tiistai 1. helmikuuta 2011

Hyvä tietojärjestelmä turvallisuuden mittaamiseen?

Olemme monissa kirjoituksissa painottaneet turvallisuuden mittaamisen tärkeyttä. Niinpä aika yleinen kysymys meille onkin, että mikä on hyvä ohjelmisto turvallisuuden mittaamiseen. Vastaus on: ei välttämättä mikään.

Ohjelmistot ja tietojärjestelmät ovat erinomainen tapa yhteenvetojen, vertailujen ja laskennan tekemiseen. Mutta niissä on aika usein eräs ongelma, johon kaikki turvallisuuden asiantuntijat ovat törmänneet. Jokainen on varmaan standardien kontrolliluetteloita tai riskienhallinnan kysymyssarjoja täytellessään miettinyt, että kummallakohan puolella rajaa organisaatiomme juuri tässä kohtaa on. Turvallisuus on aika harvoin kyllä/ei -vastauksia tai suojausten olemassaoloa tai olemattomuutta. Etenkin mitä enemmän tarkasteltavaan kohteeseen liittyy inhimillisiä tekijöitä tai vaihtelevia muuttujia, sen vaikeampaa on sanoa kyllä tai ei.

Tietojärjestelmien toinen ongelma on niiden ominaisuus ohjata ajattelua. Kun laitamme rastin kohtaan "ok" ja myöhemmin katselemme - tai pahimmassa tapauksessa joku muu katselee - raporttia, siitä ei selviä vähääkään se mietiskely ja olosuhde-ehdot, jotka "ok" -vastauksen takana ovat. Mutta raportti kädessä olemme taipuvaisia unohtamaan tuon prosessin ja ehdollisuuden, mikä kontrolliin liittyy ja ajattelemaan että kaikki on kunnossa. Näin teemme myös itse raportin tekijänä.

Turvallisuusajattelu vaatii aina luovuutta, kokonaisnäkemystä ja pienintenkin detaljien huomiointia. Etenkin riskienhallintaprosessin ja turvallisuustyön alkuvaiheessa pitää muistaa, että turvallisuustyötä ei tehdä tietojärjestelmää varten, vaan ihmisiä varten! Tietojärjestelmien hankinnan aika tulee vasta sitten, kun organisaationne tietää mitä ja miten asioita halutaan mitata ja esittää.