Miksi yrityksellä kannattaa olla tietoturvasäännöt?

Yrityksissä on monenlaisia tietoturvasääntöjä. Etätyösäännöt, internetin käyttösäännöt, sosiaalisen median käyttösäännöt, tietojärjestelmien käyttösäännöt, palveluiden ylläpitosäännöt jne. Työntekoa hankaloitetaan säännöllisen säännönmukaisesti?

Tietoturvasääntöjen tarkoituksena ei ole rajoittaa tai hankaloittaa työntekijöiden toimintaa. Tietoturvasäännöt mahdollistavat turvallisen toimintaympäristön luomisen.

Tietoturvasäännöt on negatiivinen käsite?

Kannattaako tietoturvasääntöjä kutsua säännöiksi? Onko termi negatiivinen? Sääntöä voidaan pitää kieltona. Positiivisemmin ajateltuna sääntö on reunaehto tai toimintamalli.

Mitä vaihtoehtoja termille sääntö on? Jos puhutaan esimerkiksi tietojärjestelmien käytöstä:

Tietojärjestelmien käyttöpolitiikka. Joku voisi ajatella, että onpas virallista. Politiikka on jotain yleistä jargonia. Kuulostaa johtotason jutuilta.

Tietojärjestelmien käyttöohjeet. ”Joo joo, käytän tietojärjestelmiä turvallisesti, fiksusti jne. Luen ohjeet, jos tarvitsen ohjeita.” Ohje on säännöistä johdettu tarkempi toimintatapa.

Tietojärjestelmien tietoturvaperiaatteet. Tällä päästään jo lähelle tarkoitusta. Ei kuullosta niin negatiiviselta? Tuntuu mielekkäämmältä sitoutua noudattamaan periaatteita kuin sääntöjä.

Tietojärjestelmien käyttösäännöt on kuitenkin selkeä käsite. Näin toimitaan. Piste.

Tietoturvasäännöistä on hyötyä!

Yrityksellä kannattaa olla yritysjohdon hyväksymät tietoturvasäännöt. Niistä on konkreettista hyötyä päivittäisessä toiminnassa.

Tietoturvasäännöt kertovat, millaista toimintaa työntekijöiltä odotetaan. Yhteiset säännöt ja niiden mukaan toimiminen auttaa turvallisemman toimintaympäristön luomisessa. Tietoturvadokumentaatiota voidaan hyödyntää myös esimerkiksi uuden työntekijän perehdyttämisessä.

Säännöt ja muut tietoturvadokumentit osoittavat yrityksen toimintaperiaatteet muille toimijoille. Ulkopuoliset näkevät, mitä vaadimme itseltämme. Se voi puolestaan nostaa luottamusta ja parantaa yrityksen mainetta.

Yhteistyökumppanit voidaan velvoittaa toimimaan samojen sääntöjen mukaisesti. Ei ole mitään järkeä, että yritys pyrkii laadukkaaseen toimintaan, kun samaan aikaan alihankkija sählää, sooloilee ja sekoilee.

Säännöt auttavat täyttämään lakipykälistä ja standardeista muodostuvat vaatimustenmukaisuusvelvoitteet. Työntekijöiden voi olla helpompi ymmärtää tietoturvasäännöissä kuvattua periaatetta kuin eri lakipykäliin piilotettuja vaatimuksia.

Tietoturvastandardi ISO 27001 asettaa vaatimuksia esimerkiksi suojattavan omaisuuden (tietopääoma, laitteet jne.) käyttösäännöistä sekä ohjelmistojen asennukseen liittyvistä säännöistä. VAHTI 2/2010 dokumentaatiossa kuvatun tietoturvallisuuden perustason saavuttaminen puolestaan edellyttää, että säännöt ja ohjeistukset ovat olemassa (Lähde: VAHTI 2/2010 liite 5, s. 106, osa-alue 1.3.1).

Tietojen luokittelu on tietoturvallisuuden perusta

Tietoaineistojen tai tietojen luokittelu on kokonaisuus, joka auttaa tunnistamaan organisaatiolle tärkeät tiedot ja suojaamaan ne asianmukaisesti eri käyttötilanteissa. Marraskuussa 2016 julkaistu YAMK-opinnäytetyöni ”Kohti tietoaineistojen luokittelua ammattikorkeakoulussa” kokoaa yhteen kattavan tietopaketin aiheesta.

tietoaineistojen luokitteluKuviossa tietoaineistojen luokittelun kokonaisuus hyödyntämiskohteineen.

Pyrin tekemään opinnäytetyön niin, että siitä olisi hyötyä mahdollisimman monelle organisaatiolle. Työ sisältää mm. 9-vaiheisen menetelmän tietoaineistojen luokittelun aloittamiseksi sekä kuvauksia luokiteltujen tietojen hyödyntämiskohteista. Yleisesti ottaen tulokset auttavat luokittelutoiminnan johtamisessa, suunnittelussa ja toteuttamisessa.

Tietoaineistojen luokittelu on olennainen osa tietoriskien hallintaa. Luokittelemalla tiedot julkisuuden perusteella eri kategorioihin voidaan tietoon kohdistuvia riskejä pohtia monipuolisemmin. Esimerkiksi eniten suojausta vaativat tietoaineistot ovat tunnistettavissa helpommin. Opinnäytetyötä tehdessäni käsitykseni siitä, että tietojen luokittelu on olennainen osa organisaation tietoturvallisuuden toteuttamista, vahvistui merkittävästi.

Opinnäytetyö on ladattavissa Theseus-palvelusta tästä linkistä: http://urn.fi/URN:NBN:fi:amk-2016112216800

Kyberkaries iskee alle kahdessa kuukaudessa

Tietoturvafirma Kenna tutki tunnettujen tietoturvareikien paikkaamiseen liittyviä aikaikkunoita. Siinä missä hammaslääkäri paikkaa reiät 15 minuutissa,
kuluu yrityksillä keskimääräisesti 100-120 päivää tietoturvareikien tukkimiseen.

Samaisen tutkimuksen mukaan yrityksellä on arviolta 40-60 päivää aikaa tukkia aukot. Muuten kyberkaries iskee 90% todennäköisyydellä.

Tietoturvareikiin hyökätään automaattisten työkalujen avulla. Niitä hyödyntäviä tahoja ei ensisijaisesti kiinnosta mihin hyökätään, kunhan onnistutaan.
Sitten pöllitään kaikki, mikä irti lähtee. Lopuksi vasta katsotaan, mitä on saatu.

Tietoturva-aukoista johtuvia riskejä voidaan pienentää. Kenna suosittelee käyttämään samoja työkaluja kuin vastapuolikin. Toisin sanoen yritysten kannattaa kartoittaa omien järjestelmiensä aukkoja systemaattisesti ja automatisoidusti.

Ellei IT-palveluiden ammattimainen ylläpito ole ydinliiketoimintaasi, niin anna homma jollekin muulle. On hölmöläisen hommaa koittaa hallita tietoturvapäivityksiä muun toiminnan ohella.

Videovinkki: Näin yrityksiä vakoillaan tällä hetkellä

Ylen aamu-tv:ssä (28.6.2016) haastateltiin EK:n johtavaa yritysturvallisuusasiantuntijaa. Aiheena oli yrityksiin ja valtioihin kohdistuva vakoilu.
10 minuutin mittainen video sisältää paljon olennaisia tietoturvallisuuteen liittyviä asioita. Suosittelen!

Viisi poimintaa videosta:

Kaikki yritykset eivät toki ole kohdistetun vakoilun kohteena. Silloinkin pitää silti valita, kumpaan jengiin kuulut. Niihin:

  1. joilla ei ole mitään salattavaa, ja jotka nyt toteavat, että asia ei koske meitä.
  2. jotka ymmärtävät (ja osoittavat ymmärtävänsä), että turvallisuusasiat tukevat liiketoimintaa, sekä mahdollistavat sen tekemisen kestävällä tavalla.

Valinta on helppo tehdä, mutta toteutus vaatii työtä ja oikeaa asennetta.

Tietoturvallisuuden (parempi) määrittely mahdollistaa mittaamisen

Tietoturvallisuuden määrittely on ongelmallinen. James M. Andersonin (CISSP), mukaan*  tarvitsemme täysin uuden määritelmän tietoturvalle. Andersonilla on hyvä pointti. Meidän pitää pystyä määrittelemään tietoturvallisuus paremmin, jotta 1) asiasta keskustelu olisi helpompaa, ja 2) tietoturvallisuuden mittaaminen onnistuisi paremmin.

Tietoturvallisuuden määritelmä aiheuttaa ongelmia

Tyypillisesti tietoturvallisuus määritellään seuraavasti. Tietoturvallisuus on tiedon eheyden, saatavuuden ja luottamuksellisuuden varmistamista. Ongelman paljastaa seuraava kysymys: miten voit mitata organisaation tietoturvan tasoa eli tiedon eheyttä, saatavuutta ja luottamuksellisuutta? Andersonin mukaan meillä ei ole järkeviä keinoja kyseisten asioiden mittaamiseksi. Ongelma muodostuu siitä, että tietoturvallisuuden määritelmä ei todellisuudessa kerro tarpeeksi konkreettisesti, mistä tietoturvallisuudessa on kyse.

Tietoturvan määritelmä aiheuttaa ongelmia myös tietoturvavastaaville ja organisaation johtajille. Olet vastuussa epämääräisestä asiasta. On myös hullua maksaa isoja summia rahaa jostakin, jota ei ole määritetty kunnolla.

Tietoturvallisuuden uusi määritelmä

Ongelman ratkaisemiseksi Anderson ehdottaa tietoturvan määritelmäksi seuraavaa:
”A well-informed sense of assurance that information risks and controls are in balance.”

Suomentaisin sen vapaasti näin:
”Hyvin perusteltu ja varma näkemys siitä, että tietoturvariskit ja -kontrollit ovat tasapainossa.”

Anderson avaa uutta määrittelyä julkaisussaan*. Pointti on se, että uusi määrittely mahdollistaa paremmin tietoturvan tason mittaamisen, sekä aiheesta keskustelun. Alla on omaa tulkintaani Andersonin julkaisua vapaasti suomentaen. Kappaleen lopussa suluissa, on se määrittelyn kohta, johon kuvaus kuuluu.

Hyvin perusteltu näkemys muodostuu kokonaisuuden tunnistamisesta. Tietoturvasta vastaavilla henkilöillä tulee olla osaamista, tietoturvan lisäksi, myös organisaation toimintaympäristöstä sekä liiketoiminnasta. Pitää osata kertoa, miten tietoturvallisuudella suojataan liiketoimintaa. Tietoturvan tasosta tulee kertoa systemaattisesti organisaation ylimmälle johdolle (well-informed).

Varmuus puolestaan muodostuu siitä, että organisaatio tietää tietoturvansa tason. On tiedettävä, mikä organisaatiota uhkaa ja miten uhkilta suojaudutaan (sense of assurance).

Tietoturvariskit ja niihin liittyvät uhat on oltava tunnistettu kyseisen organisaation näkökulmasta. Ei riitä, että tuntee samalla alalla toimivan organisaation riskejä. Kaikilla on omansa. On tunnettava yritys, toimintaympäristö ja siinä olevat riskit. Ymmärryksen perusteella rakennetaan tarvittavat suojaukset (information risks).

On pystyttävä osoittamaan, miten tietoa suojataan. On myös oltava varmuus, että suojaus toimii, kuten pitäisi. Muuten samaa virheellistä suojausta saatetaan monistaa useampaan ympäristöön, jolloin ongelmia kertaantuu useampaan paikkaan (information controls).

Vaikein asia on tunnistaa, ovatko uhat ja niitä vastaavat suojaukset tasapainossa, sekä toiminnallisesti että taloudellisesti. Organisaation ylimmän johdon on oltava tietoisia riskeistä. Heidän on myös ymmärrettävä ne, jotta riskejä käsiteltäisiin oikein (are in balance).

Mielestäni yleisesti käytetty määritelmä kiteyttää tietoturvallisuuden hyvin. Aihe on kuitenkin erittäin laaja ja usein sitä on avattava enemmän. Andersonin ehdottama määritelmä sisältää monia mitattavissa, ja helpommin keskusteltavissa olevia asioita. Olennaista on kuitenkin se, että organisaation työntekijöille kerrotaan, mitä tietoturvallisuudella tarkoitetaan, ja miten se vaikuttaa liiketoimintaan.

Tietoturvallisuus mahdollistaa paremman bisneksen. Asenne kuntoon ja tuloskäyrät kattoon.

*Lähteet:
”Why we need a new definition of information security”, Anderson, James M. Julkaisussa Computers & Security 2003, Vol.22(4).