Kaksi asiaa, jotka usein sekoitetaan toisiinsa: tietotekniikan (IT) turvallisuus ja tietoturva. Digitalisaation aikakaudella tietoa käsitellään, säilytetään tai kuljetetaan useimmiten tietotekniikan avulla - Digitalisaation aikakaudella tietoa käsitellään, säilytetään tai kuljetetaan useimmiten tietotekniikan avulla - mutta usein tietoturva on silti analogisempaa kuin luulisi! Periaatteessa tietoturva ja tietoturva liittyvät melko läheisesti toisiinsa. Siksi luottamuksellisten tietojen sekä itse tietotekniikan tehokas suojaaminen edellyttää järjestelmällistä lähestymistapaa.
SISÄLTÖ
Tietoturva vs. tietoturva
Tietoturva on muutakin kuin tietoturvaa. Se keskittyy koko yritykseen. Loppujen lopuksi luottamuksellisten tietojen turvallisuus ei kohdistu vain sähköisten järjestelmien käsittelemiin tietoihin. Tietoturva kattaa kaiken suojattavan yrityksen omaisuuden, myös analogisilla tietovälineillä, kuten paperilla, olevat tiedot.
"Tietoturva ja tietoturva ovat kaksi termiä, jotka eivät (vielä) ole keskenään vaihdettavissa."
Tietoturvan suojaustavoitteet
Tietoturvan kolme keskeistä suojaustavoitetta - luottamuksellisuus, saatavuus ja eheys - pätevät siis myös tärkeät sopimusasiakirjat sisältävään kirjeeseen, jonka on saavuttava vastaanottajan ovelle ajoissa, luotettavasti ja ehjänä, kuriirin kuljettamana, mutta täysin analogisesti. Nämä suojaustavoitteet koskevat yhtä lailla myös paperiarkkia, joka sisältää luottamuksellista tietoa mutta joka makaa vartioimattomalla pöydällä kenen tahansa nähtävillä tai odottaa kopiokoneessa vapaasti saatavilla luvattomien käyttöön.
Tietoturva on siis laajempi kuin tietoturva. Tietoturva taas viittaa "vain" tietojärjestelmissä olevan tiedon suojaamiseen.
Tietoturva määritelmän mukaan
Mitä viralliset tahot sanovat? Tietoturva on "tila, jossa tietotekniikan käyttöön liittyvät uhkien ja haavoittuvuuksien aiheuttamat riskit on pienennetty hyväksyttävälle tasolle asianmukaisin toimenpitein. Tietoturva on siis tila, jossa tietojen ja tietotekniikan luottamuksellisuus, eheys ja saatavuus on suojattu asianmukaisin toimenpitein." Saksan liittovaltion tietoturvaviraston (BSI) mukaan.
Tietoturva = tietoturva plus X
Käytännössä käytetään toisinaan erilaista lähestymistapaa, jolloin käytetään nyrkkisääntöä "tietoturva = tietoturva + tietosuoja". Yhtälöksi kirjoitettuna tämä toteamus on kuitenkin varsin silmiinpistävä. Myönnettäköön, että EU:n yleisen tietosuoja-asetuksen mukaisessa tietosuojassa on kyse yksityisyyden suojaamisesta, mikä edellyttää, että henkilötietojen käsittelijöillä on oltava sekä turvallinen tietotekniikka että esimerkiksi turvallinen rakennusympäristö - mikä sulkee pois fyysisen pääsyn asiakastietoihin. Tämä jättää kuitenkin pois tärkeät analogiset tiedot, jotka eivät edellytä yksityisyyden suojaa. Esimerkiksi yrityksen rakennussuunnitelmat ja paljon muuta.
Termi tietoturva sisältää perustavanlaatuisia kriteerejä, jotka menevät pelkkiä tietoteknisiä näkökohtia pidemmälle, mutta sisältävät ne aina. Siten verrattain yksinkertaisetkin tietoturvan piiriin kuuluvat tekniset tai organisatoriset toimenpiteet toteutetaan aina asianmukaista tietoturvaa vasten. Esimerkkejä tästä voivat olla mm:
- Laitteiston virransyötön turvaaminen
- toimenpiteet laitteiston ylikuumenemisen estämiseksi
- Virustarkistukset ja suojatut ohjelmat
- kansiorakenteiden organisointi
- Palomuurien perustaminen ja päivittäminen
- työntekijöiden koulutus jne.
On selvää, että tietokoneita ja kokonaisia tietotekniikkajärjestelmiä ei sinänsä tarvitsisi suojata. Loppujen lopuksi laitteistot ja ohjelmistot ovat hyödyttömiä ilman digitaalisesti käsiteltävää tai siirrettävää tietoa.
Tietoturva lainsäädännöllä, esimerkki Saksasta
CRITIS: Tietoturvalaki keskittyy kriittisiin infrastruktuureihin eri sektoreilla, kuten sähkö-, kaasu- ja vesihuoltoon, liikenteeseen, rahoitukseen, elintarvikealaan ja terveydenhuoltoon. Tässä yhteydessä pääpaino on IT-infrastruktuurin suojaamisessa tietoverkkorikollisuudelta, jotta IT-järjestelmien käytettävyys ja turvallisuus voidaan säilyttää. Erityisesti on suojattava nykyisiä digitaalisesti ohjattavia kauko-ohjausjärjestelmiä.
