ISO 27001 ja NIS2 käytäntöön – osa 3/3
Tämä on kolmas ja viimeinen osa sarjastamme. Jatkuva parantaminen työkaluna ja viisi nyrkkisääntöä onnistuneeseen toteutukseen.
ISO 27001- ja NIS2-vaatimusten hallinnassa sopivan lähestymistavan valinta riippuu organisaation koosta, kypsyydestä ja resursseista. Kehityspolku ei välttämättä etene lineaarisesti eli excelistä dashboardin kautta integroituun malliin. Mitä enemmän opittavaa, sitä enemmän hyötyä voi saavuttaa siirtymällä suoraan integroituun tai dashboard-malliin, jossa rakenne on valmiina. Pitkään vaatimustenmukaisuutta tehneillä organisaatioilla Excelillä jatkaminen voi olla helpompaa.
Kun olet valinnut lähestymistavan – olipa se sitten manuaalinen, dashboard-pohjainen tai integroitu – seuraavaksi on aika varmistaa, että ponnistelut vaatimustenmukaisuuden eteen kehittyvät jatkuvasti. Listaan myös joitakin käytännön oppeja, jotka ratkaisevat onnistumisen riippumatta siitä, minkä mallin valitsit.
Jatkuva parantaminen (PDCA)
Plan-Do-Check-Act -sykli on ISO 27001 -standardin keskeinen periaate ja oivallinen käytännön työkalu vaatimustenmukaisuuden ylläpitämiseksi. Sen avulla vaatimustenmukaisuus pidetään ’elävänä’ prosessina eli auditoinnissa havaitut puutteet muutetaan korjaaviksi toimenpiteiksi, joille nimetään omistajat ja aikataulut.
Yksinkertainen esimerkki: Auditoinnissa löytyy puutteellinen käyttöoikeusprosessi, joka tulee suunnitella uusiksi (Plan). Prosessi kuvataan ja työkalut konfiguroidaan (Do). Kolmen kuukauden jälkeen tarkistetaan, että poikkeamat ovat vähentyneet toivotulla tavalla, esim. 70% (Check). Muokattu prosessi vakiinnutetaan osaksi perehdytystä (Act). Check- ja Act-vaiheissa on tärkeää dokumentoida lyhyesti mittarit, päätökset ja todentaminen, kuten palautustestiraportit ja tikettien sulkemisperusteet.
Ilman jatkuvaa parantamista vaatimustenmukaisuus rapautuu pikkuhiljaa, kun kontrollit jäävät päivittämättä, uudet riskit jäävät huomaamatta, ja organisaatio ajautuu takaisin lähtöpisteeseen.
Nikin viisi nyrkkisääntöä
Summaan blogisarjani keskeiset pointit viiteen nyrkkisääntöön. Jokainen niistä perustuu kokemukseeni siitä, mikä arjessa lopulta ratkaisee onnistummeko.
Seuraavat asiat nousevat kerta toisensa jälkeen esille → johdon on sitouduttava hyvän tietoturvan varmistamiseen, ja kontrollinomistajien on ymmärrettävä osaltaan miksi heidän tehtävänsä on keskeinen. Lisäksi evidenssin kerääminen on aloitettava heti, eikä vasta auditoinnin alla. Näillä pääsee jo pitkälle.
Tässä viisi pointtiani:
1. Aloita maltilla
Älä yritä rakentaa täydellistä järjestelmää heti. Excel riittää alkuun ja antaa mahdollisuuden oppia käytännössä. Suoraan dashboard- tai integroituun malliin siirtyminen voi myös olla perusteltua, mutta silloinkaan ei ole pakko konfiguroida kaikkea kerralla. Varaa aikaa oppimiseen ja virheiden korjaamiseen. Varaa myös ensimmäinen täysi vuosisykli, jossa prosessit vakiintuvat.
Klassinen kompastuskivi → Vaatimustenmukaisuudesta vastaava henkilö viettää ensimmäiset kolme kuukautta rakentamalla monimutkaista Excel-taulukkoa, jossa on värienvaihtoautomatiikkaa, 15 välilehteä ja monimutkaiset kaavat. Kukaan muu ei välttämättä ymmärrä sen hienoutta. Kun tekijä siirtyy toisiin tehtäviin, malli käytännössä romahtaa.
2. Dokumentoi päätökset alusta asti
Kirjaa tarkasti kaikki päätökset ja toimenpiteet, vaikka käyttäisit vain vihkoa ja kynää. ISO 27001 ja NIS2 edellyttävät molemmat päätösten dokumentointia ja niiden perusteluja. Ilman dokumentointia on mahdotonta perustella myöhemmin miksi jokin ratkaisu tehtiin. Tämä on yllättävän vaikeaa aluksi, sillä oman työn perustelujen kirjaaminen on osalle meistä uusi tapa toimia.
Klassinen kompastuskivi → Auditoija kysyy: ”Miksi tämä kontrolli on määritelty näin?” Vastaus: ”Tatu hoiti sen viime vuonna, hän varmasti tiesi miksi.” Tatu on vaihtanut työpaikkaa. Jos kukaan ei muista perusteluja, kontrolli pitää suunnitella ja toteuttaa uudelleen.
3. Rytmitä tekeminen vuosikellon avulla
Säännöllisyys voittaa intensiteetin. ISO 27001 edellyttää säännöllisiä johdon katselmuksia, ja vaatimustenmukaisuus ei synny kertaluonteisista ponnistuksista vaan säännöllisestä toistosta. Lukitse katselmukset kalenteriin ja pidä niistä kiinni. Totuttele siihen, että muut haluavat viivästyttää katselmointitilaisuuksia. Tekeminen on aina kesken ja sit helposti kuvittelee, että muutaman viikon lisäaika olisi ratkaiseva.
Klassinen kompastuskivi → Katselmus siirtyy ”vain tämän kerran” kolmella viikolla, koska ”tärkeä projekti on vielä kesken”. Seuraavalla kerralla se siirtyy taas. Vuoden päästä katselmuksia ei ole pidetty ollenkaan, ja auditoija kysyy: ”Näyttäkää johdon katselmusten jälki viimeiseltä vuodelta.”
4. Mittaa riskiperusteisesti
Tilanne voi olla katastrofaalinen, vaikka 95% kontrolleista olisi vihreänä. Riskiperustainen ajattelu ratkaisee ja vaatimuksenmukaisuudesta vastaavana joudut opettelemaan paljon uutta, jotta saat varmasti oikean riskiperustaisen tilannekuvan.
Tilannekuva, jossa on matalan riskin puutteita punaisella, kertoo laadukkaasta työstä. Tilanne, jossa kaikki matalankin riskin kontrollit ovat kunnossa kaikkien toiminteiden osalta, kertoo todennäköisesti väärästä tilannekuvasta, jossa kollegasi eivät uskalla puhua totta. Huomaa, että sekä ISO 27001 että NIS2 edellyttävät riskiperusteista ajattelua.
Klassinen kompastuskivi → Dashboard hehkuu vihreänä. Kaikki matalan riskin kontrollit ovat kunnossa – käyttöohjeiden päivitys, henkilöstön perehdytysdokumentit, tilaratkaisut. Hienoa. Mutta samaan aikaan kriittistä varmuuskopiojärjestelmää ei ole testattu vuoteen, ja pääkäyttäjäoikeudet ovat 15 henkilöllä ilman perusteluita. Auditointi tulee paljastamaan nämä vakavat puutteet.
5. Ihmiset ratkaisevat
Paraskin työkalu on hyödytön, jos kaikki eivät ymmärrä miksi toimitaan kuten toimitaan ja miksi vaatimustenmukaisuus on tärkeää. Kouluta, viesti ja osallista. Riskiperustainen toimintatapa auttaa keskittymään olennaiseen, kysymään vaikeitakin kysymyksiä ja tarvittaessa haastamaan myös yrityksen johdon tilanteissa, joissa he eivät vielä ole hahmottaneet riskien kokonaiskuvaa.
Klassinen kompastuskivi → Vaatimustenmukaisuudesta vastaava tuntee standardit ulkomuistista ja syöttää ahkerasti tietoja järjestelmään. Kontrollinomistajat täyttävät kenttiä koska ”niin on käsketty”, ymmärtämättä miksi. Kun todellinen ongelma ilmenee – vaikkapa tietovuoto – kaikki eivät osaa toimia, koska prosessit ovat vain paperilla.
Ehdotukseni seuraavaksi askeleeksi
Aloita kartoittamalla organisaatiosi tilanne: kuinka monta standardia on hallittavana, montako kontrollia seurattavana, ja paljonko resursseja tähän työhön on käytettävissä?
Käykää yhdessä läpi nämä blogisarjassa esitellyt lähestymistavat ja pohtikaa mikä on sopivin tilanteessanne. Myös minulle saa soittaa, autan mielelläni.
Vaatimustenmukaisuus syntyy järjestelmällisestä työstä, selkeistä prosesseista ja sitoutuneista ihmisistä. Oikein valittu lähestymistapa tekee tehtävästä paljon helpomman.
Kiitos kun luit pohdintani.
Niki
Jos missasit blogisarjan aiemmat osat, löydät ne täältä:
Osa 1 → ISO 27001 ja NIS2: Neljä syytä panostaa vaatimustenmukaisuuden hallintaan
Osa 2 → ISO 27001 ja NIS2: Excel, koontinäkymä vai integraatiot?