Tietoturvallisuuden määrittely on ongelmallinen. James M. Andersonin (CISSP), mukaan* tarvitsemme täysin uuden määritelmän tietoturvalle. Andersonilla on hyvä pointti. Meidän pitää pystyä määrittelemään tietoturvallisuus paremmin, jotta 1) asiasta keskustelu olisi helpompaa, ja 2) tietoturvallisuuden mittaaminen onnistuisi paremmin.
Tietoturvallisuuden määritelmä aiheuttaa ongelmia
Tyypillisesti tietoturvallisuus määritellään seuraavasti. Tietoturvallisuus on tiedon eheyden, saatavuuden ja luottamuksellisuuden varmistamista. Ongelman paljastaa seuraava kysymys: miten voit mitata organisaation tietoturvan tasoa eli tiedon eheyttä, saatavuutta ja luottamuksellisuutta? Andersonin mukaan meillä ei ole järkeviä keinoja kyseisten asioiden mittaamiseksi. Ongelma muodostuu siitä, että tietoturvallisuuden määritelmä ei todellisuudessa kerro tarpeeksi konkreettisesti, mistä tietoturvallisuudessa on kyse.
Tietoturvan määritelmä aiheuttaa ongelmia myös tietoturvavastaaville ja organisaation johtajille. Olet vastuussa epämääräisestä asiasta. On myös hullua maksaa isoja summia rahaa jostakin, jota ei ole määritetty kunnolla.
Tietoturvallisuuden uusi määritelmä
Ongelman ratkaisemiseksi Anderson ehdottaa tietoturvan määritelmäksi seuraavaa:
”A well-informed sense of assurance that information risks and controls are in balance.”
Suomentaisin sen vapaasti näin:
”Hyvin perusteltu ja varma näkemys siitä, että tietoturvariskit ja -kontrollit ovat tasapainossa.”
Anderson avaa uutta määrittelyä julkaisussaan*. Pointti on se, että uusi määrittely mahdollistaa paremmin tietoturvan tason mittaamisen, sekä aiheesta keskustelun. Alla on omaa tulkintaani Andersonin julkaisua vapaasti suomentaen. Kappaleen lopussa suluissa, on se määrittelyn kohta, johon kuvaus kuuluu.
Hyvin perusteltu näkemys muodostuu kokonaisuuden tunnistamisesta. Tietoturvasta vastaavilla henkilöillä tulee olla osaamista, tietoturvan lisäksi, myös organisaation toimintaympäristöstä sekä liiketoiminnasta. Pitää osata kertoa, miten tietoturvallisuudella suojataan liiketoimintaa. Tietoturvan tasosta tulee kertoa systemaattisesti organisaation ylimmälle johdolle (well-informed).
Varmuus puolestaan muodostuu siitä, että organisaatio tietää tietoturvansa tason. On tiedettävä, mikä organisaatiota uhkaa ja miten uhkilta suojaudutaan (sense of assurance).
Tietoturvariskit ja niihin liittyvät uhat on oltava tunnistettu kyseisen organisaation näkökulmasta. Ei riitä, että tuntee samalla alalla toimivan organisaation riskejä. Kaikilla on omansa. On tunnettava yritys, toimintaympäristö ja siinä olevat riskit. Ymmärryksen perusteella rakennetaan tarvittavat suojaukset (information risks).
On pystyttävä osoittamaan, miten tietoa suojataan. On myös oltava varmuus, että suojaus toimii, kuten pitäisi. Muuten samaa virheellistä suojausta saatetaan monistaa useampaan ympäristöön, jolloin ongelmia kertaantuu useampaan paikkaan (information controls).
Vaikein asia on tunnistaa, ovatko uhat ja niitä vastaavat suojaukset tasapainossa, sekä toiminnallisesti että taloudellisesti. Organisaation ylimmän johdon on oltava tietoisia riskeistä. Heidän on myös ymmärrettävä ne, jotta riskejä käsiteltäisiin oikein (are in balance).
Mielestäni yleisesti käytetty määritelmä kiteyttää tietoturvallisuuden hyvin. Aihe on kuitenkin erittäin laaja ja usein sitä on avattava enemmän. Andersonin ehdottama määritelmä sisältää monia mitattavissa, ja helpommin keskusteltavissa olevia asioita. Olennaista on kuitenkin se, että organisaation työntekijöille kerrotaan, mitä tietoturvallisuudella tarkoitetaan, ja miten se vaikuttaa liiketoimintaan.
Tietoturvallisuus mahdollistaa paremman bisneksen. Asenne kuntoon ja tuloskäyrät kattoon.
*Lähteet:
”Why we need a new definition of information security”, Anderson, James M. Julkaisussa Computers & Security 2003, Vol.22(4).
Vastaa