Graniten asiantuntijakolmikko, Teppo Kattilakoski, Janne Viljamaa ja Jukka Mäkitalo, johdattivat webinaarissamme kuulijat uuden kyberturvallisuuslain ja NIS2-direktiivin pariin. Mutta ennen kaikkea keskustelimme siitä, miten lain vaatimukset voidaan täyttää sujuvasti, järjestelmällisesti ja järkevästi osana organisaation päivittäistä työtä.
Lain ja direktiivien velvoitteet eivät ole enää pelkkiä velvollisuuksia, vaan myös mahdollisuus. Niiden avulla organisaatiot voivat rakentaa kestävän ja näkyvän tietoturvakulttuurin, joka tukee liiketoiminnan jatkuvuutta, riskienhallintaa ja johtamista.
Alla tiivistämme webinaarin tärkeimmät opit ja nostamme esiin, miten Granite tukee organisaatiota kohti lainmukaista ja hallittua kyberturvallisuutta.
1. Graniten riskienhallinnan työkalu ohjaa käytännön toteutukseen
Kyberturvallisuuslaki, sen seitsemäs, kahdeksas ja erityisesti yhdeksäs pykälä, määrittelevät organisaatiolle konkreettisia toimia riskien tunnistamiseen, hallintamallien luomiseen ja toimenpiteiden toteutukseen.
Jukka Mäkitalo muistutti, että vaikka lainsäädäntö ei yksityiskohtaisesti määritä toimintatapoja, ohjeita ja suosituksia julkaisee aktiivisesti Traficomin Kyberturvallisuuskeskus. Graniten NIS2-työkalu kokoaa nämä vaatimukset, ohjeet ja organisaation omat käytännöt yhteen järjestelmälliseksi hallintaprosessiksi.
”Ensimmäinen tehtävä on se, että otetaan haltuun tämä vaatimuskokonaisuus ja lähdetään sitä käsittelemään. Työkalussa meillä on selkeä näkymä, mitä pitää toteuttaa ja missä mennään,” toteaa Jukka Mäkitalo
Käyttäjä arvioi työkalussa vaatimusten täyttymistä, kuvaa oman organisaation tilanteen ja voi liittää todentamiseen ja vaatimusten ylläpitämiseen tarvittavia dokumentteja suoraan järjestelmään. Lisäksi vastuuhenkilöiden nimeäminen ja automaattiset muistutukset takaavat, että eteneminen ei jää sattuman varaan, vaan vaatimukset saadaan luotettavasti hallintaan.
"Ensimmäinen tehtävä on ottaa vaatimuskokonaisuus haltuun. Työkalussa meillä on selkeä näkymä, mitä pitää toteuttaa ja missä mennään."
2. Johdon vastuuta ei voi ulkoistaa
Yksi keskeinen lainkohta on johdon vastuu. Toimitusjohtaja ja hallitus kantavat juridisen ja toiminnallisen vastuun tietoturvan toteutumisesta.
”Ei auta kirjoittaa toimintaperiaatteisiin, että tietoturvapäällikkö vastaa – johto vastaa. Tietoturvaa ei voi ulkoistaa,” muistuttaa Jukka Mäkitalo.
Graniten ratkaisut tuovat johdolle näkyvyyden tilanteeseen ja asiantuntijat voivat helposti raportoida organisaation tilannetta. Järjestelmässä voi seurata miten vaatimukset täyttyvät, missä on puutteita, ja mihin tarvitaan toimenpiteitä. Visuaaliset tilannekuvat ja valmiit raportit helpottavat raportointia hallitukselle ja viranomaisille.
3. Verkosto auttaa ymmärtämään kokonaisuutta
Vaikka moni lähestyy lakia vaatimusten listana, asiantuntijat korostivat, että riskienhallinta on järjestelmän sydän.
Graniten tietoturvariskit mahdollistaa tietoturvariskien arvioinnin joko yksiköittäin tai järjestelmittäin, ja sen sisälle voidaan rakentaa ohjeet, arviointiprosessit ja hallintakeinot, jolloin riskienhallinnasta tulee yhdenmukaista ja helposti hallittavaa.
Työkalu mahdollistaa myös riskien ja vaatimusten väliset relaatiosuhteet. Kun käyttäjä liittää riskejä suoraan NIS2-vaatimuksiin ja hallintatoimenpiteisiin, syntyy verkosto, joka auttaa ymmärtämään kokonaisuutta ja ohjaamaan kehittämistä.
4. Kumppanien riskit haltuun: toimitusketjun hallinta
NIS2 ja kyberturvallisuuslaki edellyttävät organisaatiolta myös toimitusketjun tietoturvariskien hallintaa. Graniten kumppaniverkoston riskienhallintatyökalu mahdollistaa:
- Kumppanien tietojen luokittelun ja arvioinnin
- Sopimustietojen ylläpidon
- Tietoturvavaatimusten dokumentoinnin
- Auditointien hallinnan
”Kun kumppaneita on kymmeniä tai satoja, pitää olla järjestelmä joka tuo selkeyttä. Excel ei enää riitä”, toteaa Jukka Mäkitalo. Tarpeisiin konfiguroitavissa oleva työkalu varmistaa, että organisaation omat tarpeet kumppanuuksien riskienhallinnan osalta saadaan käsiteltyä kattavasti.
