AUDITOINTI JA ARVIOINTI - Varmista tietoturvan ajantasaisuus

Avaa teksti pdf-muodossa.

Tiedätkö, onko organisaationne tietoturvan hallinta alan tietoturvavaatimusten tasolla? Tiedätkö, miten voitte ottaa käyttöönne parhaat ja teille sopivimmat tietoturvakäytännöt? Entä oletko ajatellut, milloin viimeksi teille uudet silmäparit ovat antaneet näkökulmia asioihin, joihin tulee kiinnittää huomiota tietoturvan kehittämiseksi?

Kokeneen ja riippumattoman tietoturvallisuusasiantuntijan suorittama tietoturvatarkastus, useimmiten nimellä auditointi, antaa päivitetyn tilannekatsauksen tarkastelun kohteena olevan ympäristön nykyisestä tietoturvan tasosta. Auditoinnin tarkoitus on varmistaa tarkastelun kohteena olevan IT-ympäristön turvallisuuden ajantasaisuus sekä se, että turvallisuutta myös kehitetään ajan vaatimuksia vastaavasti. Auditointi varmistaa esimerkiksi, että tietojärjestelmien ja organisaatioiden tietoturva toimii vaatimusten-mukaisella tasolla, ja että organisaatio ymmärtää, mitä sen täytyy tehdä saavuttaakseen liiketoiminta-alueen tietoturvavaatimukset.

Auditoinnin 4K – kohde, kriteerit, kuka, koska?

Auditoinnin kohteena voi olla koko organisaatio, vain osa organisaatiosta, tietyt osastot, tai jotkin projektit ja järjestelmät.

Auditoinnin alussa selvitetään yhdessä asiakkaan kanssa tavoiteltu tietoturvallisuuden taso, jonka mukaan valitaan auditoinnissa käytettävät tarkastuskohteet ja –menetelmät. Auditoinnissa on hyvä valita jokin kriteeristö, jota vasten auditointi suoritetaan. Yleisimpiä käytettäviä kriteeristöjä ovat VAHTI-ohjeisto, KATAKRI, ISO 27001/27002 sekä PCI-DSS. Hyvä auditointi ja auditoija sovittaa näistä valitut kriteeristöt todellista kohdeympäristöä ja toimintaa vastaavaksi.

Edellä mainittuun pohjautuen tarkastuksen suorittajalla on merkitystä. Kokenut ja esimerkiksi CISA tai CISSP -sertifioitu asiantuntija on hyvä olla pääauditoijana aina, kun on kyseessä mikä tahansa merkittävä tai kriittinen tarkastelun kohde.

Aika-ajoin on myös hyvä kysyä itseltään sellaisia kysymyksiä, kuten: Onko meillä järjestelmällinen ja säännöllinen prosessi tietoturvallisuuden tason tarkastamiseksi? Tiedämmekö milloin ja miksi viimeksi tietoturvan taso on tarkastettu sekä milloin ja miksi seuraavan kerran tämä olisi jälleen ajankohtaista? Onko meillä siis vuosikello, jonka mukaan toimimme?

A niin kuin auditointi, A niin kuin arviointi – kuitenkin kaksi eri asia

Tietoturvallisuuden auditoinnista saa vielä enemmän irti, jos siihen yhdistää perinteisen auditoinnin lisäksi kokemusperäisen, riski-analyysiin ja toimintaympäristön erityispiirteisiin perustuvan arvioinnin.

Arviointi on vapaamuotoisempi organisaation turvallisuuden tasoa selvittävä kokonaisuus, joka selvittää organisaation kypsyystasoa suhteessa muihin vastaaviin toimijoihin. Auditoinnista poiketen arviointi ottaa kantaa myös muihin, kuin kriteeristössä määriteltyihin ja havaittuihin asioihin. Arvioinnilla mitataan kohteen yleisempää turvallisuuden tasoa ja etsitään mahdollisia parannuskohteita. Lopputuloksena on kuvaus tietoturvallisuuden nykytilasta sekä kehitysehdotukset käytännön toteutusmalleineen ja perustelut niille.

Turvaa koko toiminnalle

On myös hyvä huomioida, että tietoturvallisuuden auditointi kattaa usein vain pienen osan organisaation turvallisuudesta sekä siitä turvallisuudesta, joka suojaa yritykselle tärkeitä tietoja. Osaava auditoinnin asiantuntijataho on kykenevä laajentamaan auditoinnin myös muille yritysturvallisuuden alueille, jolloin tarkastellaan lisäksi esimerkiksi hallinnollista turvallisuutta, henkilöstöturvallisuutta ja toimitilojen turvallisuuden tasoa. Tärkeää on, että auditoija osaa kiinnittää turvallisuusauditoinneissa ja -arvioinneissa huomiota eri osa-alueiden riippuvuuksiin ja tuomaan organisaatiolle selkeästi ilmi miten eri osa-alueiden löydökset vaikuttavat toisiinsa.

Summa summarum

Seuraavan kerran kun auditointi on teillä ajankohtaista, mieti siis seuraavia asioita:

1. Onko auditoija jo auditoinut ympäristömme useampana vuotena putkeen? Meneekö auditointi rutiinilla? Olisiko tuoreiden katsontakantojen aika?

2. Tarkastammeko tietoturvallisuuden tasoa riittävän usein ja säännöllisesti? Onko meillä vuosikello tätä varten?

3. Pohjautuvatko auditoinnin tarkastuskohteet ja -menetelmät aidosti toimintamme tarpeisiin ja sopivatko ne ympäristöömme?

4. Tiedämmekö, miten jokin puute esimerkiksi toimitilaturvallisuudessa saattaa vaikuttaa tietoturvallisuuteen? Tiedämmekö edes puutteitamme toimitilaturvallisuudessa?

5. Auditointi on vain osa tarinaa. Ottamalla mukaan vapaamuotoisen arvion, saat paremmin selville myös muut kehityskohteet kuin mitä kriteeristö sanelee.