Miten rakennetaan kehittyvä tietoturvakultuuri: osa 1 | Granite.fi

Miten rakennetaan kehittyvä tietoturvakultuuri: osa 1

Graniten tietoturvan perustukset

Johdanto


Granite on digitaalinen alusta, joka tarjoaa palveluita yritysten ja organisaation toiminnan kehittämiseen. Graniten ratkaisut auttavat pienentämään liiketoiminnan riskejä kokonaisvaltaisesti niin riskienhallinnan, kyber- ja työturvallisuudenkin osa-alueilla.

Tämä artikkeli on ensimmäinen osa blogisarjaamme, jossa käsittelemme yritysten ja organisaatioiden tietoturvallisuutta ja kehittyvää tietoturvakulttuuria osana liiketoiminnan kustannustehokasta ja tuloksellista kehittämistä.

Sarjan edetessä käymme läpi muun muassa sitä, miksi tietoturva on erittäin tärkeä osa niin yksittäisten henkilöiden kuin kokonaisten organisaatioiden toiminnan osalta. Tarkastelemme aihepiiriä tietoturvan kehitykseen liittyvien haasteiden näkökulmasta ja sivuamme myös sitä, millaisia seuraamuksia asian laimin lyömisellä saattaa olla.

Tämän lisäksi nostamme esiin myös käytännössä toimiviksi todettuja keinoja ja toimintamalleja, joiden avulla tietoturvan kehitykseen liittyvät haasteet on mahdollista ylittää.

Ja koska aloittaminen on aina vaikeaa, joten esittelemme myös yksinkertaiset ensiaskeleet tietoturvan kehitystyön aloittamiseksi.



Tietoturvako tärkeää?


Tänä päivän tietoturva on epäilemättä tuttu lähestulkoon jokaiselle ainakin jostakin asiayhteydestä. Kuinka läheinen tuttavuus on kyseessä, onkin sitten aivan eri asia. Vaikka tietoturvasta kuulee puhuttavan useasti, sen täsmällinen merkitys vaihtelee kohtalaisen paljon.

Keskimääräinen veikkaus on, että tietoturva koskee jollakin tavalla tietokoneita. Eikä se ole aivan väärin, sillä nykypäivänä tietoturvan suojaama tietojenkäsittely toteutetaan suurimmaksi osaksi tietokoneilla. Kaikkein virallisimmissa yhteyksissä tietoturvalla tarkoitetaan kuitenkin tiedon saatavuuteen, luottamuksellisuuteen ja eheyteen liittyviä ylläpitotoimia.

Arkikielessä tietoturva menee hyvin usein sekaisin tietosuojan kanssa, mutta vaikka näitä termejä saatetaan toisinaan käyttää hyvin estottomasti ristiin, kyseessä on kaksi toisistaan erillistä asiaa. Molemmat kuitenkin liittyvät kyberturvallisuuteen.

Tietosuojalla tarkoitetaan henkilötietojen luottamuksellisuutta, mutta lisäksi tietosuojaa määrittävät erinäiset säädökset ja lait.

Tietoturva, tai tietoturvallisuus on käytännössä erittäin monimuotoinen ja -syinen ilmiökenttä, joten sekaannus on helppo ymmärtää.

Turvattava tieto, josta tietoturvan aihepiirissä puhutaan, esiintyy monessa asussa. Tietoa esiintyy niin fyysisillä kuin digitaalisillakin tallenteilla, mutta myös ihmisten ja työntekijöiden tietämys luetaan turvattavan tiedon piiriin. Tämän lisäksi yksi tietoturvan osa-alueista käsittelee tiedon turvaamista kun sitä siirretään.

Jos tietoturvan täsmällinen määritelmä on epäselvä ja jäsentymätön kohtalaisen suurelle joukolle ihmisiä, tietoturvauhkat ovat sen sijaan laajemmin tiedossa. Yleisesti tiedostettuja tietoturvauhkia ovat muun muassa huijausyritykset, roskaposti, tietokonevirukset ja henkilökohtaisen yksityisyyden loukkaukset, mutta myös monet vähemmän tunnetut ilmiöt aiheuttavat potentiaalisia riskejä niin yksilöiden kuin organisaatioidenkin toiminnalle. Muun muassa piratismi, verkkoterrorismi ja elektroninen sodankäynti ovat tietoturvaan oleellisesti liittyviä asioita, joista on syytä olla tietoinen. Harvat ymmärtävät myöskään luvatonta pääsyä tietoihin, tiedon luvatonta käyttöä tai vaikkapa tiedon häviämistä tietoturvariskeiksi, mutta sitä ne kuitenkin ovat.