"Kun kumppaneita on kymmeniä tai satoja, pitää olla järjestelmä joka tuo selkeyttä. Excel ei enää riitä”
5. Tietojärjestelmien ja omaisuuden hallinta – perustaso kuntoon
Graniten omaisuusluettelotyökalu on organisaation yksittäiset elementit haltuun ottava työkalu. Omaisuusluettelo yhdistyy tietojärjestelmiin, kriittisten toimintojen arviointiin ja koko organisaation toimintojen tunnistamiseen. Pienessäkin organisaatiossa voi olla suuri määrä erilaisia toimintoja, joiden turvallisuus tulee olla varmistettuna. Tällöin omaisuustyökalu mahdollistaa resurssien kohdentamisen tehokkaasti, kun kriittiset ja tärkeät toiminnot on tunnistettu.
”Jos huomataan, että meillä on nippu ei-kriittisiä järjestelmiä, ei niihin kannata panostaa yhtä paljon kuin kriittisiin”, huomauttaa Teppo Kattilakoski.
Omaisuudenhallinnan työkalu mahdollistaa myös relaatioiden rakentamisen esimerkiksi tietoturvariskeihin, haavoittuvuuksiin ja poikkeamiin, jolloin organisaatiossa saadaan kattavampi tilannekuva eri toimintojen tietoturvan tasosta.
6. Haavoittuvuuksien käsittely ja dokumentointi
Graniten haavoittuvuuksienhallintatyökalu kokoaa yhteen havainnot, niiden kriittisyydet ja käsittelytavat. Oli kyseessä sitten kyberturvallisuuskeskuksen ilmoitus tai oma havainto. Ohjeistukset ja toimintaohjeet löytyvät suoraan työkalusta tarvittavan korjauksen priorisoinniksi.
”Jos haavoittuvuus havaitaan, työkalussa on heti valmis toimintamalli. Ei tarvitse arpoa, mitä tehdään.”, kertoo Jukka Mäkitalo.
7. Tietoturvapoikkeamien käsittely
Vastaavasti Granite tietoturva- ja tietosuojapoikkeamailla koko henkilöstö voi ilmoittaa havaintojaan, ja niiden käsittely etenee hallitusti. Kaikki poikkeamat voidaan kytkeä olemassa oleviin riskeihin tai luoda uusi riski, jos vastaavaa riskiä ei ole vielä kirjattu. Tehokas poikkeamien käsittely ja relaatioiden luonti tietoturvariskeihin tehostaa organisaation riskienhallinnan toimintaa.
8. Jatkuvuudenhallinta ja kriisitilanteet
Kyberturvallisuuslaki velvoittaa suunnittelemaan, miten organisaatio varautuu häiriöihin. Graniten jatkuvuussuunnittelutyökalu tuo prosessin käytäntöön: skenaarioiden määrittely, palautumissuunnitelmat, vastuut ja testausdokumentaatio hoituvat järjestelmässä. Jatkuvuussuunnittelu ja skenaarioiden testaus on osa organisaation resilienssin kasvattamista ja varmistaa toiminnan jatkuvuuden ja palautumisen kriisin jälkeen.
"Meillä on omaisuusluettelossa 150 toimintoa ja 6-7 skenaariota jatkuvuudenhallintaan. Näiden avulla löydetään oikeat painopisteet."
9. Raportointi ilman manuaalista työtä
Kaikki Graniten työkalut sisältävät valmiit raportointi- ja visualisointinäkymät, joilla tilannekuva voidaan jakaa johtoryhmälle tai hallitukselle. Poikkeamat, riskit, toteutumat ja kehityskohteet on helppo nostaa esiin yhdellä napin painalluksella – ilman Excel-harjoituksia.
10. Muokattavuus tarpeen mukaan
Webinaarin lopussa nousi tärkeä kysymys: entä jos organisaatiolla on jo oma riskienhallintamalli?
Teppo Kattilakosken mukaan Graniten työkalu mukautuu asiakkaaseen – ei toisinpäin. ”Jos ei ole prosessia, työkalun käyttöönotossa syntyy sellainen. Ja jos on, Granite saadaan mukautettua siihen.”
Yhteenveto
Graniten työkalut auttavat:
- Tunnistamaan ja hallitsemaan kyberturvallisuuslain ja NIS2:n vaatimukset
- Luomaan integroidun tietoturvaprosessin
- Raportoimaan tehokkaasti ja läpinäkyvästi
- Ylläpitämään riskitietoisuutta ja jatkuvuutta organisaatiossa
Graniten asiantuntijat muistuttavat, että pelkkä compliance-asenne ei riitä. Tietoturvaa ei pidä rakentaa vain säännösten vuoksi. Sen sijaan se kannattaa integroida osaksi organisaation johtamista ja prosesseja. Tällöin tietoturvasta tulee tehokasta ja vaikuttavaa.
”Tämä ei ole pelkkä compliance-tick-in-the-box-juttu. Kun halutaan hoitaa prosessit fiksusti, riskienhallinnan työkalut nousevat arvoon arvaamattomaan,” toteaa Teppo Kattilakoski.
Kyse on ajattelutavan muutoksesta, joka tuo tietoturvan aidosti osaksi organisaation toimintakulttuuria.
Haluatko nähdä, miten Graniten työkalu toimii käytännössä?
Graniten asiantuntijat näyttävät mielellään, miten Graniten työkalut voisivat toimia juuri teidän organisaatiossanne. Ota rohkeasti yhteyttä.