Kun yrityksessä tapahtuu poikkeama tai tietoturvaloukkaus, suurin ongelma ei yleensä ole vain itse tapahtuma. Todellinen riski syntyy siitä, että kukaan ei tiedä mitä tehdään, kuka päättää ja miten tilanne dokumentoidaan. ISO 27001 ei edellytä täydellisyyttä, vaan hallittua tapaa havaita, käsitellä ja ehkäistä vastaavat tilanteet jatkossa.
Tässä artikkelissa käymme läpi, mitä poikkeama ja tietoturvaloukkaus käytännössä tarkoittavat, miten ne liittyvät ISO 27001 -vaatimuksiin ja miten rakennat pk-yritykselle toimivan käsittelymallin. Saat myös selkeän etenemispolun, jota voit soveltaa heti omassa hallintajärjestelmässä.
Mitä poikkeama ja tietoturvaloukkaus tarkoittavat käytännössä?
Poikkeama tarkoittaa tilannetta, jossa sovittu toimintatapa, vaatimus tai kontrolli ei toteudu. Se voi olla esimerkiksi se, että työntekijän käyttöoikeuksia ei poistettu 24 tunnin sisällä työsuhteen päättymisestä, vaikka näin on ohjeistettu.
Tietoturvaloukkaus on poikkeamaa vakavampi tapahtuma, jossa tiedon luottamuksellisuus, eheys tai saatavuus vaarantuu. Esimerkkejä ovat asiakastietojen päätyminen väärälle vastaanottajalle, kiristyshaittaohjelma palvelimella tai kriittisen järjestelmän käyttökatko.
Käytännössä yrityksen kannattaa erottaa nämä kaksi toisistaan ainakin seuraavasti:
| Tilanne | Esimerkki | Vaikutus | Käsittelyaika |
|---|---|---|---|
| Poikkeama | Varmuuskopioinnin tarkistus jäi tekemättä | Mahdollinen riski, ei välitöntä vahinkoa | Käsittely aloitettava 5 arkipäivän sisällä |
| Vakava poikkeama | Pääkäyttäjätunnus ilman monivaiheista tunnistautumista | Kohonnut riski väärinkäytölle | Käsittely aloitettava 24 tunnin sisällä |
| Tietoturvaloukkaus | Haittaohjelma salaa tiedostoja | Suora vaikutus saatavuuteen | Reagointi heti, viimeistään 1 tunnissa |
| Henkilötietojen tietoturvaloukkaus | Asiakaslista lähetettiin väärälle vastaanottajalle | Mahdollinen GDPR-ilmoitusvelvollisuus | Arviointi heti, viranomaisarvio usein 72 tunnin sisällä |
Monessa pk-yrityksessä ongelma on se, että kaikki niputetaan sanan “häiriö” alle. Silloin kiireellisyys, vastuut ja raportointi jäävät epäselviksi. Kysy siis itseltäsi: tunnistaako henkilöstö, milloin kyse on tavallisesta poikkeamasta ja milloin tietoturvaloukkauksesta?
Huomio
ISO 27001 ei vaadi, että poikkeamia tai tietoturvaloukkauksia ei koskaan tapahtuisi. Se vaatii, että organisaatiolla on toistettava tapa tunnistaa tapahtumat, reagoida niihin, korjata juurisyyt ja osoittaa tämä myös auditoinnissa.
Miksi ISO 27001 korostaa käsittelyprosessia eikä vain reagointia?
ISO 27001 perustuu ajatukseen jatkuvasta parantamisesta. Siksi yksittäinen tapahtuma ei ole standardin näkökulmasta vain “sammutettava tulipalo”, vaan myös signaali siitä, että jokin kontrolli, ohje tai vastuunjako ei toimi riittävän hyvin.
Hyvä poikkeamien hallinta tuottaa vähintään kolme hyötyä:
- tunnistat toistuvat ongelmat ennen kuin niistä tulee vakavia
- pystyt osoittamaan johdolle ja asiakkaille, että tilanne on hallinnassa
- saat aineistoa riskienarvioinnin ja kontrollien parantamiseen
Jos käsittely jää pelkäksi tekniseksi reagoinniksi, oppi menetetään. Esimerkiksi palvelin voidaan palauttaa varmuuskopiosta 4 tunnissa, mutta jos kukaan ei selvitä, miksi palautus ylipäätään tarvittiin, sama tilanne voi toistua ensi kuussa.
ISO 27001 -ympäristössä kannattaa määritellä vähintään nämä asiat kirjallisesti:
- mitä pidetään poikkeamana
- mitä pidetään tietoturvaloukkauksena
- kuka vastaanottaa ilmoitukset
- kuka päättää eskaloinnista
- missä ajassa käsittely aloitetaan
- miten tapahtuma dokumentoidaan ja suljetaan
Toimiva käsittelymalli pk-yritykselle
Pk-yrityksen ei tarvitse rakentaa raskasta SOC-toimintoa tai monimutkaista tiketöintijärjestelmää. Usein riittää selkeä malli, jossa ilmoituskanava, vastuut, luokittelu ja jälkikäsittely on sovittu etukäteen.
Yksinkertainen malli toimii yleensä paremmin kuin hieno mutta käyttämätön prosessi. Jos henkilöstö ei muista toimintatapaa 30 sekunnissa, se on todennäköisesti liian monimutkainen.
Alla on käytännöllinen vastuumalli, jota voit soveltaa:
| Rooli | Vastuu poikkeamassa | Vastuu tietoturvaloukkauksessa | Tavoiteaika |
|---|---|---|---|
| Henkilöstö | Ilmoittaa havainnosta | Ilmoittaa heti ja säilyttää todisteet | 15 minuutissa havainnosta |
| IT / järjestelmävastaava | Arvioi teknisen vaikutuksen | Eristää, rajaa ja palauttaa | Aloitus 1 tunnissa |
| Tietoturvavastaava / nimetty vastuuhenkilö | Luokittelee ja dokumentoi | Koordinoi käsittelyä ja raportointia | Luokittelu 4 tunnissa |
| Johto | Hyväksyy korjaavat toimet | Päättää viestinnästä ja resursseista | Päätökset 24 tunnissa |
Konkreettinen minimitaso pk-yritykselle on tämä:
- yksi ilmoituskanava, esimerkiksi tietty sähköpostiosoite tai lomake
- yksi nimetty vastuuhenkilö ja yksi varahenkilö
- yksi luokittelumalli, esimerkiksi matala–keskitaso–korkea
- yksi poikkeamarekisteri, johon kaikki tapaukset kirjataan
Vinkki
Testaa ilmoituskanava heti. Lähetä testiviesti ja varmista, että vastuuhenkilö kuittaa sen 15 minuutin sisällä työaikana. Jos kuittausta ei tule, prosessi ei vielä toimi käytännössä.
Määritä ilmoituskanava ja luokittelusäännöt
Valitse yksi ensisijainen tapa ilmoittaa poikkeamasta tai tietoturvaloukkauksesta. Kirjaa samalla kolme luokkaa, esimerkiksi matala, merkittävä ja kriittinen, sekä selkeät kriteerit kuten vaikutus asiakkaisiin, palvelukatkon pituus ja henkilötietojen määrä.
Reagoi nopeasti ja rajaa vahinko
Kun ilmoitus tulee, ensimmäinen tavoite on estää tilanteen paheneminen. Tämä voi tarkoittaa käyttäjätunnuksen sulkemista, laitteen irrottamista verkosta, väärän vastaanottajan kontaktointia tai palvelun palauttamista varajärjestelyllä 1–4 tunnin sisällä tilanteen vakavuudesta riippuen.
