Jotta tietoturvapäällikkö voi nukkua yönsä hyvin, tietoturvatoiminnan tulee olla koko organisaation kattavaa ja myös hallittua. On olemassa useitakin eri tietoturvan hallintajärjestelmiä, jotka kuvaavat miten hallittu tietoturva kannattaa organisoida ja minkälaisia asioita siinä tulee ottaa huomioon. Esimerkkeinä ovat vaikka Information Security Forumin  Standard of Good Practice sekä kansainvälinen standardi ISO/IEC 27001:2005 , joka on tunnetumpi varmaan aikaisemman versionsa nimellä BS 7799.

Olen niitä harvoja suomalaisia, jotka voivat sanoa luotsanneensa organisaation BS7799-2:2003 sertifiointiprosessin läpi (Suomessa oli tammikuussa 2007 15 kpl Inspecta Sertifioinnin myöntämää ertifikaattia) joten minulla on käytännön kokemusta paitsi itse järjestelmän rakentamisesta, myös siitä miten se otetaan organisaatiossa oikeasti käyttöön.

Jotta moisen standardin käyttöönotto olisi järkevää, organisaatiolla tulee olla joko selkeitä standardin käyttöönottoa puoltavia tietoturvavaatimuksia (esim. asiakkailta tai muilta sidosryhmiltä) tai sen tulee olla sen kokoinen, että merkittävä jatkuva taloudellinen panostus tietoturvaan saa johdon hyväksynnän. Nimittäin koko prosessi ei ole helppo eikä yksinkertainen.

Toisaalta taas moni organisaatio voisi selkeästi hyötyä hallintajärjestelmätyyppisestä ajattelusta. Esimerkiksi BS7799:ssä on hyvin monia hyviä toimenpiteitä, jotka oikeasti varsin pienellä panostuksella parantavat tietoturvatyön laatua ja tietoturvan hallittavuutta. Pienikin organisaatio voi ottaa käyttöön joitakin rusinoita BS-pullasta haukkaamatta kuitenkaan itselleen liian suurta palaa.

Esimerkkinä otettakoon nyt vaikka riskianalyysilähtöinen suunnittelu. Jos organisaatio haluaa jollain tavalla olla vakuuttunut siitä, että tietoturvabudjetti oikeasti käytetään liiketoiminnan kannalta olennaisiin kohteisiin, tämä tapahtuu helposti riskianalyysin avulla. Koko organisaation tasoisella riskianalyysillä johdolta ja avainhenkilöiltä pumpataan irti käsitys siitä, mitkä ovat heidän näkemyksensä mukaan suurimmat uhat liiketoimintaympäristössä ja mikä on niiden riskipitoisuus. Ja kun riskit on jaettu vuohiin ja lampaisiin (eli siis liian suuriin ja hyväksyttyihin) saadaan hyvin helposti johdon ohjaus siihen, mihin organisaation tietoturvatoiminnassa tulisi sillä hetkellä panostaa. Ja tästä lähtee konkreettisten projektien suunnittelu.

Tämä on selkeä win-win -käytäntö sekä johdolle että tietoturvaorganisaatiolle. Johto vakuuttuu siitä, että tietoturvatyö suuntautuu liiketoiminnan kannalta oikeaan suuntaan ja tietoturvapäällikkö saa taustatukea ja rahaa tarvittaviin projekteihin. Jos tietoturvapäällikkö ei pysty perustelemaan haluamaansa projektia riskilähtöisesti, projekti ei yleensä ole järkevä, vaan jonkinlaista tekemisen ilosta lähtevää puuhastelua. Mutta jos toimimattomuuden riskit ovat selkeät ja riittävän suuret, niin johdolla ei yleensä ole varaa olla antamatta rahaa. Ei tämä toki koskaan näin idyllistä ole, sillä johdo  ja tietoturva-asiantuntijoiden käsitys hyväksyttävästä riskitasosta yleensä eroavat. Ja siinä on sitä neuvottelun paikkaa.

BS7799:ssä on muitakin hyviä käytäntöjä, esimerkiksi Plan-Do-Check-Act -sykli, jossa suunnittelu (PLAN) lähtee edellämainitusta riskianalyysistä, sitten toteutetaan suunnitelma (DO), tarkistetaan toteutuksen tehokkuus esim. auditoimalla (CHECK) ja viimeiseksi korjataan auditoinnissa havaitut poikkeamat tai ongelmat (ACT).

Tällaisia helmiä voi pienikin organisaatio poimia käytäntöön varsin nopeasti ja kevyesti tarvitsematta rämpiä hallintajärjestelmän dokumenttisuossa tai erityisesti ISO 27001:n mukanaan tuomassa mittausviidakossa. Ja menetelmistä on selkeä apu heti. Kuitenkaan ei saa unohtaa, että käytännön toiminnan kannalta parhaat tulokset saavutetaan siten, että tietoturva on saumattomasti kiinni kaikissa organisaation prosesseissa. Tietoturvan huomioon ottaminen tulisi olla osa ihmisten normaalia arkirutiinia, ei mikään uusi projekti tai lisärasite. Ja tämä on oikeasti se syy, minkä takia minkä tahansa koko organisaation kattavan tietoturvan hallintajärjestelmän käyttöönotto on raskas ja pitkä operaatio. Se, että eri prosesseihin saadaan upotettua tarvittavat tietoturvakontrollit ja -menetelmät ei ole yksinkertainen ja helppo tie. Mutta sitten kun se on tehty, tietoturvapäällikkö voi nukkua yönsä hyvin.