Siinä se sitten on! Noin vuoden projekti on saatu päätökseen ja yritys voi ylpeillä ISO 27001 -tietoturvasertifikaatilla. Mutta silti ei voi relata, sertifiointi on ylläpitovaiheen alku. Saako hallintajärjestelmä rappeutua vai ylläpidetäänkö sitä kuin pitkäjänteistä sijoitusta? Miten rakennetaan järjestelmä, joka on mahdollisimman helppo ylläpitää?
Olen vastannut 2NS:n sertifioidusta ISMS:stä (Information Security Management System) kesäkuusta 2024 lähtien. Vastaavia järjestelmiä on myös nähty monella asiakkaalla, eri kokoisia ja eri aloilla. Ja ennen kaikkea, eri kypsyystasoilla. Monella, myös 2NS:llä, on eräs ongelma. Miten ylläpidetään tuotantokäytössä olevaa hallintajärjestelmää niin, että se pysyy tehokkaana ja ylläpitovelkaa ei pääsee syntymään? Vilkaistaan siis työkalupakkiin ja katsotaan, jos löytyisi jotain sopivaa sen torjumiseksi.
Ylin johto on avainasemassa
Ylimmän johdon täyttyy ymmärtää, että sertifiointi ei ole pelkkä projekti, jolla on alku ja loppu. ISMS:n ylläpitoon täytyy varata resursseja, ja ylin johto päättää viime kädessä mihin yrityksen varat käytetään. Viisas CISO varmistaa, että tietoturvan hallintajärjestelmä tuottaa jotain arvokasta ylimmälle johdolle jatkuvasti. Raportointi johdolle on pakollista standardissa, mutta se ei saa tuntua pelkältä byrokratialta. Parhaimmillaan se tuottaa luottamusta tietoturvan tilasta, mutta tuo samalla merkittävät riskit esille avoimesti. Toisin sanoen, kaikille on selvää, että ISMS:n tavoite ei ole hieno sertifikaatti, vaan liiketoiminnan turvaaminen.
2NS:n CISO:na pääsen toki helpolla tästä rastista. Firma koostuu pelkistä tietoturva-ammattilaisista, ylintä johtoa myöten. Tämän työn tärkeyttä ei tarvitse perustella! Tavallisessa yrityksessä on tärkeätä, että CISO:lla on kristallinkirkas kuva siitä, miten tietoturva tukee liiketoimintaa, ja että hän osaa viestittää sitä johdolle heidän ymmärtämällä kielellä.
Suhteellisuusperiaate
Suhteelisuusperiaatetta ei voi painottaa liikaa, sillä sama periaate löytyy miltei kaikista standardeista ja direktiiveistä. Kiteytettynä; riskien hallintakeinot saa ja pitää suhteuttaa yrityksen kokoon ja riskiprofiiliin. Pienyrittäjän ISMS ei näytä samalta kuin puolustusalalla toimivan suuryrityksen. Oleellista on, että jokainen yritys suhteuttaa ISMS:n ja sen laajuuden omaan toimintansa kokoon ja vastaavasti kehittää ISMS:ää yrityksen kasvaessa, jotta se vastaa koko ajan liiketoiminnan tarpeita eikä ylläpitovelkaa pääse syntymään.
Tämä on kuitenkin kaksisuuntainen periaate. Se varmistaa, että kaikki tarvittavat hallintakeinot toteutetaan, mutta sen tarkoitus on myös välttää toteuttamasta turhia asioita. Tämä jälkimmäinen tavoite saattaa joskus unohtua, vaikka se on todella tärkeä, kun optimoidaan tietoturvatyötä.
Turvallisuudessa vallitsee joskus sellainen asenne, että turva on hyvä asia, turvatoiminto on sen takia aina hyvä juttu. Joskus tarvitaan kanttia väittää, että emme tarvitsekaan tätä suojakeinoa. Se on kuitenkin välttämätöntä, jos haluaa kohdistaa resurssit oikein, ja ISO 27001 -standardin ajattelutapa antaa siihen hyvät työkalut.
Riskilähtöinen toimintatapa – tunne ympäristösi
Miten tiedän mitkä suojakeinot ovat tärkeitä? Tässä suhteessa ISO 27001 on todella mainio standardi. Sen struktuuri noudattaa järjestelmällistä ajattelutapaa, jossa analysoidaan yrityksen ympäristö, sidosryhmät, prosessit ja riskit. Sen jälkeen on helppoa valita juuri ne oikeat, riskejä vähentävät hallintakeinot, ja perustella miksi satsataan niihin.
Suhteellisuusperiaatteen perusta on siis riskilähtöinen toimintatapa. Ilman riskien tuntemista, tulee resurssien kohdistamisesta arvailua, joten riskien selvittämiseksi on ymmärrettävä yrityksen liiketoiminnan edellytykset ja ympäristötekijät.
PDCA
Plan-Do-Check-Act. Suunnittele-toteuta-tarkista-toimi on toinen punainen lanka standardin ajatusmaailmassa. Tämäkin on kaksisuuntainen periaate. Sillä pyritään varmistamaan, että toteutetut suojakeinot ja prosessit toimivat käytännössä. Tämä voi tarkoittaa puuttuvien toimintojen tunnistamista ja toteuttamista, mutta yhtä hyvin turhien toimintojen poistamista.
