Tietoturva on sovellettua laatutyötä, ja laadukkaita prosesseja ei voi ylläpitää ilman dokumentaatiota. Tähän on siis panostettava, mutta miten varmistetaan dokumentaation toimivuus ja resurssien tehokas käyttö?
Edellinen CISO Newsletter käsitteli miten voi tunnistaa dokumentaatiotarpeet ja miten varmistetaan dokumentin toimivuus. Nyt laitetaan kädet saveen ja mietimme, miten nämä periaatteet jalkautetaan käytännössä.
Käytännössä toimivan dokumentin pitää olla olemassa, löydettävissä, ymmärrettävissä ja luotettava. Katsotaan siis mitä voimme tehdä käytännössä näiden vaatimusten täyttämiseksi.
Ovatko kaikki tarvittavat dokumentit olemassa?
Resurssit ovat aina rajalliset ja kaikkia tarvittavia dokumentteja ei voi luoda kerralla. Alkuun on siis varmistettava, että keskitytään ja priorisoidaan oikeat dokumentit. Edeltävästä CISO Newsletteristämme löydät lisätietoa tarpeellisen dokumentaation kriteereistä ja prioriteeteistä.
Toinen keskeinen periaate on sitoa dokumentaation luonti prosesseihin. Esim. hankinta-, kehitys- ja muutostenhallintaprosessit luovat lähes poikkeuksetta dokumentaatiotarpeita. ”Valmiin määritelmä”, useimmiten englanniksi ”definition of done”, on keskeinen työkalu, jolla varmistetaan, että dokumentaatio tehdään ennen kuin projekti loppuu ja resurssit katoavat muualle.
Löytyykö dokumentti, kun sitä tarvitaan?
Dokumentit on tallennettava johonkin sovittuun paikkaan. Yksi keskitetty dokumentaatiokokoelma voi olla epärealistinen, mutta mitä vähemmän järjestelmiä on, sitä parempi.
Kannattaa miettiä miten käyttäjät löytävät dokumentit. Selailemalla hierarkkista struktuuria vai hakusanoilla? Yleisesti voidaan sanoa, että struktuuri antaa hyvän yleiskuvan kokonaisuudesta, jonka avulla voidaan esimerkiksi tunnistaa puuttuvia dokumentteja ja päällekkäisyyksiä. Hakusana saattaa taas olla toimivampi käyttäjälle, joka tarvitsee tiettyä dokumenttia.
Tätä on joka tapauksessa mietittävä kokonaisuuden suunnittelussa. Lisäksi on varmistettava, että joko struktuuri tai hakusanat ovat laadukkaita, tai sekä että. Puhumattakaan siitä, että kohderyhmän pitää tietää mistä dokumentit on etsittävä ja heillä pitää olla tarvittavat pääsyoikeudet.
Merkki hyvin järjestetystä kokoelmasta on, että käyttäjä voi päätellä kohtalaisen nopeasti, että etsitty dokumentti ei ole olemassa. Se on vaikeata, aikaa vievää tai jopa mahdotonta sekavassa kokoelmassa.
Ymmärtääkö kohderyhmä dokumentit?
Tämä on haaste lähinnä tilanteissa, joissa tekninen henkilö tuottaa dokumentaatiota ei-teknisille käyttäjille. Selkeä kirjoittaminen ei ole luontevaa kaikille ja terminologia on sovellettava kohderyhmälle.
Tähän ei ole olemassa mitään muuta hopealuotia, paitsi luettavuuden painottaminen dokumentteja tuottaville ja tarkistus jonkun toisen toimesta. Tässä vaiheessa voisi myös mainita dokumentaatiokokonaisuuden kokonaisvastuun. Erillinen vastuuhenkilö voisi vuosikellon mukaisesti pitää silmällä kokonaisuuden kattavuutta ja laatua, mukaan lukien ymmärrettävyyttä. Tällainen omistajuus ja katselmusprosessi auttaa itse asiassa kaikkien vaatimusten kanssa.
Voiko dokumenttiin luottaa?
Tässäkin auttaa se sama valmiin määritelmä kuin yllä eli projekti tai muu muutos ei ole valmis ennen kuin dokumentaatio on päivitetty. On tärkeätä määritellä, että olipa vastuualue mikä tahansa, siihen liittyvä dokumentaatio on osa sitä vastuuta. On esimerkiksi luonnollista, että järjestelmän omistaja vastaa myös siihen liittyvistä ohjeista.
Dokumentin metatiedot ovat tärkeässä roolissa kokoelman laadun ylläpidossa. Viimeisen päivityksen päivämäärä auttaa arvioimaan voiko se olla voimassa. Puhumattakaan sen statuksesta; luonnos, voimassa vai arkistoitu. Näiden lisäksi pitää selvitä kenen vastuulla on, jos lukijalla on kysyttävää.
Muita käyttökelpoisia työkaluja ja ajatuksia
Päivitysoikeudet. Kenellä on oikeus lisätä, poistaa ja muuttaa dokumentteja kokoelmassa? Perinteinen tapa varmistaa kokoelman integriteetti ja luotettavuus on rajata kirjoitusoikeudet tiukasti. Se saattaa käytännössä pikemmin haitata dokumentaation luotettavuutta, koska muutoksia jää tekemättä, jos kynnys on korkea. Nykyaikaisempi tapa on antaa oikeudet laajemmalle joukolle, pitää ylläpidon kynnys matalana ja varmistaa integriteetti vahvalla versioinnilla.
Päällekkäisyys on myrkkyä! Älä kopioi tekstiä toisesta dokumentista vaan viittaa siihen linkityksellä. Ylläpito helpottuu, jos samaa asiaa ei tarvitse päivittää monessa paikassa.
Kuka? Pitääkö dokumenteissa mainita rooleja vai henkilöitä? Roolit saattavat muuttua, kun organisaatio kehittyy, mutta henkilönimet muuttuvat, kun roolin haltija vaihtuu. On vaikeata sanoa yleisesti kumpi aiheuttaa vähemmän ylläpitokuormaa.
Dynaamisesti muuttuvaa tietoa pitää aina saada suoraan siitä järjestelmästä missä sitä ylläpidetään, kuten esim. organisaation laitteet, tai henkilöt, joilla on pääsyoikeus tiettyyn toimintoon. Staattisessa dokumentissa voi lukea esim. periaatteita oikeuksien myöntämisestä ja miten muuttuvaa tietoa haetaan, mutta dynaamista tietoa ei kopioida staattiseen dokumenttiin.
Yhtenäinen sanasto. Kokonaisuuden selkeys paranee, jos käytetään yhtenäistä sanastoa ja selitetään termien merkitys tarvittaessa. Kannattaa luoda sanasto varhaisessa vaiheessa ja edellyttää, että kaikki dokumentaatiota tuottavat noudattavat sitä. Tarvittaessa voi myös määritellä omia termejä eri dokumenteissa, mutta yleiset kuuluvat yhteiseen sanastodokumenttiin.
Projekti vai prosessi? On tärkeätä tiedostaa, että dokumentaatio ei ole projekti, se on jatkuva prosessi. Maturiteetin nostaminen tarvittavalle tasolle voi olla projektin kaltainen tempaus, mutta yläpito on integroitava jatkuviin prosesseihin. Muuten kokonaisuus lahoaa ja menettää arvonsa.
Lopuksi voisi vielä toistaa kaksi tärkeätä periaatetta. Miten syödään elefantti? No pala kerrallaan tietenkin! Ei kannata tukehduttaa itseänsä yrittämällä nostaa dokumentaation maturiteettitasoa hyväksi kertaheitolla. Pitkäjänteinen työ, dokkari kerrallaan, vie loppujen lopuksi maaliin.
Sanonta ”täydellinen on hyvän vihollinen” juontaa juurensa kauas taakse ajassa, jopa Voltaireen ja vielä vanhempaan filosofiaan. Mutta se on silti erittäin ajankohtainen tietoturvassa ja sen dokumentaatiossa. Muista, että osittainen dokumentaatio on huonompi kuin täydellinen, mutta parempi kuin ei mitään.
Mikael Albrecht,
Senior Security Consultant, 2NS