Tietoturvaan investointi ei usein ole yrityksen suurin intressi. Yleensä business case löytyy helpommin silloin, kun nähdään tapahtuneen tietomurron kustannukset, ja verrataan niitä tappioita tietoturvakehittämisen kustannuksia vastaan.
Parempaa tietoturvaa viitekehysten kautta
Tämä blogikirjoitus on ensimmäinen osa neliosaista blogisarjaa, jonka tarkoitus on esitellä mahdollisia viitekehyksiä yrityksen tietoturvallisuuden kehitykselle. Viitekehykset toimivat kaikissa ympäristöissä yrityksen omissa tiloissa ylläpidettävistä palveluista (on-premise) pilvipalveluihin.
Tietoverkkorikollisuuden ja tietomurtojen luonne on muuttunut sekä teollisemmaksi että ammattimaisemmaksi ja uhkatoimijoita on monenlaisia (esim. haktivistit, valtiolliset toimijat ja ammattirikolliset). Uhkakentän muuttuessa myös yritysten tietoturvatekemisen kehittäminen vaatii ammattimaisuutta ja hyvien käytäntöjen systemaattista implementointia.
Tietoturva-alan aksiooma on se, että on vain kahdenlaisia yrityksiä: niitä, jotka on murrettu ja niitä, joita ei vielä ole murrettu. Jos yritykseen itseensä ei (vielä) ole kohdistunut tietomurtoa, julkisuudessa on viime vuosina ollut lukuisia esimerkkejä pilviin nousseista kuluista yritystoiminnan halvaantuessa, tietojen vuotaessa tai maineen mennessä.
Näiden tietoturvallisuusinvestointien panos-tuotos-mallien arvioinnin jälkeen olennaiseksi kysymykseksi nousee: Mitä valmiita viitekehyksiä yritysten tietoturvan kehittämiseen on saatavilla? Tähän kysymykseen esitän blogisarjan muissa osissa oman näkemykseni, joka perustuu kokemukseeni tietoturva-asiantuntijana. Nostan syvempään tarkasteluun ISO27001-standardin, CIS Controlsin ja NIST Cybersecurity Frameworkin.
Tämän blogin loppuosasta löytyvät myös Turvallisuuskomitean määrittelyt tietoturvalle ja kyberturvallisuudelle. Nämä termit linkittyvät toisiinsa ja niiden tulkinta on hyvinkin kirjavaa. Tämä voi johtaa väärinkäsityksiin, ja koitan välttää epäselvyydet ainakin tässä blogisarjassa.
Alla tiivistelmät blogisarjan viitekehyksistä.
ISO27001
ISO27000-standardiperheestä esittelen blogisarjan toisessa osassa ISO/IEC 27001 -standardin hyötyjä sekä heikkouksia. IOS/IEC 27001 on tietoturvan hallinnan ISO-standardi, joka asettaa vaatimukset yrityksen tietoturvallisuuden hallintajärjestelmälle (TTHJ, eng. Information Security Management System, ISMS). Tähän kokonaisuuteen liittyvät useat ISO/IEC 27000 -sarjan standardit, mutta "päästandardi" on tämä, jota vasten esimerkiksi sertifiointi on mahdollista. Pohjimmiltaan TTHJ on yrityksen yksi laatujärjestelmistä, jolla ohjataan tietoturvatekemistä yrityksessä.
Jos sertifioituminen ei ole ajankohtaista tai muuten halutaan lähteä mahdollisesti hieman kevyemmin liikenteeseen, voi yrityksen tietoturvan kehittämistä lähteä rakentamaan erilaisten viitekehysten kautta. Kuten ISO-standardikin, eri viitekehykset tarjoavat lähtökohdan, jonka avulla varsinaista tietoturvatekemistä päästään räätälöimään yrityskohtaisesti.
Center for Internet Security Controls (CIS Controls)
Blogisarjan kolmannen osan viitekehystä, CIS Controlsia, kutsuttiin alun perin nimellä SANS Critical Security Controls, jolla nimellä se voi olla osalle lukijoista tuttu. SANS-instituutti, jonka nimi on muodostettu sanoista SysAdmin, Audit, Network and Security, on yhdysvaltalainen vuonna 1989 perustettu tietoturva-koulutusorganisaatio, jonka missiona on mahdollistaa tietoturva-ammattilaisille tarvittavien työkalujen, koulutuksen ja henkilökohtaisten sertifikaattien (GIAC-sertifioinnit) saatavuus.
CIS (Center for Internet Security) perustettiin vuonna 2000 ja vastaa nykyisin CIS Controlsin kehityksestä. Perustamisessa oli SANS:n lisäksi ISACA, IIA, ISC2 ja AICPA, jotka edustavat aika laajasti yksityisen ja julkisen sektorin tietoturvaosaamista erityisesti USA:ssa, mutta myös globaalisti. Esimerkiksi meillä Netumilla on paljon ISACA- ja ISC2 -sertifioituja asiantuntijoita.
