ISAP-riskienhallintaa
töpselistä
Organisaatioiden tietoturvallisuuden
riskienhallinnan ja päätöksenteon tueksi
tarkoitettu ISAP-järjestemän voi hankkia
Fujitsusta palveluna. ISAP sisältää
riskienhallinnan auditoinnin, analysoinnin
ja raportoinnin yhdessä paketissa.
Toiminnalle on tänä päivänä
elintärkeää pystyä tunnistamaan riskit,
varautumaan niihin ja tarvittaessa toimimaan
häiriötilanteessa suunnitelmallisesti ja
johdonmukaisesti.
ISAPin (Information Security Analysis
Program) avulla voi kartoittaa muiden muassa
tietoturvallisuuteen liittyviä
taloudellisia ja strategisia riskejä tai
vaikkapa teknologiaan, ympäristöön,
viestintään ja tuotantoon liittyviä
tietoturvariskejä.
ISAP koostuu kolmesta kokonaisuudesta:
toteutettujen turvatoimien auditointi,
riskien arviointi ja analysointi sekä
häiriöraportointi. Järjestelmän
käytetyin osa perustuu kansainväliseen
tietoturvallisuuden standardiin ISO 17799
(BS7799), jonka mukaan Fujitsun palvelutkin
on sertifioitu.
Auditointiosan avulla riskienhallinnan
tilannekuva, muiden muassa ohjeistot,
standardit ja toimenpiteet ovat selkeästi
kartoitettuina, benchmarkattuna ja
käytettävissä.
 "ISAPin auditointi antaa selkeän
näkemyksen yrityksen riskienhallinnan
tilasta. Sen ominaisuudet täydentävät
kiinteästi laatujärjestelmiä ja peilaavat
tietoturvan tasoa
laatujärjestelmästandardien
vaatimuksiin", kuvailee Fujitsun johdon
konsultti Aarno Kansikas.
"Ohjelmistoa voidaan käyttää
myös muihin kuin tietoturva-auditointeihin.
Esimerkiksi ISO 9000 , EFQM ja SOX -auditointeja
on jo toteutettu."
Arviointipalikan avulla selviää, millä
tolalla tietoturva-asiat yrityksessä ovat.
Riskianalyyseillä kartoitetaan, mitkä ovat
minkäkin toiminnan sen hetkiset suurimmat
riskit ja minkä laatuisista riskeistä on
kyse. Ovatko ne niin sanottuja force majeure
-riskejä vai vahinkoja tai sitten peräti
tahallisia tekoja. Arviointi toteutetaan
selainpohjaisilla kyselyillä, organisaation
tarvittaville tasoille muokattuna.
"Tilastollisesti pätevää tietoa
saadaan jo kymmenen prosentin
otoksella", Kansikas kertoo.
"Tässä delfi-tyyppisessä
otos-periaatteessa piileekin ylivoimainen
etu yhden tai kahden henkilön
haastattelumenetelmiin verrattuna."
"Raportteja voi analyysien
perusteella tulostaa eri kriteereillä.
Esimerkiksi finanssialalla raportoidaan
tarkasti sisäisiä riskitekijöitä.
Raporttien perusteella on helppo päättää
ja perustella toimenpiteet. Jos jossakin
toimipisteessä on äkillinen piikki
varkauksien kohdalla, sinne kohdistetaan
tarkempi syyni. Jos taas toisaalla
haittaohjelmat tai hakkerit ovat riesana,
sinne suunnataan ennaltaehkäisevää
torjuntaa", Kansikas selvittää.
Systemaattista ja ennaltaehkäisevää
riskienhallintaa
Yhtä monipuolista ja helppokäyttöistä
järjestelmää kuin ISAP ei juurikaan ole
markkinoilla. Ohjelmisto on alun perin
norjalainen ja sitä käyttävät muiden
muassa Volvo, Oslon ja Tukholman kaupungit
sekä Norlandsbanken.
ISAP:in avulla yritys saa omaan
hallintaansa toiminnon, joka on aiemmin
hoitunut monimutkaisesti käsipelillä, ja
vaatinut usein kallista ulkopuolista
konsultointiapua. Järjestelmän avulla
riskienhallinta tulee systemaattiseksi
osaksi organisaation
riskienhallintaprosessia, laadunvalvontaa,
ja epäilemättä sen avullaehkäistään
ennalta monia väärinkäytöstapauksia.
Asp-palvelu eli sovellusvuokraus tuo
ISAP-järjestelmän käyttövalmiina
asiakkaan työpöydälle. Fujitsu vastaa
tällöin sen suorituskyvystä,
käytettävyydestä sekä valvonnasta ja
hallinnasta. Asiakas tarvitsee ainoastaan
verkkoyhteydet ja selaimen.
Referenssejä on muun muassa
julkishallinnossa, teollisuus- ja
finanssipiireissä ja järjestelmää
käytetään laajalti. Fujitsu käyttää
järjestelmää myös omaan käyttöönsä.
» ISAP
raportoi riskit
|
