
Arvioi organisaatiosi tietoturvan todellinen tila
Kukaan ei voi rakentaa puolestasi kulttuuria, jossa riskit tunnistetaan ajoissa ja virheistä puhutaan. Tietoturva näkyy siinä, miten organisaatiossa johdetaan, viestitään, reagoidaan ja tehdään arjen päätöksiä.
Kun haluat selvittää, miten hyvin organisaatiosi tietoturva todella toimii, älä tyydy pelkkiin auditointiraportteihin. Tarkastele, miten tietoturva näkyy päätöksenteossa, arjen käytännöissä ja organisaatiokulttuurissa.
Onko tietoturva osa johtamista vai mukana vasta, kun jotain tapahtuu?
Tietoturva toimii vain silloin, kun se on osa strategista päätöksentekoa. Ensimmäinen kysymys kuuluukin: onko tietoturva mukana johdon agendalla? Ymmärretäänkö millaisia mittareja käytetään ja miksi, sillä liian tekniset mittarit hukuttavat viestin, liian kevyet antavat väärän kuvan turvallisuudesta. Ollaanko siis aidosti valmiita toimimaan, kun uhka konkretisoituu?
Entä riskienhallinta? Ovatko tunnistetut uhat oikeasti olennaisia? Onko huomioitu myös toimitusketjut, henkilöstöriskit tai pilviympäristöjen konfigurointivirheet?
Poikkeamat kuuluvat peliin. Organisaatio, jossa ”ei koskaan tapahdu mitään”, ei välttämättä ole suojassa vaan sokea. Poikkeamat ovat todennäköisiä. Kysymys ei ole siitä, voidaanko ne estää kokonaan, vaan siitä, miten niihin reagoidaan. Onko toimintamalli selkeä ja harjoiteltu, vai ryhdytäänkö improvisoimaan vasta, kun tilanne on päällä?
Onko henkilöstö tietoturvatietoinen ja roolinsa mukaisesti varustettu?
Tietoturvan pelisääntöjen ei pidä olla pöytälaatikkoon unohtuva powerpoint-esitys, joka kaivetaan esille kerran vuodessa. Niiden on pysyttävä ajan tasalla ja heijastettava organisaation toimintaa. Käytännön ohjeet toimivat vain, jos ne ovat ymmärrettäviä, helposti löydettävissä ja oikeasti hyödynnettävissä. Jos henkilöstö ei tiedä, miten toimia, vika ei ole heissä vaan ohjeistuksessa.
Ja joskus yksi visuaalinen ohje toimii paremmin kuin 18-sivuinen PDF.
Pohdi henkilöstön osaamista seuraavien kysymysten avulla: koulutetaanko ihmisiä roolinsa mukaan? Tarjotaanko oppimista eri yksiköiden tarpeisiin? Onko poikkeamaharjoituksia järjestetty? Uskalletaanko virheistä puhua vai toistetaanko samoja mokia vuodesta toiseen? Organisaatiot, joissa uskalletaan kertoa havainnoista ja oppia niistä, pärjäävät todennäköisemmin myös silloin, kun pelikaani osuu turbiiniin.
Siksi harjoittelu on olennainen osa varautumista. Tietojenkalastelutestit, poikkeamatilanteiden simulaatiot ja yksiköiden sisäiset harjoitukset auttavat juurruttamaan osaamista osaksi arkea.
Teknisiä kontrollipisteitä, kuten pääsynhallintaa, lokien valvontaa ja automaattisia hälytyksiä, ei sovi unohtaa. Mutta tehokkuus ei synny siitä, että kaikki näyttää hyvältä paperilla. Se syntyy siitä, että tiedetään, mitä seurataan, miksi ja miten siihen reagoidaan. Turvallisuus ei ole koskaan valmis, mutta sen pitää olla hallinnassa.
Tietoturva on osa kulttuuria ja toimintakykyä
Suurin riski tietoturvassa ovat inhimilliset tekijät. Siksi ihmisten johtaminen on kriittistä: kiire, oletukset ja tutut rutiinit eivät saa hämärtää harkintaa. Hyvin hoidettu tietoturva ei tunnu raskaalta pakkopullalta vaan tukee aidosti sujuvaa työntekoa. Kun henkilöstö on koulutettu, ohjeet tukevat tekemistä, poikkeamiin osataan reagoida ja tekninen suojaus toimii, tietoturva ei ole enää pelkkä velvoite. Se on kilpailuetu ja osa organisaation arkea.
Kuusi kysymystä, jotka paljastavat, missä mennään:
- Onko tietoturva aidosti johdon omistama ja seuraama kokonaisuus?
- Tunnistetaanko ja käsitelläänkö riskit riittävällä tarkkuudella?
- Reagoidaanko poikkeamiin avoimesti ja niistä oppien vai lakaistaanko ne maton alle?
- Löytääkö henkilöstö ohjeet silloin kun niitä tarvitaan ja ovatko ne ymmärrettäviä?
- Onko osaaminen ajan tasalla ja onko harjoiteltu myös käytännössä?
- Tiedetäänkö, mitä teknisesti valvotaan ja mihin sillä pyritään?
Jos kaikkiin vastaat kyllä, olet jo hyvällä tiellä. Jos joku kohta kirpaisee, hyvä. Silloin tiedät, mihin tarttua ennen kuin ensimmäinen kyberpoikkeama koputtaa ovelle.
Ja jos kaipaat sparrausta ja vertaistukea, täällä me ollaan. Sinua varten. Tietoturva ry tarjoaa alustan vertaisoppimiseen, keskusteluun ja ajankohtaisen osaamisen kehittämiseen. Jos haluat tukea tietoturvatoimintanne arviointiin tai verkostoitua muiden alan asiantuntijoiden kanssa, tutustu toimintaamme ja liity mukaan: https://tietoturva.fi/jaseneksi/
Kirjoittajat
Kimmo Rousku, hallituksen jäsen. LinkedIn
Johanna Lohiluoma, hallituksen jäsen. LinkedIn