Henri Hemminki

Tietoturva-auditointien merkitys organisaatioille

1 Johdanto

Miksi organisaation tulisi pitää tietoturva-auditointi? Onko organisaatiolla ulkoista painetta tietoturva-auditointiin, eli halutaan antaa asiakkaille organisaation tietoturvan tasosta hyvä ja turvallinen imago, joka voi tuoda luottamusta organisaation toimintaa kohtaan. Vai onko organisaatiolla sisäinen paine, esimerkiksi johdon painostuksen tai henkilöstön vaihtumisen myötä. Entä haluaako organisaatio standardoida tietoturvan tason jollain tunnetulla standardilla, esimerkiksi ISO/IEC 27001 –standardilla, joka määrittelee tietoturvan järjestelmien hyviä käytäntöjä ja toimintatapoja.

Onko auditoinnista ja standardoinnista lopullista hyötyä organisaatiolle tulevaisuutta ajatellen ja kuinka usein esimerkiksi auditointeja tulisi pitää? Pelkkä standardin hankkiminen ja auditointi eivät välttämättä tarkoita, että organisaatio alkaisi niiden mukaan parantaa tietoturvaansa tulevaisuudessa. Organisaatiot ovat nykyään riippuvaisia tietojärjestelmistään ja –palveluista, jotka tuovat myös monia tietoturvauhkia. Auttaako auditointi ja standardointi organisaatiota osoittamaan sidosryhmilleen tietovarojen luottamuksellisuuden, eheyden ja saatavuuden?

2 Tietoturva-auditoinnin määritelmä lyhyesti

Tietoturvan auditointi tarkoittaa manuaalista tai systemaattista järjestelmien ja systeemien teknistä arviointia ja mittaamista. Auditointi sisältää henkilöstön haastattelua, tietoturvallisuuden heikkouksien tarkastamista ja löytämistä erilaisilla menetelmillä, sekä ohjelmistojen, toiminnanohjaus- ja käyttöjärjestelmien pääsynvalvonnan laatua ja menetelmiä. Fyysinen pääsynvalvonta on myös auditoinnissa tarkastelun kohteena. [1] Tietoturvan auditoinnin voi myös määritellä abstraktimmalla tasolla: se on toimenpide, jossa tarkastetaan kuinka organisaation tiedon luottamuksellisuus, saavutettavuus ja eheys on varmistettu [2].

Organisaatio voi hankkia tietoturva-auditoinnilla itselleen ISO/IEC 27001-sertifikaatin, joka määritellään seuraavaksi. ISO/IEC 27001-standardi määrittelee, että organisaation tulisi systemaattisesti tutkia tietoturvan riskit, ottaa huomioon uhat ja haavoittuvuudet ja niiden vaikutukset. Organisaatiossa tulisi myös suunnitella ja ottaa käyttöön kokonaisvaltaiset tietoturvan kontrollimenetelmät, sekä omaksua jatkuva hallinnan prosessi, jossa varmistetaan että tietoturva jatkuvasti vastaa organisaation tietoturvan tarpeita. [3] ISO/IEC 27001 on nimenomaan standardi, joka määrittelee tietoturvan hallintajärjestelmien vaatimukset mahdollistaakseen riskien arvioinnin ja tarvittavien ehkäisevien toimenpiteiden toteuttamisen [5].

3 Miksi organisaation tulisi pitää tietoturva-auditointi

3.1 Tietoturva-auditoinnin syyt ja hankinta

Organisaatiolle on monia syitä tietoturva-auditointiin. Organisaatio voi haluta tarkistaa tietoverkkonsa tai ohjelmistojen ja toiminnanohjausjärjestelmien tietoturvallisuuden. Varsinkin räätälöityjen ohjelmistojen ja toiminnanohjausjärjestelmien auditointi voi olla tarpeen, koska niihin ei ole olemassa välttämättä valmiita päivityksiä, jolloin räätälöidyn järjestelmän tietoturva on vain toimittajan ja tietohallinnon vastuulla. Organisaation johto saa auditoinneilla tietoonsa onko organisaation tietoturva-investoinnit mennyt oikeisiin asioihin, eli onko kehitetty oikeita asioita toisten, mahdollisesti tärkeämpien, asioiden kustannuksella [4]. Organisaatiossa muutos on jatkuvasti läsnä niin rakenteissa kuin järjestelmissä, joten organisaation tulee muistaa, että auditointi ei ole kertaluonteinen prosessi, vaan jatkuva pyrkimys kohti parantunutta datan suojausta [2].

Monesti organisaatioissa suhtaudutaan tietoturvaan vain välttämättömänä pahana, joka täytyy hoitaa alta pois muiden tärkeämpien asioiden vuoksi. Organisaatioihin onkin aiheellista hankkia ulkoinen riippumaton konsultti, joka hoitaa tietoturvan auditoinnin, mikäli organisaatiolla on aihetta tarkastaa tietoturvan taso. Joillakin organisaatioilla, kuten pankeilla ja vakuutusyhtiöillä, on myös sisäisiä tarkastajia, joiden toimialueeseen kuuluu tietoturvan tason varmistaminen. [4] Monesti organisaatiot haluavat kuitenkin ulkopuolisen auditoijan, joka antaa riippumattoman ja objektiivisen näkemyksensä tietoturvan tasosta. Ulkopuolisen tarkastajan on helpompi nähdä tietoturvan virheet, koska sisäiset toimijat ovat yleensä tottuneet vallitseviin käytäntöihin, jolloin virheiden havainnointi voi olla vaikeampaa. Yleensä auditoijalta odotetaan alan pätevyyttä, esimerkiksi ISACA:n myöntämä CISA-tutkinto antaa pätevyyden tietojärjestelmien tarkastamiseen [4]. Työssä keskitytään kuitenkin enemmän auditoinnin syihin, kuin siihen, kuka sen voi suorittaa.

Organisaatio voi tarvita laajaa tietoturva-auditointia, kun organisaation johto haluaa saada kattavan nykytila-analyysin. Tällainen nykytila-analyysi voi olla tarpeen, kun tietoturvan avainhenkilöt vaihtuvat tai organisaation rakenne muuttuu, esimerkiksi yrityskaupan yhteydessä. [3] Organisaatio haluaa auditoinnilla takuun tietoturvan laadun jatkumisesta tai mahdollisen kehittämisen suunnasta. Auditointi voi antaa organisaatiolle suuntaviivat kehitykselle, esimerkiksi auditointi voi paljastaa organisaation tietoturvapolitiikan vajavaisuuksia tai tietoverkon joidenkin seikkojen huomiotta jättämistä. Auditointi voi tuoda yritykselle halun standardoida tietoturvan taso jollain yleismaailmallisella standardilla, kuten aiemmin mainitulla ISO/IEC 27001-standardilla. Auditointi voidaan myös pitää standardoimisen halun takia. Standardoimisella voi olla organisaatiolle imagollinen vaikutus, jolloin asiakkailla on parempi luottamus organisaation toimiin [4]. Seuraavassa alaluvussa keskitytään itse ISO/IEC 27001-standardiin ja sen suhteeseen auditointiprosessiin.

3.2 Auditoinnilla tietoturvan standardointiin

Organisaatio voi pitää auditoinnin pelkästään standardoinnin tarpeen takia. Toki auditointi on hyvä pitää tietyin väliajoin, mutta joskus auditoinnin ensisijaisena tavoitteena on vain halu standardoinnille. ISO/IEC 27001-standardin saamiseksi organisaatiossa tulee toimittaa kolmivaiheinen auditointi. Auditoinnin vaiheessa yksi organisaation auditoija tutustuu vallitseviin tietoturvapolitiikkoihin ja avaindokumentteihin. Vaiheessa kaksi auditoija menee syvällisempään ja yksityiskohtaisempaan auditointiin, jossa hän selvittää onko järjestelmät hyvin suunniteltu, otettu käyttöön ja ovatko ne itsessään toimintakykyisiä. Vaiheen kaksi jälkeen organisaatio voi saada ISO/IEC 27001-sertifikaatin. Toisen vaiheen jälkeen tulee kuitenkin vielä kolmas vaihe, jossa selvitetään, onko organisaatio noudattanut standardin antamia ohjeistuksia määräysten mukaisesti. Kolmannen vaiheen voi ajatella alati jatkuvaksi vaiheeksi, joka sisältää jatkuvia uudelleenarviointeja tietyin väliajoin. [3] Kolmivaiheinen auditointi ei ole mikään yleisesti määrätty muoto ISO/IEC 27001-standardin myöntämiselle, mutta käytännössä kaikki vaiheiden toimenpiteet tulevat suoritetuksi vastaavassa järjestyksessä.

ISO/IEC 27001-standardin hankkiminen tuo organisaation tietoturva-auditointiin eräänlaista johdonmukaisuutta. Standardin noudattaminen vaatii jatkuvaa ajoittaista tietoturvan auditointia, jolloin organisaation ei tarvitse kuin seurata standardin sanomia ehtoja. Näin jatkuvat auditoinnit tuovat varmuutta organisaation toiminnalle ja eräänlaista liiketoiminnan jatkuvuutta, kun voidaan olettaa tietoturvan taso riittäväksi. Tietenkään pelkkä standardin olemassaolo ei luo ylitsepääsemätöntä ja kiistämätöntä tietoturvaa, vaan organisaation tulee itse jatkuvasti panostaa tietoturvaansa standardin sanelemien ehtojen mukaan. Standardi tuo eräänlaista pakotetta jatkuvalle tietoturvan kehittämiselle, koska tietoturvan tasoa kumminkin auditoidaan tasaisin väliajoin. Jos jatkuvissa arvioinneissa huomataan puutteita, on sertifikaatin mitätöiminen mahdollista.

