torstai 16. helmikuuta 2012

Kaikkien virheiden äiti

Turvallisuuden hallinnan osalta voi tehdä monia virheitä. On kuitenkin yksi yli kaikkien ja siitä muistutteli työasemanikin tänään…

Monesti keskustellessa organisaatioiden johdon kanssa, on aina keskustelun alussa kaikki kunnossa. Mutta mitä pidemmälle keskustelu etenee, sen enemmän potentiaalisia riskejä aletaan tunnistamaan. Yksinpuhelu potentiaalisista ja toteutuneistakin riskeistä alkaa laajeta ja näyttää synkältä. Monologin saadessa pohjakosketuksen tapahtuu sieltä nousu niin yllättävällä taikatempulla, että yllätyn siitä joka kerralla. “Tämähän on tietenkin vain spekulaatiota, koska eipä tästä mitään dataa ole missään.”
Se, että virheitä tai poikkeamia ei ole, ei aina tarkoita sitä, että niitä ei tapahtuisi. Jos raportointia turvallisuuden tilasta ja tasosta ei ole, kaikkihan näyttää toki hyvältä. Ja kaikki on todellakin – pelkkää spekulaatiota. Mutta se, voiko tässä tilanteessa organisaation johto, omistajat ja vastuuhenkilöt onnitella itseään hyvin tehdystä turvallisuustyöstä, on eri asia. Mutta itse virhe voi olla tosiaan se, että niitä ei ole.
Tietoturvallisuuden mittaaminen ei ole kovin vaikeaa. Suosittelen liikkeellelähtöä siitä kohtaa, missä aita on matalin. Jos työtä ei ole edes aloitettu, ei ensimmäisen vuoden tavoite voi olla graafinen esitys organisaation tietovuosta, joissa väreillä ja luvuilla esitellään prosessien nopeus, varmuus, haavoittuvuudet ja testatut heikkoudet. Kannattaa aloittaa siitä, mitä organisaatiossa on vähiten. Siis siitä kaikkein kriittisimmästä tiedosta. Määrittelee sen, miettii mistä sen tunnistaa, missä sitä käsitellään ja mitä sen käsittelystä halutaan tietää. Kuka sitä seuraa, miten, millä työvälineillä, miten se raportoidaan ja mistä tietoa ylipäätään haetaan. Alussa kaikki tieto on tosiaan haettava, sitä ei vain mystisesti saada jostain. Joten jos tietoturvaraportissasi ei ole virheitä, se ei välttämättä tarkoita, että tietoturva on kunnossa.

perjantai 10. helmikuuta 2012

Irrallista riskienhallintaa

Viime blogissamme kirjoitimme IT-palveluiden ostamisesta ja palvelun laajuuden ja määrittelyn tärkeydestä. Samat ohjeet pätevät riskienhallinnassa. Joskus tosin näkee, että riskit ovat jo hallinnassa, vaikka ei vielä tiedetä missä.

Mm. ISO31000 kuvaa riskienhallintaa seuraavasti:

Ikävän usein keskitytään vain keskellä olevaan laatikkoon, vaikka tärkein on ylimpänä. Viimeistään siinä vaiheessa, kun aletaan miettiä riskien priorisointia, pitäisi kellojen soida, sillä on täysin mahdotonta arvottaa riskejä tuntematta toimintaympäristöä. Mutta jos toimintaympäristön ja kehyksen määrittely luodaan vasta tässä vaiheessa, siitä tule hyvin kapea ja usein väärällä tavalla painottunut vain tiettyyn tai tiettyihin näkökulmiin. Usein ongelmat riskienhallinnan etenemisen umpikujissa poistuvat palaamalla takaisin lähtöruutuun.
Oviin on lukot ja tietokoneisin on virustorjunta, mutta riskeihin ei ole standardiratkaisuja. Riskit eivät ole vakiomuotoisia tapahtumia, joita tapahtuisi irrallaan ympäristöstään. Niinpä niihin ei ole vakioratkaisujakaan. Riskien muodostumiseen vaikuttavat organisaation prosessit, ympäristö, ihmiset, laitteet ja kulttuuri. Että riskienhallinta ei jäisi pelkäksi rahan tuhlaamiseksi ja jonkin yleisen mallin kehittelyksi, kannattaa huolehtia siitä, että riskienhallinta on todella suunniteltu juuri sinun organisaatioosi.