Asteikolla 1−10, miten hyvästä tietoturvasta nautit?

Asteikolla 1−10, miten hyvästä tietoturvasta nautit?


Tietoturvan olemukseen kuuluu uhka ja epävarmuus − ehkä mieluummin pitäisikin puhua tietoturvattomuudesta. Silti yritykset ja organisaatiot haluavat hahmottaa tietoturvakokonaisuuden, luoda sen parantamiselle tavoitteet sekä seurata mittareiden avulla, miten tilanne muuttuu varmemmaksi. Varmuuttahan kaikki haluavat.

Suuri kysymys siis kuuluu, miten luodaan järkevä tietoturvallisuuden mittaristo.

Haaste on enemmän kuin kiinnostava. Sen kimppuun on helppo käydä rinta röyheänä vain huomatakseen, että edes tietoturvallisuuden nykytilanteesta on hankala saada objektiivista käsitystä. Tietoturvan keskimääräinen taso on vähän kuin suunnistamista hernerokkasumussa. Tai tietoturvapulma on kuin vesijärjestelmässä elävä bakteeri, josta tiedetään vain näytteiden perusteella pitoisuuksia putkiston eri kohdissa. Sikäli kuin pahimmat kohdat tunnistetaan, ne voidaan eristää, pöpö tuhota, putkisto huuhtoa huolellisesti ja tankata puhdasta vettä tilalle, mutta sitten riesa taas nostaa päätään jossain muualla.

Siis: Kuinka monessa organisaatiossa voidaan kohtuullisen varmasti sanoa onko tietoturvallisuus riittävällä tasolla ja mihin suuntaan tietoturvallisuus yrityksessä on kehittymässä?

Aika harvassa. Eikä tämä ole mitenkään helppo tehtävä niissäkään. Tietoturvallisuus kun on suhteellista.

Ei ole olemassa sellaista mittaristoa, joka sopisi kaikkiin organisaatioihin. Jotta mittaristo olisi järkevä, mittareiden pitäisi heijastaa sitä, mitä mikä on organisaatiolle tietoturvallisuuden osalta tärkeää ja mitä yritetään saavuttaa.

On kuitenkin mahdollista miettiä järkevien ja riittävän hyvin toimivien tietoturvallisuuden mittareiden tunnusmerkkejä. Eteenpäin pääsee kysymällä itseltään esimerkiksi seuraavat kuusi kysymystä:

  1. Onko mittaristo ymmärrettävä ja johdonmukainen?
  2. Auttaako se hallitsemaan riskejä ja ymmärtämään tietoturvallisuuden heikkoja kohtia?
  3. Auttaako se tekemään parempia päätöksiä?
  4. Tukeeko se strategiaa?
  5. Sitouttaako se koko organisaatiota tietoturvallisuuden parantamiseen?
  6. Näyttääkö mittaristo ROI:n kehittymisen?

Yksi käytetyimmistä mittareista on tietoturvahäiriöiden aiheuttamien vahinkojen arvo. Tämä on erittäin hyödyllinen mittari, jos kustannukset voidaan arvioida luotettavasti.

Toinen yleinen mittari on keskimääräinen aika tietoturvahäiriön havaitsemiseen ja palautumiseen. Tämä mittari on kelvollinen, jos organisaatiolla on riittävä kyvykkyys havaita tietoturvahäiriöitä. Reagointinopeus on oleellista tietoturvahäiriöiden vahinkojen minimoinnissa.

Kypsyystasomittari perustuu johonkin kypsyystason viitekehykseen. Tämän tyyliset mittarit ovat hyödyllisiä kun lähdetään systemaattisesti parantamaan kokonaistietoturvallisuutta.

Usein tietoturvateknologioiden suoraan tuottamiin raportteihin suhtaudutaan kuin mittareihin. Tätä lähestymistapaa en kuitenkaan suosittele. Raporteissa tyypillisiä mittareita ovat esimerkiksi haittaohjelmatorjuntaohjelmistojen raportoimat tiedot, esimerkiksi kuinka monta haittaohjelmaa on torjuttu. Kyseinen tieto ei kuitenkaan sinänsä kerro mitään oleellista tietoturvallisuuden tasosta.

Luovuutta peräänkuulutetaan kaikkialla. Myös tietoturvallisuuden parantamisessa on markkinarako luovuudelle ja innovatiivisille keksinnöille. Sodassa, rakkaudessa ja tietoturvallisuuden parantamisessa ovat kaikki keinot sallittuja.

+ There are no comments

Add yours