CIS Controls sisältää kolme luokitusta (Implementation Groups) joista IG1 on "perustietoturvataso," johon kaikkien yritysten tulisi pyrkiä. IG2 sekä IG3 syventävät vaatimustasoa. CIS controls toimii jokaisessa yrityksessä hyvänä muistilistana tietoturvan vähimmäistasosta.
Yrityksen tietoturvallisuuden kehittämiseen hallinnollisemmalta tasolta ja ISO27001-standardille vaihtoehtoinen viitekehys on Yhdysvaltojen standardisoimisvirasto NIST:n (National Institute of Standards and Technology) kyberturvallisuuden viitekehys NIST Cybersecurity Framework.
NIST Cybersecurity Framework
Standardisoimisvirastona NIST ei vastaa varsinaisesti asetuksista tai regulaatiosta. Sen toiminnan fokus on erityisesti teknologiasektorin innovaatioiden edistämisessä USA:ssa.
Blogisarjan kolmannen osan Cybersecurity Framework on riskipohjainen erityisesti USA:n kriittiselle infrastruktuurisektorille suunnattu viitekehys, joka koostuu kolmesta osa-alueesta:
- Ydin (Framework core) - Identify, protect, detect, respond, recover
- Implementaatiotasot (Framework implementation tiers) - Partial, Risk informed, Repeatable, Adaptive
- Profiilit (Framework profiles) - "Current" profile vs "Target" profile
Tietoturvan viitekehysten käytöstä
Sarjan kolmessa muussa osassa päästään syvemmälle jokaisen viitekehyksen hyötyihin ja heikkouksiin. Joka tapauksessa tietoturvan kehittäminen vaatii paljon aikaa. Erityisesti yrityskulttuurin muutos on olennaisessa osassa kehittymistä. Todennäköisesti lopulta useasta eri viitekehyksestä on syytä ottaa erilaisia aspekteja osaksi yrityksen omaa tekemistä, vaikka yksi viitekehys valikoituisikin pääasialliseksi.
Hyviä viitekehyksiä yhdistävät sellaiset asiat kuin asset-keskeisyys ja siihen sitoutuva riskienhallinta. Tämä voi sisältää teknisellä tasolla esim. haavoittuvuudenhallinnan. Assetilla tarkoitan tässä tieto-omaisuutta, kuten palvelimia, työasemia tai digitaalisia järjestelmiä.
Olisi hyvä, jos viitekehys joko sisältäisi tai mahdollistaisi mitattavuuden, monitoroinnin ja jatkuvan kehittämisen. Mittaamisessa on omat haasteensa. Usein sanotaan, että mittaamalla saa juuri sitä mitä mittaa. Ja toisaalta on mahdollista, että sitä mitä ei voida tai osata mitata, menetetään. Onnistuneen tietoturvatekemisen edellytyksenä on myös tuntemattomien tekijöiden huomioiminen. Mittaamisella voidaan kuitenkin seurata jatkuvaa kehittämistä. Esim. montako kriittistä haavoittuvuutta on löydetty, montako niistä on korjattu, missä ajassa.
Jos organisaatiossa tehdään sovelluskehitystä, tietoturvallisen sovelluskehittämisen periaatteet tulisi olla olennaisessa osassa tietoturvan kehitystä. Samoin tietosuojanäkökulmien tulisi tulla systemaattisesti huomioiduksi yrityksen toiminnassa jo tietosuojalainsäädäntöönkin perustuen.
Määrittelyt tietoturvalle ja kyberturvallisuudelle
Tietoturvasta puhuttaessa tarkoitetaan järjestelyjä, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus. Täten tietoturvaan kuuluu muun muassa tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen ja toiminnan turvaaminen.
Kyberturvallisuus määritellään tavoitetilana, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan. Kybertoimintaympäristö koostuu yhdestä tai useammasta tietojärjestelmästä, jotka nähdään yhteiskunnassa kriittisinä. Esimerkiksi elintarvikkeiden kuljetus- ja logistiikkajärjestelmät sekä pankki- ja maksujärjestelmät.
Kybertoimintaympäristön häiriöt aiheutuvat usein toteutuneista tietoturvauhista, joten tietoturva on keskeinen osa kyberturvallisuutta. Tietoturvan varmistamisen lisäksi kyberturvallisuuden varmistamisessa tarkoituksena on turvata häiriytyneestä kybertoimintaympäristöstä riippuvaiset fyysisen maailman osa-alueet.
”Siinä missä tietoturvalla tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta, kyberturvallisuus tarkoittaa digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin.”
Lähde: https://turvallisuuskomitea.fi/wp-content/uploads/2018/06/Kyberturvallisuuden-sanasto.pdf
Kerromme mielellämme lisää kyberturvallisuuden eri viitekehysvaihtoehdoista, jos mieleesi nousee kysymyksiä aiheeseen liittyen. Saat meihin helpoiten yhteyttä osoitteen myynti[at]netum.fi kautta!