Tietoturvallisuuden hallinta on muutakin kuin teknistä tietoturvaa

Julkaistu 15.11.2022
Lukuaika noin 2 min

Yksi yritysten ja organisaatioiden merkittävimmistä riskitekijöistä on tietoturva. Erilaiset huijausviestit ja tietojenkalastelu eli phishing ovat yleistyneet, ja lisäksi ne kehittyvät jatkuvasti entistä hienostuneemmiksi. Tietoturvaratkaisuihin ja uusien tehokkaampien havainnointimenetelmien käyttöönottoon onkin panostettava yhä enemmän.

Tietojenkalastelua voi olla vaikea erottaa aidoista tilanteista, ja niinpä työntekijä saattaa kiireessä tarttua huijaukseen. Yrityksissä ja organisaatoissa pitääkin kouluttaa koko henkilöstö tietoturvaan, sillä tietoturvasta huolehtiminen ei ole ainoastaan johdon vastuulla. Suurin osa huijausviesteistä tai tietojenkalastelusta nimittäin tulee joko sähköposteina tai tekstiviesteinä, joita meistä jokainen saa päivittäin.

Tietoturva-auditointi on tärkeä osa digitaalisten sovellusten ja palveluiden tietoturvaa. Auditointi antaa kattavan kuvan palvelun mahdollisista haavoittuvuuksista, jotka olisivat hyökkääjien hyväksikäytettävissä. Tavoitteena on löytää ja korjata haavoittuvuudet ennen kuin hyökkääjillä on edes mahdollisuutta päästä niitä hyväksikäyttämään ja aiheuttamaan vahinkoa yritykselle tai organisaatiolle.

Sekä lainsäädäntö että standardit kuten ISO 27000-sarja velvoittavat huolehtimaan tietoturvasta. Sisäisen auditoinnin tarkoituksena on löytää hallintajärjestelmän puutteet sekä auttaa puutteiden korjaamisessa ennen varsinaista ISO 27001 -auditointia.

ISO 27000 -standardi on tietoturvan hallintajärjestelmä, joka on käytössä kansainvälisesti. ISO 27001 -sertifiointi antaa yritykselle mahdollisuuden osoittaa kolmansille osapuolille, että yritys huolehtii tietoturvastaan laadukkaasti. On erittäin tärkeää auditoida myös liiketoimintakumppanien tietoturva, jotta tietomurrot eivät tapahdu heidän kauttaan.

Varautuminen ja varautumissuunnitelmat ovat keskeinen osa tietoturvaa. Varautumissuunnitelmia pitää testata myös käytännössä, ja testauksen pitää olla jatkuvaa, eikä ainoastaan kertaluonteista.

Yritysvakoilu ja tietoturvariskit liittyvät kiinteästi yhteen. Yritysvakoilu ilmiönä on todennäköisesti myös lisääntymässä, sillä geopoliittisten jännitteiden kasvaminen tarkoittaa myös riskin kasvamista.

Yritysvakoilun kohteena oleva tieto voi sijaita joko kohdeorganisaatioiden tietojärjestelmissä, olla fyysisisiä dokumentteja tai laitteita. Tietoa on tietysti myös organisaatiossa työskentelevillä ihmisillä, joiden seuraan voidaan vaikka lyöttäytyä, ja joilta tietoa voidaan urkkia hyvin suunnitelmallisesti. Verkkovakoilu on yhä tavallisempi tapa murtaa tietoturvaa. Myös kaikkiin näihin riskeihin kannattaa varautua koko henkilöstöä kouluttamalla.

Uutta oppia tietoturvallisuuden hallintaan

Tietoa kirjoittajasta:

Hannu Jaakohuhta

Hannu on toiminut tietoturvallisuuden parissa kouluttajana ja konsulttina yli 15 vuotta suuryritysten palveluksessa sekä itsenäisenä yrittäjänä. Erityisenä mielenkiinnon kohteena ovat olleet hallinnollinen tietoturvallisuus niin tietoturvallisuuden organisoimisen kuin johtamisenkin näkökulmasta.

Asiasanat:

Tietoturvallisuuden hallinta Tietoturvan johtaminen Tietoturva