Jälkimmäinen on tärkeä työkalu ylläpitovelan torjunnassa. Check-vaiheessa pitää etsiä toimintoja, jotka koetaan turhan raskaaksi ja sen takia helposti jäävät hoitamatta. Act pitäisi siis tässä tapauksessa tarkoittaa joko toiminnosta luopumista, jos se ei ole välttämätön, tai sen helpottamista niin, että se koetaan järkeväksi.
Agile & lean
Softakehityksestä tutuilla termeillä on käyttöä myös tietoturvan hallintajärjestelmien maailmassa. Ketterä toimintatapa voi tarkoittaa, että tunnistetaan muutama tärkeä riski ja viedään niiden vaatimat hallintakeinot maaliin ennen kuin pyritään täydelliseen riskirekisteriin.
Lean-kehitys on tavallaan kuin tietoturvan KonMari, jos joku ei tuota tietoturvaa, konmarita se! Heitä se pois, jätä toteuttamatta tai päätä, että sitä ehkä toteutetaan myöhemmin. Tässä pyöritään taas saman perusperiaatteen ympärillä, vahva fokusointi olennaiseen.
Tällainen agile- ja lean-ajattelu vaatii kuitenkin välillä itsekuria olennaiseen keskittymisessä. Tässä tilanteessa auttaa, jos ajattelee, että jokainen rivi prosessikuvauksessa on rasite, joka vaati resursseja tulevaisuudessa, jolloin dokumentit alkavat lyhentyä mukavasti!
Sertifiointi on alku, ei loppu
Sertifiointiprosessia kuvataan usein projektina. Puuteanalyysi, riskianalyysi, toimintojen implementointi, näytön kerääminen toimivasta hallintajärjestelmästä ja sisäinen auditointi. Lopuksi ulkoinen auditointi ja sertifiointi. Nämä ovat kaikki välttämättömiä vaiheita, mutta tämä on varsin rajallinen tapa hahmottaa hanketta.
Tietoturvan hallintajärjestelmä on kuin kone, joka tuottaa tietoturvaa. Kukaan ei rakenna sitä rakentamisen riemusta, sen elinkaareen tärkein vaihe alkaa, kun sertifikaatti on saatu ja tuotantokäyttö on alkanut. Itse sertifikaatti voi olla hyvin arvokas, mutta kaikista tärkeintä on koneen kyky varmistaa liiketoiminnan jatkuvuus.
Tämän asian mielessä pitäminen auttaa, kun pyritään rakentamaan hallintajärjestelmä, joka on mahdollisimman helppo ylläpitää. Suhteellisuusperiaatteen mukaan voidaan fokusoida tiukasti yrityksen todellisiin tarpeisiin ja kevennettykin ratkaisu on standardin mukainen, jos kotiläksyt on tehty kunnolla ja ratkaisut voidaan perustella auditoinnissa
Lopuksi…
Oman Siperian opetukseni ylläpitovelasta ja sen torjunnasta voisi siis kiteyttää muutaman pointtiin.
- Johdon sitouttaminen on elintärkeää. Se turvaa resurssit tietoturvan jatkuvaan ylläpitämiseen.
- Suhteellisuusperiaate muistuttaa, että tietoturvatyötä tehdään uhkakuvien torjumiseksi, ei byrokratian palvomiseksi.
- Riskilähtöinen toimintatapa kohdistaa rajalliset resurssit oikein.
- ISO 27001-standardin ytimessä oleva jatkuvan parantamisen periaate tulee valjastaa turhien toimintojen karsimiseen.
- Käytä agile- ja lean-ajattelua. Tunnista tärkeimmät riskit ja toteuta niiden hallintakeinot ennen kuin pyrit täydelliseen ISMS:ään.
- Tiedosta, että sertifiointi ei ole projekti vaan pysyvä toimintatapojen muutos.
Tällainen ajattelutapa auttaa luomaan ja ylläpitämään tietoturvan hallintajärjestelmää, joka on mahdollisimman kustannustehokas ja toimiva käytännössä. Punainen lanka tässä kirjoituksessa on tietenkin tarpeiden tunteminen ja fokusointi olennaiseen. Periaate, joka toistuu monessa kohdassa hieman eri näkökulmasta.
Nämä työkalut on lisätty työkalupakkiin omassa ympäristössämme ja asiakkailla. Teillä on ehkä samat työkalut pakissa jo, tai tyhjä kolo mihin jokin näistä sopisi.
Mikael Albrecht,
CISO, Senior Security Consultant, 2NS
2NS:n CISO Newsletter on sisältökonsepti, jossa CISO:mme kertoo siitä, millaisia asioita tulee tietoturvapäällikön pöydälle. Voit tilata CISO Newsletterimme suoraan sähköpostiisi tai käydä lukemassa blogistamme aina uusimman CISO Newsletterin. Julkaisemme uutiskirjeen noin kerran kuussa.