3.3 Tietoturva-auditoinnin mahdolliset hyödyt

Tietoturvan auditoinnit voivat tuoda merkittävää hyötyä organisaation toiminnalle. Ensinnäkin saadaan varmuutta organisaation tietoturvapolitiikan tasosta. Organisaatio saa tietoonsa onko se tietoturvapolitiikassaan määritellyt esimerkiksi käyttäjien oikeudet ja pääsynvalvonnan tarpeeksi yksityiskohtaisella tavalla. Auditoinnissa voi myös selvitä, ettei kukaan edes noudata tietoturvapolitiikkaa tarkasti sen vaikean määritelmän vuoksi. Auditoinneilla toivottavasti saadaan annettua organisaatiolle rakentavaa palautetta, jota organisaatio voisi lähteä kehittämään ja virheistä voitaisiin ottaa opiksi. Mikäli tietoturva on jo sopivalla tasolla kaikilta osa-alueilta, saadaan organisaatiolle halutessa sertifikaatti ISO/IEC 27001-standardin mukaisesti.

Auditoinnin yhtenä suurena hyötynä on juuri standardin saaminen, jolloin organisaatio voi saada enemmän luotettavuutta sidosryhmiltään. Standardoinnista aiheutuvat jatkuvat ajoittain tehtävät auditoinnit voivat olla organisaatiolle vain hyvä asia, saadaanhan tietoturvan taso tarkastettua muuttuvassa tietoturvan maailmassa tietyin väliajoin. Lisäksi sertifikaatti ISO/IEC 27001-standardin käytöstä voi tuoda liiketoimintaetua muihin organisaatioihin verrattuna. Organisaation toiminnan tarkastaminen voi olla alan tietokriittisyydestä riippuen myös pakollinen toimenpide, joka täytyy suorittaa, jotta organisaatio voisi tarjota jatkossa palveluitaan.

4 Yhteenveto

Kaiken kaikkiaan auditointi voi olla hyödyttävä toimenpide organisaatioille. Organisaation tulisi siis pitää tietoturva-auditointi, jotta se voisi tarkastaa tietoturvan tason muun muassa pääsynvalvonnan ja järjestelmien osalta. Tiedon eheyden, luottamuksellisuuden ja saatavuuden takia on olennaista, että tieto on turvattu sopivalla tavalla. Auditoinnilla voidaan saada sertifikaatti esimerkiksi käsiteltyyn ISO/IEC 27001-standardiin, joka määrittelee hyvät tietoturvan vaatimukset. Standardoinnilla saadaan järjestettyä jatkuvaa auditointia, jolla saadaan tietoturvan taso pidettyä jatkuvasti korkealla.

Standardointi ja auditointi antavat kaiken kaikkiaan positiivista kuvaa organisaation tietoisuudesta siitä, kuinka merkittävää tietoturvallisuuden taso on organisaatiolle. Sertifioinnin tarkoituksena on osoittaa, että tieto on organisaatiossa luottamuksellista, eheää ja saatavilla olevaa, sekä että organisaatio ottaa tiedon käsittelemisen ja sen turvallisuuden toiminnassaan huomioon.

Lähteet:

[1] Wikipedia. Information technology security audit. Wikimedia Foundation, Inc. Saatavilla URL=[ http://en.wikipedia.org/wiki/Security_audit ].

[2] Hayes, B. 2003. Conducting a Security Audit: An Introductory Overview. Symantec. Saatavissa URL=[ http://www.symantec.com/connect/articles/conducting-security-audit-introductory-overview ]

[3] Wikipedia. ISO/IEC 27001. Wikimedia Foundation, Inc. Saatavilla URL=[ http://en.wikipedia.org/wiki/ISO/IEC_27001 ].

[4] Hämäläinen P. Auditointi tarkastaa tietoturvan tason. Tietokone 13/2004 sivu 66. Saatavilla URL=[ http://www.tietokone.fi/lehti/tietokone_13_2004/auditointi_tarkastaa_tietoturvan_tason_2738 ].

[5] Bureau Veritas Finland. ISO 28001 Sertifiointi. 2001. Saatavilla URL=[ http://www.bureauveritas.fi/wps/wcm/connect/bv_fi/Local/Home/bv_com_serviceSheetDetails?serviceSheetId=13532&serviceSheetName=ISO+27001+sertifiointi]

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 28 Nov 2011 - 19:46:12 - HenriHemminki?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback