03 touko Tietoturvallisuuden kokonaisuus yrityksissä ja organisaatioissa
Yrityksissä ja organisaatioissa suojataan usein liiketoiminnan kannalta oleellisia tietoja ja henkilötietoja erilaisilla teknisillä ratkaisuilla ja tietoturvallisuuteen liittyvä kehitys painottuu usein myös näihin teknisiin tietoturvahankintoihin, joita tehdään tietohallinnon tai IT-toimijoiden toimesta. Tietoturvallisuutta tulee kuitenkin johtaa liiketoimintajohteisesti ja huomioida, että tekninen tietoturvallisuus on tärkeä, mutta vain yksi osa kokonaistietoturvallisuutta.
Tietoturvallisuuden kokonaisuus muodostuu seuraavista osa-alueista:
- Yrityksen tai organisaation tietoturva- ja tietosuojaperiaatteet sekä viranomaisvaatimukset
- Tietoturvan ja tietosuojan riskienhallinta ja hallintakeinot
- Tietoturvaan ja tietosuojaan liittyvät prosessit ja toimintatavat
- Tekniset ratkaisut
Jos yrityksen tai organisaation tietoturvallisuutta kehitetään vain yksittäisiä teknisiä tietoturvaratkaisuja hankkimalla ja toimitaan niiden hankinnassa ns. ad hoc -tyyppisesti, lähtee tietoturvallisuuden hallinta väärästä suunnasta. Tietoturvallisuuden johtamisen ja hallinnan tulee lähteä ylhäältä alaspäin eikä toisinpäin. Pahimmillaan teknisen ratkaisun hankintatilanne myös aloitetaan ratkaisutoimittajan yhteydenoton seurauksena, jolloin hankinta saattaa jäädä kokonaan pohtimatta yrityksen tai organisaation oman toiminnan ja kriittisten tietojen suojaustarpeiden näkökulmasta. Tällaisissa tilanteissa on se vaara, että tekniset tietoturvahankinnat eivät ole oikeanlaisia vaan ne saattavat olla ali- tai ylimitoitettuja eikä niillä välttämättä suojata toiminnan kannalta edes kaikkein oleellisimpia tietoja. Lisäksi pelkkiä teknisiä ratkaisuja hankkimalla saattaa muodostua harhakuva, että yrityksen tai organisaation kokonaistietoturvallisuus on kunnossa, vaikka panostukset kohdistuvat vain tietoturvallisuuden yhteen osa-alueeseen eikä tätäkään osa-aluetta ole kokonaiskartoitettu riskienhallinnan näkökulmasta.
Yritysten ja organisaatioiden digiympäristöt ovat laajoja ja koko ajan muuttuvia yhteyksien, laitteiden ja järjestelmien kokonaisuuksia. Yritysten ja organisaatioiden toiminta on myös kokonaan sekä oman että yhteistyökumppaneiden digiympäristöjen varassa, joten näitä kokonaisuuksia tulisi johtaa ja kehittää jatkuvasti sekä toimivuuden että turvallisuuden näkökulmasta.