Mikä on levossa olevan tiedon salauksen korvaava hallintakeino?

Korvaava hallintakeino on vaihtoehtoinen tietoturvatoimenpide, jota käytetään silloin, kun ensisijainen hallintakeino, kuten levossa olevan tiedon salaus, ei ole toteuttamiskelpoinen. Sen on tarjottava vertailukelpoinen suojaustaso käsittelemällä samoja riskejä, kuten tiedon luottamuksellisuutta tilanteessa, jossa tallennusväline katoaa tai varastetaan. Esimerkkejä ovat tietovuotojen esto (DLP), tiukat pääsynhallintakontrollit ja tietojen maskaus.

Hyväksyvätkö auditoijat korvaavat hallintakeinot esimerkiksi ISO/IEC 27001:2022 -viitekehyksessä?

Kyllä. Auditoijat hyväksyvät hyvin dokumentoidut ja tehokkaat korvaavat hallintakeinot. He odottavat näkevänsä muodollisen riskienarvioinnin, joka perustelee hallintakeinon tarpeen, näyttöä siitä, että hallintakeinoa sovelletaan johdonmukaisesti (esim. lokit ja raportit), sekä todentavaa aineistoa siitä, että hallintakeino pienentää alkuperäistä riskiä tehokkaasti. Olennaista on osoittaa kypsä, riskiperusteinen lähestymistapa — ei vain selittää hallintakeinoaukkoa.

Miten korvaavat hallintakeinot liittyvät GDPR-vaatimustenmukaisuuteen?

GDPR Article 32 edellyttää henkilötietojen suojaamiseksi 'asianmukaisia teknisiä ja organisatorisia toimenpiteitä'. Salaus on suositeltu toimenpide, mutta se ei ole kaikissa tapauksissa ehdottomasti pakollinen. Jos levossa olevan tiedon salaus ei ole mahdollinen, vahva korvaavien hallintakeinojen kokonaisuus, kuten pseudonymisointi, tietojen maskaus ja tiukka pääsynvalvonta, voi auttaa osoittamaan huolellisuutta ja täyttämään vaatimuksen asianmukaisen turvallisuustason varmistamisesta.

Mitkä ovat yleisimmät sudenkuopat korvaavien hallintakeinojen toteuttamisessa?

Yleisiä sudenkuoppia ovat puutteellinen dokumentaatio, liiketoimintajohdon muodollisen riskin hyväksynnän puuttuminen, hallintakeinot, jotka eivät kata kaikkia uhkavektoreita (esim. pilvisynkronointipalvelujen unohtaminen), sekä hallintakeinojen tehokkuuden säännöllisen testauksen laiminlyönti. Pelkästään paperilla olemassa oleva hallintakeino ei tarjoa todellista suojaa eikä täytä auditoijan odotuksia.

Voiko tietovuotojen esto (DLP) todella korvata levossa olevan tiedon salauksen?

DLP ei korvaa salausta, mutta se voi olla tehokas korvaava hallintakeino. Salaus tekee tiedoista lukukelvottomia, jos ne varastetaan. DLP pyrkii estämään tiedon varastamisen jo ennen sitä valvomalla ja estämällä luvattomat tiedonsiirrot. Kun DLP yhdistetään muihin kerroksiin, kuten tiukkaan pääsynhallintaan ja fyysiseen turvallisuuteen, se muodostaa vahvan puolustuksen, joka voi tarjota salaukseen verrattavan suojaustason tietyissä, dokumentoiduissa käyttötapauksissa.

NIS2 DORA GDPR NIST COBIT 2019

Kun levossa olevan tiedon salaus ei ole mahdollinen: tietoturvajohtajan (CISO) opas auditoinnin kestävien korvaavien hallintakeinojen rakentamiseen

Clarysecin toimitus

November 25, 2025

18 min read

#Riskienhallinta #Auditointi #ISMS #Tietosuoja #Korvaavat hallintakeinot

Vuokaavio, joka havainnollistaa tietoturvajohtajan kolmivaiheista prosessia levossa olevan tiedon salauksen korvaavien hallintakeinojen toteuttamiseksi: riskien arviointi, kerrokselliset puolustukset (DLP, tietojen maskaus, pääsynhallinta) sekä auditointidokumentaatio ISO 27001-, GDPR- ja NIST-viitekehyksissä.

Auditoijan havainto päätyi tietoturvajohtaja Sarah Chenin työpöydälle tutun painokkaasti. Kriittinen, liikevaihtoa tuottava vanha tietokanta, yhtiön tuotantolinjan operatiivinen ydin, ei tukenut nykyaikaista levossa olevan tiedon salausta. Sen taustalla oleva arkkitehtuuri oli kymmenen vuoden takaa, ja toimittaja oli jo kauan sitten lopettanut tietoturvapäivitysten toimittamisen. Auditoija merkitsi sen perustellusti merkittäväksi riskiksi. Suositus kuului: ”Salaa kaikki arkaluonteiset levossa olevat tiedot alan standardien mukaisilla algoritmeilla.”

Sarahille kyse ei ollut vain teknisestä ongelmasta, vaan liiketoiminnan jatkuvuutta uhkaavasta kriisistä. Järjestelmän päivittäminen olisi tarkoittanut kuukausien käyttökatkoa ja miljoonakustannuksia, mikä ei ollut hallitukselle hyväksyttävä vaihtoehto. Toisaalta arkaluonteisen immateriaalioikeuksia koskevan tietoaineiston jättäminen salaamatta oli kielletty riski ja selvä poikkeama organisaation tietoturvallisuuden hallintajärjestelmästä (ISMS).

Tämä on kyberturvallisuuden arkea: täydellisiä ratkaisuja on harvoin, eikä vaatimustenmukaisuutta voi keskeyttää. Tilanne syntyy, kun kriittisiä varmuuskopiotiedostoja säilytetään vanhoissa järjestelmissä, keskeinen SaaS-palveluntarjoaja vetoaa ”teknisiin rajoitteisiin” tai korkean suorituskyvyn sovellukset eivät kestä salauksen aiheuttamaa kuormitusta. Oppikirjavastaus, ”salaa se vain”, törmää usein monimutkaiseen todellisuuteen.

Mitä siis tapahtuu, kun ensisijainen, määritetty hallintakeino ei ole käytettävissä? Riskiä ei yksinkertaisesti hyväksytä sellaisenaan. Rakennetaan älykkäämpi ja häiriönsietokykyisempi puolustus korvaavien hallintakeinojen avulla. Kyse ei ole selittelystä, vaan kypsän, riskiperusteisen tietoturvan hallinnan osoittamisesta tavalla, joka kestää tiukimmankin auditointitarkastelun.

Miksi levossa olevan tiedon salaus on korkean panoksen vaatimus

Levossa olevan tiedon salaus on perustavanlaatuinen hallintakeino kaikissa nykyaikaisissa tietoturvaviitekehyksissä, mukaan lukien ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA ja NIST SP 800-53 SC-28. Sen tarkoitus on yksinkertainen mutta kriittinen: tehdä tallennetusta tiedosta lukukelvotonta, jos fyysiset tai loogiset puolustukset pettävät. Kadonnut varmuuskopionauha tai varastettu palvelin, jolla on salaamatonta tietoa, ei ole vain tekninen virhe; se on usein lain mukaan ilmoitettava henkilötietojen tietoturvaloukkaus.

Riskit ovat selkeitä ja merkittäviä:

Siirrettävien tallennusvälineiden, kuten USB-asemien ja varmuuskopionauhojen, varkaus tai katoaminen.
Tietojen altistuminen hallitsemattomista, unohtuneista tai vanhoista laitteista.
Kyvyttömyys ottaa käyttöön natiivia levy- tai tietokantasalausta tietyissä SaaS-, pilvi-, OT- tai vanhoissa ympäristöissä.
Tietojen palautukseen liittyvät riskit, jos salausavaimet katoavat tai niitä hallitaan virheellisesti.

Nämä vaatimukset eivät ole vain teknisiä, vaan myös lainsäädännöllisiä velvoitteita. GDPR Article 32 sekä DORA Articles 5 ja 10 tunnistavat salauksen nimenomaisesti ”asianmukaiseksi tekniseksi toimenpiteeksi”. NIS2 määrittää sen perustasoksi järjestelmien ja tietojen eheyden varmistamisessa. Kun tämä ensisijainen puolustus ei ole toteuttamiskelpoinen, näyttötaakka siirtyy organisaatiolle: sen on osoitettava, että vaihtoehtoiset toimenpiteet ovat yhtä tehokkaita.

Yksittäisestä rastiruudusta kerrokselliseen puolustukseen

Välitön reaktio Sarahin kaltaiseen auditointihavaintoon on usein paniikki. Hyvin rakennettu ISMS kuitenkin ennakoi tällaiset tilanteet. Sarahin ensimmäinen toimenpide ei ollut soittaa infrastruktuuritiimille, vaan avata organisaationsa kryptografisten hallintakeinojen politiikka, joka oli laadittu Clarysecin yritysmallipohjien avulla. Hän siirtyi suoraan kohtaan, joka muodosti perustan hänen strategialleen.

Kryptografisten hallintakeinojen politiikka -asiakirjan mukaan kohta 7.2.3 määrittää nimenomaisesti prosessin seuraavan määrittelyyn:

”Sovellettavat erityiset korvaavat hallintakeinot”

Tämä kohta on tietoturvajohtajan paras tuki. Se tunnistaa, että yksi kaikille sopiva tietoturvamalli on puutteellinen, ja tarjoaa hyväksytyn etenemistavan riskin käsittelyyn. Politiikka ei toimi tyhjiössä. Kuten kohdassa 10.5 todetaan, se liittyy suoraan tiedon luokittelu- ja merkintäpolitiikkaan, joka ”määrittää luokittelutasot (esim. luottamuksellinen, sääntelyn alainen), jotka käynnistävät tietyt salausvaatimukset.”

Tämä kytkentä on ratkaiseva. Vanhan tietokannan tiedot oli luokiteltu tasolle ”luottamuksellinen”, minkä vuoksi salauksen puuttuminen kirjattiin havainnoksi. Sarahin tehtävä oli nyt selkeä: rakentaa niin vahva korvaavien hallintakeinojen suojakerros, että altistumisriski pienenee hyväksyttävälle tasolle.

Puolustettavan strategian rakentaminen Zenith Blueprintin avulla

Salaus on nykyaikaisen tietoturvan kulmakivi, mutta kuten Clarysecin Zenith Blueprint: An Auditor’s 30-Step Roadmap selittää vaiheessa 21, hallintakeino 8.24 Kryptografian käyttö ei tarkoita vain ”salauksen kytkemistä päälle”. Kyse on sen sijaan ”kryptografian sisällyttämisestä organisaation suunnitteluun, politiikkaan ja elinkaaren hallintaan”.

Kun yksi suunnittelun osa (vanha tietokanta) pettää, politiikan ja elinkaaren hallinnan on kompensoitava puute. Sarahin tiimi käytti tätä viitekehystä monikerroksisen puolustuksen suunnitteluun. Sen lähtökohtana oli estää tietoja koskaan poistumasta suojatusta, vaikka salaamattomasta, säiliöstään.

Korvaava hallintakeino 1: Tietovuotojen esto (DLP)

Jos et voi salata tietoja siellä, missä ne sijaitsevat, sinun on varmistettava, etteivät ne voi poistua. Sarahin tiimi otti käyttöön tietovuotojen eston (DLP) digitaaliseksi vartijaksi. Kyse ei ollut yksinkertaisesta verkkosäännöstä, vaan kehittyneestä, sisältötietoisesta hallintakeinosta.

Clarysecin Zenith Controls: vaatimustenmukaisuuden poikkikartoituksen opas -oppaan avulla tiimi konfiguroi DLP-järjestelmän ISO/IEC 27001:2022 -hallintakeinoa 8.12 Data leakage prevention koskevan ohjeistuksen perusteella. Säännöt perustuivat suoraan kohtaan 5.12 Classification of information. Kaikki data, joka vastasi vanhan tietokannan ”luottamuksellisten” tietojen skeemoja, estettiin automaattisesti siirtämästä sähköpostilla, verkkolatauksilla tai edes kopioimalla ja liittämällä muihin sovelluksiin.

Kuten Zenith Controls selittää:

”Tietovuotojen esto (DLP) riippuu olennaisesti tarkasta tietojen luokittelusta. Hallintakeino 5.12 varmistaa, että tiedot merkitään arkaluonteisuuden mukaan… DLP on jatkuvan seurannan erikoistunut muoto, joka kohdistuu tiedon liikkumiseen… 8.12 voi soveltaa salauspolitiikkoja organisaatiosta poistuville tiedoille ja varmistaa, että vaikka tietoja siirrettäisiin luvattomasti ulos, ne pysyvät lukukelvottomina luvattomille osapuolille.”

Tämä hallintakeino tunnistetaan useissa viitekehyksissä, ja se kartoittuu viittauksiin GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 ja NIST SP 800-53 SI-4. Toteuttamalla sen Sarahin tiimi loi vahvan suojakuplan, joka varmisti, että salaamaton tieto pysyi eristettynä.

Korvaava hallintakeino 2: Tietojen maskaus ei-tuotantokäyttöön

Yksi vanhojen järjestelmien tiedon suurimmista riskeistä on sen käyttö muissa ympäristöissä. Kehitystiimi tarvitsi usein tuotantojärjestelmän dataa uusien sovellusominaisuuksien testaamiseen. Salaamattoman, luottamuksellisen datan luovuttaminen heille ei ollut hyväksyttävää.

Tässä Sarah tukeutui Zenith Blueprint -oppaan vaiheeseen 20, joka käsittelee kohtaa 8.11 Data masking. Opas huomauttaa, että auditoijat kysyvät usein suoraan: ”Käytättekö koskaan aitoja henkilötietoja testijärjestelmissä? Jos käytätte, miten ne suojataan?”

Tämän ohjeistuksen mukaisesti Sarahin tiimi otti käyttöön tiukan tietojen maskausmenettelyn. Jokainen kehitystiimin pyytämä dataote oli vietävä automatisoidun prosessin läpi, jossa arkaluonteiset kentät pseudonymisoitiin tai anonymisoitiin. Asiakkaiden nimet, omistusoikeuden alaiset kaavat ja tuotantomittarit korvattiin realistisella mutta keinotekoisella datalla. Tämä yksittäinen hallintakeino poisti merkittävän hyökkäyspinta-alan ja varmisti, etteivät arkaluonteiset tiedot koskaan poistuneet tiukasti hallitusta tuotantoympäristöstä alkuperäisessä muodossaan.

Korvaava hallintakeino 3: Kovennetut fyysiset ja loogiset hallintakeinot

Kun tietovuodot ja ei-tuotantokäyttö oli käsitelty, viimeinen puolustuskerros kohdistui itse järjestelmään. Sarahin tiimi hyödynsi Zenith Controls -oppaan kohdan 7.10 Storage media periaatteita ja käsitteli fyysistä palvelinta korkean turvallisuustason omaisuuseränä. Vaikka 7.10 liitetään usein siirrettäviin tallennusvälineisiin, sen elinkaaren hallinnan ja fyysisen turvallisuuden periaatteet soveltuvat tähän täydellisesti.

