Huomio johtoryhmä
ISO 27001 kannustaa johtoryhmää ymmärtämään kyber- ja tietoturvallisuuden vaikutuksista liiketoimintaan. Johtoryhmälle tai hallitukselle kehittyvät teknologiat tuovat haasteita toimintaympäristön tietoturvan kokonaisvaltaiselle ymmärtämiselle ja sitä kautta operatiivisen toiminnan tukemiselle. Tyypillisesti johtoryhmässä jokaisella on oma osaamisalansa eikä kyber- tai tietoturvallisuus ole aina edustettuna omana roolinaan. ISO 27001 edellyttää kuitenkin säännöllistä tietoturvariskien ja muiden organisaation tietoturvalle määrittelemien mittareiden käsittelyä johtoryhmässä tai laajennetussa johtoryhmässä.
Hallituksen agendalle säännöllisesti tiedoksi nostettavien tietoturvamittareiden käsittely on kokemuksemme mukaan harvinaista.
Yhä useampaa toimialaa koskettavat tietoturvasäädökset, joiden noudattamatta jättäminen on uhka liiketoiminnalle. Uusia, liiketoimintaa tukevia, teknologioita käyttöönotettaessa tietoturvallisuus tulisi aina huomioida keskeisenä riskiluokkana. Tästä hyvänä esimerkkinä ovat erilaiset pilvipalvelut, joissa datan sijainnilla on huomattava merkitys. Tietyillä toimialoilla pilvipalvelumurros on edelleen käynnissä.
Teknologiamuutoksen johtaminen
Huomioitavaa on myös, että uudet teknologiat muokkaavat työnkuvia ja voivat tuoda tietoturvaan liittyviä haasteita lähemmäs jokaista tietojärjestelmiä käyttävää työntekijää. Johtoryhmän tulee varmistaa, että operatiivisilla esimiehillä on mahdollisuus ja työkalut tunnistaa muuttuvan työn tarpeet tiimissään.
Johtoryhmän tehtävä on koko organisaation tasolla osoittaa, että työssä kehittymistä tuetaan, ja että tietoturva on osa organisaation toimintamalleja.
Johdon sitoutuminen ja tietoturvan jatkuva kehittäminen ovat keskeinen osa tietoturvallisuuden ISO 27001 standardia.
Henkilöstön osaamisen johtaminen on avainasemassa, kun halutaan pysyä mukana teknologisessa kehityksessä. Yritys pysyy mukana, jos henkilöstölle mahdollistetaan kouluttautuminen uusiin teknologioihin. Tämä edellyttää, että johtoryhmällä on hallituksen ja toimitusjohtajan tukema koulutusbudjetti. Mitä tahansa uutta teknologiaa ei kannata lähteä ottamaan käyttöön ja kouluttamaan, vaan valittavien teknologioiden tulee tukea hallituksen määrittelemää strategiaa.
Kyberstrategian johtaminen
Strategisen johtamisen yhtenä kulmakivenä pidetään ajantasaista tilannekuvaa, jonka perusteella myös tulevaisuuden ennustamista voidaan tehdä. Kyberturvallisuuden osalta ajantasainen tilannekuva on tärkeä myös uusia teknologioita käyttöön otettaessa. Tilannekuvan ylläpitämiseen voi nostaa muistisäännöksi kolme v:tä.
VERKOSTOIDU
VALVO
VARMISTA
Verkostoituminen oman alan muiden toimijoiden tai saman kaltaisten organisaatioiden kanssa on hyvä tapa kuulla, miten muilla menee. Verkostosta saa sekä tietoa että tukea oman organisaation kyberturvallisuuden tilannekuvan kehittämiseen. Verkostoitumista voi tehdä vaikkapa Kyberturvallisuuskeskuksen verkostojen kautta. Verkoston kautta saa myös nopeasti tietoa, mikäli jokin uhka alkaa realisoitua tai kasvaa ja tilannekuvaa pitää päivittää. Verkostojen kautta voi myös osallistua harjoitustoimintaan, jossa organisaation valitsemia toimintakeinoja voidaan testata.
Oikea data - helppo monitorointi
Valvomalla eli monitoroimalla omaa toimintaympäristöä havaitaan poikkeamaindikaattoreita tai muutostrendejä. Tilannekuva pysyy ajantasaisena, kun dataa käytetään hyväksi. Tämä edellyttää, että monitorit on määritelty oikein perustein ja riittävästi dataa saadaan kerättyä. Valvontaan voi myös sisällyttää ulkoisten lähteiden seuraamisen. Valvonta ei ole johtoryhmän asia, mutta johtoryhmän tehtävä on mahdollistaa riittävä valvonta sekä henkilö- että budjettitasolla.
Paraskaan ulkoisiin uhkiin liittyvä tilannekuva ei vastaa todellisuutta, jos oman toiminnan näkökulmaa ei huomioida eli varmisteta.
Riskien säännöllinen arviointi on yksi varmistamisen osa-alue. Varmistamiseksi voidaan laskea myös organisaatiokulttuuriin syntyneitä dokumentoituja prosesseja ja hyviä käytäntöjä erona valvontaan, jossa tarkkaillaan datapohjaisesti poikkeamia tai muutoksia. Olettamalla ei saavuteta todellista tilannekuvaa varautumiskyvykkyydestä, siksi pitää varmistaa, että organisaatio toimii tilannekuvan luomisen mahdollistavalla tavalla.