You are here: TUTWiki>Tietoturva/Tutkielmat>Tutkielmat?>OrganisaatioidenTT-auditointi (revision 2)

1 Johdanto

Työssä selvitetään miksi organisaation tulisi pitää tietoturva-auditointi. Onko tietoturvan auditoinneille ulkoinen paine, eli täytyy antaa organisaation toiminnasta hyvä ja turvallinen imago, vai sisäinen, eli organisaation johto haluaa varmistuksen tietoturvan korkealle tasolle. Vai onko organisaation tarpeena tietoturvan ISO/IEC 27001-standardi, joka määrittelee laadukkaan tietoturvan tason.

2 Tietoturva-auditoinnin määritelmä lyhyesti

Tietoturvan auditointi tarkoittaa manuaalista tai systemaattista järjestelmien ja systeemien teknistä arviointia ja mittaamista. Auditointi sisältää henkilöstön haastattelua, tietoturvallisuuden heikkouksien tarkastamista ja löytämistä erilaisilla menetelmillä, sekä ohjelmistojen, toiminnanohjaus- ja käyttöjärjestelmien pääsynvalvonnan laatua ja menetelmiä. Fyysinen pääsynvalvonta on myös auditoinnissa tarkastelun kohteena. [1] Tietoturvan auditoinnin voi myös määritellä abstraktimmalla tasolla: se on toimenpide, jossa tarkastetaan kuinka organisaation tiedon luottamuksellisuus, saavutettavuus ja eheys on varmistettu [2].

3 Miksi organisaation tulisi pitää tietoturva-auditointi

3.1 Tietoturva-auditoinnin syyt ja hankinta

Organisaatiolle on monia syitä tietoturva-auditointiin. Organisaatio voi haluta tarkistaa tietoverkkonsa turvallisuuden tai onko organisaation ohjelmistot ja toiminnanohjausjärjestelmät tarpeeksi tietoturvallisia. Varsinkin räätälöityjen ohjelmistojen ja toiminnanohjausjärjestelmien auditointi voi olla tarpeen, koska niihin ei ole olemassa valmiita päivityksiä, jolloin räätälöidyn järjestelmän tietoturva on vain toimittajan ja tietohallinnon vastuulla. Organisaation johto saa auditoinneilla tietoonsa onko organisaation tietoturva-investoinnit mennyt oikeisiin asioihin, eli onko kehitetty oikeita asioita toisten, mahdollisesti tärkeämpien, asioiden kustannuksella [3]. Organisaatiossa muutos on jatkuvasti läsnä niin rakenteissa kuin järjestelmissä, joten organisaation tulee muistaa, että auditointi ei ole kertaluonteinen prosessi, vaan jatkuva pyrkimys kohti parantunutta datan suojausta [2].

Monesti organisaatioissa suhtaudutaan tietoturvaan vain välttämättömänä pahana, joka täytyy hoitaa alta pois muiden tärkeämpien asioiden vuoksi. Organisaatioihin onkin aiheellista hankkia ulkoinen riippumaton konsultti, joka hoitaa tietoturvan auditoinnin, mikäli organisaatiolla on aihetta tarkastaa tietoturvan taso. Joillakin organisaatioilla, kuten pankeilla ja vakuutusyhtiöillä, on myös sisäisiä tarkastajia, joiden toimialueeseen kuuluu tietoturvan tason varmistaminen. [3] Monesti organisaatiot haluavat kuitenkin ulkopuolisen auditoijan, joka antaa riippumattoman ja objektiivisen näkemyksensä tietoturvan tasosta. Ulkopuolisen tarkastajan on helpompi nähdä tietoturvan virheet, koska sisäiset toimijat ovat yleensä tottuneet vallitseviin käytäntöihin, jolloin virheiden havainnointi voi olla vaikeampaa. Yleensä auditoijalta odotetaan alan pätevyyttä, esimerkiksi ISACA:n myöntämä CISA-tutkinto antaa pätevyyden tietojärjestelmien tarkastamiseen [3].

3.2 Tietoturva-auditoinnin mahdolliset hyödyt

Organisaatio voi tarvita laajaa tietoturva-auditointia, kun organisaation johto haluaa saada kattavan nykytila-analyysin. Tällainen nykytila-analyysi voi olla tarpeen, kun tietoturvan avainhenkilöt vaihtuvat tai organisaation rakenne muuttuu, esimerkiksi yrityskaupan yhteydessä. [3] Organisaatio haluaa auditoinnilla takuun tietoturvan laadun jatkumisesta tai mahdollisen kehittämisen suunnasta. Auditointi voi antaa organisaatiolle suuntaviivat kehitykselle, esimerkiksi auditointi voi paljastaa organisaation tietoturvapolitiikan vajavaisuuksia tai tietoverkon joidenkin seikkojen huomiotta jättäminen. Auditointi voi tuoda yritykselle halun sertifioida tietoturvan tason jollain yleismaailmallisella sertifikaatilla, esimerkiksi ISO 27001 -standardilla tai muulla sertifikaatilla. Sertifioinnilla voi olla organisaatiolle imagollinen vaikutus, jolloin asiakkailla on parempi luottamus organisaation toimiin [3].

3.3 Tulisiko organisaation pitää auditointi standardoidakseen tietoturvan laadun?

Organisaation tulisi ottaa standardikseen tietoturvallisuuden hallinnan standardi ISO/IEC 27001, mikäli he haluaisivat helpottaa tulevia auditoinnin prosesseja. Standardista on se hyöty, että tekniset tietoturvan kontrollivälineet, kuten antivirusohjelmat ja palomuurit, eivät kuulu standardin mukaiseen auditointiin, koska mainittujen toimintojen oletetaan jo olevan osana tietoturvan hallintaa ISO/IEC 27001 – standardin myötä [4].

ISO/IEC 27001 – standardi on siis muodollinen joukko spesifikaatioita, joilla organisaatiot voivat etsiä sertifikaatiota tietoturvan järjestelmiin (ISMS, Information Security Management Systems). Organisaatiot saavat standardin avulla muotoiltua paremmin tietoturvallisuuden vaatimukset ja tavoitteet. [5] Organisaatioiden tietoturva-auditointien seurauksena organisaatio voi haluta standardisointia laadukkaalle tietoturvalle ja sen politiikalle. Kyseinen ISO/IEC 27001 – standardi helpottaisi organisaation tulevia auditointeja, koska pohja hyville perusteille on standardin myötä jo olemassa. Organisaation tulisi pitää auditointeja juuri tavoitellakseen parempaa tietoturvaa, jota voisi standardoida yleisesti hyväksytyillä menetelmillä. Standardointi ei tietenkään ole laadukkaan tietoturvan laadun tae, mutta se tuo politiikkaan ja menetelmiin varmasti yksinkertaisuutta ja mahdollistaa tulevan kehityksen paremmin.

Lähteet:

[1] Wikipedia. Information technology security audit. Wikimedia Foundation, Inc. Saatavilla URL=[ http://en.wikipedia.org/wiki/Security_audit ].

[2] Hayes, B. 2003. Conducting a Security Audit: An Introductory Overview. Symantec. Saatavissa URL=[ http://www.symantec.com/connect/articles/conducting-security-audit-introductory-overview ]

[3] Hämäläinen P. Auditointi tarkastaa tietoturvan tason. Tietokone 13/2004 sivu 66. Saatavilla URL=[ http://www.tietokone.fi/lehti/tietokone_13_2004/auditointi_tarkastaa_tietoturvan_tason_2738 ].

[4] Wikipedia. ISO/IEC 27001. Wikimedia Foundation, Inc. Saatavilla URL=[ http://en.wikipedia.org/wiki/ISO/IEC_27001 ].

[5] ISO 27001 Security. ISO/IEC 27001:2005 Information technology — Security techniques — Information security management systems – Requirements. http://www.iso27001security.com/html/27001.html

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Kehitteillä
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r2 - 03 Nov 2011 - 20:35:01 - HenriHemminki?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback