KESKEISET TURVALLISUUSPERIAATTEET TIETOTURVAOPAS YRITYKSILLE 11 Yrityksen tietoturvatoimien vaikuttavuudesta ja riittävyydestä tulee raportoida asianmukaisesti yrityksen ylimmälle johtajalle ja vähintään kerran vuodessa johtoryhmälle, tilintarkastajille ja hallitukselle. Näiden erilaisiin turvallisuusindikaattoreihin ja -mittareihin perustuvien raporttien tulisi osaltaan vaikuttaa tietoturvakäytäntöjä ja -investointeja koskeviin päätöksiin sekä antaa käsitys siitä, kuinka hyvin yritys on suojannut omaisuutensa. Vaikka henkilöstöä kutsutaan usein tietoturvan heikoimmaksi lenkiksi, työntekijöistä voi saada tietoturvallisuuden parhaan takeen kartuttamalla heidän tietojaan ja taitojaan tietoturva-asioissa. Viides periaate: Toteuta visiosi Pelkästään tämän oppaan lukeminen ei riitä – johdon on vietävä yrityksen tietoturvariskienhallinnan visio käytäntöön luomalla (tai muokkaamalla) erilaisia toimintatapoja tietoturvan varmistamiseksi. Yrityksen tietoturvaa koskevat käytännöt määrittävät peruslähtötason, jonka pohjalta yrityksen turvatoimia ohjataan kaikissa yksiköissä ja henkilöstöryhmissä. Lisäksi ne kasvattavat tietoturvatietoisuutta koko organisaatiossa. Tietoturvallisuuteen liittyvät toimintatavat ja niitä tukevat suositukset ja standardit kootaan yleensä tietoturvapolitiikaksi, jonka pohjalta määritetään operatiiviset toimintatavat. Kun ulkopuolisia palveluntarjoajia otetaan ja integroidaan entistä enemmän mukaan yritysten arvoketjuihin, organisaatioiden on ymmärrettävä omien tietojensa kulku erilaisten ulkoisten tahojen keskuudessa ja niihin liittyvät riippuvuussuhteet. Jos ulkopuolinen osapuoli ei suojaa riittävästi yrityksen tietoja (tai omia tietojärjestelmiään, joiden varassa yritys toimii), heihin kohdistuvasta turvallisuushäiriöstä voi muodostua vakava rasiteoman yrityksen toiminnalle, maineelle ja brändin arvolle. Toimittajia kannattaa kehottaa ottamaan käyttöönsä vähintäänkin yrityksen omat tietoturvaperiaatteet, ja tarvittaessa on syytä suorittaa auditointeja tai pyytää palveluntarjoajilta selvitys niiden omista tietoturvakäytännöistä toimintatapojen varmistamiseksi. Ulkopuoliset tahot eivät ole ainoastaan riskitekijöitä, vaan jotkin niistä voivat myös osaltaan vähentää riskejä ja auttaa yritystä saavuttamaan tärkeitä tietoturvariskienhallinnan tavoitteita. IT-palveluntarjoajat voivat auttaa parantamaan yrityksen tietoturvariskienhallinnan infrastruktuuria esimerkiksi tarjoamalla turvallisuusarviointeja ja -auditointeja sekä tietoturvalaitteita, -ratkaisuja tai -palveluita, hallinnoidaan niitä sitten talon sisällä tai ulkopuolelta tai pilvestä8 käsin. 8 Pilvipalvelut ovat ratkaisuja, joissa yritys käyttää ulkopuolisen palveluntarjoajan palveluja tiedon tallentamiseen, käsittelyyn tai hallintaan internetin kaltaisessa verkossa ja jotka ovat erittäin joustavia ja mahdollistavat reaaliaikaisen seurannan.
RkJQdWJsaXNoZXIy Mjk0MTY=