Ads 468x60px

perjantai 13. heinäkuuta 2012

Tietoturvaa ja arkkitehtuureja

Toteutin hiljattain tietoturva-auditoinnin asiakkaan pyynnöstä heidän uudelle käyttöönotetulle teknologialle, jonka tarkoitus oli helpottaa käyttäjien arkea mahdollistamalla ajasta ja paikasta riippumaton työskentely. Auditoinnissa löydettiin liki 50 havaintoa kohdistuen käyttäjien ohjeistukseen, palveluprosesseihin ja teknisiin alustoihin. Kullekin havainnolle annamme aina riskiarvion ja suosituksen mitä auditoinnin tilaajan kannattaisi tehdä korjatakseen ongelman. Asiakas luultavasti tilaa palveluidensa toimittajalta korjaukset suositustemme mukaisesti ja korjaa ongelmat. Kaikki tyytyväisiä?
Kyseinen toimintatapa on varsin yleinen:

  1. Organisaatiossa päätetään ottaa käyttöön jotain uutta teknologiaa tai uusi toimintatapa
  2. Organisaatio tilaa työn palveluiden toimittajalta, joka toteuttaa Tilaajan idean, eli implementoi jotain avain uutta muuttaen organisaation teknologiasalkkua ja toimintatapoja 
  3. Uudet palvelut otetaan käyttöön laajamittaisesti ja organisaation tietoturvapäällikkö saa kuulla niistä
  4. Tietoturvapäällikkö tekee auditoinnin tai tilaa sellaisen varmistaakseen uuden palvelun turvallisuuden 
  5. Auditoinnissa löydetään läjä ongelmia 
  6. Organisaatio tilaa palvelutoimittajaltaan korjaukset toteutettuihin palveluihin ja suunnittelee miten käyttöönotetuissa palveluissa voidaan tehdä muutos koko käyttäjäkunnalle 
  7. Viikkojen tai kuukausien jälkeen osa ongelmista on korjattu, mutta merkittävimmät havainnot jää korjaamatta 
Kuulostaako tutulta? Mitä jos ongelmaa olisikin lähestytty hieman toisin? 
  1. Organisaatiossa keksitään jotain uutta
  2. Uusi idea viedään arkkitehtuuriryhmään keskusteltavaksi, joka arvioi miten uusi asia vaikuttaa organisaation strategisiin ja taktisiin suunnitelmiin toiminnan, tietojärjestelmien ja teknologian kannalta
  3. Arkkitehtuuriryhmä toteaa, että ajatus on hyvä ja uuden asian suunnittelu voi alkaa sillä ehdolla, että mukana on tietoturva-arkkitehti, joka varmistaa ettei merkittäviä organisaatiolle muodostu merkittäviä riskejä 
  4. Palvelutoimittaja, projektiryhmä ja tietoturva-arkkitehti suunnittelevat ja toteuttavat uudet palvelut ja huolehtii että organisaation arkkitehtuuriryhmä on aina tietoinen siitä miten palvelut vaikuttavat organisaation kokonaisarkkitehtuuriin 
  5. Palvelukokonaisuudelle tilataan auditointi, jolla varmistetaan implementoinnin onnistuminen 
  6. Auditoinnissa löydetään alle kourallinen pieniä konfiguraaitio virheitä, jotka korjataan välittömästi 
Omien havaintojeni mukaan jälkimmäistä toimintatapaa opetellaan edelleen suomalaisissa organisaatioissa. Jostain syystä sekä arkkitehdit, että tietoturva-asiantuntijat nähdään ongelmallisina kavereina, jotka joko istuvat norsunluutorneissa tai näsäviisastelevat toteutetuista asioista. 

Pihvinä ja porkkanana kuitenkin voidaan kertoa, että jälkimmäisellä toimintatavalla saadaan kustannussäästöjä, huolehditaan organisaation toiminnan tehokkuudesta ja luodaan edellytykset ketterille muutoksille, joita organisaatio tarvitsee selviäkseen. 

Me tietoturva-arkkitehdit olemme leppoisia kavereita, jotka tulevat mielellään auttamaan uusien toimintatapojen kehittämisessä, tietojärjestelmäsuunnittelussa ja teknologia valinnoissa. Toimimme organisaation kaikilla tasoilla (kyllä, yritysjohdosta koodareihin asti) tukien projekteja arkkitehtuurin keinoin!

Hyvää kesää! 


Ei kommentteja:

Lähetä kommentti