Mikko Juhani Tuomela

Kypsyysmallit

Johdanto

Perinteinen turvallisuusmetriikka on parhaimmassakin tapauksessa täysin umpimähkäistä (Brotby, 2009; Chapin & Akridge, 2005). Pahimmassa tapauksessa metriikka johtaa vääristyneeseen turvallisuuden tunteeseen, joka vuorostaan johtaa tehottomaan ja turvattomaan suojauksien implementoimiseen. Miten yritys voi määritellä onko se turvallinen, kun sen suojauksen voi todellisuudessa testata ainoastaan kriisitilanteessa? Turvallisuusponnisteluiden tarkoituksena on juuri ennaltaehkäistä kriisin syntymistä. (Chapin & Akridge 2005, p. 1.) Kypsyysmallit ovat yksi keino, jota yritykset voivat käyttää apuna metriikan aiheuttamiin haasteisiin.

Kypsyysajattelun ideana on arvioida organisaation nykytila määrittämällä tietty kypsyystaso ryhmälle objekteja. Tyypillisesti kypsyysmallit koostuvat kolmesta kuuteen tasosta ja kuudesta kahdeksaan objektista. Alin taso kuvaa nykytilaa kun taas ylin taso kuvaa täydellistä kypsyyttä, eli tavoitetilaa. Tavoitteena on edetä näiden kahden ääritason välille muodostamaa kehityspolkua (Becker, Knackstedt and Pöppelbuss, 2009.)

Tämän työn tarkoituksena on perehtyä kypsyysmalleihin tietoturvallisuudessa ja esitellä menetelmiä, joilla kypsyysarvioita tehdään ja mahdollisuuksien mukaan myös tuloksia, joita siitä on eri paikoissa saatu. Ensin työssä luodaan katsaus tietoturvallisuuden mittaamiseen ja kypsyysmallien taustoihin. Tämän jälkeen työssä käsitellään tietoturvallisuuden kypsyysmalleja ja esittellään muutama menetelmä, jolla kypsyysarvioita tehdään. Lopuksi ennen yhteenvetoa esitellään tuloksia, joita kypsyysmalleilla on eri paikoissa saatu.

1. Tietoturvallisuuden mittaaminen

Tietomurrot ovat arkipäivää ja niiden seurauksena yrityksille syntyy mittavia tappioita. Esimerkiksi erään tutkimuslaitoksen vuonna 2007 tekemän tutkimuksen mukaan tietomurrot, joiden seurauksena asiakasrekisterit katoavat maksavat yhdysvaltalaisille yrityksille suunnilleen $182 dollaria per asiakasrekisteri. Samana vuonna raportoitiin yli 100 miljoonaa tapausta, joten pelkästään tälläisistä tapauksista kertyisi $18 miljardin vuosittaiset menetykset. Olivat summat mitä tahansa, selvää on, että kehitettävää on ja yksi kehityskohde on tietoturvallisuuden hallinnan metriikka.(Brotby, 2009)

Tämän työn tarkoituksena ei ole ottaa tarkasti kantaa metriikkaan tai analysoida tietoturvallisuuden mittaamista. Tässä alaluvussa käsitellään kuitenkin lyhyesti molempia, koska sitä mitä ei voida mitata ei voida hallita (Aceituno, 2006; Brotby, 2009; Saleh, 2011). Näin ollen metriikka ja mittaaminen liittyvät myös oleellisesti kypsyysmalleihin.

1.1 Terminologiaa

Mittaus ei ole yhtä kuin metriikka. Yksittäinen mittaus kertoo jonkin parametrin hetkellisen arvon, kun taas metriikka on mittajärjestelmä. Henningin (2001) mukaan termejä metriikka, mitta, mittaus, tulos ja vertailutulos käytetään usein tietoturvallisuudesta puhuttaessa ristiin. Henning käyttää termiä IS*, jossa IS tarkoittaa tietoturvallisuutta ja merkki "*" mitä tahansa edellä mainituista termeistä. Termin hän määrittelee seuraavasti:

An IS* is a value selected from a partially ordered set by some assessment process ,that represents an IS-related quality of some object of concern. It provides or is used to create, a description, prediction, or comparison, with some degree of confidence. (Henning 2001, p. 7)

Toisin sanoen Henning määritellee tietoturvallisuudesta puhuttaessa ylläolevat termit "arvona, joka saadaan jonkin arviointiprosessin seurauksena ja joka kuvaa jonkin kohteen tietoturvallisuuteen liittyvää ominaisuutta. Kyseistä arvoa käytetään luomaan jonkin tason kuvaus, ennuste tai vertaus." Tässä työssä termejä käytetään ristiin ja kaikki termit tarkoittavat Henningin termiä IS*.

1.2 Mittaamisen haasteellisuudesta

Metriikan ja mittaamisen tarkoituksina on laskea ja mitata jotakin. Ongelma on, että mitä mitata. Taulukossa 1 on esitetty perinteistä turvallisuusmetriikkaa. Organisaatioissa mitataan usein sellaisia asioita, kuten kuinka monta virusta virusohjelmisto havaitsi tai kuinka monta tapahtumaa lokijärjestelmään on kirjautunut. On selvää, että tälläiset mittaukset eivät kerro juuri mitään organisaation turvallisuudesta ja vielä vähemmän turvallisuuden kehityksestä. (Chapin & Akridge 2005, p. 2)

Taulukko 1. Perinteistä turvallisuusmetriikkaa (Chapin & Akridge 2005, p.2)

Metric

Presumed Measurement

Pitfalls

Number of computer
viruses/malicious code
caught

Effectiveness of automated antivirus controls

Why are so many viruses getting through in the
firstplace? How many got through that never
got caught?

Number of security
incidents and
investigations

Activity of monitoring security events

What threshold causes an incident or
investigation to get triggered? Are incidents
triggered because of organizational process
flaws?

Cost of security breaches

True business loss related to security failures

What residual risks did the business
choose to take? Is it a measure of a crisis or disaster
response, but not necessarily a function of
reasonable safeguards in place?

Time and materials
assigned to security
functions

True business cost of running a security program

Are the tools, assignments or procedures
inefficient, causing people to waste time?

Compliance with security
rules

Level of compliance matching security program goals

How does compliance relate to effectiveness?
What is the order of compliance? Once
compliance is achieved, is the security
program“finished”?

Tapausten lukumäärät ovat epäluotettavia mittareita. Chapin & Akridge (2005) perustelevat ja havainnollistavat väitettään vertauskuvan avulla. He käskevät kuvittelemaan pienen kaupungin, jossa on yksi poliisi ja ison kaupungin, jossa on useita poliiseja. Pienen kaupungin yksittäinen poliisi yrittää ainoastaan saada kiinni ylinopeutta ajavia autoja. Hän viettää kaiken aikansa tien vieressä ja saa kiinni satoja ylinopeutta ajavia ihmisiä. Vastaavasti isossa kaupungissa poliisit eivät käytä tutkia saadakseen kiinni ylinopeutta ajavia autoja, mutta kaupungissa on laaja älä aja humalassa-ohjelma. Ison kaupungin poliisit antavat vain muutaman sakkolapun ylinopeudesta. Onko pienempi kaupunki turvallisempi? Ylinopeutta ajavien lukumäärä korreloi ainoastaan turvamekanismin kanssa, mutta lukumäärästä ei voida tehdä päätelmiä kaupungin turvallisuudesta. Miten esimerkiksi pienen kaupungin humalassa olevat kuskit, jotka eivät aja ylinopeutta – eivätkö he ole suurempi uhka kaupungille, kun ylinopeutta ajavat?

Tilannetta voi verrata virusohjelmistoon IT-ympäristössä. Virusohjelmisto, joka raportoi suuresta määrästä tartuntoja kertoo ainoastaan siitä, että ohjelmisto toimii, mutta kertooko se oikeastaan mitään turvallisuudesta? Miksi virukset ylipäätänsä pääsevät läpi? Kuinka moni pääsee läpi ilman, että ohjelmisto havaitsee niitä? Mikäli ohjelmisto ei havaitse ollenkaan tartuntoja niin eikö se kerro siitä, että ympäristö on erittäin turvallinen ja mahdollisesti yksikään virus ei ole päässyt ympäristöön asti? (Chapin & Akridge 2005, p. 3)

Toinen perinteinen turvallisuusmetriikka on turvallisuusrikkomuksen aiheuttama kulu yritykselle. Tälläisessä tapauksessa oletetaan, että jotain pahaa on tapahtunut. Tämän kaltainen statistiikka kertoo vastausnopeudesta riskin toteutuessa, mutta ei välttämättä turvallisuuden yleisestä tasosta. Jotkut tapaturmat ovat yrityksen riskinottokyvyn ja huonon tuurin seurausta. Vastaavasti toiset tapaturmat voivat olla seurausta huonoista turvallisuuskäytännöistä. Miten tälläiset tapahtumat voi erottaa toisistaan? Turvatoimet antavat jonkin tason suojan, mutta aina on olemassa riski. (Chapin & Akridge, 2005)

Chapin & Akridgen (2005) mukaan avain tarkoituksenmukaiseen turvallisuusmetriikkaan on suorittaa mittauksia, jotka täyttävät seuraavat kriteerit:

  • Niiden tulee mitata organisaatiolle tärkeitä asioita
  • Ne tulee olla toistettavissa
  • Niiden tulee olla objektiivisia ja puolueettomia
  • Pidemmällä aikavälillä niiden tulee mitata kehitystä jonkin päämäärään suhteen

Käytännössä Chapinin & Akridgen (2005) mukaan kaikista olevista mittareista puuttuu jokin yllä olevista ominaisuuksista. He väittävät, että perinteisesti organisaatiot hankkivat mittareita sen perusteella, mikä on heille suotavaa. Heidän mielestäänsä metriikkaa tulee kehittää systemaattisemmin siten, että se vastaa paremmin yllä olevia kriteereitä.

2. Kypsyysmalleista yleisesti

2.1 Taustaa

Kypsyysajattelu on lähtöisin 1970-luvulta, jolloin Richard Nolan esitti Stages-of-Growth -mallin. Malli koostui kuudesta tasosta ja kuvasi informaatioteknologian käyttöönottoa yrityksissä (Batenburg, Helms and Versendaal, 2006; Kohlegger, Maier and Thalmann, 2009; Mettler, 2011). Laatujohtamisen liike omaksui mallin ja seurauksena syntyi Crosbyn Quality Management Maturity Grid (QMMG). QMMG-mallissa on määritelty ruudukkoon organisaation tyypillinen käyttäytyminen viidellä eri kypsyystasolla laatujohtamisen jokaiselle kuudelle eri vaiheelle. Mallin mukaan yritykset kehittyvät viiden vaiheen kautta – epävarmuus, taantuminen, havahtuminen, valaistuminen ja varmuus - matkallaan kohti erinomaista laadun hallintaa. QMMG on yksi ensimmäisistä malleista, jonka tasot ovat portaittaisia. Tunnetuin johdannainen laatujohtamisen malleista on 1980-luvulla ohjelmistuotannon alalla esitelty Capability Maturity Model (CMM).

CMM poikkeaa Crosbyn laaturuudukosta ja pitää sisällään sarjan kumulatiivisia pääprosessialueita, englanniksi key process areas (KPA), joista pitää suoriutua sitä mukaan kun kypsyystaso nousee. Jokainen KPA on jaettu viiteen luokkaa, joitka kutsutaan nimellä common features. Nämä luokat sisältävät käytännöt, jotka toteuttavat tärkeimpien prosessialueiden päämäärät. (Fraser, Moultrie and Gregory, 2002) Alla oleva kuva esittää CMM:n rakennetta.

123.JPG

Kuva 1. CMM-mallin rakenne

Alun Alun perin kypsyysmalleja käytettiin ohjelmistuotannon alalla, mutta nykyään ne ovat yleistyneet myös muille aloille, kuten projektinhallintaan ja tuotteen elinkaaren hallintaan. Alasta riippumatta, kypsyysmalleilla pyritään arvioimaan jonkin kohteen kypsyyttä tietyn kriteeristön pohjalta. Tyypillisesti mallit koostuvat kypsyystasoista ja näkökulmista, joiden kautta kohdetta arvioidaan. (Jokela, Siponen, Hirasawa and Earthy 2006, p. 264.) Malleilla on useita esitystapoja niiden rakenteesta ja laajuudesta riippuen. Taulukon muodossa esitetty kypsyysmalli edustaa yksinkertaisempia kypsyysmalleja kun taas CMM-kaltainen malli edustaa monimutkaisinta muotoa. (Mettler 2010, p.77.) Esimerkiksi henkilö-CMM, joka tähtää organisaation inhimmillisen pääoman kehittämiseen, sisältää 700-sivuisen dokumentaation (ks. Curtis, Hefley and Miller, 2001).

2.2 Kypsyysmallien käyttötarkoitukset