Kuten Zenith Controls toteaa aiheesta:

”ISO/IEC 27002:2022 antaa kattavaa ohjeistusta Clause 7.10:n alla tallennusvälineiden turvalliseen hallintaan koko niiden elinkaaren ajan. Standardi kehottaa organisaatioita ylläpitämään rekisteriä kaikista siirrettävistä tallennusvälineistä…”

Tätä logiikkaa soveltaen palvelin siirrettiin datakeskuksessa erilliseen lukittuun räkkiin, johon oli pääsy vain kahdella nimetyllä seniori-insinöörillä. Fyysinen pääsy edellytti sisäänkirjautumista ja sitä valvottiin kameravalvonnalla. Verkkopuolella palvelin sijoitettiin segmentoituun ”legacy”-VLAN-verkkoon. Palomuurisäännöt määritettiin estämään oletusarvoisesti kaikki liikenne, ja ainoa nimenomainen sääntö salli yhteyden vain nimetystä sovelluspalvelimesta tietyssä portissa. Tämä äärimmäinen eristäminen pienensi hyökkäyspintaa merkittävästi ja teki salaamattomasta datasta näkymätöntä ja saavuttamatonta.

Auditoinnin kohtaaminen: puolustettavan, moninäkökulmaisen strategian esittäminen

Kun auditoija palasi seurantaan, Sarah ei esittänyt selityksiä. Hän esitti kattavan riskienkäsittelysuunnitelman, johon sisältyivät dokumentaatio, lokit ja live-demonstraatiot tiimin korvaavista hallintakeinoista. Auditointi ei ole yksittäinen tapahtuma, vaan keskustelu, jota tarkastellaan eri näkökulmista. Tietoturvajohtajan on oltava valmis jokaiseen niistä.

ISO/IEC 27001 -auditoijan näkökulma: Auditoija halusi nähdä operatiivisen tehokkuuden. Sarahin tiimi osoitti DLP-järjestelmän estävän luvattoman sähköpostin, näytti tietojen maskausskriptin suorittamisen ja toimitti fyysisen pääsyn lokit, jotka oli ristiinviitattu työpyyntöihin.

GDPR- ja tietosuojanäkökulma: Auditoija kysyi, miten tietojen minimointi toteutetaan. Sarah näytti automatisoidut skriptit välimuistiin tallennetun datan turvallista poistamista varten sekä pseudonymisointiprosessin kaikelle datalle, joka poistuu tuotantojärjestelmästä. Tämä oli linjassa GDPR Article 25:n kanssa (sisäänrakennettu ja oletusarvoinen tietosuoja). Kryptografisten hallintakeinojen politiikka SME osoittaa tietosuojavastaavalle (DPO) nimenomaisesti vastuun: ”varmistaa, että salauskontrollit ovat yhdenmukaisia GDPR:n Article 32:n mukaisten tietosuojavelvoitteiden kanssa.”

NIS2-/DORA-näkökulma: Tämä näkökulma painottaa toiminnan häiriönsietokykyä. Sarah esitti eristetyn järjestelmän varmuuskopiointi- ja palautustestien tulokset sekä vanhan ohjelmiston toimittajan tietoturvaliitteet, joilla osoitettiin ennakoivaa riskienhallintaa NIS2 Article 21:n ja DORA Article 9:n vaatimusten mukaisesti.

NIST-/COBIT-näkökulma: Näitä viitekehyksiä käyttävä auditoija etsii hallintamallia ja mittareita. Sarah esitti päivitetyn riskirekisterin, josta kävi ilmi jäännösriskin muodollinen hyväksyntä (COBIT APO13). Hän kartoitti DLP:n NIST SP 800-53 SI-4:ään (järjestelmävalvonta), verkon segmentoinnin SC-7:ään (rajasuojaus) ja pääsynhallinnan AC-3:een ja AC-4:ään. Näin hän osoitti, että vaikka SC-28 (levossa olevan tiedon suojaus) ei täyttynyt suoraan, vastaava hallintakeinokokonaisuus oli käytössä.

