Ads 468x60px

keskiviikko 4. tammikuuta 2012

Vielä tietoturvapolitiikasta

Tietoturvapolitiikka on termi, joka on osa liturgiaa, jota hoemme. Antti Pirinen pohti aiemmin täällä, mitä politiikan pitäisi sisältää, ja miten se suhtautuu muuhun ohjeistukseen. Mielestäni tärkeintä on, että muodostuu ymmärrettävä ja hallittava kokonaisuus. Yrityksellä voi olla yksi työntekijän käsikirja, joka sisältää kaiken tietoturvaohjeistuksen ja dokumentaation ja muuta työohjeistusta. Olen hyväksynyt tällaisen ”politiikaksi” pienen tehtaan tietoturva-auditoinnissa. Tai firmalla voi olla kymmeniä tietoturvaan liittyviä dokumentteja, joista yksi on ”politiikka”.

Pieleen voi mennä monella tavalla. Yhdestä käsikirjasta tulisi ehkä liian pitkä ja sen hallittu ylläpito olisi hankalaa. Tai lukuisten dokumenttien suhde toisiinsa on epäselvä ja tietoa ei käytetä hyödyksi tai edes löydetä. Kenties ”Tietoturvapolitiikka” ei sisällä kuin tyhjiä korulauseita ja itsestäänselvyyksiä.

Oleellista on, että tietoturvan (erityisesti ei-triviaalit) periaatteet, tavoitteet, vastuut, toteutus, jalkauttaminen, motivointi, koulutus, valvonta ja kehittäminen on hahmoteltu yhdessä paikassa. Jotta tietoturvapolitiikka ei olisi sanahelinää, sen pitää ottaa kantaa kiistakysymyksiin, asioiden painoarvoihin ja satsauksiin. Ei-triviaalista periaatteesta esimerkki: firman strategiana voi olla antaa asiakkaille mahdollisimman hyvä road map tulevaisuudesta ja tulevista tuotteista, tai juuri päinvastoin pitää uutuudet mahdollisimman pitkään salaisina kilpailijoilta. Tällainen tietoturvallisuuteen vaikuttava strateginen päätös olisi hyvä määritellä jo politiikassa. Politiikka on niitä jännittäviä ja kenties kiistanalaisia arvovalintoja, joita järjestelmä tekee, niin eduskunnassa kuin yritysjohdossakin.

Politiikassa pitää olla viitteet. Kaikki ohjeet pitää pystyä löytämään politiikasta lähtien. Dokumentaation pitää muodostaa verkko tai puu, jonka pitää olla täydellinen ja navigoitavissa. Kaikki pitää olla löydettävissä politiikkadokumentista aloittamalla. Irrallisia kokonaisuuteen linkittämättömiä dokumentteja ei saa olla. Itse Tietoturvapolitiikan pitää olla se dokumentti, jonka kaikki lukevat ja oppivat. Siellä annetaan viitteet muihin ohjeisiin ja kerrotaan myös, kenen pitää niitä lukea ja ylläpitää. Siellä ei tarvitse olla sellaista, jota kaikkien ei tarvitse tietää. Toisaalta siellä voi olla pikkutarkkoja ja teknisiäkin yksityiskohtia, jos kaikkien pitää ne tietää.

Lopetetaan esimerkkiin:

Antin yksityisessä Macbookissa, jolla hän tekee myös firman töitä, on TCP-portti 22 kuuntelussa. Muistelet Tietoturvapolitiikkaa. Siellä kerrotaan, että firman työntekijät ja free lancerit liikkuvat ja vaihtuvat paljon ja käytössä on Bring Your Own Device eli omia koneita saa käyttää. Johtuen näistä kahdesta tietoisesta riskistä politiikka korostaa tietoliikenneturvallisuutta ja viittaa dokumenttiin Tietoliikenneturvallisuus. Kaivat sen esiin. Siellä sanotaan, että ainoa portti, joka saa olla läppäreissä kuuntelussa on TCP 22, ja se sallitaan vain, mikäli siellä pyörii hyväksytty SSH-konfiguraatio. Siellä on viite SSH-konfiguraatio -dokumenttiin, jossa kerrotaan että SSH-palvelimen pitää olla hyväksytty ja asiallisesti päivitetty ja konfiguraation turvallinen. Huomaat, että kaikki on muuten ok, mutta käytössä on Antin oma privaatti avainpari, kun SSH-ohjeen mukaan vain kirjautuminen firmassa luodulla virallisella Antin avainparilla sallitaan. Koska politiikka korosti tietoliikenneturvallisuutta, et voi sallia tätä poikkeamaa, vaan
vedät piuhan irti!

1 kommentti:

Anssi kirjoitti...

Esimerkissä mainittu "Antti" on siis geneerinen, eikä aiemman blogin kirjoittaja Antti Pirinen ;-)

Lähetä kommentti