Tietoturvakartoitus, gap-analyysi, vastaavuusanalyysi, nykytila-analyysi, puuteanalyysi. Rakkaalla lapsella on monta nimeä. Tutustutaan tässä blogissa hieman syvemmin aiheeseen. Katsotaan mitä hyötyä tietoturvakartoituksesta on ja miksi sellainen kannattaa tilata ulkopuoliselta konsultilta.
Tietoturvan nykytilakartoituksessa katselmoidaan asiakkaan nykytila seuraavien asioiden osalta:
- Tietoturvallisuuden hallinta
- Organisoituminen
- Politiikkojen ja hallintakeinojen nykytila
Tietoturvan nykytilakartoitus tapahtuu tyypillisesti dokumentaation katselmointina sekä työpajamuotoisesti asiakkaan asiantuntijoiden haastatteluina. Nimensä mukaisesti tarkoituksena on selvittää asiakkaan tietoturvan sen hetkinen tila. Yleensä kartoituksessa toteutetaan vertailu johonkin tunnettuun tietoturvastandardiin tai muuhun viitekehykseen. Jos vertailun kohteena olevaa viitekehystä ei ole valittu, niin arvio tilasta ja toimenpidesuositukset tehdään alan parhaiden käytäntöjen perusteella. Tietoturvakartoitus, jota kutsutaan myös nykytilakartoitukseksi, pyrkii vastaamaan kysymykseen, mitkä ovat tietoturvan keskeisimmät heikkoudet ja parannuskohteet, sekä tuottamaan parannusehdotuksia, joilla tietoturvan tilaa voidaan kehittää.
Jos vertailtava viitekehys on valittu, niin puhutaan vastaavuusanalyysistä tai puuteanalyysistä. Tällöin nykytilakartoituksen tuloksia peilataan valitun viitekehyksen vaatimuksia vasten. Lopputuloksena on selkeä raportti, josta nähdään miten asiakkaan tietoturva täyttää valitun viitekehyksen vaatimukset. Vastaavuusanalyysi kannattaa tehdä tilanteessa, jossa tietoturvan eteen on jo tehty töitä ja tietoturvan hallintarakenteita on olemassa, mutta on epäselvää, miten ne täyttävät valitun viitekehyksen, kuten esimerkiksi ISO 27001 standardin, vaatimukset. Muita vertailtavia viitekehyksiä voivat olla esimerkiksi Vahti-ohjeet, Katakri ja NIST Cyber Security Framework.
Metodologia
2NS:n käyttämä nykytilakartoituksen metodologia perustuu tietoturvan vuosien kokemuksen tuottamiin havaintoihin. Kokemuksemme ansiosta olemme pystyneet rakentamaan erilaisiin organisaatioympäristöihin sopivan metodologian hallintajärjestelmän suunnitteluun ja implementointiin. Konsulteillamme on myös hyvin laaja-alainen kokemus tietoturvan hallintajärjestelmistä, joka tuo asiakkaalle etua, koska asioita kyetään tarkastelemaan eri näkökulmista.
Kuva 1. Nykytilakartoituksen metodologia ja vaiheistus
Asiakkaan tietoturvan tilan arviointi perustuu kuusiportaiseen kypsyysmalliin, jolla saadaan todenmukaisempi arvio tietoturvan tilasta mustavalkoisen “kyllä/ei” arvioinnin sijaan. Alla olevasta kuvasta näkyy, kuinka kuusiportainen kypsyysmalli rakentuu ja millaisilla perusteilla nykytilaa arvioidaan.
Kuva 2. Kypsyysmallin tasot
Kypsyysmallin käyttäminen mahdollistaa nykytilan katselmoinnin tulosten selkeän visuaalisen esittämisen, jolloin kokonaisuudesta saadaan parempi näkemys ja mahdollisten puutteiden suhteellinen poikkeavuus tavoitetilasta selville. Raporttimuoto mahdollistaa tulosten esittämisen ymmärrettävästi ylimmälle johdolle ja muille sidosryhmille.
Kuva 3. Nykytilakartoituksen raportin visuaalinen esitystapa
Nykytilakartoituksen loppuraportti sisältää edellä mainitun visuaalisen esityksen lisäksi myös detaljitason havainnot per viitekehyksen vaatimukset ja suositukset tietoturvan jatkokehittämiseksi. Tämä mahdollistaa asiakkaalle implementointiprojektin nopean liikkeelle lähdön, kun seuraavat askeleet ovat selvillä. Visuaalinen esitys myös helpottaa hahmottamaan tarvittavien toimenpiteiden sekä hallintajärjestelmän rakentamista, sillä kyseessä on laaja kokonaisuus, joka koostuu monista eri elementeistä. Erityisesti tilanteissa, joissa raporttia on esiteltävä esimerkiksi yrityksen johdolle tai muille tietoturvan ulkopuolisille tahoille, tuo visuaalinen esitystapa hyötyä kokonaisuuden ymmärtämisessä, sillä tietoturvakartoitus saattaa olla monimutkainen kokonaisuus ulkopuoliselle.
Kuva 4. Ylätason roadmap-ehdotus tavoitetason saavuttamiseksi
Tietoturvan jatkokehityksen runkona käytetään esimerkiksi ISO 27001 standardin vaatimusten mukaisen tietoturvanhallintajärjestelmän implementointiin tarkoitettua metodologiaa. Selkeän ja jäsennellyn raportin perusteella on helppo esittää liiketoimintajohdolle tietoturvassa havaitut puutteet ja parannustoimenpiteet, sekä lisätä organisaation ymmärrystä tietoturvasta ja sen hallinnasta.
Kuva 5. 2NS metodologiarunko ISO 27001 mukaisen tietoturvan hallintajärjestelmän implementoinniksi
Nykytilakartoitus ja puuteanalyysi antaa asiakkaalle objektiivisen kuvan tietoturvan nykytilasta, sekä mahdollistaa nopean kehittämisen aloittamisen raportin tukemana. Ostamalla puuteanalyysin meiltä varmistat objektiivisuuden, sekä asiantuntijuuden, jolloin saat varmasti omaan tilanteeseesi sopivat kehitysehdotukset. 2NS:n asiantuntijoiden useiden vuosien kokemus on tuonut laaja-alaista osaamista eri toimialoista, sekä kykyä peilata asiakkaan yksilöllisiä tarpeita erilaisiin tietoturvan ratkaisuihin.
Marko Mantere
Marko työskentelee 2NS:llä tietoturvakonsulttina. Hänellä on laaja kokemus tietoturvan hallintajärjestelmien rakentamisesta.