You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2008-30

Ville Kairamo

Tietoturvallisuuspolitiikan operationalisointi

1. Johdanto

Työ käsittelee tietoturvallisuuspolitiikan operationalisointia. Tietoturvallisuuspolitiikalla käsitetään ja määritellään ne tietojärjestelmien periaatteet ja vastuut joita esimerkiksi yrityksen toiminnassa on noudatettava. Operationalisointi tässä mielessä tarkoittaa käytännössä sitä, miten tietoturvallisuuspolitiikka tulee jalkauttaa käytännön toimintaan hyötyjen saavuttamiseksi. Tässä työssä ei syvennytä itse tietoturvallisuuspoliikan perusperiaatteisiin tai sen sisältöön, koska tämä työ on jatkoa aiheelle 2008-29 Tietoturvallisuuspolitiikka ja sen tavoitteet. Työssä esitettävät asiat kuitenkin pohjautuvat tietoturvallisuuspolitiikan teoriaan, minkä takia onkin hyvin suositeltavaa, että lukija tutustuisi aiheeseen 2008-29: Tietoturvallisuuspolitiikka ja sen tavoitteet ennen tämän työn tarkastelua. Työssä pohditaankin siis tekijöitä, jotka tulee huomioida, jotta laadittu tietoturvallisuuspolitiikka todella vaikuttaisi organisaation toimintaan sekä käytännön toimenpiteisiin operationalisoinnin onnistumiseksi. Työssä asiaa tarkastellaan organisaation näkökulmasta.

Operationalisoinnilla tarkoitetaan tämän työn yhteydessä tietoturvallisuuspolitiikan implementointia yritysjohdon näkökulmasta. Implementoinnin lisäksi tavoitteena on toimintatapojen ja muutoksen pysyvyyden varmistaminen organisaatiossa. Työssä käsiteltäviä teemoja ovat viestintä, koulutus, kulttuuri, asenteet sekä dokumentointi

2. Tietoturvallisuuspolitiikan operationalisointiin vaikuttavat tekijät ja toimenpiteet

Tässä luvussa lukijalle esitetään elementtejä, jotka vaikuttavat operationalisointiprosessin onnistumiseen. Lisäksi toisessa luvussa pyritään kuvaamaan toimenpiteitä, joiden avulla organisaatio onnistuu tietoturvallisuuspolitiikan jalkauttamisessa


2.1 Perusedellytykset

Tietoturvallisuuspolitiikan operationalisointi kaikille organisaation tasoille on tärkeää, sillä jokainen organisaation tietoresursseja tai tietotekniikkaa käyttävä työntekijä on osaltaan vastuussa tietoturvallisuuspolitiikan implementoinnista (Vermeulen & Von Solms 2002, s.120). Jotta tietoturvallisuuspolitiikan operationalisointi voisi onnistua, tietoturvallisuuspolitiikan tulee perustua yrityksen todelliseen toimintaan, sillä Korhosen (2006) mukaan tietoturvapolitiikka koskee tietoturvaperiaatteita, joita yrityksen ydinprosessien hoitaminen edellyttää. Yrityksen on myös itse laadittava ja ylläpidettävä tietoturvallisuuspolitiikkansa, sillä vain yritys itse voi tuntea oman toimintansa sekä määritellä sitä vastaavat tietoturvallisuusvaatimukset. Politiikan tulee kuvastaa yrityksen johdon suhtautumista tietoturvallisuuden kehittämiseen ja vain jonkin mallin sovittaminen ja hyväksyminen eivät tue yrityksen todellista sitoutumista lopputulokseen. (Korhonen 2006, lähteessä Ilvonen 2008.)

Johdon sitoutumisella ja sen osoittamisella on ratkaisevan tärkeä merkitys kun tavoitteena on laajamittaisen sitoutumisen saavuttaminen organisaatiossa. Tätä korostaa myös se, että politiikan pääpaino on ihmisten toiminnassa ja vastuissa (Korhonen 2006, lähteessä Ilvonen 2008). Ilman riittävää sitoutumista ja johdon tukea on vaikea motivoida henkilöstöä noudattamaan kaikkia tietoturvallisuuteen liittyviä toimintaohjaita ja periaatteita, mikä saattaakin johtaa liialliseen käskyttämiseen ja siten tietoturvallisuusasioiden laiminlyönteihin. Avolio (2000) esittää, että ylimmän johdon sitoutuminen myös varmistaa, että käytettävissä on riittävästi resursseja (lähteessä Vermeulen & Von Solms 2002, s.121). Näkyvä johdon tuki auttaa organisaatiota lisäksi korostamaan, ettei tietoturvallisuusasioissa ole kyse virheiden välttämisestä ja tunnistamisesta, vaan ensisijaisesti hyvistä ja arvostettavista toimintatavoista.


