Security

Tämän päivän tietoturvauhat vs. CISO

Share this post:

Pimeät markkinat ja kyberturvallisuushaavoittuvuudet ovat tarjonneet rikollisille sekä heitä tukeville järjestöille työkalut ja verkoston ansaita rahaa ja haavoittaa yksittäisten palveluntarjoajien sekä kuntapuolen toimijoita. Helposti saatavilla olevat työkalut anonyymiin Internetin selailuun ja salaustyökalut yhdistettynä pimeän verkon tarjoamiin vaihtoehtoihin vaikeuttavat viranomaisten mahdollisuuksia saada rikollisia toimijoita kiinni.

Viime aikoina on maailmalla uutisissa näkynyt vakavia tietovuotoja, liiketoiminnan keskeytymisiä, maksuvarkauksia, identiteetin kaappauksia sekä käyttökatkoksia julkisen sektorin palveluissa. Suurien organisaatioiden on vaikea hallita moniosaista ICT-infrastruktuuriaan, sillä nämä koostuvat useilta toimittajilta hankituista palveluista ja kokonaisuuksista. Haasteena onkin; miten kaikki toimittajilta hankitut palvelut saadaan vastaamaan organisaation tietoturvatason vaatimuksia.

Kuinka organisaatioissa suojaudutaan nykyään?

Organisaatiot suojatuvat tämän päivän uhkia vastaan hyvin sinisilmäisesti. Useassa yrityksessä ylimmällä johdolla ei ole tietoa organisaation tietoturvan tasosta; tietoturva on aihe, joka ei johtoa aina kiinnosta. Suurin haaste yleensä on ymmärtää, mikä on tarvittava budjetti tietoturvallisuuden kehittämiseen. Budjetin tulisi kattaa tekniset ja hallinnolliset komponentit.

Harmiksemme joudumme todeta, että tänä päivänä useassa organisaatiossa, tietoturvan kokonaisvastuu on annettu CISOlle (Chief Information Security Officer) eli tietoturvapäällikölle tai yhdelle nimetylle henkilölle. Vaikka henkilöllä saattaa olla oma tiimi ja organisaation työntekijät tukena, niin todellisuudessa hänellä ei ole budjettia eikä vaikutusvaltaa hankkia tarvittavaa teknologiaa tai toteuttaa tietoturvakulttuuriin vaadittavia muutoksia. Tämä usein tarkoittaa toimintatapojen muuttamista, joka aiheuttaa useimmissa organisaatioissa vastarintaa.

Useimmiten tietoturvapäällikköä ei osallisteta liiketoiminnan suunnitteluun hankinnoissa, jotka kytkeytyvät tietoturvan ylläpitämiseen. Tietoturvabudjettia ei ole suhteutettu liiketoiminnan kriittisyyteen eikä siinä ole myöskään huomioitu varautumista mahdollisiin äkillisiin lisäinvestointeihin, joita esiintyy esimerkiksi lunnasohjelman iskiessä.

Tietoturvapäälliköitä on jopa pyydetty hyväksymään projekteja, jotka ovat jo puoliksi tuotannossa. Näissä tilanteissa hyväksyjä ei ole osallistunut suunnitteluun lainkaan, eikä ole päässyt vaikuttamaan tarvittaviin tietoturvavaatimusmäärittelyihin. Kyseisissä tapauksissa organisaatioilla on ollut hiljaisena ajatuksena laittaa joku henkilö vastuuseen tilanteesta, jossa asiakasjärjestelmän tiedot sattuisivat vuotamaan Internetiin.  

Mitä organisaatioiden tulisi huomioida?

Millainen henkilö sitten soveltuu tietoturvapäälliköksi ja millainen hänen roolinsa on organisaation liiketoiminnassa? Tietoturvapäällikkö on ensisijaisesti asiantuntija, jolla on käsitys tämän päivän kyberuhkista ja niistä koituvista riskeistä liiketoiminnalle. Hänen tulisi olla osallisena liiketoiminnan suunnittelussa, jotta hän voisi jo alkumetreillä tuoda esille näkökulmansa sekä tärkeät erityishuomiota vaativat tietoturvaseikat. Mikäli nämä seikat jätetään huomiotta tai kokonaan laiminlyödään, on niiden toteuttaminen jälkikäteen huomattavasti kalliimpaa ja monimutkaisempaa. Hankkeissa tulisi huomioida tietoturvavaatimusmäärittely ja tarvittavat tietoturvatestaukset, auditoinnit ja dokumentaatio. Tämä ei kuitenkaan poissulje mahdollisuutta käyttää ketteriä menetelmiä. Alan asiantuntijan osallistaminen organisaation liiketoiminnan kehitykseen ja sen suunnitteluun luo tarvittavan alustan tietoturvan tehokkaaseen edistämiseen organisaatiossa ja oikeassa järjestyksessä toteutettuna se on moninkertaisesti kustannustehokkaampaa.

