You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2008-29

Jani Mäkelä

Tietoturvallisuuspolitiikka ja sen tavoitteet

1 Johdanto

Työssä käsitellään, mitä on tietoturvallisuuspolitiikka eri näkökulmista. Lisäksi työssä käsitellään, mitä tietoturvallisuuspolitiikalla tavoitellaan, eli miten tietoturvallisuuspolitiikan tulisi vaikuttaa yrityksen toimintaan sekä tietoturvallisuuden tilaan yrityksessä. Työ lähestyy aihetta yrityksien näkökulmista, joskin suurta osaa käsitellyistä asioista voidaan soveltaa muun tyyppisissä organisaatioissa. Tietoturvallisuuspolitiikan operationalisointia käsitellään puolestaan työssä 2008-30, joka on jatkoa tälle dokumentille. Toisin sanoen tämä työ muodostaa teoreettisen pohjan työlle 30. Työ suoritetaan kirjallisuustutkielmana eikä se sisällä empiiristä osiota.

2. Tietoturvallisuuspolitiikka

2.1 Tietoturvallisuuspolitiikan määrittelyä

Ilvonen (2007) kuvailee tietoturvallisuuspolitiikkaa yrityksen tai organisaation johdon kannanottona tietoturvallisuustoimintojen ylläpitoon, hallinnointiin ja kehittämiseen sekä yleiseen suhtautumiseen erinäisiin tietoturvallisuuden kysymyksiin. Kim ja Leem (2005) puolestaan määrittelevät tietoturvallisuuspolitiikan tehtäväksi esittää johdon linjauksia tietoturvallisuuteen liittyvissä kysymyksissä sekä yleisesti tukea tietoturvallisuutta yrityksen toiminnassa. Tietoturvallisuuspolitiikalla viitataan usein myös dokumenttiin, joka sisältää jo mainitut tietoturvaan liittyvät linjaukset (Ilvonen 2007).

Tietoturvallisuuden hallinnointi (engl. governance) vaatii strategisen tason ohjausta, jonka voi tarjota vain yrityksen ylin johto (ITGI 2006, s.21). Hallinnointi luo pohjan toiminnan johtamiselle (engl. management) sekä päivittäiselle operatiiviselle toiminnalle. Tietoturvallisuuspolitiikka ei kuitenkaan rajoitu ohjaamaan vain hallinnointia, vaan voi käsitellä kaikille edellä mainituille tasoille liittyviä asioita. Ilvosen (2008) mukaan tietoturvallisuuspolitiikka on käytännössä ainoa linkki liiketoiminnan harjoittamisen ja tietoturvallisuuden välillä ylimmän johdon näkemysten mukaisesti. Ilman tietoturvallisuuspolitiikkaa organisaation alemmilla tasoilla ei siis käytännössä voi tehdä objektiivisesti tavoitteiden mukaisia tietoturvallisuuteen liittyviä päätöksiä.

2.2 Tietoturvallisuuspolitiikan mallinnus ja elementit

Koskinen (2007, s. 23) kuvailee tietoturvallisuuspolitiikkaa äärellisen tilakoneen avulla. Hänen mukaansa tietoturvallisuuspolitiikalla yksinkertaisesti määritellään, mitkä tilat katsotaan turvallisiksi ja mitkä ei (Koskinen 2007, s. 23). Myös dos Santos et al. (2008, s. 152) mukaan tietoturvallisuuspolitiikalla määritellään turvalliset tilat ja niiden väliset turvalliset tilasiirtymät. Kahden eri tietoturvallisuuspolitiikan kanta jonkin tilan turvallisuuteen tai turvattomuuteen saattaa siis olla eroava. Järjestelmä on siis turvallinen, jos turvallisesta tilasta ei voida siirtyä turvattomaan tilaan (Koskinen 2007, s. 23). Tarkemmin tietoturvallisuuden säilymistä eri tiloissa ja tilasiirtymissä voi tarkastella luottamuksellisuuden (engl. confidentiality), eheyden (engl. integrity) ja saatavuuden (engl. availability) kautta.

