Turvallisuusarviointi on kuin omakotitalo – aika ajoin on tehtävä remonttia

Viria Securityn tietoturvakonsultti Pekka Vermasvuo vertaa turvallisuuden arviointia omakotitalon remontointiin. Kerran tehtyä ja valmistunutta lopputulosta on huollettava ja päivitettävä jatkuvasti.
”Turvallisuuden kokonaistilaan ja sen ylläpitoon on tärkeä pitää koko ajan näkyvyys ja huomioida erilaisten muutosten vaikutus”, Vermasvuo sanoo.
Tietoturva-arvioinnit ovat Vermasvuon mukaan nykyisin varsin suosittuja, mutta kokonaisturvallisuuden arviointi voi jäädä vähemmälle huomiolle, jos keskitytään vain yhteen osa-alueeseen.
”Kyberturvallisuus on toki tärkeä elementti turvallisuutta ajatellen, mutta se ei ole ainoa osa-alue. Kyberturvauhka voi toteutua myös fyysisen turvallisuuden pettäessä, jos esimerkiksi joku henkilö pääsee luvattomasti yrityksen palvelintilaan. Esimerkiksi juuri toimitilojen turvallisuudessa onkin monissa yrityksissä parannettavaa vaikkapa kulunvalvonnan osalta.”
Etenkin keskisuurille ja suurille organisaatioille suunnattu Virian Turvallisuusarviointipalvelu kattaa laaja-alaisesti hallinnollisen turvallisuuden sekä kyber-, henkilöstö- ja toimitilaturvallisuuden. Vermasvuon mukaan on tärkeää, että kaikki turvallisuuden osa-alueet ovat kunnossa ja että ne tukevat toinen toisiaan.
”Näiden neljän osa-alueen kautta tarkastellaan organisaation kokonaisturvallisuutta ja niitä toimenpiteitä, joilla varmistetaan toiminnan turvallisuutta ja jatkuvuutta. Kyse on lopulta riskienhallinnasta.”

Lentokorkeus valitaan asiakkaan kanssa

Kokonaisvaltaista turvallisuusarviointia tehtäessä ydintavoitteena on turvata yrityksen liiketoiminnan jatkuvuus ja häiriöttömyys. Hallinnollisen turvallisuuden osa-alueella varmistetaan laadukas turvallisuusjohtaminen eli käydään muun muassa läpi organisaation turvallisuuteen vaikuttavat toiminnot ja prosessit. Kyberturvallisuuden tavoitteena on toteuttaa ja ylläpitää kaikissa olosuhteissa toimivia tietoverkkoja ja ICT-järjestelmiä.
”Toimitilaturvallisuudella varmistetaan muun muassa, että toimitilojen eri alueiden turvallisuus on järjestetty asianmukaisella tavalla. Henkilöstöturvallisuuteen liittyy puolestaan esimerkiksi työntekijöiden taustaselvitykset sekä työsuhteen elinkaaren hallinta”, Vermasvuo kertoo.
Turvallisuusarviointi käynnistyy kohteen määrittelyllä. Kun organisaation turvallisuuden nykytaso on selvitetty, päästään tavoitteiden asettamiseen. Tavoitetilaa voi ohjata jokin viitekehys, kuten esimerkiksi tietty standardi, jota tavoitellaan. Esimerkiksi kokonaisuusturvallisuuden osista etenkin tietoturvaan voi liittyä tiettyjä standardeja, jotka halutaan saavuttaa.
”Vaikka kaikki neljä osa-aluetta käydään turvallisuusarvioinnissa läpi, konsultointia voidaan painottaa tiettyyn osa-alueeseen, jos jokin niistä tarvitsee selkeästi enemmän huomiota. Pyrimme aina löytämään asiakkaan liiketoiminnan kannalta kaikkein oleellisimmat asiat. Palvelu räätälöidään tapauskohtaisesti”, Vermasvuo selvittää.
Lopulta päästään itse arviointityöhön, jonka perusteella syntyvät toimenpide-ehdotukset. Tavoitetilan määrittely ohjaa ehdotuksien luomista.
”Lentokorkeus määritellään asiakkaan tarpeiden mukaan. Riskianalyysin ja tavoitetason määrittämisen kautta edetään varsinaiseen konsultointityöhön, joka on muun muassa haastatteluita, dokumenttien keräämistä, politiikoiden sekä prosessien läpikäymistä. Tämän jälkeen päästään raportointivaiheeseen.”

Konsultointi mahdollistaa objektiivisen arvion

Konsultoinnin lopputuloksena syntyy raportti, jossa on kuvattu organisaation turvallisuuden nykytila ja tehdyt havainnot, puutteet ja toimenpidesuositukset. Raportissa kuvataan, miten puutteet saadaan korjattua, jotta päästään tavoiteltuun turvallisuustasoon.
”Jos asiakkaalla ei ole vaikkapa tiettyä standardia mielessä, konsultoinnissa nojataan silti olemassa oleviin viitekehyksiin vaikkapa niitä soveltaen. Best practices -asiat ovat aina taustalla.”
Samoin kuin vaikkapa sovellusta, myös tehtyjä arviointeja on päivitettävä säännöllisesti vastaamaan nykytarpeita ja -tavoitteita. Kerran tehty turvallisuusarviointi ei päde vuosikausia.
”Riskejä voidaan minimoida ja hallita, mutta ei kokonaan poistaa. Oleellista on tietää se riskitaso, jossa ollaan. Jos esimerkiksi jokin asia muuttuu, kuten prosessit, järjestelmät tai toimitilat, se voi vaikuttaa riskiin.”
Konsultoinnin lisäarvo turvallisuusarvioinnissa on Vermasvuon mielestä erityisesti siinä, että saadaan kolmannen osapuolen objektiivinen näkemys asioihin.
”Vaikka organisaatiossa oma ympäristö tunnetaankin, kokemusta ei välttämättä ole laajasti ja omaa toimintaa arvioidessa objektiivisuus häviää aika äkkiä. Kun arvioinnin tekee ulkopuolinen ja kokenut kumppani, jolla on laaja kokemus ja osaaminen kokonaisturvallisuudesta, saadaan hyvä käsitys nykytilasta ja tarvittavista toimenpiteistä tavoitetilan saavuttamiseksi.”