Dokumentoi tapahtumatiedot heti
Kirjaa vähintään mitä tapahtui, milloin havaittiin, ketä vaikutus koskee, mitä järjestelmiä asia koskee ja mitä ensitoimia tehtiin. Älä jätä dokumentointia seuraavaan päivään, koska aikajana hämärtyy nopeasti jo 2–3 tunnissa.
Selvitä juurisyy ja päätä korjaavat toimet
Kun tilanne on vakautettu, selvitä miksi tapahtuma pääsi syntymään. Käy läpi esimerkiksi puuttuva kontrolli, epäselvä ohje, koulutuspuute tai tekninen virhe ja määritä jokaiselle korjaavalle toimenpiteelle vastuuhenkilö sekä määräaika, kuten 14 päivää tai 30 päivää.
Sulje tapaus vasta kun oppi on viety käytäntöön
Tapausta ei kannata merkitä valmiiksi heti teknisen korjauksen jälkeen. Sulje se vasta, kun korjaava toimenpide on toteutettu, vaikutus varmistettu ja tarvittaessa riskienarviointi, ohjeistus tai koulutus on päivitetty.
Mitä poikkeamarekisteriin kannattaa kirjata?
Moni yritys tekee virheen kirjaamalla vain otsikon ja päivämäärän. Auditoinnissa ja sisäisessä kehityksessä tästä ei ole paljon hyötyä. Hyvä poikkeamarekisteri auttaa näkemään, toistuuko sama ongelma esimerkiksi käyttöoikeuksissa, toimittajissa tai varmistuksissa.
Kirjaa jokaisesta tapauksesta vähintään seuraavat tiedot:
- tunniste tai tapausnumero
- havaintopäivä ja kellonaika
- ilmoittaja
- luokitus ja vakavuus
- vaikutuksen kohde, esimerkiksi asiakasdata, palvelu tai laite
- välittömät toimet
- juurisyy
- korjaavat toimet
- vastuuhenkilö
- määräpäivä
- sulkemispäivä
Jos haluat tehdä rekisteristä aidosti johdon työkalun, lisää kaksi mittaria:
| Mittari | Miten lasketaan | Tavoitetaso |
|---|---|---|
| Reagointiaika | Aika havainnosta ensimmäiseen kuittaukseen | alle 1 tunti kriittisissä tapauksissa |
| Sulkuaika | Aika havainnosta korjaavien toimien valmistumiseen | 14–30 päivää tavallisissa poikkeamissa |
| Toistuvuus | Kuinka moni tapaus on samaa tyyppiä 12 kk aikana | Enintään 1–2 toistoa per juurisyy |
| Myöhästyneet toimet | Kuinka moni korjaava toimi ylittää määräajan | Alle 10 % |
Näillä mittareilla johto näkee nopeasti, onko prosessi oikeasti hallinnassa vai vain paperilla olemassa.
Yleisimmät virheet poikkeamien käsittelyssä
Yllättävän usein ongelma ei ole tekninen vaan organisatorinen. Tapaus kyllä huomataan, mutta sitä ei omista kukaan. Lopputuloksena tehdään kiireinen korjaus, mutta juurisyy jää elämään.
Vältä erityisesti nämä virheet:
- poikkeamia ei kirjata, jos ne “saatiin nopeasti kuntoon”
- tietoturvaloukkaus sekoitetaan tavalliseen käyttökatkoon
- korjaava toimi kirjataan liian yleisesti, esimerkiksi “parannetaan ohjeistusta”
- määräaikoja ei aseteta tai niitä ei seurata
- johto saa tiedon vasta jälkikäteen
Konkreettinen esimerkki: työntekijä lähettää tarjouksen väärälle asiakkaalle. Jos tapaus kuitataan vain muistutuksella “ole tarkempi”, mitään ei oikeasti korjata. Parempi korjaava toimi voisi olla:
- otetaan käyttöön vastaanottajan vahvistus ulkoisiin lähetyksiin
- päivitetään ohjeistus 7 päivän sisällä
- koulutetaan myyntitiimi seuraavassa viikkopalaverissa
- seurataan vastaavia virheitä 3 kuukauden ajan
Varoitus
Yleinen virhe on sulkea tapaus heti, kun tekninen ongelma on poistunut. Auditoinnissa tämä näkyy nopeasti: tapahtuma on kirjattu, mutta juurisyy, korjaava toimi ja vaikuttavuuden arviointi puuttuvat.