Dhillonin ja Backhousen (2000, s. 126-127) mukaan luottamuksellisuuden, eheyden ja saatavuuden tavoitteleminen ei riitä. Luottamuksellisuuden tehtävänä on varmistaa tietojen pysyminen luottamuksellisena eli tiedot eivät päädy henkilöille, joilla ei ole niihin oikeutuksia. Dhillon ja Backhouse (2000, s. 126-127) esittävät, että nykypäivän organisaatiorakenteen ynnä muiden muutosten seurauksena on tapana jakaa enemmän tietoa työntekijöilleen sekä valtuuttaa yhä enemmän työntekijöitä yhä alemmilla organisaation tasoilla. Vaikka tieto jaetaan vain niille henkilöille, jotka sitä tarvitsevat, on tiedon leviämisen vaara suuri. Toisaalta pääsynvalvontaan ja käyttöoikeuksien hallintaan kiinnitetään nykyään yhä enemmän huomiota. Eheys puolestaan tarkastelee käytännössä vain tiedon, kuten levylle tallennettujen ja siirrettävien numeroiden ja symbolien, muuttumattomuutta. Se ei kuitenkaan ota kantaan näiden tietojen tulkintaan. (Dhillon & Backhouse 2000, s. 126-127.) Tiedon tulkinnan muuntuminen onkin vähintään yhtä suuri riski kuin tiedon muuntuminen. Pelkkä prosessien, teknologisten ratkaisujen ja kontrollimekanismien olemassaolo ei siis riitä takaamaan tietoturvallisuuspolitiikan tavoitteita, vaan tarvitaan menetelmiä ohjata myös tietoa käyttävien työntekijöiden toimintaa. Tämä jälleen osoittaa tietoturvallisuuden olevan kokonaisuus eli muutakin kuin vain kokoelma teknisiä menetelmiä. Tätä varten Dhillon ja Backhouse (2000, s. 127) esittävätkin vastuullisuuden (engl. responsibility), rehellisyyden (engl. integrity), luotettavuus (engl. trust) ja eettisyyden (engl. ethicality) käsitteet. Niiden avulla pyritään ohjaamaan nimenomaan työntekijöiden toimintaa näin täydentäen perinteisesti teknistä näkökulmaa tietoturvan suorittamisessa. Toisin sanoen nämä käsitteet täydentävät edellä esitettyjä tietoturvallisuuden kolmea peruselemettiä.

Työntekijöiden koulutuksen yhteydessä tulisi viestiä organisaation tietoturvapoliittiset linjaukset työntekijöiden, minkä lisäksi tulisi painottaa linjausten noudattamisen tärkeyttä (ITGI 2006, s. 17). Myös rikkeistä seuraavat sanktiot on määriteltävä, viestittävä ja ottaa täytäntöön ylemmän johdon linjaamina (ITGI 2006, s.21). On suhteellisen selvää, ettei sanktioiden määrittelyä voida tehdä ilman ylimmän johdon kannanottoa. Jos säännöt eivät ole yhtenäisiä, syntyy yrityksessä eroja, jotka muodostavat pahimmillaan kaksinaismoraaleja yrityksen sisällä. On järjetöntä olettaa alemman portaan työntekijöiden noudattavan tunnollisesti tietoturvaohjeistuksia, jos esimerkiksi johtoporras ei ole sitoutunut noudattamaan niitä (ITGI 2006, s. 21).

