Mikä on tietoturvapolitiikka?
Onko tietoturvapolitiikka pakollinen tehtävä, joka rastitaan tehtävälistalta ja haudataan syvälle intraan – piiloon henkilöstön katseilta? Ei toki.
Kirjoittaja
Tuomas Karhula
Ensisilmäyksellä
Tietoturvapolitiikka ei ole pölyttyvä pakollinen paha, vaan yrityksen kirjallinen tahtotila sille, miten tietoa suojataan ja miten arjen pelisäännöt toimivat. Se toimii sisäisenä ohjenuorana ja luottamuksen osoituksena ulospäin asiakkaille. Onnistunut politiikka on johdon omistama, yrityksen omiin riskeihin pureutuva ja jatkuvasti päivittyvä – esimerkiksi tekoälyn tuomat muutokset huomioiva – työkalu, joka näkyy suoraan tavassa tehdä töitä.
Tietoturvapolitiikka kertoo yrityksen tietoturvan tahtotilan: miten asioiden pitäisi toimia, miten niiden halutaan toimivan ja mitä sillä tavoitellaan.
Ajattelin hieman avata tätä asiaa, koska tämä kuitenkin kuuluu sarjaan ”kaikkien pitäisi tietää”, mutta siitä monesti on tehty liian mystistä.
Mitä tietoturvapolitiikka tarkoittaa?
Tietoturvapolitiikka on yrityksen yhteinen, kirjallinen linjaus siitä, miten tietoja suojataan ja miten tietoturvaa kehitetään.
Se määrittelee periaatteet, vastuut ja pelisäännöt, joiden avulla varmistetaan, että tiedot pysyvät luottamuksellisina, eheinä ja saatavilla. Samalla se kuvaa, miten yritys täyttää sitä koskevat vaatimukset ja kehittää tietoturvaa.
NOSTO: Tietoturvapolitiikka on siis yksinkertaisimmillaan kuvaus siitä, miten kaiken pitäisi toimia, miten kaiken halutaan toimivan ja mitä sillä tavoitellaan.
Mihin tietoturvapolitiikkaa tarvitaan?
Tietoturvapolitiikan ensisijainen tarkoitus on toimia yrityksen ohjenuorana tietoturvallisessa työarjessa.
Kun linjaukset on kirjattu selkeästi, ne vähentävät epävarmuutta ja varmistavat, että toimintatavat ovat yhtenäisiä. Ilman tätä tietoturva rakentuu helposti yksittäisten käytäntöjen ja hiljaisen tiedon varaan.
Politiikalla on kuitenkin myös toinen rooli. Se toimii keinona osoittaa ulospäin, miten tietoturva on organisaatiossa hoidettu.
Tämä konkretisoituu usein tilanteissa, joissa asiakas tai yhteistyökumppani pyytää nähtäväksi tietoturvakäytännöt. Sama tulee vastaan myös auditoinneissa ja sopimusneuvotteluissa. Tällöin hyvin tehty tietoturvapolitiikka toimii todisteena siitä, että tietoturvaa johdetaan suunnitelmallisesti.
Miksi tietoturvapolitiikka on tärkeä yritykselle?
Tietoturvapolitiikka on organisaation tietoturvan perusta, joka ohjaa koko henkilöstön toimintaa ja varmistaa kriittisen tiedon eheyden, luottamuksellisuuden sekä saatavuuden. Tämän selkeän viitekehyksen avulla yritys pystyy hallitsemaan riskejä järjestelmällisesti, turvaamaan liiketoimintansa jatkuvuuden poikkeustilanteissa ja rakentamaan luottamusta asiakkaiden sekä sidosryhmien suuntaan
Tarvitseeko jokainen yritys tietoturvapolitiikan?
Tietoturvapolitiikka ei ole pakollinen kaikille yrityksille, mutta kaikki yritykset hyötyvät siitä.
Mitä enemmän yrityksessä käsitellään tietoa, käytetään digitaalisia järjestelmiä tai toimitaan osana laajempaa kokonaisuutta, sitä tärkeämmäksi tietoturvan hallinta nousee. Vaatimuksia tulee usein myös asiakkailta, sopimuksista tai lainsäädännöstä.
Keskeinen kysymys ei ole, tarvitaanko politiikkaa, vaan millaisena se kannattaa toteuttaa, jotta se tukee toimintaa.
Kuka vastaa tietoturvapolitiikasta?
Yrityksen johto vastaa tietoturvasta ja tietoturvapolitiikasta. Sen voi toteuttaa IT-osasto tai ulkopuolinen konsultti, mutta vastuu tietoturvasta ei koskaan siirry johdolta.
Toimiva politiikka on johdon hyväksymä, ja sen toteutumista seurataan samalla tavalla kuin muitakin liiketoiminnan kannalta keskeisiä asioita. Ilman tätä se jää helposti irralliseksi dokumentiksi, jolla ei ole todellista vaikutusta.
Kenelle tietoturvapolitiikka on tarkoitettu?
Tietoturvapolitiikka on tarkoitettu koko yritykselle. Johto käyttää sitä suunnan määrittämiseen, IT tietoturvatyön perustana ja henkilöstölle se toimii ohjeena arjen tilanteissa.
Lisäksi se toimii viestinä ulospäin siitä, miten tietoturva on organisaatiossa hoidettu.
Karhulan esimerkki elävästä elämästä
Konsultti teki erinomaisen tietoturvapolitiikan. Se on selkeä, yksinkertainen ja ymmärrettävä. Ja siinä puhutaan fakseista ja siitä, että sähköposti yleistyessään voi tuoda riskejä toimistoympäristölle. Kekkonen saattoi olla presidenttinä. Ei nyt ihan noin, mutta jos tietoturvapolitiikka ei ole ajan tasainen, se ei palvele yritystä.
Tietoturvakenttä muuttuu nykyään (on aina muuttunut) todella nopeasti ja sen muutosten pitäisi näkyä tietoturvapolitiikoissa. Tekoäly ja AI pitäisi olla jo vähintään drafteissa mukana seuraavaan versioon ja myös muuttunut tapa tehdä töitä on asia, mikä politiikoissa pitäisi olla määriteltynä.
Missä tietoturvapolitiikka menee pieleen?
Useimmiten ongelma ei ole se, ettei politiikkaa olisi, vaan se, ettei se toimi käytännössä.
Yksi tyypillinen haaste on monimutkaisuus. Dokumentista pyritään tekemään kattava, jolloin siitä tulee raskas ja vaikeasti ymmärrettävä. Tällöin se jää helposti lukematta.
Toinen ongelma on ajantasaisuus. Tietoturvakenttä muuttuu nopeasti, mutta politiikka ei pysy mukana. Se ei enää vastaa sitä, miten työtä oikeasti tehdään.
Kolmas haaste liittyy geneerisyyteen. Valmiit pohjat ja tekoäly tuottavat helposti sisältöä, joka ei kuvaa yrityksen omaa toimintaa. Tällöin politiikka jää yleiselle tasolle eikä ohjaa arkea.
Lisäksi politiikka jää usein irralliseksi. Jos siitä ei johdeta ohjeita, prosesseja ja toimintamalleja, arjen tekeminen muodostuu muilla perusteilla.
Miltä toimiva tietoturvapolitiikka näyttää?
Toimiva tietoturvapolitiikka ei erotu pituudellaan, vaan sillä, että sitä käytetään.
Se on selkeä, ajantasainen ja sidottu käytännön tekemiseen. Kun politiikka toimii, sitä ei tarvitse erikseen etsiä – se näkyy tavassa, jolla asioita tehdään. Lue lisää tietoturvapolitiikan tekemisestä ja hyvästä tietoturvapolitiikasta
Psst. Kiinnostaako tietoturva-aiheiset sisällöt? Ota IT-kaverin somekanavat seurantaan!
Julkaisemme somessa tietoiskuja ja mielenkiintoisia tietoturvauutisia.
Paranna yrityksesi tietoturvatasoa
Ota yhteyttä Frendyn asiantuntijoihin, jos haluat kaipaat tukea ja apua tietoturvapolitiikan tekemiseen.