Nämä suojelutavoitteet ovat etusijalla (ote):
- Tietoturvariskien huomioon ottaminen
- Tietotekniikan turvallisuuskonseptien luominen
- Hätäsuunnitelmien laatiminen
- Yleisten turvallisuusvarotoimien toteuttaminen
- Internetin turvallisuuden valvonta
- Salausmenetelmien käyttö jne.
ISO 27001 - Tietoturvastandardi
Mitä ISO 27001 -standardissa sanotaan? Maailmanlaajuisesti tunnustettu tietoturvallisuuden hallintajärjestelmän (ISMS) standardi ja sen johdannaiset ISO 27019, ISO 27017 ja ISO 27701 ovat ns:
ISO/IEC 27001:2017 - Tietotekniikka - Tietoturvatekniikat - Tietoturvallisuuden hallintajärjestelmät - Vaatimukset (ISO/IEC 27001:2013 mukaan lukien Cor 1:2014 ja Cor 2:2015).
Tämän tärkeän standardin otsikko tekee selväksi, että tietoturva on nykyään merkittävässä asemassa tietoturvassa ja että sen merkitys kasvaa edelleen tulevaisuudessa. ISO 27001 -standardin vaatimukset eivät kuitenkaan ole suoraan suunnattu vain digitaalisiin IT-järjestelmiin. Päinvastoin:
"Koko ISO/IEC 27001:ssä viitataan poikkeuksetta kauttaaltaan "tietoon"."
Periaatteessa ei tehdä eroa sen suhteen, millä analogisella tai digitaalisella tavalla näitä tietoja käsitellään tai suojataan.
Onnistuneesti toteutettu ISMS tukee kokonaisvaltaista turvallisuusstrategiaa: se sisältää organisatoriset toimenpiteet, turvallisuustietoisen henkilöstöjohtamisen, käyttöönotettujen tietotekniikkarakenteiden turvallisuuden ja oikeudellisten vaatimusten noudattamisen.
Tietoturva usein analogisempi kuin luulemme
Kuka tahansa voisi halutessaan soveltaa ISO 27001 -standardin vaatimuksia täysin analogiseen järjestelmään ja päätyä yhtä pitkälle kuin se, joka soveltaa vaatimuksia täysin digitaaliseen järjestelmään. Vasta tunnetun ISMS-standardin liitteessä A, joka sisältää toimenpidetavoitteita ja toimenpiteitä käyttäjille, esiintyy termejä kuten etätyö tai mobiililaitteet. Mutta jopa standardin liitteen A toimenpiteet muistuttavat meitä siitä, että jokaisessa yrityksessä on edelleen analogisia prosesseja ja tilanteita, jotka on otettava huomioon tietoturvan osalta.
Kuka tahansa, joka puhuu ääneen arkaluonteisista aiheista älypuhelimen välityksellä julkisesti esimerkiksi junassa, saattaa käyttää digitaalisia viestintäkanavia, mutta hänen väärinkäytöksensä on todellisuudessa analogista. Ja jokaisen, joka ei siivoa työpöytäänsä, on parasta lukita toimistonsa luottamuksellisuuden säilyttämiseksi. Ainakin edellinen, joka on yksi tehokkaimmista yksittäisistä toimenpiteistä tietojen turvalliseen suojaamiseen, tehdään yleensä edelleen käsin, toistaiseksi...
Tietoturva vs. tietoturva - Johtopäätös
Tietoturva ja tietoturva ovat kaksi termiä, jotka eivät (vielä) ole keskenään vaihdettavissa. Pikemminkin tietoturva on osa tietoturvaa, joka puolestaan sisältää myös analogiset faktat, prosessit ja viestinnän - mikä muuten on vielä nykyäänkin monissa tapauksissa arkipäivää. Lisääntyvä digitalisoituminen tuo nämä termit kuitenkin yhä lähemmäksi toisiaan, joten merkityserot lienevät pitkällä aikavälillä marginaalisempia.
Mitä voit odottaa meiltä
DQS on asiantuntijasi auditointeihin ja sertifiointeihin - johtamisjärjestelmien ja prosessien osalta . Meillä on 35 vuoden kokemus ja 2 500 auditoijan tietotaito maailmanlaajuisesti, joten olemme pätevä sertifiointikumppanisi kaikissa tietoturvan ja tietosuojan osa-alueissa.
Onko sinulla kysyttävää?
Ota meihin yhteyttä! Ilman velvoitteita ja maksutta.
Emme vain puhu ammatillisesta osaamisesta, meillä on sitä: Kaikilta DQS-tilintarkastajiltamme voit odottaa monen vuoden käytännön työkokemusta. Kerätty kaikenkokoisissa organisaatioissa ja kaikilla toimialoilla. Tämän monimuotoisuuden ansiosta on taattua, että DQS:n johtava auditoijasi tuntee yksilöllisen yritystilanteesi ja johtamiskulttuurisi. Auditoijamme tuntevat johtamisjärjestelmät omasta kokemuksestaan, eli he ovat itse perustaneet, johtaneet ja edelleen kehittäneet ISMS:ää - ja he tuntevat päivittäiset haasteet omasta kokemuksestaan. Odotamme innolla keskustelua kanssanne.
DQS uutiskirje
Gert Krueger
Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.