Miten tietoturvapolitiikka tehdään?
Tietoturvapolitiikan tekeminen voi kaatua liian laajaan kokonaisuuteen. Miten tehdä tietoturvapolitiikka niin, ettei vie tekijänsä hermoja, eikä pölyty intran pimeimpään nurkkaan?
Kirjoittaja
Tuomas Karhula
Ensisilmäyksellä
Tietoturvapolitiikan ei tarvitse olla pölyttymään tuomittu sadan sivun jättiläinen, vaan sen voi rakentaa ketterästi kolmeen tasoon: ylätason politiikkaan, tarkempiin alapolitiikkoihin ja arjen käytännön ohjeisiin. Onnistumisen salaisuus piilee siinä, että aloitat liiketoiminnan todellisista riskeistä, pidät kokonaisuuden aluksi yksinkertaisena ja sidot sen tiiviisti osaksi työntekijöiden arkea. Tekoälyäkin voi käyttää sparraajana, kunhan muistat, että aidon sisällön ja omistajuuden on löydyttävä organisaation sisältä.
Mistä tietoturvapolitiikan tekeminen kannattaa aloittaa?
Aloita kokonaiskuvasta: selvitä, mitkä ovat liiketoiminnan kannalta kriittisimmät järjestelmät, toimintamallit ja prosessit – ja ennen kaikkea riskit.
Ilman tätä pohjaa politiikasta tulee helposti liian yleinen eikä se kohdistu oikeisiin asioihin.
Miten pitkä hyvä tietoturvapolitiikka on?
Tietoturvapolitiikan pituus vaihtelee paljon. Se voi olla muutaman sivun mittainen tai huomattavasti laajempi kokonaisuus. Sisältö ratkaisee!
Karhula kertoo:
Lyhin politiikka, mitä itse olen tehnyt yritykselle, on ollut pituudeltaan kaksi sivua. Pisin yli kolmekymmentä. Kumpi oli parempi? Vaikea sanoa, molemmat sopivat kunkin yrityksen toimintaan.
Kannattaako tietoturvapolitiikka tehdä yhtenä dokumenttina vai jakaa osiin?
Yksi tapa on tehdä kaikki yhteen dokumenttiin. Tällöin kokonaisuus on helposti hahmotettavissa, mutta pituus kasvaa nopeasti.
Usein toimivampi ratkaisu on jakaa kokonaisuus eri tasoihin. Ylätasolla määritellään keskeiset linjaukset, joita tarkennetaan erillisissä politiikoissa ja käytännön ohjeissa.
KARHULAN VINKKI:
Jaa tietoturvapolitiikka kolmeen osaan: politiikka – alapolitiikat – ohje
- Pääpolitiikka kuvaa tärkeimmät linjat, eli tavoitteet, vastuut ja velvollisuudet sekä sidokset alapolitiikkoihin. Tämän voi antaa sidosryhmille luettavaksi tarvittaessa, ovatpa jotkut julkaisseet sen verkkosivuillaankin.
- Alapolitiikat, joita tyypillisesti on noin kymmenkunta, kuvaavat jotain tiettyä osa-aluetta ja sen toteutusta. Tarkka määrä riippuu tietysti yrityksen toiminnasta ja tarpeesta. Alapolitiikkoja (tai standardeja) ovat esimerkiksi tiedonhallintapolitiikka, päätelaitepolitiikka, sallitun käytön politiikka, riskienhallintapolitiikka, AI-politiikka yms.
- Ohjeet kertovat, miten politiikat toteutuvat käytännössä. Ohjeet tuovat päivittäiseksi konkretiaksi sen, mitä politiikat ovat linjanneet. Esimerkiksi politiikassa saatetaan sanoa, että luottamukselliset tiedot salataan lähetettäessä. Ohje kertoo, että jos se tapahtuu sähköpostilla, niin paina tätä nappia ja jos tällä järjestelmällä, niin kytke salaus päälle tällä tavalla.
Miten tietoturvapolitiikka näkyy käytännön tekemisessä?
Tietoturvapolitiikka ei vastaa kaikkiin arjen kysymyksiin vaan vetää suuret linjat. Käytännön tekeminen näkyy ohjeissa ja toimintamalleissa, joissa määritellään, miten eri tilanteissa toimitaan.
Jos tätä yhteyttä ei ole, politiikka jää helposti irralliseksi dokumentiksi.
Voiko tekoälyä hyödyntää tietoturvapolitiikan tekemisessä?
Tekoäly toimii hyvänä työkaluna, mutta ei korvaa yrityskohtaista työtä.
Sitä voi käyttää tekstien selkeyttämiseen ja rakenteen hahmottamiseen. Sen sijaan yrityksen toimintatavat, riskit ja käytännöt täytyy määritellä organisaation sisältä.
Muuten lopputulos jää helposti geneeriseksi.
Miksi tietoturvapolitiikka jää usein kesken?
Tietoturvapolitiikan tekeminen keskeytyy usein siksi, että sille ei ole selkeää omistajaa tai riittävästi aikaa tai ei vain tiedetä mikä tarkoitus dokumentilla on: ohjaamisen sijaan pyritään täyttämään jotain ulkopuolista vaatimusta. Lisäksi kokonaisuutta saatetaan yrittää tehdä kerralla valmiiksi, jolloin eteneminen hidastuu ja työ jää kesken. Ongelma voi olla myös se, että ei vain tiedetä mikä tarkoitus dokumentilla on: ohjaamisen sijaan pyritään täyttämään jotain ulkopuolista vaatimusta.
Miten tietoturvapolitiikan kanssa pääsee käytännössä liikkeelle?
Hyvä lähtökohta on yksinkertainen: yksinkertainen on kaunista.
Ensimmäinen versio kannattaa tehdä kevyenä ja keskittyä olennaisiin asioihin. Sen jälkeen kokonaisuutta voidaan kehittää eteenpäin.
Kun politiikka sidotaan arkeen alusta asti, siitä tulee osa toimintaa eikä erillinen projekti.
Lopuksi
Hyvä tietoturvapolitiikka ei ole täydellinen dokumentti, vaan toimiva kokonaisuus, joka kehittyy yrityksen mukana.
Sen arvo syntyy siitä, että sitä käytetään.
Psst. Kiinnostaako tietoturva-aiheiset sisällöt? Ota IT-kaverin somekanavat seurantaan!
Julkaisemme somessa tietoiskuja ja mielenkiintoisia tietoturvauutisia.
Paranna yrityksesi tietoturvatasoa
Ota yhteyttä Frendyn asiantuntijoihin, jos haluat kaipaat tukea ja apua tietoturvapolitiikan tekemiseen.
