Sisältöön

Tietoturvallisuus - SecMeter

Ohita valikko
Ohita valikko

Tietoturvallisuus

Yritysturvallisuus > Tietoturvallisuus
Ohita valikko
Tietoturvallisuus



Tietoturvallisuus on keskeinen osa yrityksen turvallisuuskulttuuria, joka keskittyy tiedon saatavuuden, eheyden ja luottamuksellisuuden turvaamiseen.

Riittävää tietoturvatasoa ei ole määritelty lain tasolla eikä oikeustapausten perusteella. Aukottomaan tietoturvaan pyrkiminen voi olla ideaali päämäärä, mutta ei koskaan realistinen tavoite.

Lähtökohtaisesti yrityksen tulee itse arvioida tietoturvatason riittävyys, ottaen huomioon liiketoiminnan laajuus, tietojen merkitys ja tietojen luottamuksellisuus.
Käsitteellä tietoturvallisuus tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta. Tietoturvallisuudella ymmärrettiin aiemmin kaikkia niitä toimenpiteitä, joilla turvattiin ns. tietojenkäsittelyrauha. Käsite kyberturvallisuus vakiintui Suomessa vuoden 2014 alusta, jolloin Kyberturvallisuuskeskus aloitti toimintansa.

Saatavuus (availability)
Yrityksen velvollisuus on huolehtia tietojärjestelmän asianmukaisesta varmistamisesta ja tietojen suojaamisesta vahingossa tai luvatta tapahtuvalta tietojen siirtämiseltä tai hävittämiseltä.

Eheys (integrity)
Yrityksen velvollisuus on suojata tiedot (mm. liikesalaisuudet ja henkilötiedot) vahingossa tai oikeudettomasti tapahtuvailta tietojen muutoksilta. Tallennettujen tietojen tulee säilyä virheettöminä viimeisestä käsittelykerrasta.

Luottamuksellisuus (confidentiality)
Yrityksen velvollisuus on suojata tiedot vahingossa tai luvatta tapahtuvalta tietojen käsittelyltä. Tietoja saavat käsitellä vain ne henkilöt, joiden työtehtävän hoitaminen edellyttää henkilötietojen käsittelyä.

Tunnistus (identification)
Yrityksen velvollisuus on tunnistaa käyttäjä kaikissa tunnistusta edellyttävissä tietojärjestelmissä, kuten esimerkiksi henkilötietoja käsittelevissä järjestelmissä. Tunnistaminen edellyttää asianmukaista käyttövaltuushallintoa ja käytön lokitusta.

Tietoturvallisuus on prosessi
Tietoturva on prosessi siksi, että sen on tuettava yrityksen strategisia tavoitteita. Tietoturvan tulee olla linjassa liiketoimintastrategian kanssa ja mahdollistaa turvallinen kasvu, innovointi ja digitalisaatio.

Jatkuva tietoturvaprosessi auttaa yritystä ennakoimaan riskejä, tekemään perusteltuja investointipäätöksiä ja rakentamaan luottamusta asiakkaiden, kumppaneiden ja muiden sidosryhmien keskuudessa.

Yrityksen näkökulmasta tietoturva on kriittinen osa liiketoimintaa, ei pelkästään tekninen tukitoiminto. Yritysten toiminta perustuu yhä vahvemmin tietojärjestelmiin, dataan ja verkottuneisiin palveluihin. Tässä toimintaympäristössä tietoturvaa ei voida käsitellä yksittäisenä hankkeena tai kertaluonteisena investointina, vaan se on prosessi, joka tukee liiketoiminnan jatkuvuutta, luotettavuutta ja kilpailukykyä.

Mikä on prosessin ja projektin välinen ero
Prosessit ja projektit ovat keskeisiä käsitteitä yrityksen toiminnan suunnittelussa ja johtamisessa. Vaikka molemmat kuvaavat tapoja organisoida työtä ja saavuttaa tavoitteita, niiden luonne, tarkoitus ja aikajänne eroavat merkittävästi toisistaan. Näiden erojen ymmärtäminen on tärkeää, jotta yritykset voivat toimia tehokkaasti ja tarkoituksenmukaisesti.

