TIETOTURVAOPAS YRITYKSILLE 9 KESKEISET TURVALLISUUSPERIAATTEET Toinen periaate: Tee varautumisesta ajattelutapa Yrityksen tavoitteena tulee olla varautuminen tietojen menetykseen tai vaurioitumiseen. Yrityksiä säännellään lukuisilla laeilla ja määräyksillä, joista useissa vaaditaan asianmukaisten valvontatoimien toteuttamista. Lakien, määräysten ja normien noudattaminen voi parantaa tietoturvallisuutta, mutta se voi myös johtaa herpaantumiseen, kun vaaditut tavoitteet on kerran saavutettu. Turvallisuusuhat muuttuvat paljon nopeammin kuin lait ja sääntely, joten riskienhallinnan tavoitteetkin muuttuvat jatkuvasti. Niinpä yrityksen toimintatavat ja menettelyt voivat olla vanhentuneita tai käytännössä yksinkertaisesti tehottomia. Yrityksen varautumiskykyä tietoturvauhkiin ja -haavoittuvuuksiin on arvioitava aika ajoin, jotta riskienhallinnan tavoitteiden saavuttamista ja tietoturva toimien riittävyyttä voidaan mitata. Arviointi voidaan toteuttaa sisäisillä ja/tai riippumattomilla ulkoisilla arvioinneilla ja auditoinneilla, joihin sisältyy mm. murtotestaus (penetration test) ja tunkeutumisen havaitseminen. Vastuun tietoturvasta on ulotuttava myös ITosaston ulkopuolelle, ja päätöksistä vastaavien sidosryhmien tulee osallistua ongelmien tunnistamisen lisäksi myös pitkäjänteiseen toimivan kokonaisuuden toteuttamiseen. Yrityksen ajoittaisen arvioinnin todellinen arvo konkretisoituu silloin, kun prosessia hyödynnetään tietoturvariskien hallintaan liittyvän yrityskulttuurin ja henkilöstön ajattelutavan kehittämisessä. Tietojärjestelmien häiriönsietokykyyn perustuva ajattelutapa on erityisen tärkeä silloin, kun yrityksessä otetaan käyttöön uusia ratkaisuja ja laitteita. Tällöin on otettava huomioon asianmukaiset turvatoimet mahdollisimman varhaisessa käyttöönoton vaiheessa, mieluimmin jo yritystoiminnan vaatimuksia määriteltäessä. Tällainen ”sisäänrakennettu tietoturvallisuus” voi kannustaa yrityksen innovatiivisia työntekijöitä keskittymään tietoturvariskien hallintaan.
RkJQdWJsaXNoZXIy Mjk0MTY=