torstai 19. huhtikuuta 2012

Passiivisesta turvallisuudesta aktiiviseen turvallisuuteen

Tietoturvallisuusajattelu on tähän asti seurannut hyvin keskiaikaisia menetelmiä. Jopa työkalujen nimet ovat suoraan siltä ajalta; palomuurihan kaipaa enää vallihautaa ympärille ja jousiampujia torneihin. Näkökulma on siis se, että puolustaudutaan, kun hyökätään. Mutta miltä puolustaudutaan? Ja mitä ylipäätään puolustetaan ja miten se onnistuu tehokkaimmin. Mutta joka tapauksessa ollaan jo pahasti myöhässä, jos puolustus aktivoituu, kun vihollinen kiipeilee muureilla.

Samaan aikaan organisaatioiden johto tuskailee aiheen vaikeuden ja monimutkaisuuden edessä. Maailma on täynnä uhkia, mutta kannattaa muistaa, että kaikki piiput eivät osoita itseen. Niinpä kaikkeen ei edes pidä varautua. Kun asioita mietitään ja tutkitaan ennalta tarkemmin, aika usein kunnollisen analyysin jälkeen onkin riskikartta yllättäen hyvinkin selvä ja yksinkertainen. Jopa mitattava ja kohtuullisen helposti seurattava ja kehitettävä. Ja johdettavissa ilman sen syvempää teknistä asiantuntemusta.

Kumpaankin ongelmaan on sama lääke. Eikä sitä varten tarvitse edes ostaa uusia laitteita tai ohjelmistoja. Ennakoiva uhkien tunnistaminen, tiedon keruu uhista ja riskienhallintakeinojen suunnittelu havaittuihin uhkiin yksinkertaistaa ja helpottaa turvallisuuden hallintaa.

Lähde: I. Amit, Sexy Defense, 2012
Jos hyökkääjä on uhkatilanteessa askeleen edellä, hän myös sanelee säännöt. Jos kummallakin puolella ollaan ajan tasalla, on tasaväkisessä tilanteessa etu puolustajalla. Hänen puolellaan ovat kuitenkin kaikki lainsäädännöstä alkaen. Toimet on tietenkin mitoitettava ja suunniteltava organisaation kokoon nähden - pienemmän organisaation uhkien hallinta on ihan erilaista kuin suurten kansainvälisten yritysten tai kunnallisten ja valtion hallinnon toimijoiden varautuminen. Tärkeää on miettiä tavoite ja mitä siihen pääsyllä saavutetaan ja sitä kautta saadaan kuva siitä, mitä toimenpiteet voivat maksaa. Vanha viisaus tässäkin; riskin kontrolloinnista ei kannata maksaa enempää kuin mitä sen toteutuminen maksaa.


Ei kommentteja:

Lähetä kommentti