On tärkeää mitata organisaation tietoturvatasoa ja kyvykkyyttä suojautua hyökkäyksiltä. Näin pystymme tarkastelemaan jokaiselta osa-alueelta keskeisimmät kehityskohteet. Tilanne on usein se, että kun kartoitamme tietoturvatason, nousee esille mittaava määrä kehityskohteita. Jokaisen organisaation pitäisi pystyä myös tunnistamaan liiketoiminnalle elintärkeät toiminnot ja niiden alla oleva data, jotta esille nousseet tietoturvan osa-alueet voi aikatauluttaa tärkeysjärjestyksessä.

Teknisillä kartoituksilla mahdollistetaan tietototurvahaavoittuvuuksien löytyminen ja tämän kautta on helpompi määritellä ja budjetoida tarvittavat tekniset suojausmekanismit. Hallinnollisen ja teknisen kartoituksen yhdistelmällä saadaan järkevä kokonaiskatsaus organisaation tietoturvan tasosta. Sen perusteella organisaatio pystyy investoimaan sille järkeviin kohteisiin, tietoturvaheikkoudet pystytään havaita sekä epätietoisuus muuttuu ymmärrykseksi ja haluksi kehittää asioita turvallisemmin. Loppujen lopuksi kukaan ei halua olla töissä tai johtamassa organisaatiota, joka juuri uutisoitiin vuotaneen kaikki asiakastietonsa.

Click here to rate this article

Rate this article :

Security Consultant

More Security stories
By Kim Rejman on Thu, October 17th 2019

Punaisia päin rekan etupuskuriin – kuinka välttää tietoturvakolarit?

Kun istahdat ratin taakse, käynnistät moottorin ja ampaiset liikenteeseen, informaatiotulva on välitön ja valtava. Kokemukseesi perustuen aistisi yleensä suodattaa massasta olennaisen ja annat hermoratojen ja lihasten yhteistyön ohjata parin tonnin peltisaurusta ongelmitta. Nopeita reagointeja aiheuttaa odottamattomat tilanteet – pyöräilijöiden paahtaminen ilman käsimerkkejä, punaisia päin kaasuttava pölvästi, tutka tai raju saderyöppy. Näistä kokenut kuski selviää ilman […]

Continue reading

By Antti Pirinen on Tue, October 1st 2019

X-Force Command – Cyber Tactical Operation Center

Siinä se nyt on pihalla. Musta rekka, joka on syönyt 23:n tonnin edestä tavaraa. Sisältä löytyy mm. yli 6 km kaapelia, oma konehuone, 47kW:n edestä sähkögeneraattoreita, omat satelliittiyhteydet, videoseinä, täydellinen toimitila 20 hengen itsenäistä toimintaa varten ja paljon muuta. Näinpä monen osallistujan ensikommentti sisään astuessaan olikin ”Wau”, vaikka se perustuneekin enemmän isoihin näyttöihin ja näyttävään […]

Continue reading

By Minna Ääri on Wed, September 11th 2019

Miten tiimisi toimii täyskaaoksessa? Harjoitus, joka on koettava

Jäädynkö mä? Jäädytäänkö me tiiminä? Jännittää jo vuorokautta ennen. Ajatus takoo mielessä, että olisi pitänyt harjoitella enemmän. Vielä muutama askel IBM Security X-Force Command Cyber Tactical Operations Center (C-TOC) -rekkaan ja olemme sisällä simulaatiohuoneessa. Valmiina kyberhyökkäysharjoitukseen. Action Puhelin soi. Soittaja väittää olevansa toimittaja ja suoltaa tekstiä tapahtuneesta tietovuodosta. Ralli alkaa. Se tempaa täysin mukaansa ja […]

Continue reading