Tietoturvasuunnitelma
Onko teillä olemassa tietoturvasuunnitelma? Tässä kirjoituksessa käsitellään tiivistetysti se miten tietoturva määritellään, miten se voidaan jaotella eri osa-alueisiin, mitä tietoturvasuunnitelman tulisi sisältää ja mistä sen tekeminen kannattaa aloittaa. Kirjoituksen lopussa on linkki oppaaseen tietoturvasuunnitelman sisällöstä.
Yrityksen tärkein omaisuus on tieto
Lähdetäänpä sitten liikkeelle. Tieto on kaiken keskiössä. Tiedon tulee olla luotettavaa, oikeassa muodossa ja nopeasti saatavissa vain oikeille henkilöille. Kuulostaa yksinkertaiselta, eikö? Periaatteessa kyllä, mutta aina kannattaa ottaa huomioon, että kaikenlaiseen yritystoimintaan liittyy aina riskejä ja kyse onkin ennemminkin siitä, että minkälaisia riskit ovat, mihin ne vaikuttavat, miten niitä analysoidaan ja arvioidaan. Riskit ovat läsnä jokaisessa tietoturvan osa-alueessa.
Miten tietoturva määritellään?
Tietoturvan perusmääritelmä menee esimerkiksi näin.
- Luottamuksellisuus: Tiedot ovat vain niihin oikeutettujen henkilöiden käytettävissä.
- Käytettävyys : Tiedot ovat saatavissa oikeassa muodossa ja riittävän nopeasti.
- Eheys: Tiedot pitävät paikkansa eivätkä sisällä tahallisia tai tahattomia virheitä. Eheydellä voidaan myös tarkoittaa sitä, että tietoihin ei ole muutettu, poistettu tai lisätty mitään.
- Todennus: Varmistetaan, että osapuolet ovat niitä, joita sanovat olevansa. Esimerkiksi sähköisessä kaupankäynnissä ja pankkipalveluissa on aina tärkeää tietää, kuka toinen osapuoli on.
- Kiistämättömyys: Lähettäjä tai vastaanottaja ei voi kiistää olleensa mukana tapahtumassa, jossa on vaihdettu tietoja.
- Pääsynvalvonta: Käyttäjien pääsyä koneessa olevaan tietoon rajoitetaan ja valvotaan.
Tietoturva on laaja kokonaisuus
Ensinnäkin kannattaa muistaa hengittää. Tietoturva on laaja kokonaisuus ja siksi suosittelemme lähestymään tietoturvaa pienempinä osa-alueina. Tämä helpottaa huomattavasti asian käsittelyä. Kaikkea ei tarvitse hallita kerrallaan.
Tietoturva voidaan jaksaa kahdeksaan eri osa-alueeseen.
- Hallinnollinen turvallisuus
- Fyysinen turvallisuus
- Henkilöturvallisuus
- Tietoaineistoturvallisuus
- Ohjelmistoturvallisuus
- Laitteistoturvallisuus
- Tietoliikenneturvallisuus
- Käyttöturvallisuus
Mistä tietoturvasuunnitelman tekeminen kannattaa aloittaa?
Askel ja asia kerrallaan. Se on hyvä ohjenuora. Aloita tietoturvasuunnitelman luonti nykyisen tietoturvan tason kartoituksella. Kartoituksen voi aloittaa konkreettista asioista, kuten tarkastamalla yrityksen toimitilat ja laitteistojen sijainnit. Muista kirjata asiat, mahdolliset ongelmat ja puutteet ylös välittömästi. Suosittelemme myös kuvien ottamista. Dokumentoi, dokumentoi ja vielä kerran dokumentoi.
Parhaat tulokset saadaan aikaan, kun käytössä on teknisen puolen lisäksi terve järki, ymmärrettävät ja selkeästi laaditut ohjeet (myös ongelmatilanteita varten) sekä säännöllisesti järjestettävät koulutukset.
Lataa opas tietoturvasuunnitelman sisältöön
Voit halutessasi ladata PDF-muodossa olevan oppaan, jossa käydään läpi tietoturvan eri osa-alueiden kautta, mitä tietoturvasuunnitelman tulisi sisältää.
Huom. Lataaminen ei lisää sinua automaattisesti mihinkään kontaktilistoille tai ylipäänsä minnekään muuallekaan seurantaan.