2.2 Prosessin vaiheet

Tietoturvallisuuspolitiikan ja siitä seuraavien toimenpiteiden implementoinnissa voidaan hyödyntää esimerkiksi mallia toimenpiteistä/prosessista, jolla pyritään rakentamaan ja ylläpitämään IT Governancea organisaatiossa. IT Governance muodostuu hyvistä käytännöistä hallita yrityksen tai organisaation tieto- ja viestintäteknologiaa, sekä niiden suorituskykyä ja riskin hallintaa. Ajatuksena on, että IT-hallinta ei olisi pelkästään IT-ammattilaisten käsissä, vaan sen suunnitteluun ja implementointiin osallistuisi myös niin yrityksen johto, kuin henkilöstökin. Nykyään asiaa edistää myös muun muassa pankkien vakavaraisuutta sääntelevät lait (Basel II euroopassa ja Sarbanes-Oxley yhdysvalloissa), joiden pyrkimyksenä on torjua väärinkäytöksiä ja parantaa organisaatioiden hallintotapoja. (Tietoviikko 2008.)

Esimerkiksi COBIT (Control Objectives for Information and related Technology) käsittelee näitä asioita. COBIT-kontrollimalli antaa organisaation johdollle viitekehyksen siitä, miten yrityksen varsinaista toimintaa ja ICT-toimintaa ja niiden välistä rajapintaa voidaan johtaa ja hallita. Se perustuu kokoelmaan yleisiä ICT-prosesseja, jotka ovat niin johtajien kuin toimittajienkin ymmärtämässä muodossa. Tämä auttaa ymmärtämään mitä kannattaa ottaa huomioon erilaisia palveluja hankkiessa ja toisaalta palvelun tuottajille miten palvelut kannattaa rakentaa laadukkaasti. Soveltamalla tätä tietoturvallisuuspolitiikan operationalisointiin voidaan johtaa viitekehys, joka lähtee tilanteesta, jossa tietoturvallisuuteen ei kiinnitetä lainkaan huomiota ja organisaatiossa vallitseva tietoisuus on lähes olematon tietoturvallisuuteen liittyvistä asioista. Vaikka tämä taso saattaa ensin vaikuttaa lähes teoreettiselta, jopa yllättävän monen organisaation voidaan todeta olevan tällä tasolla tietoturvallisuuteen liittyvissä asioissa. COBIT määrittelee 34 korkean tason tavoitetta, jotka jakautuvat karkeasti neljään toimialueeseen: Suunnittele ja organisoi, Hanki ja toteuta, Toimita ja tue, Vavlo ja arvioi.Tietoturvallisuuden merkitykseen liittyvän tietoisuuden luomisen jälkeen organisaation tulee analysoida toimintaansa sekä ympäristönsä ominaispiirteitä ja tunnistaa tarvittava tietoturvallisuuden taso. Tämän jälkeen organisaatiossa tulee analysoida toiminnan nykyisen tilan ja tarpeiden pohjalta laadittavan tietoturvallisuuspolitiikan kuvaaman tavoitetilan välinen ero ja poikkeavuudet. Kun organisaatiossa tiedetään asiat, mitkä eivät käytännössä vastaa tavoitetilaa tai tietoturvallisuuspolitiikan asettamia toimintaohjeita ja sääntöjä, voidaan aloittaa toiminnan kehittämisprosessi, joka tähtää näiden puutteiden korjaamiseen. Toiminnan muuttamisen jälkeen tulee arvioida saavutetut tulokset sekä toiminnan tila kehitysprosessin jälkeen. Vain jatkuvan mittaamisen, arvioinnin ja niiden mahdollistaman jatkuvan parantamisen avulla tietoturvallisuudesta on mahdollista tehdä luonnollinen osa päivittäistä toimintaa (business as usual). Nykytilan tarkastelu, arviointi, kehittämiskohteiden tunnistaminen ja muutosten jälkeinen evaluointi ovat myös vaiheita, joita organisaatio voi soveltaa kehitettäessä ja parannettaessa itse tietoturvallisuuspolitiikkaa.

ITgovernanceCOBIT.JPG

Kuva 1 - Implementing IT governance with COBIT (Mukailtu lähteestä Pekkola 2008).


2.3 Dokumentointi

Tietoturvallisuuspolitiikka heijastuu yksittäisen työntekijän tasolle esimerkiksi useina tietoturvallisuuteen liittyvinä toimintaohjeina. Korhonen (2006 lähteessä Ilvonen 2008) esittää, että näitä ohjeita ovat esimerkiksi:

  • salasanaohje
  • sähköpostin käyttöohje *internetin käyttöohje
  • etätyöohje *liikkuvan työpisteen ohje
  • kulunvalvonnan ja henkilökorttien käytön ohje
  • tietojen salassapito-ohje
  • ohje tietojen luovutukseen

Pelkkä dokumenttien olemassaolo ei kuitenkaan takaa, että niitä noudatettaisiin päivittäisen työn ohessa. Olisikin tärkeää onnistua aktivoimaan henkilökunta pohtimaan ja keskustelemaan tietoturvallisuuteen liittyvistä kysymyksistä sekä dokumentaation sisällöstä. Tämä voi lähteä esimerkiksi koulutustilaisuudesta, minkä lisäksi dokumenttien jatkuva päivittäminen tilanteen tasalle on ensiarvoisen tärkeää, jotta viimekädessä kukaan jaksaisi niihin tutustua tai kerrata niiden sisältöä. Huolellinen ja yksityiskohtainen dokumentointi on lähes hyödytön, ellei työntekijöidä saada aktivoitua ja sitoutettua myös dokumentaation esittämien asioiden ja ohjenuorien noudattamiseen päivittäisessä toiminnassa. Toisin sanoen dokumentaatiolla ei ole varsinaista itseisarvoa vaan toiminnalla, jota hyvän dokumentaation olemassaolo tukee. Lopuksi tavoitteena on yrityksen sulava toiminta ilman häiriötekijöitä niin normaalioloissa kuin poikkeustilanteissakin.

Dokumentaatiota ei tule nähdä pakollisena muodollisuutena, joka dokumentoi jo tapahtuneet asiat, uhat, tietoturvaloukkaukset ja päätökset vaan ennemminkin proaktiivisena toimintana ja viestinnän kanavana, joka opettaa työntekijöille oikean toimintamallin vaativissakin tietoturvallisuuteen liittyvissä tilanteissa.


2.4 Kulttuuri ja asenteet

Tieto- ja viestintätekniikka on nykyään täysin integroitunut organisaatioiden ja lähes kaikkien työntekijöiden päivittäiseen toimintaan ja sen toimivuudesta onkin tullut välttämätön edellytys liiketoiminnan jatkuvuudelle. Tämän takia kaikkien tulee ymmärtää myös tietoturvallisuuden perusteet, sillä organisaatiot eivät voi rakentaa absoluuttista tietoturvallisuutta ilman, että se häiritsisi merkittävästi organisaation toimintaa (McNurlin & Sprague 2002).

Kun tietoturvallisuuteen liittyviä kysymyksiä pohditaan työntekijöiden keskuudessa, tietoturvallisuudesta ei muodostu ainoastaan jäykkä organisaation ylemmillä tasoilla määriteltyjen sääntöjen ja noudattamisvaatimuksien muodostama kokonaisuus, vaan siitä tulee yleinen toimintatapa ja olennainen osa jokapäiväistä toimintaan (business as usual). Tämän myötä tietoturvallisuudesta muodostuu liiketoimintaa tukeva asia sen sijaan, että se nähtäisiin ainoastaan toimintaa rasittavana tekijänä. Osallistamalla henkilöstöä jo tietoturvallisuuspolitiikan suunnitteluvaiheeseen sekä varmistamalla, että tietoturvallisuudesta vastaavilla henkilöillä on mahdollisuus ja aikaa opastaa ja vastata henkilöstön tietoturvallisuuteen liittyviin kysymyksiin, voidaan vähentää muutosvastarintaa sekä vaikuttaa henkilöstön asenteisiin.

Onnistunut tietoturvallisuuspolitiikan operationalisointi tarkoittaa, että asetetun politiikan mukaiset toimintaohjeet ovat osa organisaation ja sen edustajien päivittäistä toimintaa. Edellä mainitun takia onkin tärkeää vaikuttaa organisaatiossa vallitsevaan kulttuurin ja asenteisiin tietoturvallisuutta kohtaan. Tämä tarkoittaa myös sitä, että jokaisen tulee ymmärtää tietoturvallisuuden merkitys niin oman työn kuin yrityksen liiketoiminnan kannalta.


2.5 Mittaaminen, viestintä, ja koulutus

Tietoturvallisuuteen liittyvien ja tietoturvallisuuspolitiikan esittämien toimintamallien mittaaminen voidaan nähdä tärkeänä tekijänä tietoturvallisuuspolitiikan operationalisoinnin kannalta. Mittaamista voidaan käyttää myös viestinnän välineenä (Okkonen 2007). Tällä tarkoitetaan sitä, että mittaamisen sekä mittaustulosten analysoinnin ja viestinnän avulla voidaan korostaa tärkeiden asioiden merkitystä organisaation jäsenille. Toisin sanoen mittaamalla tietoturvallisuuden kannalta merkittäviä prosesseja sekä asioita voidaan paitsi osoittaa kehittämiskohteet, myös ohjata työntekijät kiinnittämään omassa toiminnassaan näihin asioihin huomiota. Tämän lisäksi johdon tulee varmistua, että työntekijät noudattavat tietoturvallisuuspolitiikkaa ja -ohjeita, sillä yrityksien turvallisuus riippuu "heikoimmasta lenkistä" (McNurlin & Sprague 2002).

Mittaamisen ei kuitenkaan tule keskittyä vain teknisiin asioihin, vaan mittaamisessa tulee huomioida myös liketoiminnan näkökulma, koska työntekijät ja päättäjät pitävät usein asiaa tärkeämpänä, jos sillä on vaikutusta yrityksen liiketoimintaan. Mittaamista suunniteltaessa tulee myös huomioida, että mittareiden käyttö ei kuitenkaan välttämättä paranna tietoturvallisuuden tasoa, vaan ohjaavat sitä vain mitattavien asioiden kannalta suotuisammiksi. Mittaamisessa ja siihen liittyvässä viestinnässä tulisi pyrkiä siihen, että sen avulla pyritään tunnistamaan kehityskohteita ja siten kannustamaan toiminnan kehittämiseen ja tietoturvallisuuspolitiikan esittämien toimintatapojen noudattamiseen. Toisin sanoen tulee välttää tilannetta, jossa mittaaminen koetaan vain keinoksi pyrkiä tunnistamaan ja osoittamaan henkilöstön tekemiä virheitä ja tietoturvallisuuteen liittyviä ongelmia.

Viestinnässä tulisi myös huomioida, että toimenpiteiden lisäksi myös riskit tulee liittää liiketoimintaan ja liiketoiminnan riskeihin. Esimerkiksi tietomurto asiakastietoihin voi johtaa koko liiketoiminnan loppumiseen, uskottavuuden ja luotettavuuden kadottua asiakkaiden silmissä. Myös koulutus on olennainen osa tietoturvallisuuteen liittyvää viestintää. Koulutuksen tulee tapahtua nimenomaan vastaanottajan näkökulmien ja osaamisen perusteella, minkä lisäksi tulee välttää liiallista teknisen sanaston käyttämistä (Huhtakallio 2007). Koulutuksesta ei kuitenkaan pitäisi tehdä yksittäistä merkittävää asiaa, joka käytännössä vain tuo henkilöstölle lisärasitusta. Sen sijaan tietoturvallisuuskoulutus pitäisi onnistua sitomaan käytännön asioihin, organisaation päivittäiseen toimintaan sekä yleisiin tavoitteisiin. Riittävä koulutus on myös edellytys sille, että henkilöstö pystyisi ymmärtämään tietoturvallisuuspolitiikan mukaisten liiketoiminnan suorittamista hankaloittavien toimenpiteiden ja käytäntöjen merkityksen. Lisäksi tämä vaikuttaa tietoturvallisuuteen liittyviin asenteisiin.


3. Päätelmät

Tietoturvallisuuspolitiikan operationalisointi on edellytys tietoturvallisuuden kokonaisvaltaiselle kehittämiselle. Siinä johdon asettamat tietoturvaperiaatteet ja tietoturvallisuutta edistävät toimintamallit siirretään käytäntöön, osaksi yksittäisen työntekijän päivittäistä toimintaa.

Tietoturvallisuuspolitiikan operationalisoinnissa on pitkälti kyse tietoturvallisuuskulttuurin ja asenteiden muuttamisesta ylemmän johdon haluamalle tasolle. Ajantasainen ja huolellisesti laadittu tietoturvallisuuspolitiikan dokumentaatio mahdollistaa tietoturvallisuusasioiden selkeän ja olennaiseen keskittyvän viestinnän henkilöstölle. Dokumentaatiosta, joka käsittelee tietoturvallisuutta kokonaisuutena, puolestaan johdetaan se, mitä tietoturvallisuuteen liittyviä asioita pitäisi mitata, kehittää ja kouluttaa. Suomessa hyvänä esimerkkinä toimii valtiovarainministeriön asettama valtionhallinnon tietoturvallisuudesta vastaava ryhmä VAHTI (Valtionhallinnon tietoturvallisuuden johtoryhmä). Sen toimialaan kuuluvat kaikki tietoturvallisuuden osa-alueet ja dokumentointia ja ohjeistusta kehitetään jatkuvasti. Korhosen (2006 lähteessä Ilvonen 2008) esittämien hyvien esimerkki toimintaohjeiden lisäksi VAHTI korostaa käyttäjän omaa vastuuta. Käyttäjä voi vaikuttaa turvallisuuteen esimerkiksi tallentamalla arkaluontoisen materiaalin suojattuun paikkaan (suojatut verkkolevyt) tai toisaalta pitämällä huolen siitä, ettei omalla tunnuksella auki oleva tietokone ole käytettävissä ulkopuolisille. (VAHTI 2009.)

Kokonaisuutena tietoturvallisuuspolitiikan operationalisoinnissa on siis kyse yrityksessä vallitsevan tietoturvallisuuden tason kehittämisestä. Toisin sanoen operationalisointi on kokonaisuus tietoturvallisuuteen liittyvän tietoisuuden kehittämisestä niin, että tietoturvallisuuspolitiikassa esitetyt toimenpiteet ja toimintatavat saadaan juurrutettua päivittäiseen toimintaan kiinteäksi osaksi liiketoimintaa. Kuitenkaan tietoturvallisuuden kehittämisen ei tule pysähtyä tietoturvallisuuspolitiikan operationalisointiprosessin jälkeen, vaan sen sijaan organisaation pitäisi pyrkiä jatkuvaan tietoturvallisuuden kehittämiseen. Tämän takia myös tietoturvallisuuspolitiikan operationalisointi voidaan nähdä jatkuvana ja iteratiivisena prosessina, jossa tietoturvallisuuspolitiikkaan tehdyt muutokset sekä kehityskohteet implementoidaan organisaatioon.


4. Lähteet

Huhtakallio, J. 2007. Tietoturvan johtaminen käytännössä. Kurssin TITA-5300 Tietoturvallisuuden johtaminen vierailuluento. Tampereen teknillinen yliopisto 24.4.2007.

Ilvonen, I. 2008. Kurssin TITA-5300 Tietoturvallisuuden johtaminen luentoaineisto.
http://moodle.tut.fi/archive/course/view.php?id=633. Luettu 21.09.2008. Rajoitettu saatavuus.

McNurlin, B & Sprague, R. 2002. Information Systems Management in Practice, 5th edition, Prentice-Hall.

Okkonen, J. 2007. Democracy in management – the new coming of MBO via organisational dialogue. Benchmarking: An International Journal. Vol. 14(1), s. 7-21.

Pekkola, S. 2008. Kurssin TITA-5400 Tietohallinnon johtaminen luentoaineisto.
http://moodle.tut.fi/course/view.php?id=1420. Luettu 27.09.2008. Rajoitettu saatavuus.

Tietoviikko 2008. Mitä it governance oikein on? Artikkeli tietoviikko.fi verkkopalvelussa.
http://www.tietoviikko.fi/cio/article134187.ece. Luettu 14.11.2009.

VAHTI 2009. Valtionhallinnon tietoturvallisuuden johtoryhmä VAHTI. Valtiovarainministeriö.
http://www.vm.fi/vahti. Luettu 14.11.2009.

Vermeulen, C. & Von Solms, R. 2002. The information security management toolbox – taking the pain out of security management. Information Management & Computer Security. Vol 10(3), s. 119-125.

Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 14 Nov 2009 - 17:50:43 - TimoRasanen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback