Työpaikkahaastattelussa 2NS:lle kysyttiin mikä tietoturvan hallintajärjestelmä on. Kysymys voi tuntua helpolta, mutta ISO 27001-standardikaan ei anna yksiselitteistä ja kattavaa vastausta tähän. Moni mieltää hallintajärjestelmän byrokratiaksi ja pakolliseksi dokumenttipinoksi. Todellisuudessa se on paljon laajempi käsite, johon kuuluu organisaatiokulttuuri sekä kokoelma menetelmiä ja toimintatapoja, joilla tietoturvaa ylläpidetään ja kehitetään.
Vastaukseni oli ilmeisesti kelvollinen, koska täällä ollaan. Mutta keskitytään nyt hetkeksi siihen dokumenttipinoon, koska sitä ei kannata vähätellä. Se on tärkeä perusta monelle asialle. Tietoturvatyö on oikeastaan sovellettua laatutyötä, ohjataan toimintoja turvalliseen suuntaan ja vältetään poikkeamia. Laadun ytimessä on dokumentaatio, joten se ansaitsee oman kirjoituksen, tai itse asiassa kaksi, koska aihepiiri on hyvin laaja.
Miksi kirjoittaa dokumentteja?
Vastaus tietoturva-kontekstissa voisi tietenkin olla, että ISO 27001-standardi vaatii tiettyjä dokumentteja. Mutta standardi pakottaa myös selvittämään mitä muuta dokumentaatiota tarvitaan. Vastakkaisessa vaakakupissa on myös halu pitää järjestelmä kompaktina ja helposti ylläpidettävänä. Jokainen dokumentti pitää siis olla harkittu ja tarpeellinen.
Voisiko siis jotenkin luoda kriteerit tarvittavalle dokumentaatiolle?
Yritetään lähestyä tätä miettimällä missä tilanteissa tarvitaan dokumentti.
Pakottava sääntö tai toimintatapa
Kirjoittamattomiin sääntöihin ei ole luottamista tietoturvassa. Jos sana pakko esiintyy keskusteluissa, säännöstä kannattaa alkaa kirjoittaa saman tien.
Tarve yhtenäistää toimintoja
Mitä isompi organisaatio, sitä todennäköisempää on, että useat henkilöt suorittavat samoja toimenpiteitä. Näiden tehtävien yhtenäistäminen on vaikea saavuttaa ilman dokumentoituja menettelytapoja.
Poikkeamasta suuri riski
Toimenpiteet, jotka on tehtävä oikein, jotta vältetään mittavat vahingot. Dokumentaatio ja koulutus ovat tärkeitä tapoja varmistaa näitä toimintoja.
Harvoin tarvittu toimenpide
Ihminen unohtaa ja monesti kuluu aikaa, kun selvitetään kuinka jokin asia tehdään, vaikka sama asia olisi tehty aiemmin. Tässä tapauksessa dokumentaatio varmistaa laatua ja säästää työaikaa.
Varmistamaan osaamisen saatavuus
Pienen organisaation ongelma on usein, että on vain yksi henkilö, joka osaa. Mitä tapahtuu, jos hän jää ratikan alle? Tässä tapauksessa on huomattavasti halvempaa vaatia dokumentaatiota, kuin palkata lisää väkeä.
Näyttö toimenpiteistä ja prosesseista
Lokit, pöytäkirjat ja muu jatkuvasti syntyvä data ovat omaa luokkaansa. Tärkeimmät prosessit kannattaa valvoa seuraamalla tällaista näyttöä, varsinkin jos prosessi on sellainen, että virhe ei ole ilmiselvä heti.
Onko meillä dokumentteja, jotka eivät täytä yhtään näistä kriteereistä? Ovatko ne todella tarpeellisia? Onko meillä kriteerejä täyttäviä toimintoja, jotka eivät ole dokumentoituja? Pitäisikö laittaa ToDo-listalle?
Mutta toimiiko dokumentti?
Joskus nähdään sääntödokumentteja, jotka on piilotettu syvälle intranetin syöveriin, ja loppukäyttäjät ovat autuaan tietämättömiä niistä. On sanomattakin selvää, että tällainen sääntö ei toimi. Mutta mitä vaaditaan sitten toimivalta dokumentilta?
Todellinen arvo = Relevanssi * Saatavuus * Selkeys * Luotettavuus
Ei kannata kaivaa laskimia esiin nyt. En tarkoita, että jokaista dokumenttia on pisteytettävä tällä kaavalla, vaan jatketaan selittämällä parametrien merkitykset, niin kaavan idea paljastuu kohta.
Relevanssi
Dokumentin on tarjottava oikeata tietoa, jota kohderyhmä tarvitsee. Se on kaiken A ja O, muuten dokumentilla ei ole arvoa. Tätä voisi myös kutsua dokumentin potentiaaliseksi arvoksi.
Saatavuus
Piilossa oleva dokumentti ei auta ketään. Dokumentti pitää olla löydettävissä kohtuullisella vaivalla ja kohtuullisessa ajassa silloin kun sitä tarvitaan.
Selkeys
Dokumentti on hyödytön, jos sen kohderyhmä ei ymmärrä sitä. Kannattaa aina pitää kohderyhmä mielessä ja miettiä mitä perustietoa heillä on ja millaista kieltä he ymmärtävät.
Luotettavuus
Mutta voiko siihen sitten luottaa? Onko tämä todella viimeisin voimassa oleva versio dokumentista?
Kaavan tärkein merkki on parametrien välissä oleva kertolaskuoperaattori. Sen ansiosta lopputulos on nolla, jos yksikin tekijä on nolla. Liian vaikeaselkoisen dokumentin todellinen arvo kohderyhmälle on nolla, vaikka se olisi kuinka relevantti, saatavissa oleva ja luotettava. Tämä kannattaa aina muistaa, koska pelkkä kirjoittaminen ei vielä riitä. Se on hukkaan heitettyä työtä, ellei varmisteta, että muut tekijät ovat lähempänä yhtä kuin nollaa.
Tässä kirjoituksessa mietittiin, miksi me dokumentoimme, joka helpottaa valitsemaan mitä me dokumentoimme. Dokumentti on kuitenkin turha, ellei se täytä toimivan dokumentin kriteerejä. Mutta millaisia työkaluja on olemassa auttamaan kriteerien täytössä? Se on sen verran laaja kokonaisuus, että palataan siihen seuraavassa CISO Newsletterissa.
Mikael Albrecht,
Senior Security Consultant, 2NS