Keskeinen auditointinäyttö korvaaville hallintakeinoille

Strategian tehokasta viestintää varten Sarahin tiimi valmisteli näyttöä, joka vastasi auditoijien odotuksiin.

Auditointinäkökulma	Vaadittava näyttö	Tyypillinen auditointitesti
ISO/IEC 27001	Riskirekisterimerkinnät, politiikkapoikkeuslokit, DLP-säännöt, tallennusvälineiden inventaariot	Katselmoi riski- ja poikkeuslokit, pyydä lokit DLP-toimista; jäljitä tallennusvälineiden elinkaari.
GDPR	Tietojen maskausmenettelyt, valmius ilmoittaa loukkauksista, tietojen poistotallenteet	Katselmoi otostietoaineistoja (maskatut vs. maskaamattomat), testaa DLP-herätteet, simuloi tietoturvaloukkausskenaario.
NIS2/DORA	Varmuuskopiointi- ja palautustestien tulokset, toimittajien tietoturva-arvioinnit, tietoturvapoikkeamiin reagoinnin harjoitukset	Simuloi datan vientiyritys; katselmoi varmuuskopioiden käsittelyprosessit; testaa DLP-hallintakeinot kriittiselle datalle.
NIST/COBIT	Teknisen valvonnan lokit, politiikkojen integrointidokumentaatio, henkilöstöhaastattelut	Simuloi tietojen luvaton siirto, vertaa politiikkaa menettelyyn, haastattele keskeisiä tiedon omistajia ja järjestelmäomistajia.

Ennakoimalla nämä eri näkökulmat Sarah muutti mahdollisen poikkeaman tietoturvallisuuden kypsyystason osoitukseksi.

Käytännön yhteenveto seuraavaa auditointia varten

Jotta strategia olisi selkeä ja puolustettavissa, Sarahin tiimi laati riskienkäsittelysuunnitelmaan yhteenvetotaulukon. Sama lähestymistapa soveltuu mihin tahansa organisaatioon.

Riski	Ensisijainen hallintakeino (ei toteuttamiskelpoinen)	Korvaavien hallintakeinojen strategia	Clarysec-resurssi	Näyttö auditoijalle
Levossa olevan tiedon luvaton paljastuminen	Koko levyn salaus (AES-256)	1. Tietovuotojen esto (DLP): Valvo ja estä kaikki luvattomat tiedonsiirtoyritykset sisällön ja kontekstin perusteella.	Zenith Controls (8.12)	DLP-politiikan konfiguraatio, hälytyslokit, tietoturvapoikkeamiin reagoinnin menettelyt.
		2. Tiukka looginen pääsynhallinta: Eristä palvelin segmentoituun verkkoon, jossa käytetään oletusarvoisesti kaiken estäviä palomuurisääntöjä ja erittäin rajoitettua palvelutilien pääsyä.	Zenith Controls (8.3)	Verkkokaaviot, palomuurisääntöjoukot, käyttöoikeuskatselmoinnit, palvelutilien tunnistetietoja koskeva politiikka.
		3. Tehostettu fyysinen turvallisuus: Sijoita palvelin erilliseen lukittuun räkkiin, jossa fyysinen pääsy kirjataan lokiin ja sitä valvotaan.	Zenith Controls (7.10)	Datakeskuksen pääsylokit, kameravalvonnan tallenteet, räkin avainten luovutuslomakkeet.
Arkaluonteisten tietojen käyttö ei-tuotantoympäristöissä	Testidatakopioiden salaus	Tietojen maskaus: Toteuta muodollinen menettely kaikkien dataotteiden pseudonymisointiin tai anonymisointiin ennen niiden käyttöä testi- tai kehitysympäristössä.	Zenith Blueprint (vaihe 20)	Muodollinen tietojen maskausmenettelyä koskeva asiakirja, maskausskriptien demonstraatio, esimerkkiaineisto maskatusta tietoaineistosta.

