Tietoturvaohjeistuksen merkitys
En halua olla pahanilmanlintu ja tuoda aina huonoja uutisia, mutta tilanne suomalaisissa organisaatioissa on tietoturvan osalta huono. Meitä ei auta sekään, että tilanne tietoturvaohjeistuksien suhteen on muissakin maissa keskimäärin melko huono. Onneksi asioita kehitetään ja tiedostetaan nykyisin paremmin – tilanne on parantumassa.
Milloin viimeksi tarkastelit organisaatiosi tietoturvaan liittyvää dokumentaatiota? Onko sitä tehty ollenkaan vai onko se huonolla tolalla? Tiedätkö mitä tehdä kun kiintolevy hajoaa tai virus iskee? Vieläkin tärkeämpää; tietävätkö organisaatiosi muut työntekijät kuinka ennaltaehkäistään tietorikollisten onnistumista tai kuinka toimitaan, kun kannettava tietokone on varastettu?
Riippuen tulkinnasta, tietoturvaohjeistus sisältää oikeastaan kaiken tietoturvaan liittyvän dokumentaation. Ohjeistus sisältää yleensä ainakin seuraavat komponentit:
Yleinen tietoturvallisuuden kuvaus, strategia, tavoitteet, organisaatio ja suuntaviivat
Riskianalyysi/Uhka-analyysi ja vaikutusanalyysi
Resurssien ja niiden arvon määritys
Jatkuvuussuunnitelma (Business Continuity Plan)
Toipumissuunnitelma (Disaster Recovery Plan)
Henkilöstöön liittyvät suunnitelmat (mm. taustatarkistukset, työsuhteen päättäminen ja niin edelleen)
Fyysisen turvallisuuden suunnitelmat ja dokumentaatio
Tietoturvaan liittyvät lait, määräykset ja etiikka
Loppukäyttäjän ohjeet
Etäkäyttäjän ohjeet
Yleinen tietoturvasäännöstö
Ylläpidon erityisohjeet
Luettelo tuntuu pitkältä ja antaa kuvan tarpeettomasta byrokratiasta. Yllä mainitut dokumentit ovat kuitenkin tarpeellisia ja niiden merkityksen huomaa niitä luodessa.
Tietoturvan kehittämisen osalta on parhaimmaksi havaittu ”ylhäältä alaspäin” -malli. Tämä tarkoittaa sitä, että organisaation johto, oli organisaatio pieni tai suuri, ilmaisee ensin tiedostavansa ja ymmärtävänsä tietoturvan merkityksen. Johto käy asiantuntijan avulla läpi riskianalyysin, päättää suuntaviivat ja useimmiten huomaa, että organisaation toiminta on jollain tavoin vaarassa.
Ylemmän tason suunnitelmien ja muun dokumentaation tultua valmiiksi, siirrytään kehittämään muita ohjeistuksia, kuten jatkuvuus- ja toipumissuunnitelmia. Lopulta, kun kaikki suuntalinjat, strategia ja tavoitteet ovat varmasti selvillä, päästään tekemään konkreettisia säännöstöjä ja ohjeistuksia loppukäyttäjille.
Erityisen tärkeä tarkoitus tietoturvaohjeistuksella on tietoturvakulttuurin kehittäminen. Ohjeistuksen lisäksi suoritetaan myös koulutuksia, mutta koulutuksen ja harjoitusten merkitystä tullaan vielä pohtimaan erikseen myöhemmin.
Tietoturvaohjeistuksen merkitys korostuu etenkin silloin, kun täytyy toipua jonkinlaisesta tietoturvaan liittyvästä tapahtumasta. Kun loppukäyttäjä tietää mitä tehdä silloin, kun kannettava tietokone on varastettu, selvitään tilanteesta mahdollisimman vähin vaurioin.
Ja edelleen, kun ohjeistus on kunnossa ja tietoturvaa on kehitetty, IT-henkilöstö osaa asentaa asianmukaiset salaus- ja muut tietoturvaohjelmistot halutuille työasemille. Näin on jo ennaltaehkäisty siirreltävien medioiden katoamisesta johtuvien tietotovuotojen toteutumista. Kunnollisen ohjeistuksen perusteella IT-tuki luo standardoitua ja turvallista ympäristöä.
