Auditoinneista asennetta turvallisuuteen

 Sain ensi kosketukseni turvallisuusauditointien maailmaan vuosituhannen vaihteessa. Työskentelin tuohon aikaan projekteissa joissa oli normaalia korkeammat turvallisuusvaatimukset. Passien ja henkilökorttien sekä maksukorttien valmistuksen ja yksilöinnin turvallisuusvaatimukset ovat tiukat ja usein kansainvälisiä vaatimuksia vielä höystetään kansallisilla erikoisvaatimuksilla. Tuohon aikaan edellä mainittuihin tuotteisiin oli tulossa siru eli pieni tietokone, joka toi mukanaan myös tietotekniset turvallisuusvaatimukset. Visan ja Mastercardin auditoijat kävivät vuosittain hiillostamassa maksukorttituotantoa etsien sen viimeisenkin pilkun tai bitin joka saattoi olla vinossa aiheuttaen potentiaalisen riskitekijän. Auditointeihin valmistauduttiin huolella, mutta myös jatkuva turvallisuuden ylläpito oli tärkeää, koska auditoinnissa tarkastettiin kuluneen vuoden aikana syntyneitä evidenssejä erilaisten turvallisuusrutiinien toteuttamisesta. Tuolloin olin vastuussa auditointien järjestämisestä mutta viime vuodet olen auditoinut itse yritysten ja julkishallinnon toimitilojen ja tietojärjestelmien turvallisuutta.

 

 

 

Edellä kuvattu voi tuntua liioitellulta monen yrityksen turvallisuustarpeisiin. Voin kuitenkin rehellisesti sanoa, että ”shokkihoidon” jälkeen turvallisuuskulttuuri oli iskostunut kaikkien selkärankaan eikä kukaan valittanut. Jopa aina niin dynaamisille myyntihenkilöille oli itsestään selvää, että luottamukselliset sähköpostiliitteet salataan PGP:llä tai että sähkömiehen haalariin pukeutuneelta tuntemattomalta henkilöltä tarkastetaan yrityksen tiloissa henkilökortti. Loppujen lopuksi tiukka turvallisuuskulttuuri ei lainkaan haitannut töiden tekemistä, kyseessä oli ennen kaikkea oikea asenne turvallisuuteen.

 

Nykyisin kirjoitetaan paljon johtamisen merkityksestä turvallisuuskulttuurin parantamisessa. Turvallisuutta tulisi osata markkinoida henkilöstölle oikealla tavalla, jotta työntekijät olisivat motivoituneita toimimaan oikealla tavalla. Auditoinnit ovat yksi turvallisuusjohtamisen väline. Ulkopuolisen tekemä auditointi tuo aina uusia näkökulmia turvallisuuteen ja auttaa havaitsemaan puutteita, joille itse on tullut sokeaksi. Ennen kaikkea auditointi saattaa paljastaa karun todellisuuden, joka vallitsee yrityksessä jonka turvallisuuskulttuurin on annettu rapautua. Auditointiraportti on työväline, jonka avulla voi perustella tarvittavia turvallisuusparannuksia yrityksen johdolle ja omalle henkilöstölle. Erityisen hyvä työväline se on vähän ujommille turvallisuuspäälliköille, jotka eivät uskalla korottaa ääntään, vaikka siihen olisi aihetta, tai jotka pelkäävät tuulimyllyjä vastaan taistelua ja sitä että heitä ei oteta vakavasti. Kukaan ei ole profeetta omalla maallaan.

 

Ulkopuolisten tekemiä auditointeja tehdään kuitenkin yllättävän vähän. Kauppakamarin julkaiseman Yritysten rikosturvallisuus 2017 –raportin mukaan vain noin 40% yrityksistä on koskaan teettänyt ulkopuolista turvallisuusauditointia. Ehkä syynä on pelko, että paljastuva totuus on liian karu tai että ehdotetut turvallisuusparannukset kohtaavat voimakasta vastustusta. Auditointia voitaisiin verrata ohjelmistotuotannon prosessissa testaukseen. Voi vain kuvitella seurauksia, joita aiheutuisi, jos erilaisia softatuotteita tuotaisiin markkinoille testaamattomina. Virheet tulee löytää ja korjata ja julkaisunkin jälkeen jatketaan testausta, jotta löydetään bugit ja voidaan tehdä niitä varten tarpeelliset korjaukset. Myös turvallisuus ja sen prosessit ja järjestelmät tulisi testata, jotta ne eivät olisi täynnä bugeja käyttöönottohetkellä ja sen jälkeenkin.

 

 

 

Kirjoittajan lyhyt Bio
 

Timo Rinne, Ymon

Timo Rinne on Ymonin CISSP ja CISA sekä CIPT ja CIPP/E -sertifioitu seniorikonsultti. Hän on entinen Tietoturva ry:n puheenjohtaja ja hänellä on kahdenkymmenen vuoden kokemus tietoturvallisuuden (ml. tietosuoja) toimeksiannoista lukuisissa kotimaisissa ja kansainvälisissä yrityksissä, käsittäen mm. auditointeja ja hallinnollista tietoturvaa. Timon tarkemman profiilin löydät LinkedInistä.


Palstasta:

Vieraskynä palstastalla käsitellään ajankohtaisia tietoturva- ja tietosuoja-aiheita. Kirjoittajina toimivat sekä Tietoturva ry:n yhteisöjäsenten edustajat että muut maamme mielenkiinoiset tietoturvapersoonat. Palstalla esitetyt ajatukset eivät välttämättä kuvaa Tietoturva ry:n kantaa tai esittäjiensä organisaatioiden virallisia kantoja.