tiistai 12. kesäkuuta 2012

Tietoturva kunnossa, kun vastuu oikeassa paikassa


Nelosen uutiset uutisoi eilen Viestintäviraston tietoturvayksikön päällikön Erka Koivusen arvioita valtion virastojen ja laitosten tietoturvasta. Uutisessa käytettiin termejä, kuten lepsu ja leväperäinen. Omaan korvaani lepsu luo kuvan laiskasta ja leväperäinen jopa hiukan vastuuttomasta turvallisuuden hallinnasta. En itse tunnista omien asiakkaidemme kautta kumpaakaan noista mielikuvista, vaikka osin turvallisuuden tasosta olen samaa mieltä. Onneksi sekin on kuitenkin vaan yleensä se lähtöruutu, johon ei ole kovin monella tarkoitusta eikä halua jäädä. Ei sen kummemmin julkishallinnossa kuin etenkään yrityspuolella, jossa kilpailu ja menestyminen tänä päivänä alkaa edellyttää jo tämänkin osa-alueen hoitamista.

Usein ongelmakohtana on se, että ei ole osattu aloittaa tietoturvallisuuden (tai yleisemminkään turvallisuuden) tason pitkäjänteistä korjaustyötä ja kehittämistä. Ei ehkä ole tiedetty, mistä aloittaa tai sitten on kuviteltu, että asialle on jotain tehty, mutta todellisuudessa toimien vaikuttavuus on olematon. Vielä kun osaajat, tietoturvallisuuden ja tietotekniikan ammattilaiset, ja osaamisen tarvitsijat, yritysten johto ja vastuuhenkilöt, eivät puhu läheskään aina samaa kieltä, on moni ongelma vaan näennäisesti selvitetty. Tai organisaation eri tasoilla on jopa ihan erilainen käsitys tietoturvallisuuden tavoitteista. Kuten monesti olemme huomanneet, palomuuri on hankittu, mutta johdolla on ihan eri näkemys siitä mitä se tekee ja miten se todellisuudessa on asennettu. Tilanne, jossa johto ei voi päättää, kuka yrityksessä vierailee ja kuka ei! Mutta tarkoittaako tämä yhdessä eilisen uutisen kanssa, että organisaatioissa on laiska ja moraaliton johto?

Ei tietenkään. Yksi perusongelmista on mm. se, että tietoturvallisuus on vastuutettu väärään paikkaan. Tietoturva ei ole tietoteknisten asiantuntijoiden tai tietohallinnon vastuulla. Heillä on joskus – vaikka ei joka toimialalla! – isompi rooli tietoturvallisuuden käytännön tason toteuttamisesta, mutta hallinta ja johto on oltava muualla kuin IT-osastolla. Järjestelmäasiantuntijoilla, mikrotuella ja muilla teknisillä henkilöillä on erittäin harvoin osaamista, kokemusta tai edes näkemystä organisaation liiketoiminnallisista tavoitteista ja sitä vartenhan tietoturva on suunniteltava. Tietoturvaa ei suunnitella tietotekniikkaa varten, vaan liiketoimintaa ja sen jatkuvuutta varten. Ja peruslähtökohtana on siis oltava – kuten muussakin turvallisuustyössä – liiketoimintasuunnitelma, sen tavoitteet ja riskienhallinnan menetelmät. Vasta sen jälkeen tulee itse keinot.

Yksinkertainen esimerkikki:

  • Johto
    • Kerää liiketoiminnan riskiarviosta tietoon liittyvät turvallisuusriskit sekä toimintaan liittyvät lakisääteiset velvoitteet
      • Riskien arviointi – mikä pysäyttää toiminnan, minkä kanssa voidaan elää, mitä toteutuminen tarkoittaa rahassa…?
      • Riskien kontrollien suunnittelu – mikä on saatava ehdottomasti pois, paljonko riskin pienentäminen saa maksaa, mitä voidaan sietää…?
    • Valvoo – mitä uhkia organisaatioon kohdistuu, mitä poikkeamia toiminnassa on ollut, onko meidän tiedot varmistettu, mistä se todennetaan, missä on sen raportti, milloin se on viimeksi päivitetty…?
    • Tarkistaa tavoitteita liiketoiminnan muutostilanteissa 
  • Keskijohto
    • Valvoo oman vastuualueensa osalta toimintaa asetettuihin tavoitteisiin nähden.
    • Koostaa vaadittavat raportit
    • Tekee esitykset keinoista ja hankinnoista, joilla nykytilaa voidaan parantaa määriteltyjen painopisteiden mukaan
    • Huolehtii tarpeista, kuten koulutus, työvälineet, ohjeistukset…
    • Hoitaa viestintää molempiin suuntiin organisaatiossa
  • Operatiivinen taso
    • Täyttää vaaditut raportit ja huolehtii siitä, että tarvittava tieto kerätään
    • Käyttää osoitettuja työvälineitä ohjeistuksen mukaan
    • Esittää parannus- ja muutosehdotuksia toimintaan
    • Osallistuu oman vastuualueensa turvallisuustyön kehittämiseen
    • Kouluttautuu


Pienemmällä organisaatiolla tehtäviä jaetaan harvempien kesken, mutta usein toimintakin on keskittyneempää, jolloin tietoturvan hallinnasta ei tule liian raskasta tai kallista. Isommalla organisaatiolla tekijöitä on enemmän, mutta silti kuvio on pidettävä kokonaisuudessaan hallittavana ja johdonmukaisena.

Tietoturvallisuuden hallinta normaalitoiminnassa ei ole raskasta eikä kuormittavaa. Eikä saa olla sitä. Se varmistetaan sillä, että kaikki toiminta ja keinot suhteutetaan organisaation toimintaan ja tavoitteisiin ja varaudutaan vain siihen, mitä riskejä omassa toiminnassa on. Jos jokaisesta organisaatiosta löytyisi ylläkuvattu perustoiminnallisuus ja sille omavalvontasuunnitelma, olisivatko asiat paremmin? Koska kaikki teknologia, osaaminen ja keinot tietojen turvallisuuden varmistamiseksi ovat olemassa. Kyse on vaan siitä, miten ne sijoitetaan tehokkaasti. 

Ei kommentteja:

Lähetä kommentti