Ads 468x60px

keskiviikko 11. tammikuuta 2012

Tietoturvametriikkaa

Tietoturvamenetelmien tehokkuuden ja tehollisuuden vuoksi tietoturvallisuutta tulee mitata. Monen tietoturvallisuuden hallintamallin keskeinen osa onkin tietoturvallisuuden mittaaminen ja mittauksen avulla toiminnan kehittäminen. Jos ajatellaan jo kybernetiikasta tuttua järjestelmää, niin mittaus olisi se palaute silmukka ulostulosta sisäänsyöttöön. Tietoturvamittaamisen tuloksista puhutaan tietoturvametriikoina. Metriikat voivat olla joko laadullisia tai määrällisiä.

Metriikoiden tarpeellisuus lisääntyy jatkuvasti. Valitettavasti on myös yleisesti tiedossa että tietoturva on yksi harvoja alueita, joissa ei ole selkeitä tietoturvallisuuden tehokkuutta ja tehollisuutta indikoivia metriikoita. Metriikat voidaan kuitenkin karkeasti jakaa kolmeen erilaiseen tasoon, niiden tyypin mukaan; strategiset metriikat, taktiset metriikat ja operatiiviset metriikat.

Tietoturvallisuusmetriikoiden tärkeys johdolle on kiistämätön. Yrityksen tietoturvahallinnon (=governance) perusajatuksena on command & control, komenna ja kontrolloi. Ohjaaminen ja kontrolloiminen vaatii sitä että tiedetään ajanmukainen tilanne (control), jotta voidaan ohjata (command). Ilman ajantasaisia, merkityksellisiä metriikoita ohjataan sokkona. Vastaavasti viivästyksellä saadut metriikat voivat johtaa harhaan. Palatakseni alussa mainitsemaani kybernetiikkaan, tilanne on sama kun hitaasti toimivassa termostaatissa; lämpötilan säätämisestä palaute tulee viiveellä, joka johtaa lämpötilan edes takaisin säätämiseen.

Organisaation johto on lopulta vastuussa organisaation tietoturvasta. Miten johto voi tietää organisaation tietoturvallisuuden tilasta, jos heillä ei ole käytössä ajantasaista ja tarkkaa tietoa tietoturvallisuuden tilasta? Jotta metriikat olisivat merkityksellisiä johdolle, tulee niiden tarjota riittävän abstrakti kuva tilanteesta. Toisin sanoen, metriikat eivät voi vain raportoida käyttöjärjestelmän versioita ja versio historiaa. Sen sijaan, johdolla tulisi olla yleiskuva järjestelmien ajantasaisuudesta. Yleisesti, metriikoilla tulisi seurata sitä miten hyvin tietoturvallisuuteen liittyvät politiikat on onnistuttu kääntämään käytännön teoiksi ja miten kustannus-tehokkaasti siinä on onnistuttu.


/Marko

5 kommenttia:

Anssi kirjoitti...

Ongelma on metriikoiden löytäminen. Esim. standardi ISO 27004 (http://www.iso27001security.com/html/27004.htm), joka on nimenomaan tietoturvan mittaamisen standardi, viivästyi (jukaistiin 2009) muistaakseni osittain siksi, että kukaan ei keksinyt siihen mitään hyviä konkreettisia mittareita (helposti ja riitävän tarkasti määriteltävissä, mitattavissa ja tietoturvan tason merkityksellisesti kuvaava). Sen Liite B, Esimerkkejä, on lähinnä nolo. Sen mittariesimerkit, kaikki on tässä:

- Trained personnel on ISMS
- Percentage annual of Co-workers who have Received Training and Qualifications
In Security.
- Password quality
- Archived Interviews - Review process
- Evidences - Review process
- ISMS – Continual Improvement
- ISMS Management Committee - Review process
- Review process
- Corrective Actions
- Protection System Against Malicious Software
- Physical entry control with access cards

Jos osa näistä vaikuttaa hieman hämärilt (ISMS Management Committee? Mittari?) niin niin ne ovatkin. Tämä on hatusta vedetty lyhyt lista. Laskukaavoja noille on siellö annettu, mutta mistä ja miten ne alkuperäiset havainnot on tehty, miten asioita on laskettu ja määritelty? Ja merkitys tietoturvan todelliselle tasolle jää avoimeksi...

jne..

Anssi kirjoitti...

Tietoturvan mittaaminen on vähän kuin organisaation hyvyyden mittaaminen. Firman "hyvyyden" voi mitata markkinoilla tehdyn vaihdon seurauksena rahallisen voiton suuruudella, mutta ei juuri muuten, ja jopa sekin on aika ongelmallinen mittari. Ilman markkinahintoja (julkisella sektorilla) tuottavuuden mittaaminen on jatkuvan kiistelyn aihe.

Anssi kirjoitti...

Eli summa summarum kaikki data ja raportit ovat hyväksi, mutta "mittaamisesta" puhuminen tietoturvassa on lähinnä myytti ja harhaoppi.

Anssi kirjoitti...

P.S. Kästykseni ovat omiani, eivätkä KPMG:n virallinen "totuus"...

Marko Niemimaa kirjoitti...

Mielestäni kommentti siitä että tietoturvaa ei voi mitata ja että se on täysin myytti ja harhaoppia, vesittäisi myös ajatuksen kypsyysmalleista. Kypsyysmalleissa ajatuksena on että korkeampi taso tuo paremman tietoturvan. Mittaamme, käyttäen esim. 3 portaista mallia, mikä on organisaation tietoturvantaso.

Voimme myös hyödyntää tietoturvatasoja luodessa metriikkaa. Metriikkana voisi olla, hyödyntäen tietoturvatasoja, tilanne jossa organisaatio seuraa tietojärjestelmien tietoturvallisuuden tilaa. Kun järjestelmille on asetettu tavoitetaso, vaikkapa korotettu taso, voidaan tietojärjestelmien tietoturvasta luoda koosteet esimerkiksi organisaation tietoturvallisuusjohtajalle, käyttäen vaikkapa perinteisiä liikennevaloja.
Voimme lisäksi mitata, esimerkiksi, tietoturvapolitiikan ja ohjeistusten tehokkuutta. Jälleen järjestelmäkeskeisesti, voimme vaikkapa luoda metriikan siitä kuinka usein tietoturvapolitiikkaa ei voida noudattaa tietojärjestelmiä toteuttaessa.

Eli summa summarum, ajantasaisen, merkityksellisen metriikan saaminen tietoturvallisuudesta ja menetelmien toimivuudesta on elinehto toimivalle tietoturva governancelle ja organisaation vastuulliselle resurssien käytölle.

Lähetä kommentti