2.3 Tietoturvallisuuspolitiikka ja kontrollimekanismit

Tietoturvan olennainen tavoite on vähentää haitallisia vaikutuksia saavuttamalla hyväksyttävä turvallisuustaso (ITGI 2006, s.15). Jotta tietoturvallisuuteen liittyvien riskien todennäköisyyttä ja vakavuutta saataisiin vähennettyä, voidaan ottaa käyttöön erinäisiä kontrollimekanismeja, jotka koostuvat suojatoimenpiteistä (engl. safeguards) ja vastatoimenpiteistä (engl. countermeasures). (Kim & Leem 2005, s. 921). Suojatoimenpiteet ovat mekanismeja sekä menettelytapoja, joiden avulla pyritään estämään riskien realisoituminen, kun vastatoimenpiteillä puolestaan pyritään vaikuttamaan jo realisoituneen riskin seurauksiin. Nämä kontrollimekanismit voivat olla luonteeltaan hallinnollisia, loogisia, teknisiä tai fyysisiä (Kim & Leem 2005, s. 921). Kontrollimekanismit jakautuvat lisäksi tietoturvauhkia torjuviin, tunnistaviin, niistä palautumiseen, vahinkoja korjaaviin mekanismeihin sekä pelotteisiin, jotka nostavat kynnystä tehdä tietoturvaloukkauksia (Kim & Leem 2005, s. 923). Vastatoimenpiteet saattavat johtaa siihen, että alkuperäisestä tietoturvauhasta jää jäljelle jäänne (engl. residual threat) tai uhka muuttuu uudenlaiseksi (engl. transformed threat) (Kwok & Longley 1999). Myös nämä seikat tulee ottaa huomioon tietoturvallisuuspolitiikassa sekä tietoturvallisuuden toimenpiteiden suunnittelussa.

Yhdistämällä Koskisen tila-ajattelu sekä Kim:n ja Leem:n näkökulma kontrollimekanismeista voidaan ajatella tietoturvallisuuspolitiikan pyrkivän estämään ei-toivottujen tilojen syntymisen määrittelemällä niin kielletyt kuin sallitutkin tilat ja ohjaa toimintaa suojautumaan tietoturvauhilta erinäisten kontrollimekanismien avulla.

2.4 Tietoturvallisuuspolitiikan suunnittelu

Ilvosen (2007) mukaan yrityksen on tehtävä tieturvallisuuspolitiikkansa itse, sillä kukaan muu ei voi tuntea yrityksen tilannetta sekä ohjata toimintaa todellisten tavoitteiden ja toiminnan ominaispiirteiden mukaisesti. Tämä ei kuitenkaan poissulje erinäisten asiantuntijoiden hyödyntämistä eri asioihin liittyvissä kysymyksissä. Ilvonen (2007) myös painottaa, ettei pelkkä tietoturvallisuuspolitiikan mallidokumenttien lähes suora kopioiminen omaan yritykseen toimi.

Kuten monen muunkin asian kehittäminen ja suunnittelu, myös tietoturvallisuuspolitiikan suunnittelu tulisi lähteä yrityksessä vallitsevan nykytilasta, jonka pohjalta voidaan määrittää tietoturvallisuuteen liittyvät vaatimukset. Kun nämä vaatimukset on onnistuttu määrittelemään, tarkastellaan kontrollimekanismien yhdistelmiä, jotka puolestaan täyttävät edellä määritellyt vaatimukset (Gerber et al. 2001, s. 33). Tarkastelemalla tietoturvallisuutta ja organisaation tavoitteita kokonaisuutena, on mahdollista saavuttaa optimaalinen tasapaino päivittäistä liiketoiminnan harjoittamista hankaloittavien ja tietoturvallisuuden saavuttamiseen tähtäävien toimenpiteiden välillä. Tämä onkin varsin tärkeää, kun muistetaan käytettävyysongelmien olevan tietoturvan pahin vihollinen. Ilman tietoturvallisuuspolitiikkaa asioiden tasapainoinen tarkastelu on lähes mahdotonta, minkä lisäksi jotkut tietoturvallisuusuhat saattaisivat jäädä huomaamatta. Tietoturvallisuuspolitiikka mahdollistaa organisaation resurssien ohjaamisen liiketoiminnan tavoitteiden ja vaatimusten mukaisesti, mikä olisi jopa kyvykkäälle tietoturvallisuudesta vastaavalle johtajalle vaikeaa (dos Santos M. 2008, s. 152). Esimerkiksi tietoturvallisuudesta vastaava johtaja pystyy määrittämään hyvin tietoturvallisuuteen liittyviä kysymyksiä, mutta näiden kysymyksiin liittyvien vastausten määrittämiseen tulisi hyödyntää kunkin osa-alueen erityisosaamista sekä tietoa kyseisistä organisaation toiminnoista.

Feltin (2007) artikkeli, joka perustuu kauppa- ja teollisuusministeriön tutkimukseen kertoo, että suomalaiset pk-yritykset osaavat hyvin teknisen tietoturvan, mutta hallinnollisessa tietoturvassa on paljon puutteita. Tutkimuksessa haastatelluista yrityksistä lähes kaikilla internetyhteys oli suojattu palomuurilla sekä automaattisesti päivittyvillä virustentorjuntaohjelmistoilla. Pk-yritykset ovat varautuneet kuitenkin huonosti tietoturvariskeihin. Vain joka seitsemännellä yrityksellä oli kirjallisesti laadittuna tietoturvasuunnitelma ja viidesosalla tietoturvapolitiikka.

3 Päätelmät

Tietoturvallisuuspolitiikka on ylimmän johdon linjaus tietoturvallisuuteen liittyvistä asioista kaikilla yrityksen tasoilla. Se antaa suunnan, jonka mukaan tietoturvallisuutta toteutetaan yrityksessä. Se käsittelee, miten tietoturvallisuuteen liittyviä toimenpiteitä ylläpidetään, hallinnoidaan ja kehitetään. Yksi tapa käsitellä tietoturvallisuuspolitiikkaa on, että määritellään vaarallisia ja turvalliset tilanteet sekä ohjataan toimintaa välttämään nämä hyödyntämällä muun muassa erinäisiä kontrollimekanismeja.

Tarkastellessa tietoturvallisuuspolitiikkaa, tietoturvallisuus tulee nähdä kokonaisuutena eikä ainoastaan teknisien uhkien ja ratkaisujen yhdistelmänä. Toisin sanoen tietoturvallisuuspolitiikan tulisi ottaa kantaa myös esimerkiksi työntekijöiden koulutukseen, ohjaamiseen ja valvontaan. On tunnettava yritys ja sen toiminnan ominaispiirteet, jotta tietoturvallisuutta voidaan tarkastella kokonaisuutena välttäen siten yksittäisien asioiden ylikorostumisen muihin tekijöihin kiinnitettävän huomion kustannuksella. Tämän takia tietoturvallisuuspolitiikkaa ei voida kopioida lähes suoraan esimerkiksi jostain mallista vaan sen tulee perustua organisaation toimintaan ja liiketoiminnallisiin tavoitteisiin.

Lähteet

Dhillon, G. & Backhouse, J. 2000. Information System Security Management in the New Millennium. Communications Of The ACM 43, 7, pp. 125-128.

dos Santos Moreira, E.; Martimiano, L.; dos Santos Brandão, A. & Bernardes, M.. 2008. Ontologies for information security management and governance. Information Management & Computer Security 16, 2, pp. 150-165.

Gerber, M.; von Solms, R. & Overbeek, P. 2001 Formalizing informations security requirements. Information Management & Computer Security 9, 1, pp. 32-37.

Ilvonen, I. 2008. TITA-5300 Tietoturvallisuuden Johtaminen: Tietoturvallisuuspolitiikka. http://moodle.tut.fi/archive/file.php/633/luentokalvot/titujo08_luento3_ttpolitiikka.pdf. Luettu 29.9.2007.

IT Governance Institute (ITGI). 2006. Information Security Governance: Guidance for Boards of Directors and Executive Management. http://www.isaca.org/AMTemplate.cfm?Section=Information_Security_Governance_Guidance_for_Boards_of_Directors_and_Executive_Management&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=10227. Luettu 23.9.2008.

Kim, S. & Leem, C. 2005. Enterprice security architecture in business convergence environments. Industrial Management & Data Systems 105, 7, pp. 919-936.

Koskinen, J. 2007. TLT-3201 Tietoturvallisuuden jatkokurssi osa A Seittiaineiston tekstit. http://www.cs.tut.fi/kurssit/TLT-3100/print/ttj-a-2007s.pdf. Luettu 25.9.2005. Rajoitettu saatavuus.

Kwok, L. & Longley, D. 1999. Information security management and modelling. Information Management & Computer Security 7, 1, pp. 30-39.

Felt Erkka, 2007. Hallinnollinen tietoturva on heikkoa pk-yrityksissä. http://www.tietoviikko.fi/kaikki_uutiset/article138417.ece Luettu 16.11.2009
Print version |  PDF  | History: r5 < r4 < r3 < r2 | 
Topic revision: r5 - 17 Nov 2009 - 20:34:01 - JaniMaekelae
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback