16 TIETOTURVAOPAS YRITYKSILLE Yritysjohdon tehtäviin kuuluu usein tämän oppaan kaltaisten asiakirjojen sisältämien periaatteiden siirtäminen toimintatapoihin ja käytäntöihin organisaationsa kannalta järkevässä muodossa. Tämän osion tarkoitus on helpottaa tätä tehtävää. Seuraavat, edellä esitettyjen viiden keskeisen turvallisuusperiaatteen mukaisesti järjestetyt, osa-alueet tarjoavat lähtökohtia organisaatiosi kyberturvallisuusriskien hallintatavan ja -käytäntöjen kehittämiselle. Keskity tietoon, älä tekniikkaan Perusta tehtävä tietoturvahankkeiden johtamiseksi ja toteuttamiseksi ja nimitä siihen henkilö, mutta jätä kuitenkin vastuu turvallisuudesta yhä koko yritykselle. Suunnitellessaan tietoturvatavoitteidensa saavuttamistapoja organisaation tulee määrittää – tehtävät – tarvittavat resurssit – vastuuhenkilöt – toteutusaikataulut – tulosten arviointimenetelmät.15 Mikäli yrityksen sisällä ei ole riittävää tietoturva-asiantuntemusta, kannattaa hakea lisätietoa ja pyytää tietoturvaasiantuntijoita auttamaan tietoturvallisuuden juurruttamisessa liiketoimintaprosessien ja tietojärjestelmien suunnitteluun. Tee tietohäiriöihin varatutumisesta ajattelutapa Tietoturvatoimet tulee sovittaa – ja mahdollisuuksien mukaan integroida – määräysten noudattamiseen ja muihin riskien vähentämiseen tähtääviin toimiin päällekkäisten hankkeiden ja vastuiden minimoimiseksi. Riskien välttämisen ei tulisi estää uusien teknisten ratkaisujen käyttöönottoa. Tietoturvariskienhallinnan tavoitteiden saavuttamisen lisäksi tietoturvatoimet voivat myös mahdollistaa uusien ja innovatiivisten teknisten ratkaisujen käyttöönoton yrityksessä. Varmista, että tietoturvallisuus otetaan huomioon joka ikisessä yrityksen hankkeessa ja etenkin uusissa projekteissa. Kun tietoturvallisuus otetaan mukaan hankkeisiin alusta asti ja oikeanlaisella panostuksella, se ei lisää niiden kustannuksia tai kestoa merkittävästi. Jos taas turvallisuusasiat lisätään myöhemmin tai – pahimmassa tapauksessa – vasta häiriön jo tapahduttua, kustannusten ylitykset, myöhästymiset ja muut vaikutukset ovat moninkertaisia. 15 15 ISO/IEC 27001:2013
RkJQdWJsaXNoZXIy Mjk0MTY=