Tämän päivän tietoturvauhat vs. CISO

Pimeät markkinat ja kyberturvallisuushaavoittuvuudet ovat tarjonneet rikollisille sekä heitä tukeville järjestöille työkalut ja verkoston ansaita rahaa ja haavoittaa yksittäisten palveluntarjoajien sekä kuntapuolen toimijoita. Helposti saatavilla olevat työkalut anonyymiin Internetin selailuun ja salaustyökalut yhdistettynä pimeän verkon tarjoamiin vaihtoehtoihin vaikeuttavat viranomaisten mahdollisuuksia saada rikollisia toimijoita kiinni.

Viime aikoina on maailmalla uutisissa näkynyt vakavia tietovuotoja, liiketoiminnan keskeytymisiä, maksuvarkauksia, identiteetin kaappauksia sekä käyttökatkoksia julkisen sektorin palveluissa. Suurien organisaatioiden on vaikea hallita moniosaista ICT-infrastruktuuriaan, sillä nämä koostuvat useilta toimittajilta hankituista palveluista ja kokonaisuuksista. Haasteena onkin; miten kaikki toimittajilta hankitut palvelut saadaan vastaamaan organisaation tietoturvatason vaatimuksia.

Kuinka organisaatioissa suojaudutaan nykyään?

Organisaatiot suojatuvat tämän päivän uhkia vastaan hyvin sinisilmäisesti. Useassa yrityksessä ylimmällä johdolla ei ole tietoa organisaation tietoturvan tasosta; tietoturva on aihe, joka ei johtoa aina kiinnosta. Suurin haaste yleensä on ymmärtää, mikä on tarvittava budjetti tietoturvallisuuden kehittämiseen. Budjetin tulisi kattaa tekniset ja hallinnolliset komponentit.

Harmiksemme joudumme todeta, että tänä päivänä useassa organisaatiossa, tietoturvan kokonaisvastuu on annettu CISOlle (Chief Information Security Officer) eli tietoturvapäällikölle tai yhdelle nimetylle henkilölle. Vaikka henkilöllä saattaa olla oma tiimi ja organisaation työntekijät tukena, niin todellisuudessa hänellä ei ole budjettia eikä vaikutusvaltaa hankkia tarvittavaa teknologiaa tai toteuttaa tietoturvakulttuuriin vaadittavia muutoksia. Tämä usein tarkoittaa toimintatapojen muuttamista, joka aiheuttaa useimmissa organisaatioissa vastarintaa.

Useimmiten tietoturvapäällikköä ei osallisteta liiketoiminnan suunnitteluun hankinnoissa, jotka kytkeytyvät tietoturvan ylläpitämiseen. Tietoturvabudjettia ei ole suhteutettu liiketoiminnan kriittisyyteen eikä siinä ole myöskään huomioitu varautumista mahdollisiin äkillisiin lisäinvestointeihin, joita esiintyy esimerkiksi lunnasohjelman iskiessä.

Tietoturvapäälliköitä on jopa pyydetty hyväksymään projekteja, jotka ovat jo puoliksi tuotannossa. Näissä tilanteissa hyväksyjä ei ole osallistunut suunnitteluun lainkaan, eikä ole päässyt vaikuttamaan tarvittaviin tietoturvavaatimusmäärittelyihin. Kyseisissä tapauksissa organisaatioilla on ollut hiljaisena ajatuksena laittaa joku henkilö vastuuseen tilanteesta, jossa asiakasjärjestelmän tiedot sattuisivat vuotamaan Internetiin.  

Mitä organisaatioiden tulisi huomioida?

Millainen henkilö sitten soveltuu tietoturvapäälliköksi ja millainen hänen roolinsa on organisaation liiketoiminnassa? Tietoturvapäällikkö on ensisijaisesti asiantuntija, jolla on käsitys tämän päivän kyberuhkista ja niistä koituvista riskeistä liiketoiminnalle. Hänen tulisi olla osallisena liiketoiminnan suunnittelussa, jotta hän voisi jo alkumetreillä tuoda esille näkökulmansa sekä tärkeät erityishuomiota vaativat tietoturvaseikat. Mikäli nämä seikat jätetään huomiotta tai kokonaan laiminlyödään, on niiden toteuttaminen jälkikäteen huomattavasti kalliimpaa ja monimutkaisempaa. Hankkeissa tulisi huomioida tietoturvavaatimusmäärittely ja tarvittavat tietoturvatestaukset, auditoinnit ja dokumentaatio. Tämä ei kuitenkaan poissulje mahdollisuutta käyttää ketteriä menetelmiä. Alan asiantuntijan osallistaminen organisaation liiketoiminnan kehitykseen ja sen suunnitteluun luo tarvittavan alustan tietoturvan tehokkaaseen edistämiseen organisaatiossa ja oikeassa järjestyksessä toteutettuna se on moninkertaisesti kustannustehokkaampaa.

On tärkeää mitata organisaation tietoturvatasoa ja kyvykkyyttä suojautua hyökkäyksiltä. Näin pystymme tarkastelemaan jokaiselta osa-alueelta keskeisimmät kehityskohteet. Tilanne on usein se, että kun kartoitamme tietoturvatason, nousee esille mittaava määrä kehityskohteita. Jokaisen organisaation pitäisi pystyä myös tunnistamaan liiketoiminnalle elintärkeät toiminnot ja niiden alla oleva data, jotta esille nousseet tietoturvan osa-alueet voi aikatauluttaa tärkeysjärjestyksessä.

Teknisillä kartoituksilla mahdollistetaan tietototurvahaavoittuvuuksien löytyminen ja tämän kautta on helpompi määritellä ja budjetoida tarvittavat tekniset suojausmekanismit. Hallinnollisen ja teknisen kartoituksen yhdistelmällä saadaan järkevä kokonaiskatsaus organisaation tietoturvan tasosta. Sen perusteella organisaatio pystyy investoimaan sille järkeviin kohteisiin, tietoturvaheikkoudet pystytään havaita sekä epätietoisuus muuttuu ymmärrykseksi ja haluksi kehittää asioita turvallisemmin. Loppujen lopuksi kukaan ei halua olla töissä tai johtamassa organisaatiota, joka juuri uutisoitiin vuotaneen kaikki asiakastietonsa.