Olemme Agendium Oy:n kautta palvelleet organisaatioita Tietosuojamalli-nimisen ohjelmiston avulla tietosuoja- ja tietoturvatyössään muutaman vuoden ajan. Olemme saaneet kunnian toimia satojen eri alojen organisaatioiden kanssa; sairaanhoitopiireistä pieniin startuppeihin, kunnista teollisiin yrityksiin. Vastaan on tullut niitä ympäristöjä, joissa digiturvassa halutaan olla edelläkävijöitä, sekä niitä, joissa halutaan vain hoitaa tärkeimmät perusasiat.
Viime vuosina yleisen tietosuoja-asetuksen myötä tietosuoja on ollut teema, joka on saanut organisaatioita liikkeelle ja huomioimaan asetuksen korostamia asioita, mm. tietosuojaviestintää, tietoturvaloukkausten käsittelyä, koulutusta sekä omien henkilötietojen kartoittamista. Liian moni on kuitenkin tässä yhteydessä hoitanut tietosuojaprojektinsa maaliin hallinnollisena haasteena, jossa tuunattiin papereita, eikä kajottu arjen käytäntöihin.
Liian moni on hoitanut tietosuojaprojektinsa maaliin hallinnollisena haasteena, jossa tuunattiin papereita, eikä kajottu arjen käytäntöihin.
Paperien pyörittelystä ei ole mitään hyötyä, jos tietoturva pettää. Tietosuoja ja tietoturva on nähtävä yhtenä kokonaisuutena, josta me käytämme nimitystä digiturva. Esimerkiksi GDPR:n 72 tunnin vaatimukset tietoturvaloukkauksen informoinnista ja selvittämisestä vaativat hyviä tietoturvavalmiuksia, mutta tarjoavat hyvin vähän tukea siihen, miten nämä voisi saavuttaa. Erilaisia tietoturvasertifikaatteja kyllä löytyy, mutta ne ovat yleensä hyvin raskaita eivätkä palkitse kovinkaan kummoisesti organisaatiota, joka ei välttämättä halua mennä sertifioitumiseen asti. Maailmassa on yhteensä reilut 30 000 ISO 27001 -sertifioitua organisaatiota. Se ei ole kauhean paljoa.
Digiturvakartta on luotu tarjoamaan mahdollisimman valmis toimintamalli organisaatioille, jotka haluavat varmistaa ja näyttää, että digiturva on kunnossa. Kartta soveltuu sekä organisaatiolle, joka haluaa parantaa nopeasti digiturvan perusteita, kuin myös organisaatiolle, joka haluaa tehdä ennakoivaa riskien hallintaa ja olla edelläkävijä teemassa.
Näet kuvan Digiturvakartasta alapuolella ja voit tutustua siihen myös itse linkin kautta. Esittelen seuraavassa muutamia kartan tärkeimpiä periaatteita ja kartan soveltamista.
Tutustu Digiturvakartan live-versioon itse >>
Tasojen avulla kukin organisaatio voi asettaa tavoitetta omalle digiturvan tasolle. Haluammeko hoitaa vain pakolliset vai mennä pidemmälle? Aiemmeko olla digitalisoituva ja kekseliäästi dataa hyödyntävä edelläkävijä, vai tulemmeko tässä suhteessa perästä ja keskitymme perusteiden huomioimiseen?
Jokaisen organisaation toiminnan piirteet, kuten henkilöstön määrä, henkilöstön liikkuvuus, asiakkaiden kokoluokka ja vaatimukset, toimiala tai digitaalisuuden aste, vaikuttavat korostuviin asioihin. Tasot kannattaa nähdä suuntaa ja järjestelmällisen digiturvatyön aloittamista auttavana ohjenuorana.
Tason 1 asiat ovat pakollisia peruasioita, joista jokaisen organisaation, vaikka digitaalisuus tai datan käsittely ei korostuisikaan, olisi syytä pitää hyvää huolta.
Tason 2 asiat ovat digiturvan oleellisia ydinasioita, jotka ovat tärkeitä useimmille organsiaatioille ja joilla voidaan huomattavasti parantaa digiturvan tasoa. Nämä liittyvät yleensä tiiviisti tason 1 asioihin ja vaativat enemmän suunnittelevaa otetta, kun tasolla 1 paljolti kartoitetaan ja toteutetaan suoraviivaisesti.
Tason 3 asiat ovat syventäviä digiturvateemoja, jotka eivät korostu jokaisen organisaation toiminnassa, mutta joiden voidaan entisestään parantaa tietoturvan ja tietosuojan saralla.
