Tietoturvan kehittämispolut – paniikista ymmärryksen kautta toimintaan

Mistä lähteä liikkeelle tietoturvan kehittämisessä? Jokaisella yrityksellä on omanlaiset tarpeet tietoturvalle, joten yhtä oikeaa vastausta on mahdoton esittää. Me elfGROUPilla tarkastelemme tietoturvan kehittämistä jokaisen organisaation yksilöllisenä polkuna. Tässä artikkelissa esittelemme neljästä eri näkökulmasta lähtevät kehityspolut, joita tarkastelemalla voit löytää suuntaviivoja myös oman organisaatiosi tietoturvan kehittämiseen.


Tietoturva on tullut viikoittaisiin uutisiimme. Eri medioissa kerrotaan, kuinka hakkerit murtautuivat yrityksen verkkoihin, varoitellaan kiristysviesteihin vastaamisesta, uutisoidaan ohjelmiston haavoittuvuudesta, joka aiheutti arkaluontoisten tietojen vuodon, ja kuvataan taloudellista menetystä sen jälkeen, kun tietojenkalastelija onnistui huijauksessaan. Tietomurrot, tietovuodot ja haavoittuvuudet ovat normaalia uutisvirtaa siinä missä politiikan, urheilun ja kulttuurin uusimmat käänteet. Uutiset ovat kovin negatiivisia, uhkaavan tuntuisia sekä vaikeatajuisia, varsinkin jos ei ole sattunut perehtymään uusimpaan verkkoteknologiaan tai kyberturvan perusteisiin. Ei olekaan ihme, että keskiverron liiketoiminnasta, riskienhallinnasta tai jopa IT:stä vastaavan henkilön voi olla vaikea hahmottaa sitä, miten minun tulisi reagoida tilanteeseen, joissa uhkia näyttää tulevan joka kanavasta ja teknologiasta.

Huolestuminen, panikoiminen tai ylivoimaisen edessä epätoivoon vaipuminen tuskin auttaa ketään. Konsultit, it-toimijat ja tietoturvayhtiöt tarjoavat palveluita, jotka lupaavat estää, parantaa, tunnistaa ja torjua mitä erilaisempia asioita. Ei olekaan ihme, että kokonaiskuvan ja juuri meidän organisaation prioriteettien ymmärtäminen voi tuntua kovin haastavalta - samalla tiedon, organisaatiorajojen ylittävien integroituvien liiketoimintaprosessien ja asiakasluottamuksen merkitys tuntuu yhä vain kriittisemmältä liiketoiminnan toimivuudelle ja kasvulle, tai ihan vain organisaation olemassaololle.

Me emme usko, että paniikki on oikea ratkaisu. Asian systemaattinen jäsentäminen poistaa mystisyyttä ja auttaa ymmärtämään tietoturvan roolin juuri kussakin organisaatiossa, heidän toimialallensa sopivalla tavalla. Me olemme hahmottaneet organisaation tietoturvan eteenpäin viemistä konkreettisten kehittämispolkujen kautta. Nämä polut ovat yleisesti ottaen enemmän tai vähemmän merkityksellisiä organisaatiolle kuin organisaatiolle, ja voivat konkretisoida millaisia asioita ja millä tavalla organisaatio voi ottaa askeleita kohti tietoturvallista toimintaa ja liiketoimintaympäristöä.

 

Polku 1: IT- ja toimintaympäristö

IT- ja toimintaympäristö - TietoturvakartoitusIT- ja toimintaympäristö - Tietoturvasertifiointi

Kuinka saan hyvän kokonaiskuvan ja otteen organisaationi, toimintaympäristöni ja IT-ympäristöni kyberturvallisuuden tilasta ja riskeistä? Miten lähden kehittämään sitä eteenpäin niin, että panostukseni on oikean tasoinen ja oikein kohdistettu suhteessa liiketoimintaani, kokooni ja toimintaympäristööni?

Lue lisää IT- ja toimintaympäristön tietoturvan kehittämispolusta

Moni organisaatio on kehittänyt tietoturvaansa jo pitkään. Välttämättä organisaatio ei kuitenkaan ole muodostanut tietoturvatoimenpiteistään ja tilanteestaan kokonaisanalyysiä. Kokonaistilanteen ymmärtämisen puute voi jättää organisaation ja it-ympäristön tilanteeseen potentiaalisia aukkoja, koska erilliset toimenpiteet eivät ole optimoituja, ja tietoturvaa hallitaan yksittäisten kontrollien ja teknologisten yksityiskohtien kautta.

Me suosittelemme jokaiselle organisaatiolle kokonaisvaltaisen tietoturvakartoituksen tekoa. Siinä organisaatio saa kokonaiskuvan tietoturvan nykytilasta ja maturiteetista, jota ilman ei ole mahdollista johtaa tietoturvaa kokonaisuutena. Sen avulla voidaan seurata liiketoimintalähtöisesti riskejä, joita tekninen ja liiketoimintaympäristö tuo tietoturvan näkökulmasta. Myös tietoturvan kokonaisvaltainen kehittäminen mahdollistuu, sekä sen liittäminen yrityksen liiketoiminta- ja strategisiin päämääriin niitä tukevana elementtinä.

Jos organisaatio haluaa kehittää tietoturvaa päämäärätietoisesti, ja esimerkiksi varmistua siitä, että se toimii yleisesti hyväksi katsotulla tasolla, voi olla käytännöllistä verrata omaa toimintaa haluttuun kriteeristöön tai tietoturvastandardiin. Tämä tekee tavoitteen asetannasta konkreettista. Organisaatio pystyy tietoisesti tekemään päätöksen, mitä tasoa sen on järkevä tavoitella, ottaen huomioon esimerkiksi asiakasodotukset ja arvolupaukset, sidosryhmien tai viranomaisten vaatimukset, liiketoiminnan kasvutavoitteet tai tavoitellun brändimielikuvan. Organisaatio voi myös konkreettisesti suunnitella sertifikaattia vasten, miten se saavuttaa tavoitellun tason, ja tämän jälkeen mitata pysyykö se toiminnassaan kyseisellä tasolla. Sertifikaatti on myös voimakas väline sisäiseen ja ulkoiseen kommunikaatioon, koska se sitouttaa organisaatiota ja yhteistyökumppaneita tiettyyn toimintatapaan, ja antaa asiakkaille ja muille sidosryhmille voimakkaan viestin organisaation maturiteetista. 

Niille organisaatioille, joille tietoturva on sydämen asia, suosittelemme myös it-infran hakkeritestausta testausprojektissa, jossa ammattitaitoinen tietoturva-asiantuntija käyttää samoja menetelmiä ja tekniikoita, joita vihamielinen hakkeri käyttäisi tunkeutuakseen yrityksen sisäverkkoon. Näin organisaatio voi testata kontrollinsa ja kykynsä torjua hyökkäykset, sekä saa varmuuden suojaustasostaan.

LUE LISÄÄ TIETOTURVAKARTOITUKSISTA

 

 

LUE LISÄÄ TIETOTURVASERTIFIOINNISTA

Polku 2: Järjestelmät

Varmuus järjestelmän kyvykkyydestä vihamielisen toiminnan tai poikkeustilanteiden tapahtuessaTietoturvasertifiointi: Kyky kommunikoida luotettavuutta järjestelmän käyttäjäryhmille. Sovelluksen kehittäminen: Sovellus on rakennettu korkeiden tietoturvaperiaatteiden mukaan

Ovatko järjestelmäni tietoturvallisia? Onko niissä oleva sensitiivinen tieto turvassa? Toimiiko digitaaliset kanavani niin, että asiakkaani voivat luottaa toimintaani ja palveluihini, ja uskoa tietonsa sen varaan?

Lue lisää järjestelmien tietoturvan kehittämispolusta 

Järjestelmät ovat iso osa modernin organisaation liiketoimintakyvykkyyttä, prosessien toteuttamista, tiedon säilyttämistä, käyttöä ja muokkausta sekä asiakasrajapinnan käytäntöä. Niiden toimivuus, eheys ja luotettavuus on iso osa organisaation toimintaa, sekä usein myös asiakaslupausta. Erityisesti internetiin kytketyt järjestelmät muodostavat potentiaalisesti reitin yrityksen ympäristöihin ja tietoihin. Jos järjestelmässä käsitellään henkilötietoja, asiakkaan dataa tai muuta luottamuksellista tietoa, tulisi varmistaa, että tietoihin pääsee vain käyttöoikeuksien mukaan, eikä järjestelmä vuoda ulos mitään sellaista, mitä on tarkoitus pitää organisaation sisäisenä tietona.

Ensimmäinen askel järjestelmän tietoturvatason testaamiseen on hakkeritestaus. Siinä mallinnetaan niitä menetelmiä ja tekniikoita, joita potentiaalinen vihamielinen hakkeri voisi käyttää järjestelmään tunkeutuessaan. Sen lisäksi, että hakkeritestaus paljastaa järjestelmän heikkoudet, se on mahdollisuus organisaatiolle oppia lisää omista järjestelmistään, nostaa niiden tietotasoa ja muutenkin parantaa omaa tietoturvaosaamistaan.

Onnistuneesti hakkeritestauksen läpi päässyt järjestelmä voi saada itselleen sertifikaatin todisteena siitä, että järjestelmä on tietyn kriteeristön perusteella turvallinen tasolla, jota vastaavilta järjestelmiltä voi odottaa. Sertifiointi on usein vahvistettava periodeittain, mikä varmistaa sen, että järjestelmä pysyy turvallisena vastakin. Lisäksi se on voimakas viestinnällinen työkalu lisäämään luottamusta. Erityisen tärkeää tämä on, kun organisaation liiketoiminnan keskeisessä asemassa on ohjelmisto, tietojärjestelmä tai palvelu, verkkosivusto, mobiiliapplikaatio, IP-verkossa kommunikoiva laite jne. Tällöin sertifikaatti on työkalu, jolla lisätään erityisesti potentiaalisen asiakkaan silmissä palvelun tai tuotteen luotettavuutta ja houkuttelevuutta. 

Tietoturvatestaus koestaa järjestelmää ikään kuin ulkopuolelta, käyttäen sitä pintaa, jonka järjestelmä paljastaa ulkomaailmaan. Järjestelmän kokonaisvaltainen tietoturvan tason ymmärtäminen vaatii koko arkkitehtuurin läpikäyntiä. Tähän paljon käytetty malli on OWASP ASVS, joka ohjaa järjestelmän tietoturvatason arviointia yleisesti hyväksi katsotun kriteeristön perusteella. Näin saadaan varmuus siitä, että järjestelmä on oikein rakennettu kaikissa arkkitehtuurin kerroksissa.

LUE LISÄÄ TIETOTURVATESTAUKSESTA

LUE LISÄÄ TIETOTURVASERTIFIOINNISTA

LUE LISÄÄ TIETOTURVALLISESTA SOVELLUSKEHITYKSESTÄ

Polku 3: Ihmiset

Tietoturvatietoisuuden kehittäminen: Organisaatioilla on tietoisuus ja periaatteet tiedon säilyttämisen ja jakamisen suhteenTietojenkalastelun testaus: Ymmärrys potentiaalisista vuotokohdista ja niiden syvyydestä, ja henkilöstön kyvystä reagoida yrityksiin

Toimivatko työntekijäni oikein? Ymmärtävätkö he riskit? Osaavatko he toimia niin kuin on yhdessä sovittu?

Lue lisää ihmislähtöisestä tietoturvan kehittämispolusta

Usea on sitä mieltä, että joka tapauksessa suurin tietoturvaan liittyvä riski on organisaation työntekijät ja heidän toimintansa. Kyse ei ole siitä, että henkilöstö olisi tarkoituksellisesti väärin toimivaa, tai ei välittäisi organisaationsa tiedon, maineen ja liiketoiminnan säilyttämisestä. Jokainen voi tehdä virheitä, ja jos virheet kerrankin kumuloituvat oikein, voi vihamielinen toimija tätä kautta saada teknisen jalansijan organisaatioissa, kaapattua käyttäjän oikeudet tai päästä sellaiseen tietoon käsiksi, jota ei ole tarkoitus organisaation ulkopuolelle antaa.

Ensimmäinen keino organisaation tietoturvatietoisuuden lisäämiseen on kommunikaatio ja koulutus eri muodoissaan. Tämä voi ottaa muodon myös tietoturvapolitiikkoina sekä teknisinä kontrolleina.

Näiden toimenpiteiden tehokkuus on kuitenkin yhtä vahva kuin organisaation työntekijöiden käytännön toiminta. Siksi organisaation käyttäytymistä ja reagointia tietoturvauhkiin tulisi testata. Erityisen käytännöllistä on järjestää sosiaalisen tietojenkalastuksen harjoitus, jonka avulla voi testata tietovuodon herkkyyttä ja organisaation vuotokohtia, miten pitkälle hyökkääjä voi päästä organisaation järjestelmäkentässä esimerkiksi kaappaamalla sähköpostitilin ja sitä kautta vaihtamalla muiden järjestelmien käyttäjätunnuksia ja salasanoja, sekä organisaation ja sen yksilöiden toimintaa niiden kohdatessa tietojenkalasteluyrityksen.

LUE LISÄÄ TIETOJENKALASTELUHARJOITUKSISTA 

Polku 4: Ohjelmistoprosessit

Kypsyysanalyysi: Ymmärrus organisaation ohjelmistoprosessien kokonaisvaltaisesta maturiteetistaTietoturvakulttuurin kehittäminen: Organisaatio tuottaa tietoturvallista koodia, tietoturva kaikissa prosessin vaiheissa mukana. Sovelluksen kehittäminen: Sovellus on rakennettu korkeiden tietoturvaperiaatteiden mukaan

Jos koodi on liiketoimintaani, esimerkiksi kehitän digitaalisia palveluita tai ohjelmistoja, niin ottaako ohjelmistoprosessini huomioon tietoturvan, asiakkaiden luottamuksen ja ohjelmistovarmuuden jokaisessa ohjelmistokehityksen vaiheessa?

Lue lisää ohjelmistoprosessien tietoturvan kehittämispolusta

Järjestelmien tietoturvan kehittämisen kohdalla käytiin jo läpi, kuinka tietoturvatestaus koestaa järjestelmää ikään kuin ulkopuolelta, käyttäen sitä pintaa, jonka järjestelmä paljastaa ulkomaailmaan, ja kuinka järjestelmän kokonaisvaltaisen tietoturvan tason ymmärtäminen vaatii koko arkkitehtuurin läpikäyntiä. Jos organisaatio itse kehittää tai sille kehitetään ohjelmistoja, myös ohjelmistoprosessin tulisi tukea tietoturvallisen lopputuloksen tuottamista. Alkaen hallintamallista aina käyttöönottoon ja jopa järjestelmän alasajoon, jokaisen ohjelmistotuotannon prosessin osan tulisi noudattaa periaatteita, jotka on yleisesti koettu hyviksi ja laadukkaiksi.