Vaatimustenmukaisuuden poikkinäkymä

Vahva korvaavien hallintakeinojen strategia on puolustettavissa kaikissa keskeisissä viitekehyksissä. Clarysecin Zenith Controls tarjoaa poikkikartoituksen, jolla varmistetaan, että puolustukset ymmärretään ja hyväksytään laajasti.

Viitekehys	Keskeinen kohta/viite	Miten korvaavat hallintakeinot tunnistetaan
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	Riskiperusteinen lähestymistapa mahdollistaa vaihtoehtoiset hallintakeinot, kuten DLP:n, tallennusvälineiden hallinnan ja tietojen maskauksen, kun ne on perusteltu.
GDPR	Art. 5(1)(f), 25, 32	Edellyttää ”asianmukaisia” teknisiä toimenpiteitä; pseudonymisointi, pääsynhallinta ja DLP voivat täyttää vaatimuksen, jos salaus ei ole toteuttamiskelpoinen.
NIS2	Art. 21, 23	Velvoittaa riskiperusteiseen lähestymistapaan; kerrokselliset hallintakeinot, kuten DLP, varmuuskopioiden suojaus ja toimittajatarkastukset, ovat hyväksyttäviä riskien käsittelytoimia.
DORA	Art. 5, 9, 10, 28	Painottaa toiminnan häiriönsietokykyä; DLP, pääsynhallinta ja vahva lokitus ovat keskeisiä taloustietojen suojaamisessa salauksesta riippumatta.
NIST SP 800-53	SC-28, MP-2 to MP-7, AC-3/4, SI-4	Sallii korvaavat hallintakeinot; DLP (SI-4), pääsyrajoitukset (AC-3) ja tallennusvälineiden seuranta (MP-sarja) voivat käsitellä salaamattoman datan riskejä.
COBIT	DSS05, APO13, MEA03	Keskittyy hallintamalliin ja mittaamiseen; dokumentoitu riskin hyväksyntä (APO13) ja korvaavien hallintakeinojen seuranta (MEA03) osoittavat asianmukaista huolellisuutta.

Yhteenveto: muuta heikoin lenkki vahvuudeksi

Tarina tietokannasta, jota ei voitu salata, ei ole tarina epäonnistumisesta. Se on tarina kypsästä ja älykkäästä riskienhallinnasta. Kieltäytymällä hyväksymästä yksinkertaista ”ei voida tehdä” -vastausta Sarahin tiimi muutti merkittävän haavoittuvuuden näytöksi kerroksellisen puolustuksen kyvykkyydestään. He osoittivat, ettei tietoturva ole yhden ”salaus”-ruudun rastittamista. Kyse on riskin ymmärtämisestä ja harkitun, kerroksellisen ja auditoitavissa olevan puolustuksen rakentamisesta sen pienentämiseksi.

Jokaisella organisaatiolla on väistämättä oma versionsa tästä vanhasta tietokannasta. Kun löydätte sen, älkää pitäkö sitä esteenä. Pitäkää sitä mahdollisuutena rakentaa häiriönsietokykyisempi ja paremmin puolustettavissa oleva tietoturvaohjelma.

Haluatko rakentaa oman vahvan, auditointivalmiin hallintakehikkosi? Aloita oikeasta perustasta.

Katselmoi politiikkaekosysteemisi Clarysecin kattavien politiikkatyökalupakettien avulla.
Tutustu Zenith Blueprint: An Auditor’s 30-Step Roadmap -oppaaseen toteutuksesi ohjaamiseksi.
Hyödynnä Zenith Controls: The Cross-Compliance Guide -opasta varmistaaksesi, että puolustuksesi kestävät tarkastelun kaikista näkökulmista.

Ota yhteyttä Claryseciin räätälöityä työpajaa tai täyttä moniviitekehysarviointia varten. Nykyisessä sääntely-ympäristössä valmistautuminen on lopulta ainoa hallintakeino, jolla on merkitystä.

Viitteet:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council