Pieneneekö riski tietoturvallisuuden avulla?


Kuten edellisestä voi helposti päätellä, tietoturva ei ole ainoastaan abstrakti ilmiö, joka on ilmaantunut osaksi kielenkäyttöämme digitalisaation myötä, vaan sillä on tavalla tai toisella erittäin merkittäviä vaikutuksia miltei kaikkeen inhimilliseen toimintaan.

Jos tarkastelee nykyaikaista liiketoimintaympäristöä kokonaisuutena, on miltei mahdotonta löytää osa-aluetta, jota ei voisi tai tulisikin tarkastella nimenomaan juuri tietoturvallisuuden näkökulmasta.

Tuskin kukaan voi väittää, etteikö digitaalisen teknologian kehitys olisi tuonut mukanaan monia työkaluja ja toimintamalleja, jotka ovat tuoneen liiketoimintaan monia huomattavia helpotuksia, mutta tällä kehityksellä on ollut myös kääntöpuolensa.

Ajassa ei pääse taaksepäin. Tietoturva on asia, joka saattaa pirullisen helposti johtaa hoitamattomana tilanteeseen, jossa liiketoiminnan edellytykset heikkenevät merkittävästi. Näin ollen tietoturvasta huolehtiminen on hyvin luonnollinen osa jokaisen organisaation riskin pienentämistavoitteita, jotka tähtäävät menestysmahdollisuuksien maksimoimiseen.



Haasteita matkalla kohti kehittyvää ja tuloksellista tietoturvakulttuuria


Kuten edellisestä voi helposti päätellä, tietoturva ei ole ainoastaan abstrakti ilmiö, joka on ilmaantunut osaksi kielenkäyttöämme digitalisaation myötä, vaan sillä on tavalla tai toisella erittäin merkittäviä vaikutuksia miltei kaikkeen inhimilliseen toimintaan.

Jos tarkastelee nykyaikaista liiketoimintaympäristöä kokonaisuutena, on miltei mahdotonta löytää osa-aluetta, jota ei voisi tai tulisikin tarkastella nimenomaan juuri tietoturvallisuuden näkökulmasta.

Tuskin kukaan voi väittää, etteikö digitaalisen teknologian kehitys olisi tuonut mukanaan monia työkaluja ja toimintamalleja, jotka ovat tuoneen liiketoimintaan monia huomattavia helpotuksia, mutta tällä kehityksellä on ollut myös kääntöpuolensa.

Ajassa ei pääse taaksepäin. Tietoturva on asia, joka saattaa pirullisen helposti johtaa hoitamattomana tilanteeseen, jossa liiketoiminnan edellytykset heikkenevät merkittävästi. Näin ollen tietoturvasta huolehtiminen on hyvin luonnollinen osa jokaisen organisaation riskin pienentämistavoitteita, jotka tähtäävät menestysmahdollisuuksien maksimoimiseen.


Oikea asenne avaimena tietoturvan kehittymiseen


Kun tietoturvan takaamiseksi ryhdytään tekemään konkreettisia toimenpiteitä, on hyvin yleistä, että tietoturva ymmärretään ainoastaan kokoelmana erilaisia tietoteknisiä ratkaisuja ja ohjelmistoja.

Tilanteessa ei sinänsä ole mitään yllättävää, sillä monet tietoturvaan liittyvät riskitilanteet, jotka ovat perinteisesti saaneet keskimääräistä enemmän mediahuomiota, ovat painottaneet juuri tämänkaltaisia toimintamalleja. Nykyaikainen tietotekniikka ymmärretään uutisoinnin ja tiedottamisen ansiosta ihan oikein alttiiksi esimerkiksi tietokoneviruksille, haittaohjelmille, madoille ja tietomurroille, joihin erilaiset ohjelmistot nähdään lopullisena ratkaisuna.

Tietoturvaohjelmistot ovat tietysti erinomainen apu monien liiketoiminnan osa-alueiden, kuten työasemien, palvelinten ja tietokoneverkkojen tietoturvan ylläpitämiseen, mutta kehittyvän tietoturvakulttuurin luominen ja ylläpitäminen vaatii myös muita toimenpiteitä. Esimerkiksi ympäristön tietoturvallisuus koskettaa kaikkia organisaation toimintaan osallistuvia aivan eri tasolla kuin mihin tekniset turvaratkaisut yltävät.

Kehittyvä tietoturvallisuus pyrkii aina olemaan tuloksellista, mikä tarkoittaa, että sen toteutuminen vaatii paljon muutakin kuin virusten torjuntaan suunniteltuja ohjelmistoja, jotka saattavat huonossa tilanteessa jopa lisätä tietoturvariskien määrää, sillä ne saattavat sisältää ohjelmointivirheitä.

Tietoteknisellä tietoturvalla on tästä huolimatta oma ohittamaton osuutensa osana nykyaikaista liiketoimintaa.

Kaikkein parhaimmissa tapauksissa tietoturva on kohotettu pakollisesti tukitoiminnosta osaksi organisaation jokapäiväistä toimintaa. Oikealla asenteella ja valistuneilla käyttöönottomalleilla tietoturvan asianmukainen huomioiminen toiminnan kaikilla osa-alueilla on vaivaton ja kustannustehokas operaatio.

Äkkiseltään tämä saattaa tietysti kuulostaa työläältä ja monimutkaiselta, mutta mikään ei voisi olla kauempana totuudesta.

Kaikki alkaa tahtotilasta, mutta kun koko organisaatio on saatu mukaan yhteiseen tekemiseen, myös tulokset ovat nopeita ja näkyviä.



Kommunikaatio edistää tietoturvan kehitystä


Liian usein tietoturva ja sen kehitys sysätään organisaation IT-osaston vastuulle, vaikka tuloksellisen tekemisen kannalta koko organisaation osallistaminen olisi ehdoton avaintekijä. Vaikka kyseessä on niin kutsuttu yhteinen asia, se ei välttämättä tarkoita tavallisuudesta poikkeavia, radikaaleja muutoksia totuttuihin toimintatapoihin.

On erittäin tärkeää, että tietoturvan kehittämiseen sitoudutaan näkyvästi, vaikka sen mukanaan tuoma muutosvastarinta huolestuttaisikin. Kun tavoitteita aletaan lähestyä määrätietoisin askelin, ei haittaa, että ne ovat aluksi pieniäkin, kunhan suunta pysyy yhtenäisenä.

Tietoturvan kehittymisen kannalta on ensiarvoisen tärkeää, että asiaa pidetään esillä keskustelun keinoin, ja että tavoitteet kommunikoidaan selvästi ja ymmärrettävästi läpi koko organisaation. Usein tätä tavoiteltaessa kuitenkin unohtuu, että viestinnän sisällön ohella se, miten asiasta puhutaan, on miltei yhtä tärkeää.

Tietoturva on puheenaiheena usein arka ja altis tulehtumaan. Vaikka aiheen painoarvolla saisi helposti aikaan vakavan asenteen, tietoturvariskeillä ja uhilla pelottelu ei auta asiaa lainkaan. Sen sijaan se tekee korjaavista toimenpiteistä ja kehitystavoitteista entistäkin vaikeampia saavuttaa.

Tietoturvan ja tietoturvallisuuden merkitystä ei tule vähätellä, mutta siihen suhtautuminen pakollisena pahana ei anna yhteisölle mahdollisuutta ottaa sitä omakseen. Kun tietoturvaan suhtaudutaan pakon sijasta liiketoiminnan syvimmässä ytimessä vaikuttavana tekijänä, tulokset ovat huomattavasti hedelmällisempiä.

Tietoturvaa käsittelevää keskustelua voi kuitenkin olla haastavaa aloittaa, sillä usein vaillinaiset pohjatiedot tuottavat kielenkäytöllisiä väärinymmärryksiä. Itselle täysin vieraasta asiasta ei ole mielekästä puhua, jolloin siihen ei myöskään osaa kiinnittää riittävästi huomiota.

Tämän ilmiön tietoturvan kehitykselle esittämä haaste onkin tunnistettu, mutta silti tietoturvapuhetta määrittää monissa tapauksissa vieläkin käsittämätön jargon, kankea konsulttipuhe ja sekavat konseptit.


