Ads 468x60px

keskiviikko 30. marraskuuta 2016

Työkaluja organisaation tietoturvallisuuden kehittämiseen ja kypsyystason arviointiin



Alan eri tutkimusten mukaan (mm. IBM, Ponemon) globaalin kyberrikollisuuden vuosittainen hintalappu liikkuu miljardeissa dollareissa. Keskimääräisen tietomurron hinnaksi on laskettu useampi miljoona dollaria ja määrät ovat kasvussa. Vuonna 2018 aletaan soveltaa EU:n tietosuoja-asetusta (GDPR) ja mahdollisen tietomurron hintalappuun voidaan lisätä 20 miljoonaa euroa tai 4 % globaalista liikevaihdosta, jos todetaan, että tiedon suojaamiseksi ei ole tehty riittäviä toimenpiteitä. Nyt viimeistään kannattaa mitata oman tietoturvallisuuden kypsyystaso, ja tehdä tietoturvallisuudesta osa yrityksen jatkuvista prosesseista. 

National Institute of Standards and Technology (NIST) julkaisi kuluvan vuoden syyskuussa Baldrige Cybersecurity Excellence Builder (BCEB) –luonnosversion. Se on työkalu tietoturvallisuuden kypsyystason määrittämiselle ja vaikuttavan kontrolliviitekehyksen tehokkuuden arviontiin. Työkalu julkaistiin itsenäisenä osana Baldrige–laatuohjelman ja NIST:in yhteistyötä, ja se on eräänlaista jatkumoa NIST:in vuonna 2014 julkaistulle kyberturvallisuuden viitekehykselle. Työkalun käyttö ei edellytä, että yrityksellä olisi käytössä NIST:in viitekehys, vaan se soveltuu kaikille viitekehyksille.

BCEB on tarkoitettu kaiken kokoisille organisaatioille ja se on toimialariippumaton. Lisäksi sen käyttö on ohjeistettu koko prosessin läpi. Sen avulla yritys pystyy määrittämään tietoturvallisuuden kannalta kriittiset prosessit, strategiat ja palvelut. Prosessin jälkeen käyttäjä pystyy priorisoimaan tulevia investointeja tietoturvallisuuden osalta ja osaa arvioida paremmin mahdollisia kehityssuuntia. Työkalusta on saatavilla kolme eri versiota, jotka ovat suunnattu yritys- ja säätiöasiakkaille, terveydenhuoltoon ja koululaitoksille. Työkalun tietoturvallisuuden osa-alueet ovat jaettu seuraaviin prosesseihin:
   Leadership
   Strategy
   Customers
   Measurement, Analysis & Knowledge management
   Workforce
   Operations

Työkalun käyttöprosessi on jaettu vaiheisiin, joista ensimmäinen alkaa vastaamalla jokaista prosessia koskeviin kysymyksiin. Vastaamalla kysymyksiin käyttäjä arvioi yrityksen kybervalmiuksia ja kypsyystasoa. Kysymysten määrä vaihtelee prosesseittain ja osassa niistä kysymykset ovat jaettu osa-alueisiin. Vaiheessa kaksi täytetään yhteenvetomatriisi, jossa vastataan kahteen kysymykseen prosesseittain ja arvioidaan yrityksen toimintaa kategorioittain: 
   Approach, asenne tai lähestymistapa, tyylit ja tavat millä prosesseja pyöritetään
   Deployment, strategian, politiikan ja suunnitelmien jalkauttaminen toimintaan ja kulttuuriin
   Learning, oppiminen, toimintatapojen kehittäminen opitun ja havaintojen (mittaaminen, tutkimus) avulla
   Integration, integraatio, miten asenteet ja toimintatavat kohtaavat organisaation tarpeet

Oman toiminnan kypsyys arvioidaan asteikolla Reaktiivinen, Varhainen, Kypsä ja Roolimalli. Edellä mainittujen lisäksi toiminnoille määritetään tärkeysaste. Tulokset saadaan vaiheessa kolme, johon erilliseen matriisiin määritetään yrityksen kypsyystaso nykytilan, trendien, vertailukohteiden ja toimintaan jalkauttamisen mukaan. 

Prosessin läpikäyminen kirjallisesti kuulostaa vaivalloiselta, monivaiheiselta, ja oikeiden tulosten saaminen voi arveluttaa. Työkalu on kuitenkin helppokäyttöinen ja halutessaan varmuutta oman yrityksen tietoturvallisuuden kypsyystasolle, vaikuttavan kontrolliviitekehyksen toimivuudelle ja resilienssille, on tämän työkalun käyttöönotto vaihtoehto. Vaikka työkalu julkaistiin vasta syyskuussa, se on levinnyt laajasti käyttöön Yhdysvaltojen ja Euroopan lisäksi Suomeenkin. Koska BCEB on vielä toistaiseksi luonnosvaiheessa, sen käyttämisestä kerätään palautetta ja sitä kehitetään käyttökokemusten ja havaintojen mukaan. Palautetta voi jättää NIST:lle joulukuun puoleenväliin asti. 

