Ads 468x60px

maanantai 26. syyskuuta 2011

Seitsemän asiaa, jotka CIO:den tulee huomioida tämän päivän tietoturvatyössä

Niall Brownen (CISO, LiveOps Inc.) on kerännyt kokemuksiaan ja ajatuksiaan listaksi, jotka tämän päivän CIO:n ja (CISO:n) tulisi huomioida kehittäessään yrityksensä tietoturvaa. Lähtökohtana listalle on ollut se, että toimintaympäristömme digitalisoituu kiihtyvällä vauhdille omista haluistamme ja näkemyksistämme välittämättä. Samoin, rikollisuus ja ”cyberhyökkäykset” eivät ole enää pienten rajoittuneiden kohteiden ongelma ja (tietoturva)yritykset ovatkin joutuneet arvioimaan uudelleen vastaavatko heidän olemassa olevat tietoturvarakenteet tämän päivän uhkiin. Niallin näkemyksen mukaan olemassa olevat standardit ovat (edelleen) perusta tietoturvan rakentamiselle, mutta pelkkä vaatimustenmukaisuus ei ole enää tae turvallisuudesta.

Ohessa on tiivistetysti Niall Brownen teesit tämän päivän CIO:lle:
  1. Keskity tietoturvauhkiin vaatimustenmukaisuuden sijasta. Karrikoiden voidaan sanoa, että varashälyttimen asentamisesta etuoveen ei ole mitään iloa, jos takaovemme on jatkuvasti auki. Monesti vaatimustenmukaisuuden ongelma on se, että rakennamme kontrollit niin, että ne täyttävät standardin Z vaatimukset ja näin ollen ne tyydyttävät auditoijaa. Ongelma lähestymisessä on kuitenkin se, että kontrollimme eivät välttämättä suojaa meitä tämän päivän todellisilta uhkilta, näin ollen olemme haavoittuvaisia vaikka olisimmekin vaatimustenmukaisia.

  2. Tiedon suojaamisessa tulee keskittyä tiedon suojaamiseen paikan suojaamisen sijasta. Nykyään tieto on hajaantunut enenevässä määrin ympäri toimintaympäristöämme ja tietoa käsitellään yhä kasvavassa määrin toimiston ulkopuolella mitä erilaisimmilla päätelaitteilla. Tämä on johtanut siihen, että tietoturva ei voi enää nojata toimiston fyysiseen turvallisuuteen vaan meidän on suunniteltava kontrollimme uusiksi. Toisin sanoen tiedon suojauksen on kuljettava tiedon mukana huolimatta tiedon fyysisestä sijainnista.

  3. Ymmärrä sosiaalisen median luonne. Monessa yrityksessä sosiaalinen media nähdään (edelleen) suurena peikkona ja sen käyttö halutaan kieltää tietoturvasyihin vedoten. Pelätään, että työntekijät vuotavat yrityksen tietoa somessa. Äärimmilleen vietynä yritykset ovat estäneet kaikki yhteydet sosiaalisen median palvelimiin työpaikalta, mutta toisaalta yrityksen työntekijät voivat surffata somessa yrityksen kannettavalla kotonaan. Näin ollen suoraviivainen kieltäminen ei ratkaise ongelmaa. Tänä päivänä onkin järkevämpää sallia kontrolloitu pääsy sosiaaliseen mediaan täydellisen kiellon sijasta. Käyttäjiä tulee valistaa olemassa olevista riskeistä ja kertoa heille, kuinka he voivat suojautua näitä riskejä vastaan. Näin käyttäjät saavat paremmat edellytykset tiedon suojaamiseen sijaitsivatpa tiedot sitten yrityksen tiloissa tai niiden ulkopuolella.

  4. Perinteiset tietoturvaryhmät on organisoitava uudelleen. Yritysten ohjelmistokehitys on pitkälti siirtynyt käyttämään ketteriä sovelluskehitysmalleja. Käytännössä tämä tarkoittaa sitä, että perinteisten puolivuosittaisten tai kerran vuodessa olevien julkaisujen sijasta ohjelmistot saavat uusia ominaisuuksia (tyypillisesti) kahden viikon välein. Lisäksi ohjelmoijat harvoin sijaitsevat enää yhdessä paikassa, vaan kehitystyötä saatetaan tehdä jopa ympäri maapalloa. Ketterien sovelluskehitysmenetelmien hyvä puoli on se, että niiden avulla on mahdollista saada uusia toiminnallisuuksia sovelluksiin huomattavasti aikaisempaa nopeammin. Tietoturvan kannalta haaste taas on se, että perinteisen puolen vuoden sijasta tietoturvaryhmällä on aikaa riskien arviointiin vain kaksi viikkoa. Jos 10 ohjelmoijaa toteuttaa 10 toiminnallisuutta per ohjelmoija, niin ohjelmistoon tulee 100 muutosta joka toinen viikko! Näin ollen tietoturvaryhmän on pystyttävä toimimaan samassa tahdissa sovelluskehittäjien kanssa, koska muuten tietoturva jää jälkeen.
    Kun tietoturva jää jälkeen, niin liiketoiminnan riski kasvaa. Jotta liiketoiminnan riski pysyisi hallittavana, niin joko tietoturvaryhmien täytyy pystyä lyhentämään reaktioaikaansa tai vaihtoehtoisesti ohjelmiston julkaisuväliä tulee pidentää. Liiketoiminta harvoin haluaa hidastaa toimintaansa kankean riskienhallinnan takia. Näin ollen tietoturvaryhmien tulee siirtyä ”ketteriin tietoturvamenetelmiin” tai muuten he pian huomaavat etteivät he pysty vastaamaan liiketoiminnan vaatimuksiin.

