10 TIETOTURVAOPAS YRITYKSILLE KESKEISET TURVALLISUUSPERIAATTEET B. ORGANISAATIO JA PROSESSIT Kolmas periaate: Ole valmis vastatoimiin Kaikkein suojautuneinkin yritys joutuu ennen pitkää tietoturvaloukkauksen kohteeksi. Elämme ympäristössä, jossa kyse on siitä, milloineikä jos näin sattuu. Niinpäyritysjohtoaarvioidaankin sen mukaan, miten yritys vastaa tietoturvaloukkaukseen. Minimoidakseen tietoturvahäiriöiden vaikutukset toimintaansa yritysten on kehitettävä teknisten vastatoimien lisäksi myös organisaation varautumissuunnitelma. Suunnitelmassa tulee määrittää tunnusmerkit, jotka osoittavat yritysjohdolle, milloin turvallisuushäiriön hillitseminen ja korjaaminen edellyttää ulkopuolisia asiantuntijoita ja milloin on syytä ottaa yhteyttä muihin ulkopuolisiin tahoihin, kuten lainvalvontaviranomaisiin tai valtion valvontaelimiin. On syytä muistaa, että asianmukaisille viranomaisille ilmoittaminen parantaa osaltaan yleistä turvallisuustilannetta ja voi joissain tapauksissa olla määräysten mukaan pakollista. Toimiva tietoturvatapahtumien hallintasuunnitelma sisältää myös sisäisen ja ulkoisen viestintäsuunnitelman, joka voi vaikuttaa siihen, päätyykö tapaus noloksi otsikoksi sanomalehden etusivulle vai onnistuneeksi esimerkkitapaukseksi yliopiston opintoohjelmaan. Vaikka sisäinen riskienhallinta on keskeistä, samalla on myös muistettava varata aikaa yhteyksien luomiseen omalla toimialalla toimiviin vertaisryhmiin ja kumppaneihin sekä laajemminkin yritysmaailmaan ja lainvalvontaviranomaisiin. Laaja verkosto auttaa pysymään ajan tasalla nykyisistä ja uusista uhista sekä samalla voidaan myös rakentaa suhteita, joihin tukeutua häiriön aikana. Neljäs periaate: Osoita johdon sitoutuneisuus Tietoturvallisuuden toimiva ja tehokas hallinta edellyttää sitä, että yritysjohto ymmärtää ja tukee riskienhallintaa organisaation keskeisenä menestystekijänä. Yritysjohdonpitää osallistua näkyvästi yrityksen tietoriskien hallintaan ja valvontaan. Johdon on varmistettava, että yrityksen omaisuuden suojaamiseen on kohdistettu riittävästi niin inhimillisiä kuin taloudellisiakin resursseja. Resurssit eivät kuitenkaan yksinään riitä, vaan sekä suurten että pienten yritysten tulee valtuuttaa tietoturvaorganisaationsa vastaamaan tietoturvauhkiin ja -haavoittuvuuksiin kaikkialla organisaatiossa.
RkJQdWJsaXNoZXIy Mjk0MTY=