Todennäköistä on, että edellämainittuun esimerkkiin liittyvät liikuteltavien medioiden tuomat riskit on huomattu riskianalyysin tekemisen aikana. Ohjeistuksia luodessa huomataan usein aivan uusia riskejä. Toimintatavat ovat vuosien saatossa voineet kehittyä niin, ettei joitakin riskejä ole yksinkertaisesti tiedostettu.
Lisäksi riskianalyysin ja vaikutusanalyysin perusteella voidaan tehdä päätökset ja laskelmat siitä, mitä riskejä ja jäännösriskejä täytyy hyväksyä. Yksinkertaisilla laskukaavoilla päästään laskemaan minkä verran tietoturvaan kannattaa panostaa.
Tietoturvakulttuurin kehittäminen ja sen ylläpitäminen on maalaisjärjelläkin ajatellen tärkeää. Tietoturvakulttuurin kivijalka on nimenomaan tietoturvaohjeistus.
Siinä vaiheessa, kun ohjeistus on saatu alustavasti valmiiksi ja loppukäyttäjä saa itseään koskevan materiaalin luettavakseen, alkaa tietoturvakulttuuri kehittymään. Ennen pitkää annetuista ohjeista ja säännöistä tulee toimintatapa, jota ei tarvitse välttämättä ajatella sen enempää.
Liiketoiminnan kannalta
Yksi jos toinenkin yritys herää tietoturvaohjeistuksien puutteeseen viimeistään siinä vaiheessa, kun suuri potentiaalinen asiakas kyselee myynnin viime metreillä tietoturvavaatimuksien perään.
Useimmat suuret organisaatiot vaativat alihankkijoiltaan ja muilta yhteistyötahoiltaan erilaisia tietoturvaan liittyviä asioita. Tietoturvaohjeistuksien puuttuminen voi johtaa sopimuksen raukeamiseen tai kaupan peruuntumiseen.
Pahin tapaus sattuu niin, että alihankkija on saanut asiakkaaltaan dokumentin tietoturvavaatimuksista ja sopimuksessa sitoutunut sitä noudattamaan. Sitten asiakas suorittaa sopimuksessa mainitun auditoinnin ja käy ilmi, ettei tietoturvavaatimuksia ole täytetty. Usein ensimmäinen perustavaa laatua oleva vaatimus on nimenomaan se, että tietoturvaohjeistus on kunnossa, siitä lähdetään. Vasta sitten kysellään onko työasemiin asennettu palomuureja ja anti-viruksia.
Mitä tietoturvaohjeistuksen luominen vaatii?
Usein luullaan, että tietoturvaohjelman käynnistäminen ja kaiken tarvittavan luominen on erityisen vaativa prosessi. Riippuu tietenkin asenteesta, mutta jos tietoturvaa ostetaan asiantuntijalta, varsinainen asiakkaalta vaadittu työmäärä on organisaation koosta riippuen ehkä muutamia työpäiviä. Sekin aika vielä jakaantuu useammalle eri henkilölle.
Se mitä oikeasti tarvitaan, on asenne. Suomalaiset organisaatiot näkevät usein tietoturvan vain ylimääräisenä kulueränä ja sen kulun takaisin saamista yritetään mitä erilaisimmin keinoin. Surullisen kuuluisia ovat ne tietoturvapäälliköt, joiden toimenkuva on epäselvä ja tavoitteet kirjaamatta.
Lyhyt ohje tietoturvavastaavalle, yrityksen koosta riippumatta, tietoturvallisuuden parantamiseksi kuuluu näin:
Luo tietoturvaohjelma, jolla on johdon vankka tuki
Ota yhteyttä asiantuntijaan, tai hanki sellainen
Teetä riskianalyysi ja kannattavuuslaskelmat, pohdi mitä voit menettää
Luo tietoturvasuunnitelma ja sitoudu siihen
Anna tietoturvalle reilu budjetti, äläkä leikkaa sitä yllättäen
Luo kunnollinen tietoturvaohjeistus ja suunnitelmat ja valvo että ne toteutuvat
Luo säännöllinen päivitysaikataulu, jonka tarkoituksena on huolehtia siitä, että kaikki pysyy ajan tasalla (myös budjettisuunnitelma täytyy päivittää)
Vieläkin lyhyemmin; johdon täytyy ymmärtää tietoturvan merkitys, antaa sille tukensa ja asiaa täytyy ajaa eteenpäin.
Asiaa helpottaa se, että meitä tietoturvasta kiinnostuneita on entistä enemmän.
Terveisin,
Janne Sormunen, CISSP