Nixun tietoturvallisuuden hallinta
Iikka Salmela
Nixun tietoturvallisuutta on kolkuteltu kolmesti tämän vuoden aikana asiantuntevien auditoijien toimesta – loistavin lopputuloksin. Tämän lisäksi Nixu kolkuttelee itseään suunnitelmallisesti ja kehittää tietoturvallisuuttaan iteratiivisesti havaintojen perusteella. Muista kolkutteluista meillä ei onneksemme ole toistaiseksi ollut tarvetta tiedottaa. Yllätyksenä ei kuitenkaan millekään yhtiölle tulisi olla, etteivätkö nämä olisi mahdollisia, jopa todennäköisiä. Mutta kuinka todennäköisiä?
Todennäköisyys riippuu useista tekijöistä, kuten liiketoiminnan muodosta, toimialasta, medianäkyvyydestä ja siitä kuinka paljon hyökkäyspinta-alaa kolkuttelijoille tarjoaa. Usein todennäköisyyttä on kuitenkin haastava arvioida ulkoisten tekijöiden perusteella. Liiketoiminnan kannalta onkin hyödyllisempää aloittaa siitä, mikä yritykselle on tärkeää. Toisin sanoen: Mitä merkitystä sillä on, että yrityksen järjestelmä X murretaan, jolloin sieltä vuotaa tietoa Y? Tai mitä merkitystä liiketoiminnalle on, jos järjestelmään X murtaudutaan ja se aiheuttaa käyttökatkon prosessille Z? Tunnistamalla tiedon Y vaikutus järjestelmän X toimintaan ja edelleen prosessiin Z voidaan puhua riskienhallinnan toisesta perinteisestä tekijästä: vaikutuksesta. Vaikutuksen tunnistamisen jälkeen tietoturvallisuuden hallinta saa prioriteetit, joiden mukaan voidaan pohtia, mitä eri uhkia tietoon Y kohdistuu ja mitkä ovat mahdolliset hyökkäysvektorit. Vasta tämän jälkeen voidaan pohtia paras arvaus kysymykseen, kuinka todennäköistä on, että vihamielinen taho onnistuu tietohyökkäyksessään.
Suojattavan tiedon analysointi keskiössä
Nixun oman tietoturvallisuuden hallinta perustuu edellä kuvattuun riskienhallintamalliin. Riskienhallinnan kautta analysoidaan se mitä tietoa on suojattava ja kuinka paljon. Näiden suojattavien kohteiden turvaamiseksi otetaan käyttöön tietoturvakontrolleja, jotka muodostavat hidasteita hyökkääjälle. Toiset kontrollit taas tukevat hyökkäyksen havaitsemista ja niihin reagointia. Nixun tietoturvallisuus pyrkii siis muodostamaan useita hidasteita kriittisimmän tiedon suojaksi ja iteratiivisesti kehittämään näitä maailman muuttuessa ympärillä.
Loppujen lopuksi Nixun, kuten kaikkien yhtiöiden osalta on myönnettävä että todennäköisyys tietohyökkäyksen onnistumiseen on aina olemassa. Tietoturvallisuuden johtamisen työtä auttaa, kun priorisoidaan, mitkä tiedot suojataan ja ymmärretään että määriteltyjen jäännösriskien hyväksyminen on yksi riskien käsittelyyn liittyvistä toimenpiteistä. Jäännösriskien hyväksymiseen liittyy myös tieto siitä, että saatamme jonain päivänä joutua nojautumaan ennalta määriteltyihin riski- ja kriisiviestintäperiaatteisiimme ja viestimään meitä kohdanneesta tietomurrosta. Tähänkin varautuminen on osa hyvin hoidettua tietoturvallisuutta.
Kirjoittaja johtaa Nixun Security Operations -toimintaa tukiverkostonaan yli sata osaavaa tietoturvakonsulttia.