Tietoturvan pyhää kolmijakomantraa – tietojen luottamuksellisuutta, eheyttä ja saatavuutta (engl. confidentiality, integrity and availability) – on toisteltu alan seminaareissa ja powerpointeissa kulumiseen saakka, joten en tällä kertaa mainitse siitä sen enempää.
En kuitenkaan tarkoita, että olisin tästä asiasta eri mieltä tai että tämä mantra ei pitäisi paikkaansa, koska näiden perusasioiden suojaamiseen tietoturva tähtää. Haluan tässä kirjoituksessa keskittyä nimenomaan käytännön esimerkein valaisemaan, mitä tietoturvallisuus yrityksissä tarkoittaa. Oikaisen samalla myös pari väärinkäsitystä siitä, mitä se ei tarkoita.
Yritysjohdon sitoutumista
Tietoturvallisuuden kehittämiseen ja ylläpitoon on käytettävä jonkin verran rahaa, aikaa ja muitakin kuin teknisiä resursseja. Ymmärrys siitä, että lyhyin ja nopein reitti maaliin ei ole välttämättä aina yrityksen edun mukainen tie, auttaa suhtautumaan kustannuksiin oikealla tavalla. Myöskään suojattavan tiedon arvoa enempää pääomaa ei missään nimessä kannata upottaa suojaustoimiin.
Kun esimerkiksi tietoturvan poikkeustapahtumien juurisyiden tutkinta mahdollistetaan hyväksymällä se, että jossain kohtaa voi tulla pieniä viiveitä kehitystyöhön, saadaan aikaan positiivinen ilmiö, jossa toistuvat ongelmat eivät aiheuta vastaavasti toistuvia kustannuksia. Itse asiassa ongelmasta päästään eroon ja pidemmän päälle toiminta nopeutuu.
Itse hyväksymiensä tietoturvahjeiden mukaan toimiva yritysjohto näyttää myös arvostettua ja tehokasta esimerkkiä muille.
Jatkuvaa parantamista ja ennakointia
Tietoturvaa voi ja kannattaa mitata. On olemassa erinomainen valikoima sekä laadullisia että määrällisiä mittareita, joihin voi pienellä vaivalla kerätä dataa olemassa olevista järjestelmistä ja päivittäisistä, operatiivisista tapahtumista. Mittareita oikein käyttäen voidaan esimerkiksi todentaa tietyn tietoturvakontrollin todellinen toimivuus ja sopivuus rooliinsa.
Ennakointi on hallittua varautumista yritykselle todennäköisiin riskeihin ja uhkiin. Hyviä työkaluja tähän ovat esim. riskiarviointi ja uhkamallinnus. Mikäli yrityksen toimintaan liittyy ohjelmistotuotekehitystä, määritellään ja suunnitellaan mitä tietoturvaan liittyviä asioita on syytä huomioida ennen kehitysprojektin aloitusta, sen aikana ja projektin päättyessä. Näin vältytään tilanteelta, jossa tietoturva pitäisi rakentaa ohjelmaan tai palveluun jälkikäteen. Se on paitsi kallista, usein myös vaikeasti mitattavaa ja tehotonta.
Varautumista ja palautumista
Ennemmin tai myöhemmin asiat menevät pieleen. Kyseessä ei kuitenkaan tarvitse olla äärimmäinen ja lopullinen katastrofitilanne, vaan asia johon on varauduttu. Tähän liittyy joukko käytännön toimenpiteitä, joita on tarpeen suorittaa lisävahinkojen estämiseksi, haitan aiheuttajan poistamiseksi ja toiminnan jatkumisen turvaamiseksi.
Kun tilanne on ohi ja päästään takaisin normaaliin työtahtiin, suodaan hetki sille että käydään tapahtunut läpi ja mietitään, onko tehtävissä jotain että tämä ei tapahtuisi uudelleen tai aiheuttaisi samanlaista vahinkoa.
Olennainen tietoturvatyön tehtävä on huolehtia tietojen asianmukaisesta salauksesta sen elinkaaren ja käsittelyn kaikissa vaiheissa. Nykyaikaisilla menetelmillä ja algoritmeilla toteutettu salaus on tehokas suoja silloinkin, jos luottamuksellista tietoa vuotaa yrityksen ulkopuolelle eivätkä muut kontrollit enää tietoja silloin suojele.
Vastuutusta ja henkilökunnan osallistamista
Johdon tehtävänä on vastuuttaa tietoturva yrityksessä asianmukaisesti. Täydellisesti vastuuta ei kuitenkaan voi siirtää tai ulkoistaa paitsi tietyissä erityistilanteissa, kuten isoissa kokonaisulkoistuksissa. Koko henkilöstölle on hyvä kertoa tietoturvan perusasiat kattavasti heidän työroolistaan riippumatta. Tämän lisäksi, jos työtehtäviin liittyy tiettyjen teknologioiden, määräysten tai erityisvaatimuksia esittäneiden asiakkaiden kanssa työskentelyä, on henkilöt perehdytettävä syvemmin näihin liittyviin tietoturvan erityispiirteisiin ja yksityiskohtiin.