Prosessi on luonteeltaan yrityksen normaalia operatiivista toimintaa. Se muodostaa osan yrityksen normaalia arkea ja tukee sen liiketoimintaa. Prosessilla ei ole selkeää alkua tai loppua, vaan se pyörii jatkuvasti tuottaen arvoa esimerkiksi asiakkaille, työntekijöille tai muille sidosryhmille. Prosessien tavoitteena on vakaa, ennustettava ja laadukas toiminta, jota kehitetään jatkuvan parantamisen periaatteella. Tyypillisiä esimerkkejä prosesseista ovat palkanmaksu, asiakaspalvelu, laadunhallinta ja tietoturvan hallinta.

Projekti on määräaikainen ja kertaluonteinen kokonaisuus. Sillä on selkeä alku, loppu ja ennalta määritelty tavoite. Projekti käynnistetään yleensä silloin, kun asetettua tavoitetta ei ole mahdollista saavuttaa normaalin operatiivisen työn yhteydessä. Projektille asetetaan aikataulu, budjetti ja resurssit, ja sen päättyessä projekti lopetetaan. Esimerkkejä projekteista ovat uuden tietojärjestelmän käyttöönotto, verkkosivujen uudistaminen tai organisaatiomuutoksen toteuttaminen.

Keskeinen ero prosessin ja projektin välillä liittyy niiden kestoon ja toistuvuuteen. Prosessi jatkuu niin kauan kuin yrityksen liiketoiminta sitä vaatii, kun taas projekti päättyy, kun sen tavoitteet on saavutettu.

Prosessi keskittyy ylläpitämään ja kehittämään olemassa olevaa toimintaa, kun taas projekti keskittyy muutoksen aikaansaamiseen. Prosessissa työ on usein vakiintunutta ja roolit selkeästi määriteltyjä, kun taas projektissa toimintaa ohjaa projektisuunnitelma ja työryhmä kootaan usein väliaikaisesti.

Prosessit ja projektit eivät kuitenkaan ole toisensa poissulkevia, vaan ne täydentävät toisiaan. Usein projektin lopputuloksena syntyy uusi tai parannettu toimintamalli, joka siirtyy osaksi yrityksen pysyvää prosessia. Esimerkiksi uuden järjestelmän käyttöönottoprojekti päättyy, mutta järjestelmän ylläpito ja käyttö jatkuvat osana normaalia prosessia.

Miksi tietoturvan yhteydessä käytetään usein käsitettä projekti
Tietoturvan kehittämisestä pyritään usein tekemään projekteja, koska projektimuoto tarjoaa selkeän ja hallittavan tavan toteuttaa muutoksia osana laajempaa, jatkuvaa tietoturvaprosessia. Vaikka tietoturva itsessään on prosessi, sen kehittämisessä projektit ovat systemaattinen menetelmä saavuttaa asetettu tavoite.

Tietoturva on laaja ja osin abstrakti kokonaisuus, johon kuuluu teknologiaa, ihmisiä, toimintatapoja ja hallinnollisia vaatimuksia. Pilkkomalla kehitystyö projekteiksi yritys voi keskittyä kerrallaan yhteen kokonaisuuteen, kuten uuden tietoturvapolitiikan laatimiseen, tietoturvallisen järjestelmän käyttöönottoon tai varautumissuunnitelman rakentamiseen. Selkeä tavoite helpottaa suunnittelua, toteutusta ja onnistumisen arviointia.

Toiseksi projektimuoto mahdollistaa resurssien ja aikataulujen hallinnan. Tietoturvan kehittäminen vaatii usein merkittäviä investointeja rahaan, osaamiseen ja työaikaan. Projektissa nämä resurssit voidaan määritellä etukäteen, ja niiden käyttöä voidaan seurata systemaattisesti. Tämä on yritysjohdolle tärkeää, sillä se tekee tietoturvapanostuksista läpinäkyviä ja perusteltavia liiketoiminnan näkökulmasta.

Kolmanneksi projektit tukevat muutoksen läpivientiä yrityksessä. Tietoturvan kehittäminen tarkoittaa usein muutoksia toimintatapoihin, vastuihin ja käyttäytymiseen. Projektilla on nimetty vastuuhenkilö, selkeä päätöksentekomalli ja viestintäsuunnitelma, mikä helpottaa muutoksen johtamista. Ilman projektirakennetta tietoturvakehitys voi jäädä hajanaiseksi, eikä kukaan koe omistajuutta kokonaisuudesta.

Lisäksi projektimuoto auttaa vastaamaan ulkoisiin vaatimuksiin ja paineisiin. Lainsäädäntömuutokset, viranomaisvaatimukset, auditointien havainnot tai asiakkaiden tietoturvavaatimukset edellyttävät usein konkreettisia toimenpiteitä tietyn aikataulun puitteissa. Projektit tarjoavat keinon vastata näihin vaatimuksiin hallitusti ja dokumentoidusti, mikä on tärkeää vaatimustenmukaisuuden osoittamisessa.

Tietoturvan kehittämisprojektit mahdollistavat myös mitattavat tulokset ja oppimisen. Projektin päätteeksi voidaan arvioida, onko tavoiteltu parannus saavutettu, ja mitä opittiin prosessin aikana. Nämä opit voidaan siirtää osaksi pysyvää tietoturvaprosessia. Näin projektit toimivat eräänlaisina kehitysaskelmina, joiden avulla tietoturvan kypsyystaso nousee vaiheittain.

On tärkeää korostaa, että projektit eivät korvaa jatkuvaa tietoturvatoimintaa. Niiden tarkoitus on tukea sitä. Tietoturvan kehittäminen projektien avulla mahdollistaa hallitun muutoksen, mutta varsinainen tietoturva syntyy vasta, kun projektien tulokset juurtuvat osaksi organisaation arkea ja jatkuvia prosesseja.

Tietoturvan prosessiluonne
Ensimmäinen keskeinen syy tietoturvan prosessiluonteeseen on yritysten kohtaamien uhkien jatkuva muutos. Kyberuhkat kehittyvät nopeasti, ja hyökkäysten kohteena eivät ole enää vain suuret kansainväliset yritykset, vaan myös pienet ja keskisuuret yritykset.

Hyökkäysmenetelmät, kuten kiristyshaittaohjelmat, tietojenkalastelu ja toimitusketjuhyökkäykset, mukautuvat teknologian kehitykseen ja yritysten toimintamalleihin. Yrityksen on seurattava uhkakenttää jatkuvasti, arvioitava riskejä ja päivitettävä suojauksiaan, jotta tietoturva vastaa jatkuvasti ajankohtaista tilannetta.

Toiseksi tietoturva on prosessi, koska yrityksen liiketoiminta ja tekninen ympäristö muuttuvat jatkuvasti. Uusien järjestelmien, pilvipalveluiden ja digitaalisten työkalujen käyttöönotto tuo mukanaan uusia mahdollisuuksia, mutta myös uusia tietoturvariskejä.

Samalla etä- ja hybridityön yleistyminen on laajentanut yritysten hyökkäyspintaa merkittävästi. Jokainen muutos vaatii riskien arviointia, tietoturvavaatimusten määrittelyä ja käytännön toteutusta, mikä tekee tietoturvasta jatkuvan kehitystyön eikä valmiin lopputuloksen.

Kolmas merkittävä näkökulma on ihmisten rooli yrityksen tietoturvassa. Henkilöstö on usein yrityksen suurin tietoturvariski, mutta samalla myös sen tärkein voimavara. Työntekijöiden toiminta, osaaminen ja asenteet vaikuttavat suoraan siihen, kuinka hyvin tietoturvakäytännöt toteutuvat arjessa.

Koulutus, ohjeistus ja tietoisuuden ylläpitäminen eivät ole kertaluonteisia toimenpiteitä, vaan ne vaativat jatkuvaa panostusta. Yrityksen on varmistettava, että henkilöstö ymmärtää tietoturvan merkityksen omassa työssään ja osaa toimia oikein muuttuvissa tilanteissa.

Lisäksi lainsäädäntö ja sidosryhmien vaatimukset korostavat tietoturvan prosessiluonnetta. Yritysten on noudatettava tietosuojaa ja tietoturvaa koskevia lakeja ja säädöksiä, kuten GDPR:ää, toimialakohtaisia vaatimuksia sekä asiakkaiden ja kumppaneiden asettamia ehtoja.

Nämä vaatimukset muuttuvat ja tarkentuvat ajan myötä, mikä edellyttää jatkuvaa seurantaa, dokumentointia ja toiminnan kehittämistä. Tietoturvaprosessi auttaa yritystä osoittamaan vaatimustenmukaisuuden ja hallitsemaan vastuut systemaattisesti.

Tietoturva on yritykselle myös riskienhallintaa ja liiketoiminnan jatkuvuuden turvaamista. Tietoturvaloukkaukset voivat aiheuttaa merkittäviä taloudellisia tappioita, mainehaittaa ja jopa liiketoiminnan keskeytymisen.

Kaikkia uhkia ei voida täysin estää, joten yrityksen on varauduttava poikkeamiin. Tämä tarkoittaa valvontaa, häiriöihin reagointia, varautumissuunnitelmia ja palautumiskykyä. Jokainen tietoturvapoikkeama tarjoaa myös mahdollisuuden oppia ja parantaa toimintaa, mikä on olennainen osa prosessiajattelua.

Tietoturvallisuudesta kyberturvallisuuteen
Tietotekninen kehitys on johtanut 1990-luvulta alkaen tietojärjestelmien maailmanlaajuiseen verkottumiseen eli globaalin kybertoimintaympäristön muodostumiseen. Tietojärjestelmät on liitetty tavalla tai toisella julkiseen verkkoon, jonka kautta niitä voidaan käyttää ja ylläpitää ajasta ja paikasta riippumatta.

Ennen vuotta 2014 valtionhallinnolta puuttui valmiudet reagoida kyberhyökkäyksiin. Ulkoasiainministeriön kybervakoilutapauksen seurauksena käynnistettiin toukokuussa 2013 valtionhallinnon SecICT-kehittämishanke. Hankkeen tehtävänä oli suunnitella ja pilotoida valtionhallinnon omat GovCERT- ja GovHAVARO-palvelut sekä tietoturvapoikkeamiin reagoiva GovSOC–toiminta.

Toiminta oli tarkoitus käynnistää vuosien 2015 ja 2016 aikana. SecICT-hankkeen määräraha vuodelle 2014 oli 2,9 miljoonaa euroa. Budjettiin sisältyi mm. suunnittelua, kehittämistä ja hankintoja. Valtionhallinnossa toiminnan tavoitteeksi asetettiin valmius muodostaa ja jakaa ajantasainen kyberturvallisuuden tilannekuva. Toiminnan pääpaino oli kuitenkin tietoturvapoikkeamien ennaltaehkäisyssä ja varhaisessa reagoinnissa.

VM allekirjoitti sopimuksen Viestintäviraston tietoturvapalveluiden hankkimisesta 30.1.2014, jonka mukaan VM ostaa Kyberturvallisuuskeskukselta tietoturvapalveluja vuosittain enintään 1,1 miljoonalla eurolla.

  • GovSOC–palvelun tehtävänä on tuottaa tavoitteiden saavuttamiseksi tarvittavat ympärivuorokautiset (24/7) kyberturvallisuuden operatiiviset palvelut.
  • GovCERT-palvelun tehtävänä on tuottaa tietoturvaloukkausten ennaltaehkäisy, havainnointi ja ratkaisun tukipalvelut.
  • GovHAVARO–palvelun tehtävänä on tuottaa tietoliikenteen teknisten tietoturvaloukkausten havainnointi ja varoituspalvelut.
  • GovHUOVI–palvelun tehtävänä on tuottaa valtion tietoturvallisuuden tilannekuva- ja raportointiportaalipalvelut.

Lähde: Valtiovarainministeriö, tiedote 31.1.2014

Havaro järjestelmä ei ole suinkaan aukoton. Havaroon ei voi viedä vakoilun ja vihamielisen valtiollisen toiminnan havaitsemiseksi välttämättömiä tunnisteita. Tämän toiminnan havaitsemiseksi tarvittavat tunnisteet ovat korkean suojaustason tietoa, jota vaihdetaan ainoastaan osana turvallisuus- ja tiedustelupalveluiden kansainvälistä yhteistyötä. Kyberturvallisuuskeskus ei ole tällaisessa toiminnassa osapuolena.

Kybertoimintaympäristöstä aiheutuvia uhkia on erittäin hankala hallita vaarantamatta kyberympäristöjen käytettävyyttä ja palvelukykyä. Kyberympäristöissä ei ole mahdollista saada aikaan täyttä varmuutta tietojen saatavuudesta, eheydestä ja luottamuksellisuudesta.

Riittävän tiedon, asianmukaisten päätösten ja ratkaisujen pohjalta on kuitenkin mahdollista saavuttaa asianmukainen kyberturvallisuustaso. Kybertoimintaympäristössä mm. proaktiivinen IDS-ratkaisu ja reaktiivinen SIEM-järjestelmä ovat osoittautuneet välttämättömiksi kyberturvallisuuden hallintavälineiksi.

Tietoturvallisuustyö
Tietoturvallisuustyö liittyy yrityksen toimintojen kehittämiseen. Monimuotoisten teknologisten ratkaisujen ja inhimillisten virheiden aiheuttamat ongelmat korostuvat tulevaisuuden kyberympäristöissä. Muuttuvassa liiketoimintaympäristössä tietoturvallisuuden kehittämistyöstä on muodostunut prosessi, joka edellyttää yritykseltä selkeää visiota.

