perjantaina, lokakuuta 27, 2006
Miten organisaatiomme ylin johto on sitoutunut tietoturvallisuuteen? (Senior executives commitment into security)
Suomalaisissa organisaatioissa suoritettujen tutkimusten mukaan näyttävät ihmiset – mukaan lukien organisaatioiden johtotehtävissä olevat – olevan hyvin tietoisia tietoturvallisuuden yleisperusteista, pitävän tietoturvallisuutta tärkeänä ja olevan motivoituneitakin siihen. Onhan ollut esillä myös varsin runsaasti tietoturvallisuuteen liittyviä uutisia ja yleistä koulutusta, ja myös monissa organisaatioissa on järjestetty vastaavasti sisäistä koulutusta. Kuitenkin asian varsinainen ymmärrys on kovin pinnallista ja sitä on vain harvoilla.
Huolestuttavaa on, että ylimmän johdon edustajat eivät yleensä ole kiinnostuneita tietoturvallisuudesta heidän oman johtamisroolinsa osalta. He eivät tunne tietoturvallisuuden johtamisen keinoja käytännössä ja saattavat delegoida johtamisvastuunsa asiantuntijoille tai suorastaan ulkoistaa sen ulkopuolisille konsulteille.
Kaikki kansainvälisestikin arvostetut referenssit korostavat, että organisaation tietoturvallisuuden johtamista ei voi menestyksellisesti siirtää pois johdon vastuulta. Johtamisvastuu koskee sekä organisaation operatiivista toimintaa että strategista kehittämistä. Asia on tuotu esille mm. tietoturvallisuuden hallinnan tärkeimmässä kansainvälisessä perusstandardissa ISO/IEC 17799:2005. Samaa toteavat OECD:n (2002) tietoturvallisuussuositukset ja -periaatteet, jotka erityisesti painottavat, että tietoturvallisuus edellyttää organisaatiokulttuurin syntymistä ja kehittämistä. Edellä mainittu koskee yhteiskuntamme kaikkia organisaatioita. Asian merkitystä lisää vielä se, että kaikkien organisaatioiden toiminta perustuu tänään lisääntyvässä määrin tietoon, tietoturvallisriskit ovat organisaatioiden merkittäviä liiketoimintariskejä ja suurimmat tietoturvallisuusrikkomukset tapahtuvat organisaatioiden oman henkilökunnan toimesta.
Miksi sitten käytännössä johdon sitoutuminen on epätyydyttävää? Tietoturvallisuuden ammatilliset peruskäsitteet, erityisesti eheys, käytettävyys ja luottamuksellisuus, ovat vaikeasti ymmärrettäviä ja vieraita ei-asiantuntijoille - ja jopa asiantuntijoillekin. Tietoturvallisuuden hallinnan yleiset standardit ja ohjeet (erityisesti ISO/IEC 27001:2005, ISO/IEC 17799:2005, ISO/IEC 17799–1:1996, and OECD Guidelines) ovat monimutkaisia ja hämmentäviä. Tilannetta vaikeuttavat vielä yleisesti tietojärjestelmiä ja tietojen hallintaa ohjaavat tärkeät julkaisut (mm. ISO/IEC 20000:2005, ITIL, COBIT, Sarbanes-Oxley Act) sekä lukuisat organisaatioiden yleistä johtamista koskevat opit ja julkaisut, mm. ISO 9000 –standardit. Lisäksi tietoturvallisuus on monitieteellinen aihe, ja tieto jota turvallisuuden hallinta koskee on pääosaltaan ns. hiljaista tietoa (tacit knowledge). Ammattimainen tietoturvallisuuden hallinta edellyttää siten paljon erityistietoa. Kuitenkin organisaatioiden johtohenkilöt ovat hyvin yksilöllisiä ja vahvan muodollisen asemansa tuntevia ”generalisteja”, joiden kommunikointi erityisspesialistien kanssa on vaikeata toteuttaa käytännössä tehokkaasti.
Kun organisaatioiden ylin johto ei ole riittävästi sitoutunut tietoturvallisuuden johtamiseen, siitä seuraa, että:
Tehokkaimpana keinona organisaatioiden ylimmän johdon saamiseksi sitoutumaan tietoturvallisuuteen on tietoturvallisuuden hallinnan saattaminen johtamisasemassa ja –tehtävissä olevien henkilöiden varsinaiseen työkenttään kuuluvaksi. Tässä voidaan nähdä kaksi osa-aluetta:
Näihin pääseminen kuitenkin edellyttää merkittäviä asennemuutoksia niin organisaatioiden johtohenkilöissä kuin tietoturvallisuuden asiantuntijoissakin.
Tietoturvallisuuden hallinnan yleinen paradoksaalinen tosiasia on, että tietoturvallisuudessa täytyy organisaatioiden aina olla valmiina, mutta siinä ei voi koskaan tulla valmiiksi.
==>Lue lisää Teksti 1 Teksti 2
For senior executives, information security is a basic requirement for business success. Yet, despite being well-motivated, top managers often have only a superficial understanding of information security, which may lead them to make decisions that are not conductive to rctising lhe organization's security level. Enhancing information security awareness among all employees has been found necessqty, but the key to success is raising the awareness level of senior mqnagement. Playing a decisive role, they must assume overall responsibility for information security. The question is how to achieve this in an fficient and natural way.
==> Read more ...
Huolestuttavaa on, että ylimmän johdon edustajat eivät yleensä ole kiinnostuneita tietoturvallisuudesta heidän oman johtamisroolinsa osalta. He eivät tunne tietoturvallisuuden johtamisen keinoja käytännössä ja saattavat delegoida johtamisvastuunsa asiantuntijoille tai suorastaan ulkoistaa sen ulkopuolisille konsulteille.
Kaikki kansainvälisestikin arvostetut referenssit korostavat, että organisaation tietoturvallisuuden johtamista ei voi menestyksellisesti siirtää pois johdon vastuulta. Johtamisvastuu koskee sekä organisaation operatiivista toimintaa että strategista kehittämistä. Asia on tuotu esille mm. tietoturvallisuuden hallinnan tärkeimmässä kansainvälisessä perusstandardissa ISO/IEC 17799:2005. Samaa toteavat OECD:n (2002) tietoturvallisuussuositukset ja -periaatteet, jotka erityisesti painottavat, että tietoturvallisuus edellyttää organisaatiokulttuurin syntymistä ja kehittämistä. Edellä mainittu koskee yhteiskuntamme kaikkia organisaatioita. Asian merkitystä lisää vielä se, että kaikkien organisaatioiden toiminta perustuu tänään lisääntyvässä määrin tietoon, tietoturvallisriskit ovat organisaatioiden merkittäviä liiketoimintariskejä ja suurimmat tietoturvallisuusrikkomukset tapahtuvat organisaatioiden oman henkilökunnan toimesta.
Miksi sitten käytännössä johdon sitoutuminen on epätyydyttävää? Tietoturvallisuuden ammatilliset peruskäsitteet, erityisesti eheys, käytettävyys ja luottamuksellisuus, ovat vaikeasti ymmärrettäviä ja vieraita ei-asiantuntijoille - ja jopa asiantuntijoillekin. Tietoturvallisuuden hallinnan yleiset standardit ja ohjeet (erityisesti ISO/IEC 27001:2005, ISO/IEC 17799:2005, ISO/IEC 17799–1:1996, and OECD Guidelines) ovat monimutkaisia ja hämmentäviä. Tilannetta vaikeuttavat vielä yleisesti tietojärjestelmiä ja tietojen hallintaa ohjaavat tärkeät julkaisut (mm. ISO/IEC 20000:2005, ITIL, COBIT, Sarbanes-Oxley Act) sekä lukuisat organisaatioiden yleistä johtamista koskevat opit ja julkaisut, mm. ISO 9000 –standardit. Lisäksi tietoturvallisuus on monitieteellinen aihe, ja tieto jota turvallisuuden hallinta koskee on pääosaltaan ns. hiljaista tietoa (tacit knowledge). Ammattimainen tietoturvallisuuden hallinta edellyttää siten paljon erityistietoa. Kuitenkin organisaatioiden johtohenkilöt ovat hyvin yksilöllisiä ja vahvan muodollisen asemansa tuntevia ”generalisteja”, joiden kommunikointi erityisspesialistien kanssa on vaikeata toteuttaa käytännössä tehokkaasti.
Kun organisaatioiden ylin johto ei ole riittävästi sitoutunut tietoturvallisuuden johtamiseen, siitä seuraa, että:
- tietoturvallisuutta ei johdeta organisaatioiden todellisten liiketoimintatarpeiden mukaisesti
- tietoturvallisuuden hallinta nähdään vain reaktiivisena, ongelmia ehkäisevänä ja joidenkin yleisten standardivaatimusten – tai vieläpä vain ns. minimivaatimusten – täyttämisenä, jolloin myös toteutuksista puuttuu aito organisaatiokohtainen innovatiivisuus
- organisaatiot puuhastelevat erillisten ja rajattujen, esim. vain teknisluonteisten, aiheiden parissa
- organisaatioissa tehdään ”kosmeettisia” ja pinnallisia ratkaisuja tai ei itse asiassa tehdä mitään vaan toivotaan vain ettei mitään vakavaa sattuisi
- organisaatiot pysyvät ja kärsivät hiljaa ongelmistaan ja osaamattomuudestaan
Tehokkaimpana keinona organisaatioiden ylimmän johdon saamiseksi sitoutumaan tietoturvallisuuteen on tietoturvallisuuden hallinnan saattaminen johtamisasemassa ja –tehtävissä olevien henkilöiden varsinaiseen työkenttään kuuluvaksi. Tässä voidaan nähdä kaksi osa-aluetta:
- Tietoturvallisuus integroidaan saumattomasti johdon päätöksiin sekä strategisiin ja operatiivisiin johtamistoimintoihin.
- Vahvistetaan organisaation yleistä tietoturvallisuustietoisuutta ja –kulttuuria.
Näihin pääseminen kuitenkin edellyttää merkittäviä asennemuutoksia niin organisaatioiden johtohenkilöissä kuin tietoturvallisuuden asiantuntijoissakin.
Tietoturvallisuuden hallinnan yleinen paradoksaalinen tosiasia on, että tietoturvallisuudessa täytyy organisaatioiden aina olla valmiina, mutta siinä ei voi koskaan tulla valmiiksi.
==>Lue lisää Teksti 1 Teksti 2
For senior executives, information security is a basic requirement for business success. Yet, despite being well-motivated, top managers often have only a superficial understanding of information security, which may lead them to make decisions that are not conductive to rctising lhe organization's security level. Enhancing information security awareness among all employees has been found necessqty, but the key to success is raising the awareness level of senior mqnagement. Playing a decisive role, they must assume overall responsibility for information security. The question is how to achieve this in an fficient and natural way.
==> Read more ...
Tämän blogin aineistojen
käyttöoikeutta koskee
Creative Commons
lähde mainittava 3.0 -lisenssi.
Lähetä kommentti