Onko kyberhyökkäys oikea uhka? Miten yritys varmistaa tietoturvan? Miten tietoturvaa tulee johtaa? Kysymyksiä on virrannut Elmolle, kun kyberturvauhat ovat lisääntyneet. Elmon toimitusjohtaja Janne Aaltonen kertoo, miten tietoturvaa johdetaan.

Aloitetaan tekemällä ero teknisen ja hallinnollisen tietoturvan välillä. Tietoturvapuhe keskittyy usein palomuureihin, virustorjuntaan ja kaksivaiheisiin tunnistautumisiin. Kaikki ne ovat tärkeä osa teknistä tietoturvaympäristöä. Tietoturvan suurin riski on kuitenkin ihminen. Aaltonen vertaa tilannetta autoiluun.

Auton mukana tulee turvajärjestelmiä, mutta kyse on lopulta siitä, miten niitä käyttää ja mitä kuski tekee. Samoin tietoturvaan on teknisiä ratkaisuja, mutta vasta hallinnollinen tietoturva kertoo, miten ratkaisuja käytetään.

Kun ihminen hölmöilee ja softassa on bugeja…

Hallinnollisen tietoturvan englanninkielinen nimi ISMS tulee termeistä Information Security Management System. Kyseessä on kokonainen johtamisjärjestelmä, joka kattaa prosessit, käytännöt ja toimintatavat, joilla yritys pyrkii takaamaan tietoturvan toteutumisen. Kuten Aaltonen huomauttaa, suurin osa liiketoimintaprosesseista liittyy tietoturvaan.

Miten ihmisten taustat tarkistetaan rekrytoinnissa, keillä on pääsy yrityksen tiloihin, kuinka käyttöoikeudet järjestelmiin jaetaan, mitä työkoneelle saa asentaa, Aaltonen listaa.

Aaltonen on pitänyt lukuisia luentoja hallinnollisesta tietoturvasta ja sanoo siitä tulleen yritysten kilpailuetu

Näiden ja lukuisten muiden periaatteiden dokumentointi on keskeinen osa hallinnollista tietoturvaa. Toinen on koulutus: vasta jalkauttamalla periaatteet varmistetaan, että tietoturvan heikoin lenkki, ihminen, tekisi mahdollisimman vähän virheitä.

Ongelmat syntyvät, kun ihminen hölmöilee ja softassa on bugeja. Bugit ovat inhimillisiä virheitä koodissa, ja mahdollistavat käyttöyhteyden järjestelmään.

Yrityksissä on valtava määrä koodia, joten on selvää, että bugejakin esiintyy. Lisäksi ihmiset tekevät virheitä, heitä johdetaan harhaan tai ihmiset toimivat tietoisesti ohjeita vastaan. Tämä avaa oven kiristysohjelmille.

…tarvitaan tietoturvan johtamisjärjestelmä

Mistä liikkeelle? Siitä, että yritys kehittää itselleen tietoturvan johtamisjärjestelmän. Omin päin sitä ei tarvitse keksiä, sillä kansainvälinen ISO/IEC 27001 -standardi kuvaa hyvin tarvitut vaatimukset. Standardi ei kuitenkaan aina avaudu helpolla.

Yhä useampi yritys tiedostaa, että tietoturvan johtamisjärjestelmä tarvitaan, ISO/IEC 27001:stä on ehkä kuultu ja usein se näkyy loppuasiakkaiden tarvitaan, ISO/IEC 27001:stä on ehkä kuultu ja usein se näkyy loppuasiakkaiden vaatimuksissa. Standardi koetaan kuitenkin monimutkaisesti ja työmäärä valtavaksi. Ja onhan siinä työtä: Elmon sertifiointi alkoi 2016 ja valmistui 2019.

Kokemuksensa pohjalta Elmo on kuitenkin kehittänyt asiakkailleen suoraviivaisen mallin ISO/IEC 27001 -sertifikaatin mukaiseen tietoturvan johtamisjärjestelmään. Elmon sertifioidut tietoturvakonsultit kartoittavat asiakkaan toiminnan ja tekevät varsin valmiin ehdotuksen rakenteesta ja sisällöstä.

Työ tuottaa noin 20 dokumenttia, joissa kuvataan tietoturvan hallinnan politiikat, prosessit ja toimintaohjeet. Elmon mallilla investointi on noin 20 000 euroa, riippuen kattavuudesta. Kaikkea ei tarvitse tehdä heti, vaan yritykselle kriittisistä osa-alueista voidaan aloittaa, rauhoittelee Aaltonen.

ISO/IEC 27001 on jättiläinen, joka taipuu moneen sertifiointiin

Tietoturvan hallintajärjestelmiä ja sertifikaatteja on maailmalla muitakin, kuten SOC 2, C2M2, NIST CSF ja TISAX; uusimpana EU:n NIS2-kyberturvadirektiivi, jonka kansallinen soveltaminen Suomessa alkaa 18.10.2024. Myös näiden tarkasteluun ISO/IEC 27001 -pohjainen ISMS antaa hyvät lähtökohdat.

ISO/IEC 27001 kattaa järeimpänä versiona hyvin muiden sertifikaattien vaatimukset. Tietoturvaa ei ole pakko viedä sertifikaattiin asti, mutta kun asiat on tehty ISO-viitekehyksellä, säilyy sertifointi optiona tulevaisuudessa.