Täällä kartoitetaan esimerkiksi tietojärjestelmiä ja niiden sisältämää tietoa, tärkeitä kumppaneita, järjestelmien ulkopuolella makaavaa tietoa. Minkäänlaista riskienhallintaa tai muuta syvällisempää digiturvatyötä on erittäin vaikeaa lähteä tekemään, jos omaa toimintaympäristöä ja tieto-omaisuutta ei ymmärretä.
Tietoa voidaan suojata monin erilaisin käytännöin ja säännöin. Osa käytännöistä tarvitsee toteutukseen IT-osastoa (tekniset), osa sopimuksia (yleiset) ja osan toteutumista pitää valvoa eri yksiköissä (henkilöstö).
Kartan alaosat keskittyvät työn johtamiseen ja organisointiin. Jos keskitymme perusteisiin, meidän on turha lähteä tekemään syvällistä riskienhallinta-analyysiä tai osallistaa digiturvatyöhön isoa joukkoa ihmisiä. Tällöin saavutamme yhtä lailla laihoja tuloksia - turvallisuus parantuu vain osittain emmekä voi kattavasti näyttää raportoimalla, että asiat olisivat kunnossa. Jos asetamme tavoitteet korkealle, on tehtävä ennakoivaa arviointia, resursoitava enemmän ja tuloksena voi olla uskottava tietotilinpäätös sekä selvästi parantunut digiturva.
Digiturvakartta jakautuu 10 eri osa-alueeseen, jotka jakautuvat edelleen pienempiin työelementteihin.
Järjestelmien hallinta: Mitä tietojärjestelmiä käytämme? Ketkä niitä toimittavat? Millä kriteereillä nämä valitaan? Kenen tulee päästä mihinkin tietoihin?
Oma IT-kehitys: Mitä järjestelmiä ylläpidämme itse? Mitä asiakkaiden kanssa on sovittu? Miten huolehdimme tekevämme turvallista koodia?
Muut tietovarannot: Mitä tärkeitä tietoja on piilossa järjestelmien ulkopuolella?
Henkilötietojen käsittely: Mihin tarkoituksiin ja millä perusteilla käytämme henkilötietoja? Onko tietosuojavaatimukset huomioitu?
Yleiset käytännöt: Kuinka turvaamme tietoja ei-teknisesti, esim. sopimuksin, huoltokäytännöin tai offboarding-prosessein?
Tekniset käytännöt: Kuinka turvaamme tietoja teknisesti, esim. salauksella, IAM-järjestelmillä, palomuureilla tai haittaohjelmasuojauksella?
Henkilöstön käytännöt: Kuinka sitoutamme ja ohjeistamme henkilöstöä? Kuka sääntöjä valvoo?
Riskit ja tavoitteet: Mille tasolle pyrimme? Miten olemme reagoineet häiriöihin? Mihin olemme varautuneet ennalta?
Vastuut ja johtaminen: Ketkä kaikki ovat mukana digiturvatyössä? Mitä vastuita kelläkin on?
Tulokset ja raportointi: Kuinka näytämme digiturvan olevan hallussa asiakkaalle, tarkastajalle tai omalle johdolle?
Suosittelemme neliosaista toimintamallia kartan hyödyntämiseksi ja oman digiturvatyön edistämiseksi:
Tätä voi kutsua myös oman digiturvasuunnitelman tekemiseksi.
Nimeä jokaiselle kartan kohdalle henkilö, joka on asiasta päävastuussa. Järjestelmille ja rekistereille ydinelementteinä sekä yksiköille suosittelemme lisäksi omien vastuuhenkilöiden nimeämistä.
Digiturvatyöstä pitäisi syntyä todisteita, joiden kautta työn edistymistä voidaan seurata ja tuloksia raportoida.
Onnistuneen digiturvatyön toimenpiteitä ja tuloksia ei kannata pitää piilossa. Raportoinnin kautta voitte näyttää asiakkaalle, omalle johdolle tai viranomaisen tarkastajalle, että digiturva on teillä kunnossa!
Haluamme ehdottomasti kuulla palautteesi. Puuttuuko kartalta jotain? Oletko saanut sen avulla hyviä tuloksia aikaan? Haluaisitko erityisesti kuulla jostain kohdasta lisää? Millaiset käytännöt teillä ovat toimineet parhaiten? Kehitämme karttaa ja sitä tukevia palveluitamme jatkuvasti, ja palautteellasi on iso merkitys.
P.s. Jos haluat kuulla lisää Digiturvakartasta, yksi hyvä tapa on ilmoittautua pikawebinareihimme, joissa käymme läpi aina kartan yhtä laatikkoa 15-30min livesessiossa.
Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.