  5. Järjestä työntekijöille interaktiivista tietoturvakoulutusta. Tietoturvakoulutus, jossa tietoturvaosasto järjestää pakollista koulutusta henkilöstölle kerran vuodessa eilisen tietoturvahuolista on tänä päivänä tehotonta. Sitä vastoin tietoturvaosastojen tulisi jalkautua henkilöstön joukkoon ja pyrkiä valistamaan käyttäjiä jatkuvasti ajankohtaisista uhista. Mahdollisia tapoja tavoittaa käyttäjät ovat esimerkiksi tietoturvalounaat, -julisteet, -visailut, uutiskirjeet ja muut vastaavat tavat, joilla pystytään kasvattamaan henkilöstön tietoisuutta ajankohtaisista aiheista.

  6. Keskity ohjelmistoturvallisuuteen. Valitettavan usein kuvitellaan, että sovelluksien suojaamiseen riittää palomuuri verkon laidalla. Nykyään tämä olettamus ei kuitenkaan enää pidä paikkaansa. Sovellukset kommunikoivat kasvavassa määrin internetin läpi ja ne tarjoava yhä enemmän ja enemmän erilaisia liitäntäpintoja muille sovelluksille (API). Tämä taasen johtaa siihen, että sovellusten haavoittuvuuspinta on kasvanut samalla kuin palomuurin tarjoama suojaus on laskenut. Näin ollen sovellusten on oltava turvallisia itsessään. Tämä taasen vaatii, että tietoturva huomioidaan systemaattisesti koko ohjelmistokehitysprosessin aikana.

  7. Seuraa tietoturvan tilaa jatkuvasti. Monet tietoturvastandardit vaativat, että yrityksessä seurataan tietoturvan tilaa ennalta määritetyn syklin mukaan. Käytännössä tämä voi tarkoittaa, että yrityksessä audioidaan käyttöoikeudet neljänneksittäin tai palomuurisäännöt tarkastetaan puolivuosittain. Valitettavasti hakkerit eivät kuitenkaan toimi ennalta määrätyn aikataulun mukaan. Jos yritys ei seuraa jatkuvasti tietoturvansa tilaa, niin on mahdollista, että väärinkäytös havaitaan vastan viikkojen tai kuukausien kuluttua itse tapahtumasta. Tästä syystä tietoturvan valvonnan tulee olla jokapäiväistä. Tietoturvatyökalujen tulee tarjota käyttäjilleen ajantasaista ja selkeää informaatiota, jotta tietoturvapoikkeamat olisi mahdollisimman helppo havaita ja jotta korjaaviin toimenpiteisiin voitaisiin ryhtyä mahdollisimman nopeasti. Vain näin voidaan suojata tehokkaasti liiketoimintaa olemassa olevilta riskeiltä.
Oman kokemuspohjani perusteella pidän Niallin teesejä varsin mainiona lähtökohtana tietoturvallisuuden rakentamiselle yksinkertaisuudessaan. Esimerkiksi tietoturvaa ja vaatimustenmukaisuutta ei pitäisi tehdä vain auditointeja varten. Hienoista dokumenteista ei ole mitään apua, ellei henkilöstö tunne niiden sisältöä ja toimi ohjeiden mukaan. (Toisaalta, vaatimustenmukaisuus saattaa toisinaan olla edellytys liiketoiminnalle, esimerkiksi tietoturvatasojen tai PCI DSS -standardin täyttäminen, eli emme voi unohtaa muodollisuuttakaan kokonaan.) Samoin, yleensähän tietoturvan heikoin lenkki on itse käyttäjät, joten emme saa koskaan aliarvioida koulutuksen ja valituksen merkitystä kokonaistietoturvan rakentamisessa jne. Summa summarum, Niallin lista kannattaa lukea ajatuksella läpi ja pohtia, ovatko mainitut asia kunnossa itse kunkin organisaatiossa!

Ystävällisin terveisin
Antti

Ei kommentteja:

Lähetä kommentti