Tietoturvan harjoittelusta

Onko organisaatiosi saanut haitallisia viestejä tai kalastelupostia yhteistyökumppanilta, entä onko teillä ollut haittaohjelmahavaintoja tai onko tunnukset päässeet mahdollisesti vuotamaan hakkereille?

Mikäli olet ollut organisaatiossasi mukana jossain määrin jonkin edellä mainitun tapauksen ratkaisussa, olet harjoitellut tietoturvan käytäntöjä tositilanteessa. Jos muistelet, niin kuinka sujuvaa toiminta oli, oliko tietoturvakäytännöt selvät? Entä mitkä olivat vahingot organisaatiollesi? Onko toiminnassanne parannettavaa? Jos taas mainitut tapaukset eivät ole sinulle tuttuja tai organisaatiosi ei ole kokenut mitään seuraavista niin mitenkä uskoisit organisaatiosi selviävän kyseisistä tilanteista?

Harjoitustoiminnan on tarkoitus mahdollistaa kaikkiin näihin kysymyksiin vastaaminen turvallisessa tilanteessa, ilman vahinkoja.

Yleensä tietoturvatapauksien ratkomisessa organisaatio on kovan paineen alla saada tilanne haltuun, jotta vahingot jäisivät mahdollisimman pieneksi. Tällöin on selvää, että prosessien sisällön kehittämiseen ei pystytä pureutumaan kuten harjoitustilanteessa ja opit eivät välttämättä täten välity.

Olemme HSY:llä huomanneet, että harjoittelukin pitää sisällään kuitenkin useita sudenkuoppia.

Yksi näistä on, että vain tietoturvasta vastaava henkilöt harjoittelevat. Vaikka heidänkin osaamisensa ylläpitäminen on tärkeää, omasta mielestäni vielä tärkeämpää on, että tähän osallistuu organisaatiosta väkeä monipuolisesti, jotta he voivat tuoda oman yksikkönsä näkökulman harjoitukseen ja jalkauttaa tässä saadut opit tasaisemmin koko organisaatioon. Tietoturva modernissa digiaikakauden yrityksessä on kuitenkin kaikkien organisaation työntekijöiden vastuulla, koska myös uhkat nykypäivänä kohdistuvat suoraan työntekijöihin.

Toinen on, että harjoituksessa tehtyjä havaintoja ei kirjata ylös, eikä näistä tehdä kehityssuunnitelmaa. Vaikka harjoittelu itsessään lisääkin työntekijöiden tietoturvaosaamista, niin harjoituksessa todennäköisesti löytyy myös aktiivisia puutteita tietoturvassa ja tämän prosesseissa. Jos näihin ei aktiivisesti puututa, törmätään seuraavalla harjoituskerralla varmana samoihin puutteisiin.

Useasti organisaatioilla tuntuu kuitenkin olevan iso kynnys osallistua harjoituksiin, joka ilmenee pelkona, jos tietoturvakäytäntöjä ei ole olemassa tai nämä ovat heistä liian puutteelliset. Voin sanoa, että joka ikisen organisaation on hyvä harjoitella, olivat kuinka epäkypsiä tietoturvaltaan tahansa, sillä jos prosesseja ei ole, niin harjoitustilanteessa huomaa nopeasti mitkä käytännöt sopisivat harjoittelijaorganisaatiolle parhaiten tai missä jo olemassa olevien käytäntöjen puutteet ovat.

HSY osallistuu tänäkin vuonna esimerkiksi digi- ja väestötietoviraston TAISTO harjoitukseen. Harjoitus on aina ollut hyvä, jossa on matala osallistumiskynnys, joka mahdollistaa meille helposti olemassa olevien prosessien toimivuuden testaamisen sekä tuo eteen selviä kehityskohteita. Tämä myös antaa selvemmän tuntuman siitä, kuinka vuoden aikana kehitetyt toimet ovat vaikuttaneet tapausten ratkaisun tehokkuuteen ja miten tietoa on saatu jalkautettua organisaatiossa.

Nykypäivänä on selvää, että enää yksikään organisaatio ei voi laiminlyödä tietoturvaansa tai kitsastella varautumisessaan, sillä realisoituvalla tietoturvariskillä on aina hintalappunsa, oli tämä millainen tapaus tahansa.