TEKNIIKKA MAHDOLLISTAA ORGANISAATION TOIMINNAN TURVAAMISEN VAIN OSITTAIN
Jos tietoturvallisuus organisaatiossa mielletään pelkästään tekniikaksi ja ihmisen vaikutus tietoturvallisuuteen jätetään huomiotta, ei myöskään tunnisteta isoa osaa tietoturvariskeistä. Riskien tunnistamista ja ymmärtämistä organisaatioissa saattaa myös haitata se, että tietoturvallisuuteen käytetyt resurssit harvoin tuottavat suoraa hyötyä sijoitetulle pääomalle tai tuottavat suoraa kassavirtaa organisaatioon. Tietoturvallisuutta ei välttämättä mielletä tärkeäksi liiketoiminnalle, jolloin sen kehittäminen saattaa jäädä heikoksi.
Tietoturvariski tarkoittaa tietoturvauhkan toteutumisen todennäköisyyttä ja mahdollisen vahingon merkittävyyttä. Tietoturvariskien tiedostamiseen eli tunnistamiseen ja ymmärtämiseen, vaikuttavat käyttäjien yleinen tietoturvatietoisuus ja tietotekniset taidot. Tietoturvatietoisuutena voidaan pitää sitä, että käyttäjä ymmärtää tietoturvallisuuden merkityksellisenä esimerkiksi työnsä kannalta sekä tunnistaa tietoturvallisuuteen kohdistuvia uhkia ja riskejä.
- Työtä tehdään kaikkina kellonaikoina ja usein varsinaisen toimipisteen ulkopuolella
- Pilvipalveluiden myötä osa IT-palveluista on organisaation turvatoimien ulottumattomissa
- Yksilön on ymmärrettävä tietoturvallisuuden merkitys kaikessa toiminnassaan
- Yksilön vastuu omasta tekemisestään kasvaa
- Yrityksen on ymmärrettävä yksilön toimintaa
YRITYSTEN JA YHTEISÖJEN HENKILÖSTÖ ON SUURI TIETOTURVALLISUUSRISKI
Sisäisten uhkien tunnistaminen ja niiden torjunta on haasteellista, sillä niihin liittyy lähes poikkeuksetta ihminen. Paras tapa torjua sisäisiä uhkia on synnyttää organisaationlaajuinen tietoturvallisuuskulttuuri.
Kulttuurin syntymisen kannalta huomioitavaa:
- Kommunikoidut, ymmärrettävät ja realistiset tavoitteet
- Henkilöstön arvomaailman tunteminen
- Henkilön tietoturvallisuustietoisuuden tason tunteminen
- Henkilön ymmärrys ja osaaminen
- Jatkuva seuranta ja korjaavat toimenpiteet
Käyttäjät saadaan uskomaan tietoturvariskeihin lisäämällä tietoturvatietoisuutta. Lisäksi organisaation tietoturvakulttuurin tulee tukea ja edellyttää tietoturvallisuuden toteutumista käytännössä. Sekä tietoturvatietoisuuden lisäämisessä että tietoturvakulttuurin luomisessa käyttäjien koulutus on avainasemassa.
Arvomaailmamme suuntaa toimintaamme ja positiiviset kokemukset muokkaavat ihmistä haluttuun suuntaan. Uusi suunta tulisi kiinnittää ihmisen olemassa oleviin arvoihin ja toimintaan.
Muutama sana arvoista
- Arvot suuntavat tavoittelemisen ja motivoivat toimintaa
- Arvot tuovat näkyviin sen, minkä hyväksi ihmiset ovat valmiita tekemään työtä
- Arvojen sisäistäminen merkitsee sitoutumista, joka puolestaan ohjaa ihmisen käyttäytymistä
- Arvojensa ohjaamana ihminen voi myös toimia toisin kuin hän ”luonnostaan” toimisi
- Arvoihin sitoutunut ihminen kykenee siis toimimaan vastoin omaa välitöntä haluaan
- Arvopohja antaa välineet mistä narusta vetäen saadaan todennäköisemmin halutut tulokset
Näistä syistä arvojen kautta johdettu koulutus on erittäin tehokasta!
FORDIONE OY TARJOAA HALLINNOLLISEEN TIETOTURVAAN JA PROSESSIEN KEHITTÄMISEEN LIITTYVIÄ RATKAISUJA
- Tietoturvallisuuden Toiminnanohjaus™, eli lähestyminen standardien, liiketoimintaprosessien ymmärryksen, ihmisten ja kustannusten kohdentamisen kautta
- Ihminen ja ihmisen tekeminen keskeisessä roolissa
- Laaja-alainen ja tasapainon takaava lähestyminen tietoturvallisuuden kehittämiseen
Toimintaan liittyvät avainsanat
- Reseptiohjattavuus (joko yleinen ja/tai osa-aluekohtainen analysointi- ja kehitysmalli)
- Määrämuotoisuus (ISO27001, ISO27002, RACI, CMMI, VAHTI)
- Tehokkuus
- Nopeus
- Mitattavuus
- Kohdennettavuus
Lopputuloksena on selkeä kuva tietoturvallisuuden kypsyystasosta sekä priorisoitu listaus kehityskohteista.
Kaikki käsitellyt osa-alueet kirjataan tietotilinpäätökseen, joka vastaa EU:n tietosuoja-asetuksen tilintekovelvollisuusvaateeseen ja varmistaa, että tietoturvallisuus on johdon agendalla.
Haluatko lisätietoja? Soita meille tai jätä yhteydenottopyyntö TÄSTÄ