Palvelu: Tietoturvaprosessien kehittäminen

Tietoturvaprosessien kehittäminen lyhyesti

Tietoturva liittyy olennaisena osana sekä ylläpidon että kehityksen eri vaiheisiin aina hankintapäätösten valmistelusta tuotannon ylläpitoon tai ulkoistamiseen. Tietoturvaprosesseja kehittämällä voidaan sulauttaa tietoturva osaksi yrityksen normaalia toimintakulttuuria. Toimivalla tietoturvaprosessilla on suuri merkitys tietoturvan kustannustehokkuutteen ja haavoittuvuuksien löytymiseen ennen vahingon aiheutumista. Tietoturvan tulee toimia tavalla, jonka yrityksen johto voi ymmärtää, osa prosessien kehittämistä onkin toimivan raportoinnin luominen eri organisaation osille. Tietoturvaprosessin tulee ottaa kantaa mm. yrityksen arkkitehtuuri-, tietoliikenne-, teknologia-, ulkoistus-, käyttöoikeushallinnan, pääsynvalvonnan ja lokituksen linjauksiin. Tavoitteena on luoda päivittäiset toimintamallit, jotka tuottavat tietoturvallisen toimintaympäristön.

IT ja IT-prosessit saattavat olla hyvin - tai huonosti - määritelty organisaatiossa. On myös mahdollista että IT-prosesseja ei ole katsottu tarpeellisiksi piirtää tai määritellä ollenkaan, syystä tai toisesta. Jos IT-prosessit on olemassa, pitää tietoturva liittää niihin. Mittaaminen, KRI:t sekä vaatimustasot toimivat tieturvassa parhaiten silloin kun tietoturvahavainnot voidaan suoraan hyödyntää parantamaan sekä tietoturvaa itsessään mutta myös IT:n toimintaa ja toimintamalleja. Prosessien liittäminen toisiinsa vaatii viitekehyksen valinnan sekä ymmärryksen siitä, miten kaikki osapuolet osaltansa toimivat.

Prosesseissa on tärkeää huomioida yhtälailla ihmiset kuin teknologia. Rakentamalla prosesseihin luonnollisia tarkistuspisteitä voidaan näitä yhdistää ja samalla luoda tietoturvakulttuuria.

Mitä Mint Security toimittaa

Mint Securityn asiantuntijat ovat olleet kehittämässä monipuolisesti tietoturvaprosesseja erilaisiin toimintaympäristöihin. Olemme kehittäneet toimintamalleja mm. ulkoisten auditointien ottamiseksi osaksi olemassa olevia testausprosesseja, kehittäjien tietoturvaosaamisen nostamiseen ketterässä toimintaympäristössä (SecOps), muiden ulkoisten ja sisäisten toimijoiden tietoturvalliseen toimintaan, kovennusohjeiden ja järjestelmien tietoturvallisuuden valvonnan automaation käyttöönottoon ja kansallisten sekä EU-tasoisten vaatimusten viemiseksi käytännön tasolla organisaation tietoisuuteen.

Meille tärkeitä tietoturvaprosessin osia ovat myös IT-organisaation ja sovelluskehitystiimien tietoturvaohjeiden ja hyvien käytäntöjen kehittäminen yhdessä IT-organisaation kanssa sekä RISK-IT (ISACA) viitekehyksen käyttäminen.

Asiakkaiden tarpeet ja ratkaistavat haasteet

Tietoturvaprosessien kehittäminen lähtee aina nykytilan analyysistä, joka tehdään yhdessä asiakkaan kanssa tia asiakkaan osoittamasta dokumentaatiosta. Sen jälkeen tehdää kehityssuunnitelma ja sitä lähdetään toteuttamaan asikaan valitsemilla painotuksilla.

Jos et vielä tiedä mitä haluat, tai et tiedä mihin kykenet - tai sinulla ei ole käsitystä siitä, mille tasolle sinun kannattaisia pyrkiä, vaatii tilanne perinpohjaisen analyysin. Paras tapa lähestyä kyberkyvykkyyttä on luoda CMM-kypsyysmallin mukainen arvio nykytilasta sekä tavoitetilasta. Monet viitekehykset kuten RISK-IT tai Cobit for Risk antavat valmiita työkaluja joita pitää osata hyödyntää.

Kun kypsyys ja tarpeet on tiedossa - tarpeeksi hyvin kartoitettuna - voidaan miettiä budjetointia. Ei päinvastoin. Mitä annetulla rahalla saa, mistä paras vastine ja miten tietoturvaa kannattaisi implementoida. Ratkaisun voi ostaa, ruuvata räkkiin tai ottaa oikeasti käyttöön.

Tarkemmin menetelmistämme ja työkaluistamme

Pyrimme tuottamaan dokumentteja ja ohjeita ja prosesseja vakioidusta työkalupakistamme. Muokkaamme näitä aina yksilöllisesti yrityksen tarpeisiin.

Alla esimerkkejä:

  • Tietoturvapolitiikat esim. ISO27002 -viitekehyksen mukaisina, täysimittaisina tai yrityksen tarpeisiin sovellettuina
  • Yksilölliset ja täsmälliset tietoturvaohjeet (valtuushallinta, sähköpostin käyttö, toimitilaturvallisuus, ...)
  • ISMS kuvattuna ja dokumentoituna (tietoturvan hallintajärjestelmä)
  • Riskienhallintamallit ja ylläpito- sekä käsittelyprosessit
  • Insidenttihallinnan prosessit
  • Sovelluskehityksen tietoturvaprosessit
  • Auditointiprosessit

Mitä seuraavaksi

  • Riskien-, insidenttien ja Auditointienhallintajärjestelmä
  • Virtuaalinen tietoturvapäällikkö