Tietoturvajohtaja

Wikipediasta
Siirry navigaatioon Siirry hakuun

Tietoturvajohtaja (engl. chief information security officer (CISO)), on keskittynyt organisaation tietoturvaprosessien johtamiseen. Tietoturvajohtajien rooli yrityksissä on lainsäädännöllisistä syistä kasvamassa. Yksityisyydensuojan vahvistuminen Euroopassa sekä tiedottamis- ja seurantavelvoitteiden vahvistuminen Yhdysvalloissa pakottaa yritysjohdon ottamaan vakavasti tietoturva-asiat.

Tietoturvajohtajan tehtävät ja roolit eivät ole kovin vakiintuneita ja ne vaihtelevat kunkin yrityksen tarpeiden mukaan. Yleensä ne sisältävät seuraavia tehtäviä:

  • Tietoturvan tavoitteiden ja tehtävien määrittely
  • Tietoturvapolitiikan rakentaminen ja kehittäminen
  • Tietoturvaprosessien määrittely ja johtaminen
  • Tietoturvakoulutuksen ja osaamisen kehittäminen
  • Tietoturvaprojektisalkun rakentaminen
  • Tietoturvauhkia, -riskejä, ja -kehittämistä koskeva johdon raportointi

Yleisesti ottaen tietoturvajohtajan vastuulla on luoda tietoturvallisuuspolitiikka, hyväksyttää se sekä varmistaa sen täytäntöön pano. Toinen puoli tehtävää on valvoa (auditoida) tietoturvallisuusasioita.

Tietoturvajohtajat raportoivat tyypillisesti toimitusjohtajalle tai jollekin muulle johtoryhmän jäsenelle, kuten tietohallintojohtajalle (CIO), tai liiketoimintajohdolle [1]. Raportointikohde riippuu pitkälti siitä miten riippuvainen yrityksen toiminta on tietoturvallisuudesta. Erityisesti rahoitus-, vakuutus- ja terveydenhoidon aloilla on syytä raportoida mahdollisimman ylös lainsäädännöllisistä syistä.

Tietoturvajohtajan tuleekin jatkuvasti kyseenalaistaa olemassa olevat tietoturvakäytännöt ja -vaatimukset ja tehdä tarvittavat muutokset organisaation tietoturvapolitiikkaan.