Kokonaisturvallisuus on kehittyvä prosessi

Instan konsultointipalvelun avulla organisaatio saa kattavan käsityksen siitä, millaisilla peruspilareilla sen toiminnan turvallisuus seisoo ja miten tukirakenteita voidaan vahvistaa.

Ymmärrys kokonaisturvallisuuteen vaikuttavista tekijöistä ei synny sormia napsauttamalla. Turvallisuus on monimutkainen yhdistelmä teknologiaa, asennetta, kokemuksen tuomaa asiantuntijuutta ja kokonaisuuden hahmottamiskykyä. Olennaista on suhtautua yrityksen tai organisaation kokonaisturvallisuuteen prosessina, joka vaatii seurantaa ja päivitystä.

Mikä vaikuttaa kokonaisturvallisuuteen?

Organisaation tavoitteista riippuen, kokonaisturvallisuutta voidaan lähestyä eri näkökulmista. Riskejä voidaan ehkäistä ja minimoida organisaation omassa toiminnassa, mutta osa turvallisuuteen vaikuttavista tekijöistä liittyy sen toimintaympäristöön tai laajempaan viitekehykseen. Kokonaisturvallisuuskonsultoinnissa arvioidaan nimensä mukaisesti kokonaisuutta ja huomioidaan esimerkiksi

  • Organisaation turvallisuuskulttuuri
  • Henkilöstöturvallisuus
  • Toimitilaturvallisuus
  • Tietojärjestelmäturvallisuus
  • Ympäristöturvallisuus
  • Työturvallisuus
  • Taloudellinen tilanne
  • Riskienhallinta
  • Häiriö- ja poikkeustilanteet
  • Turvallisuuspolitiikat ja -vastuut

Hallittu prosessi turvaa organisaation toiminnan jatkuvuutta

Kokonaisturvallisuuskonsultointimme jakautuu neljään osioon, jotka jäsentävät kokonaisturvallisuuden osa-alueita.

  • Turvallisuuskartoitus
  • Uhka- ja riskiarvio
  • Tekninen tietoturvatarkastus
  • Tietoturvavaatimusten käsittely järjestelmän rakentamisessa

Turvallisuuskartoitus sekä uhka- ja riskiarvio ovat elintärkeitä työkaluja kokonaiskuvan ymmärtämisessä. Ne taustoittavat toimenpiteitä ja ovat perusedellytys kehittämiselle. Kokonaisturvallisuuskonsultoinnin avulla luodaan edellytykset organisaation toiminnan jatkuvuudelle ja mahdollistetaan varautuminen turvallisuutta uhkaaviin riskeihin.

Turvallisuus muodostuu osista

Turvallisuuskartoitus

Huolellinen taustatyö on perusedellytys turvallisuuden kehittämiselle. Turvallisuuskartoituksen tavoitteena on selvittää niin ulkopuolelta asetettujen kuin sisäisiin rakenteisiin, toimintatapoihin ja strategisen tason linjauksiin liittyviä reunaehtojen merkitystä kokonaisturvallisuudelle. Lähtökohtana on haastattelu, jonka avulla taustoitetaan organisaation liiketoiminnan vaatimuksia. Yhteiskunnan vaatimukset infrastruktuurille, toimintaympäristö ja riskienhallinta ovat asioita, joihin haastattelussa pureudutaan.

 

Kuten kaikessa kehittämisessä, myös turvallisuuden kohdalla, avain asemassa on sitoutuminen. Haastattelun jälkeen turvallisuuskartoituksen ensimmäisessä osa-alueessa paneudutaan organisaation turvallisuuspolitiikkaan sekä liiketoimintajohdon sitoutumiseen kokonaisturvallisuuden kehittämisessä. Toinen osa-alue käsittelee hallinnollista turvallisuutta. Siinä tarkastelun kohteena ovat esimerkiksi poikkeamahallinta, henkilöstöturvallisuus, sidosryhmäturvallisuus ja toiminnan jatkuvuussuunnittelu. Kaksi viimeistä osa-aluetta käsittävät fyysisen turvallisuuden, kuten toimitilat ja oikeuksienhallinnan, sekä teknisen näkökulmsn, mukaan lukien ICT-turvallisuuden.

 

Turvallisuuskartoituksen tuloksena organisaatio saa loppuraportin, jossa nykytilan ja kehittämistarpeiden esittelyn lisäksi määritellään konkreettiset mittarit turvallisuuden mittaamiseksi sekä ehdotukset kokonaisturvallisuuden parantamiseksi.

 

Turvallisuuskartoituksen osa-alueet:

  • Taustoittava haastattelu
  • Turvallisuusjohtamisen tila
  • Hallinnollinen turvallisuus
  • Tilat ja oikeudet
  • Tekninen turvallisuus
  • Raportti
Uhka- ja riskiarvio

Uhkien ja riskien arviointi etukäteen auttaa organisaatiota varautumaan, ennakoimaan ja turvaamaan liiketoiminnan jatkuvuuden. Kaikkia, erityisesti tahattomia riskitekijöitä, ei voida ennakoida. Liiketoimintaa vahingoittavien riskien tuominen henkilöstön tietoisuuteen, koulutus ja menettelytapaohjeiden laadinta minimoivat kuitenkin riskien vaikutusta niiden toteutuessa. Saattaa jopa olla, että uhan tai riskin tunnistaminen etukäteen johtaa organisaatiossa toimintatavan muutokseen, joka poistaa uhkatekijän kokonaan.

 

Osana kokonaisturvallisuuskonsultointia teemme uhka- ja riskiarvioita. Uhkien arvioinnilla ja uhkakuvan muodostamisella käynnistyvä prosessi määrittelee suojattavat kohteet sekä arvioi riskien todennäköisyyden ja vakavuusasteen. Arvioiden pohjalta muodostuu riskienhallintasuunnitelma, joka ohjaa toimintaa organisaation kannalta tarkoituksenmukaisimmalla tavalla. Loppuraporttiin dokumentoidaan kaikki prosessin vaiheet, kuvataan suojattavat kohteet ja esitellään konkreettiset toimenpiteen uhkien ja riskien poistamiseksi. Osana raporttia voi olla myös esimerkiksi koulutussuunnitelma tai menettelytapaohjeita. Tarpeen mukaan olemme tukena myös uhka- ja riskiarvion tulosten sekä toimenpiteiden viemisessä osaksi organisaation toimintaa. 

Tekninen tietoturvatarkastus

Aloitamme tarkastuksen yhteistyössä asiakkaan kanssa tehtävällä kartoituksella, jossa tunnistetaan suojattavat kohteet sekä ympäristöön kohdistuvat tietoturvavaatimukset. Näiden perusteella teemme uhkamallinnuksen ja laadimme suunnitelman analyysivaiheen toteuttamiseksi.

Analyysivaiheessa selvitämme kohdejärjestelmän tietoturvassa olevat heikkoudet ja mahdolliset haavoittuvuudet. Keskitymme oleelliseen, painottuen riskialttiiksi tunnistamiimme komponentteihin.Tehtyjen havaintojen pohjalta laadimme loppuraportin, joka sisältää seikkaperäisen, priorisoidun ehdotuksen jatkotoimenpiteiksi. Tarvittaessa tuemme toimenpiteiden toteuttamisessa ja todennamme niiden vaikuttavuuden uusintatarkastuksella.