Picture of Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

Julkaisemme sarjan blogikirjoituksia, joissa käsitellään tietoturvallisuuden johtamista ja tietoturvaprosesseja. Luvassa on hyödyllistä asiaa kaikenkokoisille yrityksille, joilla on hallussaan luottamuksellista tietoa — missä tahansa muodossa — ja halu suojata niitä sekä tarve osoittaa suojaamisen tärkeys omassa liiketoiminnassaan.

Erityisesti toivomme viestimme tavoittavan tuotekehitystaloja, finanssialan toimijoita, ohjelmistoyrityksiä ja tahoja, jotka palvelevat itseään suurempia asiakkaita. Uskomme, että jakamamme tieto on hyödyksi uusien asiakkaiden hankinnassa, luottamuksen luomisessa, yrityskauppa- ja fuusiojärjestelyissä ja hedelmällisten asiakassuhteiden ylläpitämisessä.

Tietoturvan johtamisen keskittäminen kannattaa

Tietoturvan johtamisjärjestelmän (ISMS) perustaminen ja sen mukaan toimimisen edut ovat kiistattomia. Tärkeänä osana johtamisjärjestelmää ovat prosessit ja dokumentoidut toimintatavat. Ne auttavat tietoturvallisen ja riskilähtöisen tekemisen parantamisessa ja optimoinnissa, turvaavat tärkeiden toimintojen keskeytymättömän jatkumisen yrityksen muutosvaiheissa ja vähentävät päällekkäistä tekemistä.

Johtamisjärjestelmä – tai tietoturvan hallintajärjestelmä – on määrämuotoinen tapa kerätä yhteen kaikki tietoturvaan liittyvät aktiviteetit, toimia hallitusti – ja näyttää tämä ulospäin.

Monissa yrityksissä tietoturvanäkökohtia on yleensä jollain tavalla jo huomioitu käytännön tasolla, mutta niiden tehokkuutta tai vaikutusta ei kyetä asianmukaisesti mittaamaan — eikä tällöin myöskään hyödyntämään niiden tuottavuutta täysimääräisesti. Yrityksellä saattaa jo olla aiemmin kirjoitettua, enemmän tai vähemmän jäsenneltyä tietoturvadokumentaatiota — ehkä tehtynä johonkin yksittäiseen tarpeeseen tai tiettyä, jo mennyttä projektia varten. Oikealla johtamisella myös nämä olemassa olevat materiaalit ja käytännöt voidaan valjastaa hyötykäyttöön.

Prosessien kuvaamisessa ja erityisesti niiden toteuttamisessa on tärkeää osoittaa että prosessi on jatkuva ja että vuositasolla on toistuvia ja järjestelmällisiä aktiviteetteja. Osoittamisen lisäksi on tietenkin tärkeää myös toimia omien toimintamallien mukaisesti joka tilanteessa. Tietoturva on osa laatua ja laatulupausta.

Kilpailuetu
Tuomme aina esille tietoturvan kilpailuedun. Ymmärrämme että tietoturva on kustannuserä - tosiasiallisesti näin tulee aina olemaan. Tietoturva on kuin vakuutus, sillä hallitaan riskejä. Mutta olisi yksinkertaisesti tyhmää olla ottamatta kaikkia etuja irti tietoturvasta.
Laki ja regulaatio
Jokainen joutuu noudattamaan lakeja ja regulaatiota. Jotkut tietetenkin enemmän kuin toiset. Jotkut melkein hukkuvat siihen. Mutta kukaan ei rakasta regulaatiota. Me osaamme ottaa tästä ilon irti. Se näkyy lopputuloksissa.
Clousaa diili
Ostaja haluaa ostaa tuotteesti. Ostajaa kiinnostaa tuotteesi lisäksi mielenrauha - tieto siitä, ettei hän ostajan tee mitään tyhmää. Yksi suurimmista tyhmyksistä mitä ostaja voi tänä päivää tehdä, on ostaa jotain tietoturvatonta. Tee ostaminen helpoksi ja osoite olevasti tilanteen tasalla ja turvallinen kumppani. Asiakkaasi nukkuu yönsä paremmin.

Ja sinä clousaat diilin.

Standardin mukaisesti ja omannäköisesti

Kuka tahansa voi kutsua itseään, toimintaansa ja tuotteitaan tietoturvalliseksi. Mutta vasta konkreettiset dokumentoidut prosessit, valvotut ja toimivat kontrollit sekä ajanmukaiset raportit todistavat väitteen oikeaksi. Mint Security tuntee muun muassa ISO/IEC 27001:n ja siihen liittyvät ”apustandardit”. Me autamme rakentamaan johtamisjärjestelmän, joka on standardin mukainen ja myös juuri teidän yrityksenne näköinen ja kokoinen. Sertifioituminen ei ole lähtökohta, vaan lähtökohta on uskottavan näköinen tietoturva joka ei ole kotikutoinen. Mikäli yrityksenne myöhemmin päättää sertifioitua tai ryhtyy vaikkapa käymään kauppaa sertifioidun yrityksen kanssa, voitte johtamisjärjestelmän avulla osoittaa jo yhteistyön varhaisessa vaiheessa toimivanne oikealla tavalla.

Meillä on vahvaa osaamista ja käytännön kokemusta mm. finanssialalta, joten tiedämme tasan tarkkaan mistä puhumme, emmekä anna tuhdeimmankaan regulaatiovarjostimen himmentää loistoamme.  Isoista kuvioista skaalaudumme alaspäin myös esim. tuotekehitys- ja softakehitystaloihin, jossa myyjän ja ostajan kokoluokkaerot voivat olla mittavia. 

Pysy siis kuulolla ja poimi blogeista hyvät eväät tietoturvan järjestelmälliseen kehittämiseen.

Työtapamme

Monta viitekehystä - yksi työ
Käytämme viitekehyksiä hyväksemme. Meillä on valmiit käytännöt eri standardien ja vaatimuskehysten rinnakkaisvertailuun. Pyrimme tekemään asioita kerran, kunnolla - ja osoittamaan asioiden olevan kunnossa monesta eri näkökulmasta.
Regulaatio ja standardit
Toimimme hyvin eri regulaatioiden ja standardien syövereissä. Skaalaudumme erityisesti alaspäin, siten että myös pienet yritykset voivat saada hyötyä virallisista standardeista - hukkumatta byrokratiaan. Tämä on itse asiassa yksi useimmiten eteen tuleva case.
Parhaimmat käytännöt
Toteutamme standardeja ja regulaatiota, mutta hyödynnämme aina markkinoilla olevia valmiita aihioita ja työkaluja. Sovitamme yhteen yrityksen työtavat, hyvät käytännöt sekä viralliset standardit.

ISMS projektin ensimmäiset askeleet

ISMS tai ISO27001 -projekti voi lähteä hyvin erilaisista lähtökohtista liikkeelle. Jotkut ovat tutustuneet standardiin, jotkut jo kirjoittaneet ensimmäisiä dokumentteja – joillekin taas tämä on ensikosketus ylipäätään mihinkään määrämuotoiseen tietoturvatyöskentelyyn.

Lue lisää »
Mint Security people

Tietoturvaprosessit

Tietoturvaprosessien kehittäminen & ISMS Tietoturvaprosessien kehittäminen lyhyesti Tietoturva liittyy olennaisena osana sekä ylläpidon että kehityksen eri vaiheisiin aina hankintapäätösten valmistelusta tuotannon ylläpitoon tai ulkoistamiseen. Tietoturvaprosesseja

Lue lisää »
Picture of Saku Tuominen

Saku Tuominen

Author works as information security and privacy specialist at Mint Security. He brings two decades of professional experience to the table.

ota yhteyttä

Pyydä rohkeasti lisätietoa. Vastaamme todennäköisesti nopeammin kuin osasit kuvitella.