Liikkeenjohtamisjärjestelmät eivät suoranaisesti huomioi tietoturvallisuuden tarpeita, mutta parhaimmillaan tietoturvallisuus tukee omalta osaltaan saumattomasti yrityksen johtamista ja taloutta. Johtamisjärjestelmän tehtävänä on varmistaa yrityksen strategisten tavoitteiden saavuttaminen ja operatiivisen toiminnan tehokkuus. Tietoturvallisuustyö edistää näitä tavoitteita.

Hallinnollinen tietoturvallisuustyö
Hallinnollisen tietototurvallisuustyön tehtävänä on luoda ja ylläpitää tietoturvakulttuuri, joka vastaa yrityksen ylimmän johdon toiminnoille asettamia vaatimuksia. Hallinnollisen tietoturvallisuustyön rooli on olennainen tietoturvallisuuden hallintajärjestelmän rakentamisessa ja ylläpidossa sekä siihen liittyvien prosessien määrittelyssä teknisten ratkaisujen ohella. Hallinnolliseen tietoturvaan liittyvät mm. seuraavat asiat:

  1. Yrityksen tietoturvavastuiden ja roolien määrittäminen sekä hyväksyttäminen ylimmällä johdolla.
  2. Tietoturvallisuuden hallintajärjestelmän luominen ja ylläpito.
  3. Tietoturvallisuuden ohjausasiakirjojen toteuttaminen ja ylläpito.
  4. Lainsäädännön seuranta ja huomiointi tietoturvallisuuden hallinnollisissa ja teknisissä ratkaisuissa.
  5. Tietoturvallisuuden auditoinnin ja valvonnan järjestelyt.
  6. Tietoturvallisuustason poikkeamien raportointi suhteessa johdon asettamaan tavoitetilaan.
  7. Tietoturvakoulutuksen toteutus.
  8. Tietoturvallisuudelle välttämättömien yhteistyöryhmien perustaminen.
  9. Henkilötietojen käsittelyn organisointi ja valvonta tietosuojalain edellyttämällä tavalla.
  10. Ammatillisen osaamisen ylläpito osallistumalla tarpeellisiin koulutuksiin ja yrityksen edustaminen tietoturvallisuutta käsittelevillä foorumeilla.

Näkökulmia parempaan tietoturvaan

Johtamisnäkökulma

    • ohjaa esimiehiä keskittymään oikeisiin asioihin,
    • selkiyttää johtamisrooleja ja vastuita sekä
    • varmistaa yrityksen johtamisfoorumien tehokkaan toiminnan.

Yrityskulttuurin näkökulma
Linjausten ja ohjeistusten (ohjausasiakirjojen) avulla yritys pyrkii ohjaamaan sisäisiä käytäntöjään niin, että kyberympäristön tietoja käytetään asianmukaisesti yhteisesti sovittujen periaatteiden mukaisesti. Tällaista yhtenäistä toimintatapaa ja asiaintilaa kutsutaan tietoturvakulttuuriksi. Tietoturvakulttuuri edistää parhaimmillaan yrityksen ja sen sidosryhmien välistä luottamuksen ilmapiirinä

Juridinen näkökulma
Kaikilla yrityksillä on velvollisuus suojata henkilötietonsa ulkopuolisilta ja huolehtia yrityssalaisuuksien salassapidosta. Useilla organisaatioilla (julkishallinto) on myös tavanomaista laajempia velvollisuuksia noudattaa tietojen käsittelyssä hyvää tiedonhallintatapaa (julkisuuslaki) ja erityislaeissa säädettyjä tietoturvallisuusvelvoitteita. Näin ollen tietoturvallisuus on myös nähtävä lain ja määräysten velvoitteiden toteuttajana.

Palvelunäkökulma
Yrityksen palveluprosessien kehittämisen näkökulmasta tietoturvallisuus on joukko palvelu- tai liiketoimintaprosessiin liittyviä ominaisuuksia, jotka liittyvät saumattomasti yrityksen sisäisiin ja ulkoisiin palveluihin. Tietoturvallisuus on paitsi palveluun liittyvä ominaisuus myös palvelu- tai liiketoiminnan jatkuvuuden turvaamisen kulmakivi.
Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Takaisin sisältöön