Jos yrityksellä ei vielä ole vaikuttavaa kontrolliviitekehystä, eikä raskaiden standardien tai kansallisten ohjeistusten implementointi omaan toimintaan tunnu tarpeelliselta, voi harkita toimivia vaihtoehtoja muualtakin. Yksi ketteryytensä ja toimivuutensa kannalta liian pienelle huomiolle jäänyt viitekehyksen malli on nimeltään Australian top 35. Nimensä mukaan Australiasta tuleva viitekehys on viranomaisten kehittämä malli, joka sisältää valmiin listauksen 35:sta kehitettävästä tietoturvastrategiasta tai riskistä, jotka koskettavat niin yrityksiä kuin julkishallintoakin. Viitekehys tarjoaa valmiin mallin jalkauttamista varten, mutta on helposti muokattavissa oman riskiarvioinnin mukaan tai toimii hyvänä benchmarkkauksen kohteena. Viitekehys ei sisällä tarkkoja riskejä tai kontrolleja, vaan riskien pienentämiseen tarkoitettuja strategioita, jotka saattavat sisältää useamman kontrollin tai yksittäisellä kontrollilla hallitaan useampia riskejä. Strategiat ovat listattu tärkeysjärjestyksessä siten, että numero yksi on kriittisin. 

Viitekehys julkaistiin jo vuonna 2010 ja sitä on päivitetty vuosina 2012 ja 2014. Kahdessa vuodessa on ehtinyt tapahtumaan paljon ja trendit ovat muuttuneet, mutta listaus on edelleen hyvin ajankohtainen. Käyttöprosessiin ei tule muutoksia, vaikka viitekehyksen ottaisi käyttöön sellaisenaan tai omalle yritykselle muokattuna. Ensimmäisessä vaiheessa strategiat asetetaan tärkeysjärjestykseen ja toisessa vaiheessa arvioidaan strategian jalkauttamiseen liittyviä tekijöitä: 
   Vaikuttavuus kokonaisturvallisuuteen
   Henkilöstön muutosvastarinta
   Suorat kulut
   Ylläpidolliset kulut

Jalkauttamiseen liittyvien tekijöiden lisäksi arvioidaan strategian teknisiä vaikutuksia hyökkäyksen tai tunkeilijan havainnointiin ja estämiseen. Ensin arvioidaan avustaako strategia havainnoimaan tunkeilijan ja seuraavaksi arvioidaan avustaako strategia estämään tai rajoittamaan tunkeilijan toimia kolmessa eri vaiheessa: Koodin ajovaiheessa, verkkoliikenteen kasvaessa vai tiedon vuotovaiheessa. Kolmannessa vaiheessa aloitetaan kehittämissuuntien arviointi ja jalkauttaminen.
Viitekehyksestä huomaa, että se on pitkäjänteisen työn tulos ja sitä on hiottu tarkkaan. Viitekehys on ketterä ja tarjoaa käyttöönottoon runsaasti ohjeita muun muassa tarkkojen kontrollien kehittämiseen ja jalkauttamiseen. Lisäksi jokaisen strategian olemassaolo on perusteltu tarkasti. Käyttäjälle jää ”vain” käyttöönotto. Vaikka käyttöönotto ja jalkauttaminen ovat aina se raskain prosessi, itse hallintajärjestelmä on suunniteltu helpoksi. Viitekehystä seurataan vuosikellon mukaan ja kehittämisstrategioita arvioidaan olemassa olevien kriteerien mukaan. 

Työkalut tietoturvallisuuden kehittämiseen ja kypsyystason arviointiin ovat olemassa ja niitä on muitakin kuin edellä mainitut. Yrityksen harkintaan jää työkalujen valinta ja käyttö. Näiden työkalujen käyttö on globaalisti todettu toimiviksi tavoiksi hallita ja edistää yrityksen tietoturvallisuutta. Tietomurron kulut voivat yksinään nousta miljooniin dollareihin ja GDPR:n myötä kulut voivat edelleen nousta. GDPR:ää aletaan soveltaa toukokuussa 2018 ja viimeistään siitä lähtien yrityksellä tulee olla dokumentoidusti näyttöjä tietoturvallisuuden ja tietosuojan systemaattisesta edistämisestä. Fokusta ei tule kuitenkaan asettaa pelkkään tietosuojaan, sillä se ei edistä tietoturvaa ja ilman prosessinomaista tietoturvan hallintaa ei voi olla tietosuojaa. Tietoturvallisuuden kehittäminen sen sijaan edistää tietosuojaa ja tiedon oikeita hallintatapoja. Rakennetaan ensin pohja ja runko, sitten vasta katto.

Samu Ahvenjärvi

Ei kommentteja:

Lähetä kommentti