torstai 16. helmikuuta 2012

Kaikkien virheiden äiti

Turvallisuuden hallinnan osalta voi tehdä monia virheitä. On kuitenkin yksi yli kaikkien ja siitä muistutteli työasemanikin tänään…

Monesti keskustellessa organisaatioiden johdon kanssa, on aina keskustelun alussa kaikki kunnossa. Mutta mitä pidemmälle keskustelu etenee, sen enemmän potentiaalisia riskejä aletaan tunnistamaan. Yksinpuhelu potentiaalisista ja toteutuneistakin riskeistä alkaa laajeta ja näyttää synkältä. Monologin saadessa pohjakosketuksen tapahtuu sieltä nousu niin yllättävällä taikatempulla, että yllätyn siitä joka kerralla. “Tämähän on tietenkin vain spekulaatiota, koska eipä tästä mitään dataa ole missään.”
Se, että virheitä tai poikkeamia ei ole, ei aina tarkoita sitä, että niitä ei tapahtuisi. Jos raportointia turvallisuuden tilasta ja tasosta ei ole, kaikkihan näyttää toki hyvältä. Ja kaikki on todellakin – pelkkää spekulaatiota. Mutta se, voiko tässä tilanteessa organisaation johto, omistajat ja vastuuhenkilöt onnitella itseään hyvin tehdystä turvallisuustyöstä, on eri asia. Mutta itse virhe voi olla tosiaan se, että niitä ei ole.
Tietoturvallisuuden mittaaminen ei ole kovin vaikeaa. Suosittelen liikkeellelähtöä siitä kohtaa, missä aita on matalin. Jos työtä ei ole edes aloitettu, ei ensimmäisen vuoden tavoite voi olla graafinen esitys organisaation tietovuosta, joissa väreillä ja luvuilla esitellään prosessien nopeus, varmuus, haavoittuvuudet ja testatut heikkoudet. Kannattaa aloittaa siitä, mitä organisaatiossa on vähiten. Siis siitä kaikkein kriittisimmästä tiedosta. Määrittelee sen, miettii mistä sen tunnistaa, missä sitä käsitellään ja mitä sen käsittelystä halutaan tietää. Kuka sitä seuraa, miten, millä työvälineillä, miten se raportoidaan ja mistä tietoa ylipäätään haetaan. Alussa kaikki tieto on tosiaan haettava, sitä ei vain mystisesti saada jostain. Joten jos tietoturvaraportissasi ei ole virheitä, se ei välttämättä tarkoita, että tietoturva on kunnossa.

Ei kommentteja:

Lähetä kommentti