Tietoturva-auditointi: Kypsyyden määrittäminen ja yrityksen tietoturva
Kuinka yrityksen tietoturvan kypsyys määritetään ja kuinka tietoturvaa parannetaan?
Kypsyyden määrittäminen ja tietoturvan auditointi ovat haasteellinen, mutta kovin palkitseva prosessi, jossa pääosissa ovat säännölliset, sisäiset ja ulkoiset auditoinnit, eri viitekehysten avustuksella. Maturiteetin määrittämiseen on myös olemassa erilaisia työkaluja, jotka hyödyntävät olemassa olevia viitekehyksiä.
Kypsyystasojen tarkoitus on kuvata organisaation kyvykkyyttä kehittyä asteittain, kohti tavoiteltua, tai loogista kypsyyden tilaa. Tietoturvan auditointi tarjoaa organisaatiolle määritelmän, kuinka kypsä se on kyberturvallisuuden näkökulmasta, tämänhetkisen tiedon ja määritettyjen tavoitteiden perusteella. Yrityksen jossa on väitetysti tehokas tietoturva, tulisi pohjata kontrollejaan ISO/IEC 27001 viitekehykseen
Organisaation tulee myös tottua ajatukseen, että teknologisen infrastruktuurin jatkuva kehittyminen ja laajentuminen ajaa organisaatioita tilanteeseen, jossa se kasvaa “yli” tämänhetkisestä turvallisuustoimenpiteistään, jolloin nykyiset turvatoimet eivät ole enää riittäviä. Edellisten syiden varjossa on suositeltavaa, että organisaatio on kyvykäs tunnistamaan kyberturvallisuuden tasonsa, erityisesti kriittisiin toimintoihinsa liittyen ja parantavat prosessejaan turvallisemman järjestelmän ja infrastruktuurin varmistamiseksi. Tämä johtaa kokonaisturvallisuuden paranemiseen tietoturvallisuuden osalta.
Ulkoinen ja sisäinen tietoturva-auditointi
Sisäinen auditointi on toiminto, jolla organisaatio arvioi sisäisen valvonnan viitekehyksen riittävyyttä, sekä pyrkii näin riippumattomasti arvioimaan sen toimivuutta, kun taas ulkoinen auditointi on tiukka prosessi siitä, antaako organisaatio oikean ja riittävän kuvan arvioitavasta prosessista. Institute on Internal Auditors (IIA) mukaan määritelmä on seuraavanlainen: “Antaa riippumattoman varmuuden siitä, että organisaation riskin hallinta ja sisäiset valvontaprosessit toimivat tehokkaasti”. Monissa organisaatioissa toteutetaan myös säännöllisiä auditointeja ulkoisen tahon toimesta vaatimustason mukaisesti. Esimerkiksi ISO 27001 standardin vaatiman auditoinnin voivat suorittaa ainoastaan sertifioidut auditoijat. Ulkoistetulla sertifioidulla auditoinnilla pyritään takaamaan mahdollisimman tarkka riippumattoman kypsyyden määrittäminen.
On hyvä korostaa sisäisen ja ulkoisen auditoinnin eroa, jossa ulkoisessa tarkastuksessa huomioidaan vain tietyt osa-alueet, kun sisäisen tarkastuksen tulisi huomioida kaikki IT-riskit. Tämän vuoksi monet yritykset käyttävät organisaation sisäistä tiimiä, jotta sille tärkeitä osa-alueita pystytään valvomaan, levittämään käytänteitä ja kontrolloimaan riskejä mahdollisimman tehokkaasti.
Kypsyysmallit ja niiden käyttö tietoturva-auditoinnissa
Yksinkertaisimmillaan kypsyysmallit ovat attribuutteja, indikaattoreita, ominaisuuksia tai malleja, jotka edustavat edistyksen tilaa tietyllä tieteenalalla. Mallin muodostavat artefaktit pääsääntöisesti sovitaan tieteenalan ja toimialueen kanssa, sekä validoidaan sovelluksen ja iteratiivisesti tapahtuvan uudelleenkalibroinnin avulla.
Kypsyysmalli antaa organisaatiolle käyttöönsä prosessinsa ja menetelmänsä, jossa artefakteja verrataan joukkoon, joista sitten muodostetaan kypsyyden määrittämisessä käytettävä vertailuarvo. Kypsyysmallit edustavat yleensä parhaita käytäntöjä ja näitä sisältäviä standardeja. Malleja siis käytetään määrittämään kyberturvallisuuden kontekstissa sen nykyinen suojautumisen taso suhteessa olemassa oleviin uhkiin ja uhkavektoreihin.
Kypsyysmalleilla on yleisesti eri tasoja sisältäviä asteikkoja, joilla pyritään määrittämään “ehdot” ja attribuutit siirryttäessä seuraavalle tasolle.
Mittaamisen tarkoituksena on antaa mahdollisuus käyttää skaalausta määrittämään sen nykyinen tila sekä tulevaisuudessa mahdollisesti tavoitteena oleva “kypsempi” tila. Tämän “kypsemmän” tilan saavuttamiseksi on organisaation tunnistettava attribuutit, jotka mahdollistavat siirtymisen ylemmälle tasolle.
Kypsyysmalleissa on tyyppieroja, mutta niiden rakenteissa esiintyy myös joitain perusasioista. Rakenne on tärkeä, koska se tarjoa “tarttumapinnan” tavoitteiden, parhaiden käytäntöjen ja arvioiden välillä. Rakenne helpottaa myös nykytilan määrittämisessä ja parhaita käytäntöjä sisältävän tavoitetilan saavuttamisessa, tarjoamalla tiekartan (roadmap), jossa hyödynnetään standardien ohjeistuksia, sekä liiketoiminnan tavoitteita. Tiekartta käsittää nykytilan, tavoitetilan, sekä tavoitetilan saavuttamiseen tarvittavat muutokset.

Tietoturva-auditointi: Kypsyyden tasot
Tasot edustavat kypsyysmallin siirtymätiloja, ja riippuen mallin arkkitehtuurista, voivat ne kuvata progressiivista siirtymää tai kyvykkyyttä ilmaista jotain muuta, mitattavaa ominaisuutta.
Tunnuksien käyttö helpottaa attribuuttien ryhmittämistä, aihealueen rajaamiseksi. Kypsyysmalleissa alueita kutsutaan prosesseiksi, ja ne muodostavat yhdessä suuremman kokonaisuuden. Esimerkkinä tallaisesta suuremmasta kokonaisuudesta voi olla ohjelmistosuunnittelu.
Attribuuttien tarkoitus on edustaa mallin ydinsisältöä ryhmiteltynä toimialueen ja tason avulla. Ne perustuvat yleensä käytäntöihin, standardeihin tms. asiantuntijatietoon, ja voidaan ilmaista esimerkiksi indikaattoreina, ominaisuuksina, käytäntöinä tai prosesseina, joille yrityksen tietoturva perustuu.
Arviointi- ja pisteytysmenetelmät auttavat arviointia olemassa olevan mallin pohjalta. Ne voivat olla virallisia tai epävirallisia algoritmeja, jotka varmistavat arviointien johdonmukaisuuden, suhteessa olemassa olevaan standardiin. Menetelmään voi kuulua tärkeimpien attribuuttien painotus, tai erityyppisten tiedonkeruutapojen korostettu pisteytys, jos dokumentti on esimerkiksi todistettu virallisesti suullisen toteamisen sijaan.
Parannussuunnitelmassa kypsyysmalleja käytetään nykytilan määrittämisen lisäksi myös toimintojen ja turvallisuuden parantamisen kontekstissa ja siihen tähtäävien toimintojen suunnittelussa. Menetelmät auttavat parannusta vaativien osa-alueiden tunnistamisessa, jotka ovat fundamentaaleja parannuksiin tähtäävien suunnitelmien tekemisessä, PDCA-mallin (plan, do, check, act) mukaisesti.
Tietoturva-auditointi ja riskien hallinnan tärkeys
Yrityksen johdon tulee asettaa taloudelliset, toiminnalliset, ja strategiset tavoitteet, jotka antaisivat johdolle riittävät suuntaviivat riskien hyväksyttävälle määrälle. Riskinottohaluun vaikuttavat myös kokemuksen lisäksi myös muut puitteet, kuten lainsäädännölliset sekä taloudelliset ja poliittiset tekijät. Auditoinnilla onkin tärkeä rooli organisaation riskinottohalukkuuden tarkastelussa – kunhan auditointi on laadukkaasti suoritettu. Auditointi pitää ihannetilassa yrityksen tasapainossa ja toiminnat stabiilina.
Tietoturvan riittävän tason selvittäminen mittaamisen avulla, luonnollisesti on tärkeää organisaation kyberturvallisuusvalmiuksien näkökulmasta, tarkasteltuna eripituisina aikajaksoina, sekä lyhyillä, että pitkinä. Jotta turvallisuuden kypsyystaso voidaan asianmukaisesti määrittää, tarvitaan siihen apuvälineeksi tietoturvastandardi, tai muu viitekehys, asianmukaisen määrittelyn turvaamiseksi.
Vaikka ei ole olemassa 100% turvallisuutta tietoturvan kontekstissa, on olemassa selkeä tarve eri standardeille sekä viitekehyksille, takaamaan parhaat käytänteet, jotta tietty tietoturvallisuuden taso voidaan säilyttää organisaatiossa.
