Petri Huotari
Dec 29, 2011

Aiheuttaako yrityksenne tietoturva Teille unettomia öitä?

It-henkilöstön heikot unenlahjat ovat yleisempi ilmiö kuin luullaan. Töistä johtuvat huolenaiheet valvottavat etenkin Yhdysvalloissa, jossa henkilöstövälittäjä Robert Half Technology haastatteli 1 400 amerikkalaista tietohallintojohtajaa näiden yleisimmistä ammattimurheista.

Vastanneista 24 prosenttia pitää tietoturvaa ensisijaisena syynä unettomuuteen.(lainaus: CIO / IDC News Service)

Tietohallintojohtajan pitäisi nukkua yönsä, koska väsyneenä ei kukaan kykene hoitamaan päivittäisiä tehtäviään riittävän laadukkaasti. Tietohallintojohtajan huolenaiheet ja unettomuus saadaan hallintaan, mikäli tietoturvan perusasiat hoidetaan järjestelmällisesti kuntoon.

Parhaiten tehtävä onnistuu, kun sekä johtamisessa että toteutuksissa käytetään parhaiksi todettuja käytäntöjä ja menetelmiä. Tietoturvallisuuden johtamisessa voidaan soveltaa Tietohallintomallia.

Seuraavissa kappaleissa kuvataan Tietohallintomallin pääkohtia, joita voidaan vaivattomasti soveltaa yrityksenne tietoturvan johtamis- ja suunnittelutehtävissä. Tärkeintä on, että johtaminen tehdään sekä määrätietoisesti että hyviä ICT-johtamiskäytäntöjä noudattaen.

1. STRATEGIA JA HALLINTO

Tavoitteet ja mittaaminen

Yrityksen johto ja tietohallinto määrittelee tietoturvallisuuden tavoitteet tietoturvapolitiikan avulla. Tietoturvallisuuden toteutumista mitataan säännöllisillä riskikartoituksilla. Lisäksi tietoturvahälytysten lukumäärää ja vakavuusastetta sekä mitataan että analysoidaan jatkuvasti. Lopullisena tavoitteena pidetään häiriötöntä ja luotettavasti liiketoimintaa tukevaa tietojärjestelmää myös tietoturvallisuuden osalta.

2. HANKINTATOIMI JA TOIMITTAJIEN HALLINTA

Konseptien kehittäminen

Hankintatoimi osana tietohallintoa pyrkii yhteistyössä toimittajan kanssa kehittämään luotettavia, kustannustehokkaita sekä helppokäyttöisiä tietoturvamenetelmiä liiketoiminnan käyttöön.

Hankintatoimi ylläpitää avoimia ja jatkuvia yhteyksiä tietoturvajärjestelmien toimittajiin. Kumppanuudet tietoturva-alan yritysten kanssa ovat pääsääntöisesti pitkäaikaisia ja luottamuksellisia. Laajat yhteistyökumppaneiden verkostot ovat toimittajien hallinnan kannalta usein haasteellisia.

Voimakkaasti kehittyvä tietoturvatekniikka vaatii sekä hankintatoimelta että toimittajalta aktiivista otetta uuden teknologian tarjoamien mahdollisuuksien soveltamiseen.

3. PROJEKTIEN JOHTAMINEN

Projektisalkun hallinta

Tietohallinnon projektit toteutetaan pääsääntöisesti liiketoiminnan, tietoturvapolitiikan ja todettujen riskien vaatimusten mukaisesti. Projektitoimisto (PMO) on siten merkittävässä roolissa suunniteltaessa sekä liiketoimintaa palvelevia että ICT-toimittajaa ohjaavia yhteisiä projekteja.

Tietohallinnon projekteihin liittyy tietoturvallisuus lähes aina, jolloin jo projektien suunnitteluvaiheessa on varmistettava tietoturvan yhteensovittaminen projektin lopulliseen tuotokseen.

4. PALVELUIDEN JOHTAMINEN

Jatkuvuuden hallinta

Palveluiden johtamisen tavoitteena on turvata yrityksen tietohallintopalvelut siten, että ne toimivat tietoturvallisesti ja takaavat liiketoiminnalle laadukkaat ja jatkuvat palvelut. Kustannustehokkuus, palveluiden keskittäminen ja optimointi ovat avainasemassa tietoturvallisten palveluiden jatkuvuuden hallinnassa.
Jatkuvuus korostuu myös tietoturvallisuuden valvonnassa ja hallinnassa. Reaaliaikainen ja keskitetty tietoturvallisuuden tilannekuva on merkittävässä roolissa tietohallintopalveluiden jatkuvuuden hallinnassa.

Palvelutuotanto

Tietoturvallisuuspalvelut osana tietohallintopalveluita perinteisesti haittaavat tai ainakin hidastavat käytännön työtä liiketoiminnassa. Hidastaviksi tekijöiksi koetaan mm. operatiivisten palveluiden käyttöoikeushakemukset sekä niiden toteutus ja hallinta.

Tietoturvallisuuspalveluiden palvelutuotannon laatua onkin liiketoiminnan tehokkuuden kannalta katsottuna katselmoitava määräajoin. Tietoturvallisuuspalveluihin etsitään tarvittaessa uusia toteuttamiskelpoisia kehityskohteita, jotka tukevat liiketoimintaa ja sen jatkuvuutta paremmin. Tietoturvallisuuspalveluiden palvelutuotannossa pyritään keskittymään tasalaatuiseen palvelutuotantoon sekä siedettäviin vasteaikoihin.

Jatkuva kehittäminen

Tietohallintopalveluiden kehittämisessä kuunnellaan liiketoiminnan vaatimuksia sekä seurataan jatkuvasti teknologian kehitystä. Teknologian muutokset saattavat vaikuttaa myös tietohallintopalveluiden ja tietoturvapolitiikan sisältöön sekä muuttaa arvioituja tietoturvariskejä. Muutokset yrityksen toimintatavoissa tai asiakkaiden muuttuvat vaatimukset vaikuttavat poikkeuksetta myös tietohallintopalveluiden ja tietoturvapolitiikan sisältöön. Tietohallinnossa tuotettavien palveluiden sisältöä onkin arvioitava säännöllisin väliajoin ja niitä on tarvittaessa kehitettävä siten, että ne vastaavat ajankohtaisiin haasteisiin.

Tietohallintopalveluiden kehityskohteita arvioitaessa pyritään huomioimaan voimassa oleva tietoturvapolitiikka sekä toimintaympäristössä tapahtuneet muutokset.

Lopuksi

Suurin osa tietoturvaan liittyvistä haasteista syntyy perinteisesti yrityksen sisällä joko tahattomasti tai tahallisesti. Johtamisessa onkin kiinnitettävä erityistä huomiota henkilöstön asenteeseen tietoturvallisuuden merkityksestä yrityksen toiminnalle. Henkilöstölle on ajoittain muistutettava tietoturvaohjeiden noudattamisesta. Lyhyet ja ytimekkäät tietoiskut muutaman kerran vuodessa riittävät ylläpitämään ”mielenkiinnon” aiheeseen.

Tietoturvallisuus on lopulta koko yrityksen ja sen henkilöstön yhteinen asia.

Ota yhteyttä Tietohallintomalli PDF

Haluatko tietää lisää Tietohallintomallista ja sen soveltamisesta käytännössä? Ota yhteyttä.