Moni organisaatio on kokenut hyväksi hahmottaa ohjelmistotuotannon tietoturvan nykytilaa OWASP SAMM -analyysin kautta. Hyvin hedelmällinen on ollut toimintamalli, jossa ulkopuolinen kokenut asiantuntija johtaa ryhmäprosessia, jossa ohjelmistotiimille luodaan dialoginen tila, he käyvät mallin kautta läpi koko ohjelmistotuotannon prosessinsa, oivaltavat itse ja asiantuntijan fasilitoimana sekä nykytilan että tavoitetilansa, sekä sitoutuvat tarvittaviin toimenpiteisiin tavoitetilan saavuttamiseksi. Näin koko tiimi puhaltaa yhteen hiileen tavoitellessaan yhteistä tahtotilaa, sekä saa vision siitä, mitä he voisivat organisaationa olla ja edustaa.

Tämän jälkeen ohjelmistotuotannon tietoturvan asiantuntija voi olla mukana muutosmatkalla tuomassa konkretiaa arkeen, sekä vierihoitamassa erityisesti niillä alueilla, joissa väli nykytilan ja tahtotilan välillä on suuri, kompetenssivaje erityisen iso tai kehitettävä prosessin osa koetaan erityisen tärkeäksi organisaation ja ohjelmistotiimin missiolle.

Voimme myös jatkaa matkaa OWASP ASVS-analyysiin, jota käytiin jo läpi järjestelmien tietoturvan kehityspolulla.

LUE LISÄÄ TIETOTURVALLISESTA SOVELLUSKEHITYKSESTÄ

 

Kohti omaa kehityspolkua

Nämä neljä polkua voivat hyvinkin kulkea rinnakkain organisaation kehittäessä tietoturvansa tasoa. Organisaatio voi myös tunnistaa prioriteettijärjestyksen, jossa se haluaa eri osa-alueita kehittää. On kuitenkin tärkeää, että organisaatio tunnistaa merkittävät kehityskohteensa, ja alkaa ottaa askeleita, vaikka pieniäkin, oikeaan suuntaan. Pienessäkin liikkeessä ymmärrys itsestä ja omasta tilanteesta kehittyy koko ajan, on helpompi tarttua asioihin, sekä yllättävät muutokset toimintaympäristössä suhteutuvat todennäköisimmin johonkin olemassa olevaan tekemiseen, olemiseen ja itseymmärrykseen.

Me elfGROUPilla olemme auttaneet asiakkaitamme kaikilla näillä kehityspoluilla. Meillä on osaamista, palveluita sekä kokemusta eri toimialoilta juuri tällaisten hankkeiden ja haasteiden parista. Jos haluat selventää ajatuksia, ota meihin yhteyttä ja jutellaan. Jos haluat suunnitella juuri sinulle sopivan polun ja muutosmatkan, olemme mielellämme siinä halutessasi mukana. Ja jos jo tiedät mitä haluat, on varsin mahdollista, että meiltä löytyisi siihen kokemusta, osaamista, näkemystä ja helposti käyttöönotettava palvelu.

PYYDÄ MEIDÄT MUKAAN KEHITTÄMÄÄN ORGANISAATIOSI OMAA TIETOTURVAPOLKUA

Edellä kuvattujen kyberturvallisuuden kehityspolkujen lisäksi elfGROUPin asiantuntijat ovat apunasi myös ohjelmistokehityksen projekteissa sekä organisaation tiedonhallinnan osa-alueilla kehittämässä tai uudistamassa organisaationne tietojärjestelmäkenttää.

Share This Story, Choose Your Platform!

About the Author: Antti Matikainen

Antti Matikainen

Antti innostuu asiakkaittensa liiketoiminnan ymmärtämisestä ja arvon luomisesta niiden ainutlaatuisissa ympäristöissä. Antilla on laaja kokemus korkean teknologian tuotteitten ja palveluiden myynnistä ja konsultoinnista, sekä hänellä on näkemystä siitä, miten digitalisaatio muuttaa liiketoimintojen logiikkaa.