskevasta ihmisten, prosessien ja tekniikan muodostamasta kokonaisuudesta, eikä se siis ole vain IT- eli tietotekniikkakysymys. Tietoturvatoimien toteutus ei saisi jäädä pelkästään IT-osaston vastuulle, vaan sen tulisi heijastua koko yrityksen toimintaan. Tietoturvallisuuden ulottuvuus ja visio koskee siis ihmisiä, tuotteita, tuotantolaitoksia, prosesseja, toimintapolitiikkoja, menettelytapoja, järjestelmiä, teknisiä ratkaisuja, laitteita, verkostoja ja tietoja. Ihmiset ovat avainasemassa. Tieto-omaisuuteen kohdistuvien uhkien ja haavoittuvuuksien tunnistaminen ja hallinta voi olla valtava urakka. Kokemus kuitenkin osoittaa7, että 35 prosenttia turvallisuushäiriöistä johtuu inhimillisestä virheestä eikä tahallisesta hyökkäyksestä. Lopuista turvallisuushäiriöistä yli puolet johtuu tahallisesta hyökkäyksestä, joka olisi voitu välttää, jos tietoa olisi käsitelty turvallisemmin. Tietoturvatoimet tulee kohdistaa arvokkaimpien tietojen ja järjestelmien suojaamiseen, joiden luottamuksellisuuden, eheyden tai käytettävyyden vaarantuminen aiheuttaisi yritykselle vakavaa haittaa. Tämä ei tarkoita sitä, että muun tieto-omaisuuden turvallisuuteen ei tarvitsisi kiinnittää huomiota. Kyse on siitä, että organisaation ”kruununjalokiviin” keskittyvä riskiperusteinen tapa käsitellä tietoturvallisuutta on tehokas ja toimiva käytäntö. Samalla tunnustetaan, että riskien sataprosenttinen poistaminen ei ole kustannuksiin nähden sen enempää mahdollista kuin tarpeellistakaan. 6 Näihin lukeutuvat monien muiden muassa liiketoiminnan luonne, riskitaso, ympäristötekijät, verkottuneisuus, sääntelyvaatimukset sekä yrityksen koko. 7 EY – 2012 Global Information Security Survey – Fighting to close the gap
RkJQdWJsaXNoZXIy Mjk0MTY=