Kansainvälinen ISO27001-standardi ei ole startup-yrityksen työlistalla ensimmäisenä, mutta pidemmällä aikavälillä sen pitäisi olla yrityksen agendalla. Liiketoimintasuunnitelma, MVP, asiakkaat ja rahavirrat ovat startup-yrittäjän arkea. Startupin kehittämän palvelun tietoturvallisuus ja palvelun tietoturvallisuuden viestiminen asiakkaille ja sijoittajille eivät niinkään. Merkittävät asiakkaat—erityisesti terveys- ja finanssisektoreilla--ja sijoittajat kuitenkin edellyttävät, …
Tietoturvapalvelut
Tiedonhallintalain luonnos ja tietoturvaa koskeva sääntely
Valtiovarainministeriö on valmistellut ehdotuksen uudeksi tiedonhallintalaiksi, jolla on tarkoitus säännellä viranomaisten ja muiden julkista valtaa käyttävien tiedonhallintaa, tietoturvallisuutta sekä esimerkiksi arkistointia ja tietojen vaihtoa viranomaisten välillä. Ehdotus on lokakuun alkuun asti lausuntokierroksella ja se on tarkoitus antaa eduskunnalle myöhemmin syksyllä 2018. Seuraavassa käydään läpi lakiluonnoksen 4. lukua, jossa säädettäisiin …
ISO27001-puuteanalyysi
ISO27001-puuteanalyysi (engl. gap analysis) selvittää organisaation nykytilan suhteessa ISO27001:n vaatimuksiin hallintajärjestelmän määritellyn kattavuuden puitteissa. Usein puuteanalyysin päätteeksi laaditaan projektisuunnitelma standardin toteutukselle ja arvioidaan toteutuksen kustannukset. Puuteanalyysiin tyypillinen kesto on 1-6 viikkoa hallintajärjestelmän rajauksesta riippuen. ISO27001-puuteanalyysi koostuu kahdesta osa-alueesta: Arvio organisaation …
Miten toteutan ISO27001:n mukaisen tietoturvallisuuden hallintajärjestelmän sujuvasti?
Yllättävän monet pelkäävät kansainvälisen tietoturvastandardin, ISO27001:n, mukaisen tietoturvallisuuden hallintajärjestelmän toteuttamista, koska uskovat sen tarkoittavan ”pelkkää byrokratiaa”, ”merkittävää paperityötä” tai johtavan väistämättömästi ”suureen hankkeeseen”. Nämä uskomukset perustuvat kuitenkin yleensä myytteihin enemmän kuin kokemukseen hallintajärjestelmän toteuttamisesta. ISO27001:n toteuttaminen onnistuu vaiheistamalla ja määrittämällä …
Ovatko työntekijät uhka tietoturvalle vai sen tae?
Väite, että työntekijät ovat yrityksen suurin tietoturvauhka on totta ainoastaan, jos työntekijöiden tietoturvatietoisuuteen ei investoida. Tietoturvakoulutus on usein sitä, että kerrotaan työntekijöille mitä saa ja mitä ei saa tehdä. Esimerkiksi: Älä paljasta salasanaasi! Älä avaa epäilyttävää liitetiedostoa! Älä klikkaa linkkejä sosiaalisessa mediassa! Älä... Älä... Älä... ainakaan... Älä. Kuulostaako tutulta? Pelkkä sääntöjen tai ohjeiden listaaminen työntekijöille …