Henkilöstöä on myös hyvä kannustaa raportoimaan tietyistä, heistä itsestään ehkä jopa merkityksettömiltäkin tuntuvista asioista, joilla on kuitenkin tietoturvan kokonaiskuvan muodostamisen kannalta olennaisen tärkeä rooli. Pyydetty vaiva on pieni – varsinkin jos raportointi tehdään helpoksi ja vaivattomaksi – mutta hyödyt voivat olla hyvinkin merkittäviä.
Pelkästään ulkopuolisen tekijän aiheuttama uhka tai tuho
Tietoturvauhka voi tulla ulkoa tai sisältä. Se voi olla hyväntahtoisen koodarin tekemä virhe, yritykseen kohdennettu kyberhyökkäys tai ansaan houkutellun työntekijän suorittama kohtalokas linkin klikkaus. Edistynyttä ajattelumaailmaa edustaa suhtautuminen tähän asiaan niin, että tietomurto on jo jollain tasolla tapahtunut (esim. liikennettä kuunnellaan tai käyttäjätunnuksia on väärissä käsissä) ja tietoturvatyön fokus pidetään ensisijaisesti uhkien havainnoinnissa, tilannekuvan ylläpidossa ja vahinkojen minimoinnissa. Kehäsuojaus on edelleen tänäkin päivänä tarpeellista; olennaista on ymmärtää, missä kulkevat oman sisäverkon fyysiset ja loogiset rajat. Yhtä tärkeää on pyrkiä säilyttämään jonkunlainen näkyvyys verkkoliikenteeseen, vaikka omia johtoja ei enää kaikkialla olekaan.
"Next Generation" tietoturvaohjelma koneessa
Päätelaitteiden virussuojauksella pienennetään tunnettujen haitakkeiden pesiytymisen vaaraa. Laitekohtainen tekninen suojaus yhdistettynä verkkotasolla tapahtuvaan liikenteen seulontaan ja estosääntöihin tarjoaa jo varsin tehokkaan kilven yleisimpiä vitsauksia — viruksia, troijalaisia, kiristyshaittaohjelmia ja tietojenkalastelua — vastaan. Uhkien torjunnan lisäksi on syytä kiinnittää huomiota käyttöjärjestelmän ja varusohjelmien kovennuksiin (ml. oletussalasanojen muutoksiin ja valmistajan toimittamien tietoturvapäivitysten asentamiseen), tarpeettomien palveluiden poiskytkentään ja myönnettyjen käyttövaltuuksien laajuuteen. Huomiota kannattaa suunnata myös järjestelmien pääkäyttäjien ja muiden korotetuilla käyttöoikeuksilla varustettujen käyttäjien valtuushallintaan.
Lähes kaikki laitteet ja ohjelmat pystyvät tuottamaan jonkinlaista lokitietoa. Tällainen tieto on jo sinällään arvokasta ja kun yhden lokin tiedot yhdistetään asianmukaisesti muiden järjestelmien tuottamiin lokeihin, syntyy jalostettua tietoa joka on – varsinkin tietomurron sattuessa – yritykselle korvaamattoman tärkeää, jotta tapahtumat voidaan tehokkaasti selvittää.
Kokoelma monimutkaisia sääntöjä, joita kukaan ei pysty käytännössä noudattamaan
Tietoturvaohjeet ovat hyödyttömiä, mikäli niiden kohderyhmällä ei ole olemassa realistisia edellytyksiä ja olosuhteita toimia ohjeiden mukaan. Yrityksellä voi olla olemassa erilaisia tietoturvanäkökulmia korostavia prosesseja, mutta käytännössä niiden seuraaminen on kohtuuttoman hidasta tai muuten hankalaa – joka johtaa siihen, että prosessit ohitetaan ja asiat hoidetaan jotenkin, että ne saataisiin tehtyä.
IT-osasto, teknologiaa, teknologiaa ja lisää teknologiaa
Monesti on kuultu sanottavan, että ihminen on tietoturvan heikoin lenkki. Tavallaan tämä sanonta pitää paikkansa. On todettu, että käyttäjien tietämättömyys, mukavuudenhalu, turhautuminen, kunnianhimo, uteliaisuus ja halu auttaa ovat sellaisia inhimillisiä asioita joiden vuoksi tietoturvaohjeita ei noudateta – vaikka ne olisivat olemassa ja jopa asianmukaisesti henkilöstölle kommunikoitu.
On kuitenkin syytä tiedostaa, että varsinaiset syyt tähän heikkouteen löytyvät huonosti toimivista järjestelmistä tai kohtuuttomista viiveistä ja odotusajoista ihan tavallistenkin perusasioiden aikaan saamisessa. It-osasto taas on yksinään tähän äärimmäisen harvoin ainoa syyllinen. Tietoturva ole pelkästään it-osaston asia.