Hallinnollisella tietoturvalla on organisaation tietoturvassa erityisen merkittävä rooli. Se tukee ja mahdollistaa organisaation strategian ja sen tavoitteiden saavuttamista. Sen avulla arvioidaan ja määritellään organisaation riskinottotaso ja huolehditaan kustannustehokkaista, mutta riittävistä suojauksista ja käytännöistä.
Hallinnollinen tietoturva luo näkymän mitä tietoturvalle kuuluu. Mitä puuttuu, mikä on hyvin ja mitä pitäisi tehdä seuraavaksi.
Voit lukea tarkemmin Microsoft 365 -kokonaisuuden tarjoamista tietoturvaominaisuuksista tästä artikkelista. Mitä hallinnollisella tietoturvalla sitten tarkoitetaan?
Tietoturvan hallintamalli luo pohjan toiminnalle
Hallinnollisen tietoturvan runkona monissa organisaatiossa sovelletaan alan standardeihin ja hyviin käytäntöihin perustuvan, mutta aina organisaation toimintaan, kokoon ja kyvykkyyksiin sovitettua tietoturvan hallintamallia (Governance). Hallintamallissa otetaan kantaa esimerkiksi vastuisiin ja velvollisuuksiin, varmistetaan tietoturvallisuuden jatkuva kehittyminen, määritellään organisaation toiminnassaan tarvitsema tietoturvadokumentaatio, muodostetaan tietoturvapoikkeamien hallinnan käytännöt, määritellään johtamisen näkökulmasta riittävä tietoturvaraportointi ja huolehditaan organisaation säännöllisestä tietoturvaosaamisen kehittämisestä.
Jatkuvan kehittämisen ajatukseen perustuvassa tietoturvan hallintamallissa hyödynnetään jatkuvasti täydentyvää ja ylläpidettävää tietoturvasuunnitelmaa, jonka vuosittaiset päätavoitteet muodostetaan riskiarviointien pohjalta, rinnakkain organisaation budjetointiprosessin kanssa. Tietoturvan vuosikellon avulla huolehditaan että tietoturvasuunnitelmassa kuvatut toimenpiteet ja muut hallinnolliseen tietoturvaan liittyvät asiat tulevat tehtyä ajallaan.
Hallinnollinen tietoturva jää usein teknisen tietoturvan varjoon
Ilman hallinnollista tietoturvaa tekninen tietoturva ottaa helposti ohjat ja alkaa määrittää toimintaa. Saattaa tuntua helpommalta ostaa valmis tietoturvatuote kuin lähteä kehittämään tietoturvallisuutta riskiarviointien ja vähän tylsältä kuulostavan hallinnollisen tietoturvan kautta.
Kun tekninen tietoturva on ajurin paikalla, saatetaan panostaa tietoturvaratkaisuihin, joihin organisaatiolla ei välttämättä ole riittävästi osaamista eikä aikaa perehtyä. Pahimmillaan hankittavat tekniset ratkaisut jäävät hyödyntämättä tai vajaakäytölle.
Ensisijaisesti teknisestä näkökulmasta määritellyt ratkaisut voivat myös olla organisaation tarpeisiin nähden ylimitoitettuja tai toistensa kanssa päällekkäisiä. Toki voi käydä myös toisinpäin – suojauksiin jää katvealueita tai järjestelmät alimitoitetaan.
Hallinnollinen tietoturva on parhaimmillaan riskipohjaista toiminnan ja käytäntöjen muotoilua, jonka avulla käyttöön tulevat ratkaisut aidosti mahdollistavat organisaation liiketoiminnan turvallisen ja kestävän kehittymisen uusien ja modernien IT-ratkaisujen avulla.
Hallinnollinen tietoturva on parhaimmillaan riskipohjaista toiminnan ja käytäntöjen muotoilua, jonka avulla käyttöön tulevat ratkaisut aidosti mahdollistavat organisaation liiketoiminnan turvallisen ja kestävän kehittymisen uusien ja modernien IT-ratkaisujen avulla. Hallinnollinen tietoturva huolehtii osaltaan myös siitä, että liiketoiminnan jatkuvuus on suunniteltua, varmistettu kustannustehokkaalla tavalla ja että mahdollisista poikkeamatilanteista pystytään toipumaan.
Hallinnollinen tietoturva vaatii toimiakseen teknisiä ratkaisuita sekä osaamista
Pitää kuitenkin ymmärtää, että hallinnollinen tietoturva ei yksinään riitä. Entisen tietoturvapäällikön sanoin: ei riitä että asiat ovat paperilla kunnossa, tarvittavien porttien pitää mennä palomuurissa kiinni ja tietoturvapäivitysten asentua ajallaan. Organisaatiosi tarvitsee sekä hallinnollista että teknistä tietoturvaa. Hallinnollisen tietoturvan avulla määrittelet mitä tarvitset, tekninen tietoturvan keskittyessä siihen miten sen toteutat.
Tahdolla hallinnollisen tietoturvan kehittämisestä ja johtamisesta niin sisäisesti kuin asiakkaidenkin apuna vastaavat Juha Keskitalo ja allekirjoittanut. Juha on CISM-sertifioitunut (Certified Information Security Manager) tietoturva-asiantuntija, joka vastasi aiemmin pörssiyhtiö SATO Oyj:n tietoturvasta. Olen itse työskennellyt tietoturvan eri osa-alueiden parissa jo 1990-luvulta lähtien, joten uskallan väittää, että yhdessä saamme luotua tietoturvalliset toimintaympäristöt myös tuleville asiakkaillemme. Osaamisen ajantasaisuudesta pidän huolta esimerkiksi ylläpitämällä CISSP (Certified Information System Security Professional) -sertifikaattia.
Selvitetään, millä tasolla organisaatiosi tietoturva tällä hetkellä on
Halusimme luoda helpon tavan jokaiselle organisaatiolle varmistaa oman tietoturvansa nykytaso niin teknisten kuin hallinnollistenkin tietoturvaratkaisuiden osalta. Säännöllinen tietoturvan auditointi onkin erityisen tärkeää organisaation ympäristön, henkilöstön ja tiedon suojaamiseksi.
Kartoitamme teknisen IT-ympäristönne sekä muut tietoturvan osa-alueet samalla lisäten ymmärrystänne tietoturvaan liittyvistä yksityiskohdista. Kartoitus kattaa niin Microsoft 365 -ympäristönne kartoituksen, laitteiden, verkkojen ja muiden teknisten komponenttien kuin hallinnollisen tietoturvankin osa-alueet. Saatte kartoituksen lopuksi analyysin tietoturvanne kokonaistilasta ja selkeät toimenpide-ehdotukset siitä, mitä osa-alueita tulisi parantaa, missä järjestyksessä ja miksi.