Riskien hallinta ja kontrollien merkitys
Organisaatio, joka on hyvä käsittelemään riskejä saavuttaa huomattavaa kilpailuetua verrattuna kilpailijoihinsa. Tämä pätee erityisesti tietoturvariskien kohdalla. Suuntauksen kehitys on mahdollistanut elektronisen kaupankäynnin lisääntymisen turvallisesti, riskien lisääntymättä hallitsemattomiksi. Onnistuneessa riskienhallinnassa on tärkeää tunnistaa omistajuus sekä vastuukysymykset riskien kontekstissa. Lähtökohtaisesti olisi hyvä pohtia seuraavia kysymyksiä: Kuka olisi vastuussa, jos riskistä tulisi kynnyskysymys liiketoiminnalle? Onko vastuukysymys ja riski ymmärretty ja informoitu selkeästi? Onko kontrollin omistaja täysin tietoinen vastuusta? Kuka kärsisi riskin eskaloitumisesta mahdollisesti eniten?
Riskien kanssa toimiessa on olemassa neljä eri vaihtoehtoa: sietäminen, hoitaminen, siirtäminen sekä lopettaminen. Kaikki riskit, jotka ovat hyväksyttävissä, menevät sietämisen kategoriaan. Hoitamisessa poistetaan riskin kohde, kuten esimerkiksi haavoittuva ohjelmisto korvataan uudella, päivitetyllä versiolla. Riskien siirtämisellä tarkoitetaan esim. oman palvelun tai ohjelmiston ulkoistamista turvallisempaan pilvipalveluun, tai vakuutuksen hankkimista turvaamaan mahdollisia riskin eskaloitumisesta aiheutuvia kuluja. Siirtäminen ei yleensä kuitenkaan paikkaa ongelmaa, tai poista riskin olemassaoloa. Yleensä riskin optimoiminen on järkevintä. Tämä käsittää kontrollitoimenpiteitä, joilla pyritään vähentämään riskin todennäköisyyttä, tai seurauksia. Kontrollit voivat vaihdella riskistä riippuen, aina penetraatiotestauksesta, kameravalvonnan uusimiseen. Kontrolleja määrittäessä tulisi huomioida kuinka helposti ne ovat sovellettavissa, sekä kuinka kontrolleille voitaisiin laskea ROI (Return Of Investment).
Kontrollityypit
On olemassa kolmenlaisia kontrolleja: reaktiivisia, paikantavia sekä ehkäiseviä. Ehkäisevät nimensä mukaisesti ehkäisevät riskiä toteutumasta, paikantavat kontrollit helpottavat riskien paikantamisessa sekä riskin analysoimisessa. Reaktiiviset kontrollit reagoivat tapahtumassa olevaan uhkaan, pyrkimällä mitätöimään negatiiviset vaikutukset, sekä onnistuessaan turvaavat jatkuvuuden.
Kontrollin implementointivaiheessa tulisi tarkasti määrittää, kuinka kontrollia tullaan jatkossa valvomaan sekä kuinka se saadaan säilyttämään tehokkuutensa. Tehokkuuden määrittäminen vaatii mittaamista. Kontrollin suorituskyvyn ja tehokkuuden välinen ero on melko pieni, koska suorituskyvyn mittaamisessa keskitytään impletointiprosessiin ja tehokkuudessa luonnollisesti sen kykyyn riskien tehokkaassa poistamisessa. Tehokkuuden mittaaminen voisi tapahtua esimerkiksi seuraavasti: suoritetaan vertailu raportoitujen hyökkäysten kuukausittaisten määrän suhteessa kuluneeseen aikaan, voidaan raportoitujen hyökkäysten lukumäärän vähentyessä päätellä olevan tarvetta lisäkoulutukselle, jotta kontrolli pysyisi tehokkaana jatkossa.
Jokaista kontrollia ei tarvitse mitata, vaan keskittyä implementointi-, sekä ylläpitokustannuksiltaan kalleimpiin, sekä tehokkaimpiin ja tärkeimpiin. Tärkeimmät kontrollit suojaavat tärkeintä pääomaa.
Riskit ja tulevaisuuteen kohdistuva epävarmuus on osa jokapäiväistä elämäämme, ja sitä tulisi organisaatiossa pyrkiä käsittelemään suhteellisella ja järkevällä tavalla. Riskienhallinnan keskiössä on organisaation riskinottohalu. Riskit tulee tunnistaa, dokumentoida, arvioida sekä hallita tilanteen vaatimalla tavalla, erityisesti niiden kohdalla, jotka ovat todennäköisyydeltään ja vaikutukseltaan suuria. Riskien hallitsemiseksi ja vähentämiseksi tulisi niillä aina olla vastuutettu omistaja.
Täältä voit lukea lisää kyberturvallisuuskeskuksen ohjeistuksesta liittyen tietoturvan auditointiin.