Konkreettisia keinoja tietoturvakehitytystä koskevan keskustelun avaamiseksi


Tietoturva on monipuolinen aihe, jota on mahdollista lähestyä hyvin monesta tulokulmasta, mutta se ei kuitenkaan tarkoita, että sen kehittämisen täytyisi olla monimutkaista.

Täsmällisten tavoitteiden asettaminen ja niiden avaaminen ainakin kehitystä johtavilla tasoilla on erittäin suositeltavaa. Ennalta ehkäisevien teknisten toimenpiteiden ja toimintatapojen määritteleminen ovat välttämättömiä ensiaskeleita henkilöstön osaamiseen kehittymiseen ja tietoturvatason kohoamiseen johtavalla polulla.

Monissa tapauksissa tietoturvan kehitykseen ohjaa sisäisen tarpeen ohella esimerkiksi myös lainsäädännön ja yhteistyökumppaneiden ristipaine. Jatkuvan murroksen vallassa olevassa liiketoimintaympäristössä varmuus on kiistaton kilpailuetu ja korkeatasoinen, kehittyvä tietoturvakulttuuri sen merkittävimmistä mittareista.

Turhan usein tietoturvan kehittämiseen suunnatut resurssit kuitenkin tyhjenevät yksittäisiin, pitkällä tähtäimellä tuloksettomiin ponnistuksiin, kuten tehottomiin kertakoulutuksiin tai konsultaatioihin, joiden tulokset vakuuttavat vain harvoin. Organisaation sisäisiä malleja on vaikea muuttaa ulkoa käsin.

Perustukset on luotava tukeviksi ennen seinien pystytystä ja katon rakentamista. Sama pätee myös tietoturvaan.


Mistä ja miten aloittaa tietoturvallisen työkulttuurin kehittäminen?



Tietoturvakulttuuri on mahtipontinen sana, joka kuulostaa hyvältä asiakaskirjeissä ja mainospuheissa. Siitä on hyvä inspiroitua, mutta jos ylevistä puheista mielitään siirtyä myös konkreettisiin tekoihin, on tietoturvan kehitykseen varatut resurssit järkevintä kohdistaa suurimpiin tunnistettuihin haasteisiin, jotka seisovat kehityksen tiellä.

Koko organisaation osallistaminen tietoturvan kehittämiseen ei välttämättä ole täysin ongelmaton prosessi, mutta kun työyhteisön kaikki jäsenet alkavat kokea omistajuutta oman toimintansa tietoturvallisuudesta, se on kauaskantoisin tapa pienentää tietoturvariskien tuomaa rasitusta liiketoiminnan kehitykselle.

Yksi monissa organisaatioissa toimivaksi todettu aloitus on tietoturvan teeman yhdistäminen johonkin muuhun organisaation tapahtumaan, esimerkiksi tuomalla asiantuntija esitelmöimään aiheesta. Tämänkaltaiset startit toimivat mainiosti eräänlaisina rokotteina, joiden pohjalta tietoturvan kehitystä on ollut vaivatonta jatkaa ikään kuin vastustuskykyä ylläpitävillä, systemaattisesti toistuvilla verkkokoulutuksilla.

Tietoturvan tärkeyden ja yrityksen yhteisten tavoitteiden sisäistäminen ovat kriittisiä tekijöitä tietoturvallisen kulttuurin rakentamisessa.


Yhteenveto


Tässä tietoturvaa ja tietoturvallisuuden kehitystä käsittelevän blogisarjan ensimmäisessä osassa käsittelimme tietoturvallisen työkulttuurin syntyä ja kehitystä organisaatioissa. Kävimme läpi tietoturvan määritelmiä, ominaisuuksia ja merkitystä nykyaikaisen liiketoiminnan ytimessä.

Sivusimme myös tietoturvan kehityksen tärkeää roolia liiketoiminnan riskitilanteen pienentämisessä. Käsittelimme myös sitä millaisia haasteita tietoturvakulttuurin kehittäminen yleensä tuo mukanaan ja millaisia ratkaisukeinoja näiden haasteiden ylittämiseksi on olemassa.

Viimeiseksi hahmottelimme ensimmäisiä askelia matkalla kohti kehittyvää tietoturvakulttuuria ja millaisia ponnistuksia tämä vaatii yrityksiltä ja organisaatiolta. Käytännössä tietoturvan kehitystavoitteet on helppoa ja vaivatonta tavoittaa, jos niitä lähestytään resurssiviisaasti ja systemaattisesti.