Miten poikkeamat ja loukkaukset kytketään jatkuvaan parantamiseen?
ISO 27001:n arvo syntyy siitä, että yksittäiset tapaukset parantavat koko tietoturvan hallintajärjestelmää. Jokainen merkittävä poikkeama kertoo jotain riskienarvioinnista, kontrollien toimivuudesta tai henkilöstön ohjeistuksesta.
Käytännössä tämä tarkoittaa, että käsittelyn jälkeen kannattaa tarkistaa ainakin nämä neljä kohtaa:
- pitääkö riskienarviointia päivittää
- pitääkö jokin kontrolli lisätä tai tiukentaa
- pitääkö ohje tai prosessi päivittää
- tarvitaanko kohdennettu koulutus tietylle tiimille
Hyvä kuukausirytmi pk-yritykselle voi olla seuraava:
| Toistuvuus | Mitä tehdään | Kesto |
|---|---|---|
| Viikoittain | Käydään avoimet tapaukset läpi vastuuhenkilön kanssa | 15–30 min |
| Kuukausittain | Tarkastellaan trendit ja myöhästyneet toimet | 30 min |
| Kvartaaleittain | Arvioidaan toistuvat juurisyyt ja päivitetään riskit | 60 min |
| Vuosittain | Hyödynnetään havainnot johdon katselmuksessa ja sisäisessä auditoinnissa | 1–2 h |
Jos käytössäsi on Tietoturvapankki, poikkeamien, korjaavien toimenpiteiden ja vastuiden seuranta on helpompi sitoa samaan kokonaisuuteen riskienhallinnan, dokumentaation ja ISO 27001 -vaatimusten kanssa. Tämä vähentää sitä tuttua ongelmaa, jossa tieto jää sähköposteihin, Exceliin ja yksittäisten henkilöiden muistiin.
Näin pääset alkuun ilman raskasta projektia
Jos yrityksessäsi ei vielä ole selkeää mallia, älä yritä rakentaa kaikkea kerralla. Aloita pienestä mutta tee se loppuun asti. Jo yhden kuukauden aikana saat käyttöön toimivan perustason.
Aloituslista seuraaville 30 päivälle:
- nimeä vastuuhenkilö ja varahenkilö
- määritä yksi ilmoituskanava
- tee yksinkertainen luokittelutaulukko
- ota käyttöön poikkeamarekisteri
- sopikaa reagointiajat, esimerkiksi 1 tunti, 24 tuntia ja 30 päivää
- käsitelkää ensimmäiset tapaukset samalla mallilla
Tämä riittää jo siihen, että poikkeamien käsittely ei ole sattumanvaraista. Sen jälkeen prosessia voi syventää esimerkiksi toimittajahallintaan, henkilötietojen loukkausten arviointiin ja teknisiin valvontahälytyksiin.
Yhteenveto
- Poikkeama ja tietoturvaloukkaus kannattaa erottaa toisistaan, koska niiden kiireellisyys, vaikutus ja raportointitarve ovat erilaiset.
- Toimiva ISO 27001 -malli sisältää ilmoituskanavan, luokittelun, vastuut, määräajat ja poikkeamarekisterin.
- Tapaus kannattaa sulkea vasta, kun juurisyy on selvitetty ja korjaavat toimet on toteutettu käytännössä.
- Seuraa vähintään reagointiaikaa, sulkuaikaa, toistuvuutta ja myöhästyneitä toimenpiteitä.
- Pk-yritys pääsee alkuun kevyesti, kun prosessi on selkeä ja sitä käytetään johdonmukaisesti.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.