Tietoturvan vaiheet yrityksessä.

06.06.2020

Minkä tahansa asian opiskelun aloittaminen tuntuu työläältä ja vaikealta kun urakkaa katsoo ylöspäin. Ei ole myöskään järkevää katsoa alaspäin tiettyä osaamista tai tietotaitoa. Tietoturvassa ei lähtökohtaisesti  ole kyse hienoista ohjelmista, rooleista, titteleistä tai  stantardeista. Ne tulevat kuvaan mukaan vasta myöhemmässä vaiheessa. On toki hienoa, jos näihin asioihin halutaan yrityksessä panostaa.

Tietoturvapolitiikan aloittaminen teknisellä toteutuksella on paitsi kallista, myös väärä tapa hoitaa turvallisuutta, koska turvallisuuden lähtökohtana ovat ajatusmallit. Yritys koostuu aina ihmisistä ja ihmisillä on eriäviä mielipiteitä asioista. Myöskin vastuun siirtäminen IT-osastolle turvallisuudesta on huono lähestymistapa koska ketju on aina niin vahva kuin sen heikoin lenkki.

Me tietoturvaihmiset olemme kuuluisia siitä että kiellämme aina kaiken kiinnostavan ja hyvän yrityksissä. Sekään ei ole oikein tehty, koska yrityksen johdolla on vastuu yrityksen suunnitelmista ja tulevaisuuden visiosta. Ennen kuin edes voidaan miettiä toimintatapojen muutosta, on ensiarvoisen tärkeää että yhteistyö eri osastojen ja johdon välillä on saumatonta ja ketterää. Tämän asian kanssa painivat isotkin yritykset, kun ei asioita hio timantiksi alkuvaiheessa niin isossa ja laajassa toiminnassa paketti uhkaa levähtää tietoturvapoikkeaman tullen totaalisesti käsiin. Eli yhteistyön mallit ja toimintatavat ensin kuntoon!

Kun yrityksen kulttuuri on riittävän hyvällä tasolla ja yhteistyö osastojen välillä toimii on aika siirtää katse tietoturvan perusteisiin. Tämä ei ole vielä siis vaihe missä tilataan kalliita IDS-järjestelmiä tai incident response teamia. Tässä vaiheessa jokaisen eri osaston roolit tulee määritellä tarkkaan tietoturva poikkeaman varalta, nyt on myös aika tarkistaa yrityksen kriittiset autetikaatiojärjestelmät, kouluttaa henkilöstöä, sekä pohtia uhkamallinnusta, tässä muutamia toimenpiteitä mutta nämä asiat ovat myös hyvin yrityskohtaisia.

Viimeisenä perusvaiheena voidaan sitten pitää tarkempia suunnitelmia järjestelmistä, ohjelmista, yhteistyökumppaneista. Ja kun yritys on päässyt tähän vaiheeseen alkaa kaikki alusta. Tietoturva  on jatkuva prosessi yrityksen kulttuurin tehostamista, kouluttamista, ohjelmien testaamista, sekä uhkien havainnointia. Ajan ilmiöitä pitää seurata ja ajatella turvallisuutta kokonaisuutena: yksittäisen työntekijän toimista, mannerten välisten verkkojen suojaukseen. Kaukana ovat valitettavasti ne ajat jolloin sisäverkon palomuuri oli riittävä työkalu ja toimenpide hyökkäyksien torjumiseeen.

Kun asiat pilkkoo pienemmiksi ja tekee askel askeleelta pieniä tekoja, voi ajan päästä huomata ison kehityksen!

Tietoturvallisin terveisin

Antti