Työväline tietoturvallisuuden arviointiin ja parantamiseen

Maksuttoman työvälineen avulla pk-yritykset voi arvioida toimitila- ja tietoturvallisuuden nykytilanteen.  Se antaa myös toimenpidesuositukset ja ohjeet tunnistettujen puutteiden korjaamiseen. Työväline toimii TIEKEN kotisivulla osoitteessa http://tietoturvakartoitus.tieke.fi/testi2.php?pg=1

Tietoturvapalvelussa jaetaan lisäksi tietoa yleisellä tasolla tieturvan käsitteistä ja tietoturva-tuotteiden ja -palveluiden tarjoajista. Työvälineen avulla tietoturvallisuuden vastuuhenkilöt näkevät yksityiskohtaisesti tilanteen ja liikkeenjohdolle on tarjolla yleiskuva tilanteesta. Kätevän työvälinen avulla pk-yritykset voivat siis omaehtoisesti kartoittaa toteutetut turva-käytännöt tietoturvallisuuden eri osa-alueilla. Näin säästetään merkittävästi kustannuksia ja turvallisuustoiminta on jatkuvaa.

Tietotekniikan merkitys liiketoimintaan

Yritysten ydintoiminnot ja yhteiskunnan keskeiset toiminnot ovat voimakkaasti sidoksissa tieto- ja viestintäjärjestelmien toimintaan. Yritysten toiminnan, kilpailukyvyn, menestymisen, palvelujen ja tuotteiden laadun edellytyksenä on korkea luotettavuus ja tietoturvan taso. Johdon, asiatuntijoiden ja tietotekniikan käyttäjien tietoturvatietoisuus on äärimmäisen tärkeää, sillä teknisillä toimilla voi toteuttaa vain  36 % tietoturvallisuudesta (Johansson, Ekstedt ja Johnson, 2006).

Tietoriskien hallinta

Tietoturvavahingoilla saattaa olla iso vaikutus yritysten liiketoimintaan ja tulokseen. Tehostamalla turvatoimia tietoturvavahingot ja häiriöt vähenevät, toiminta tehostuu, tuottavuus paranee ja yritykset pystyvät turvaamaan toimintansa jatkuvuuden. Tämän takia on erittäin tärkeää, että mahdolliset ongelmatilanteet kartoitetaan etukäteen ja löytyneet puutteet korjataan systemaattisesti.

Ongelmana pk-yritysten tietoturvan kehittämisessä on kuitenkin se, ettei saatavilla ole helppokäyttöisiä ja nopeasti tulokseen johtavia tietoturvallisuuden arvioinnin työvälineitä. Olemassa olevat yleiset riskienkartoitusmenetelmät ovat tarkoitettu isoille organisaatioille, joten ne ovat liian laajoja, kalliita ja työläitä käyttää.

Kehitetty työväline

Työväline muodostuu kysymyksistä, niihin liittyvistä ohjeista ja tulokset-osiosta. Kysymyssarjat segmentoidaan eri käyttöympäristöön ottamalla huomioon liiketoiminta ja tietotekniikka. Myös kotikäyttäjille on mahdollista tehdä oma kysymyssarjansa. Vastattuaan työvälineen esittämiin kysymyksiin tietoturvan kehittäjä saa esille tulokset, jotka ohjaavat tietoturvainvestoinnit oikeisiin asioihin. Tietoturvallisuutta ei voi kunnolla johtaa eikä kehittää ilman ajantasaista tietoa. Työväline luo edellytykset jatkuvalle parantamiselle.

Työvälineen avulla toteutetut turvatoimet tarkastetaan Good Practice- turvakäytäntöjä vasten ja toimenpidesuositukset ohjaavat ammattimaiseen  kehittämiseen ja tilanteen seuraamiseen ajan myötä. Ohjeet tukevat omaehtoista oppimista ja auttavat merkittävästi henkilökunnan tietoturvatietoisuuden lisäämisessä. Palvelua voi täydentää ja siinä voi esittää sisään-rakennetun tietoturvallisuuden kehittämisen toimintamallin sekä laatia lomakkeen kartoituksen jälkeisiä jatkotoimia varten. Se voi sisältää myös mallit tietoturvaperiaatteiden ja tietoturvasuunnitelman laadintaan.

Työvälineen käyttöönotto on helppoa - organisaatiot voivat käyttää sitä TIEKEN palvelimelta verkkopalveluna, minkä lisäksi sen käyttöliittymä on selainpohjainen, joten erillisiä asennuksia käyttäjän tietokoneelle ei tarvita.

Työvälineen toteutus

Työväline perustuu tekn.lis Paavo Porvarin Teknillisessä korkeakoulussa tekeillä olevaan  väitöstutkimukseen. Työvälineen toteuttajina ovat olleet tekn.yo. Ville Nieminen, Paavo Porvari ja  TIEKE. Sen kehittämisessä on tehty yhteistyötä myös TIEKEN yhteistyöyritysten,  AL Safety Design Oy:n, LikeIT Solutions Oy:n ja  Ibaco Solutions Oy:n kanssa.

Linkki:http://tietoturvakartoitus.tieke.fi/testi2.php?pg=1