Tutkimuksen aikana minulle selvisi lukuisia mielenkiintoisia asioita tietoturvallisuudesta. Käyn läpi seuraavaksi esille tulleita ajatuksia ja teorioita.
Nykyään organisaatioilta vaaditaan erityistä panostusta tietoturvaan. Apuna tässä on tietoturvallisuuden hallintajärjestelmä, jonka avulla tiedetään, mistä ollaan tulossa, mitä juuri nyt tapahtuu, minne pitäisi olla menossa ja mitä pitää tehdä, jotta tavoitteeseen päästään. Kehämallin periaatteen mukaan hallintajärjestelmä paranee niin kauan kuin sitä ylläpidetään.
Tietoturvaympäristö ei pysy staattisena, koska sisäiset ja ulkoiset muutokset takaavat, että ajan kuluessa myönteisiä ja kielteisiä muutoksia tapahtuu. Näihin muutoksiin on sopeuduttava.
Vastuun ottaminen ja kehitysprosessin läpivienti ovat tietoturvallisuudessa tärkeitä tekijöitä. Kontrolleilla ja parhailla käytännöillä varmistutaan, että jokaisella osa-alueella tai resurssilla on siitä vastaava henkilö.
Hyvä tietoturva vaatii koulutusta ja asennetta. Haluttu tietoturvataso ei toteudu, jos ei panosteta riittävästi sekä osaavaan työvoimaan että turvalliseen tekniikkaan. Yrityksen tai organisaation johto ja sen asettamat
tietoturvaperiaatteet ja toimintaohjeet määrittävät, miten yrityksessä periaatteessa pitäisi toimia. Käytännössä nämä vaatimukset harvoin toteutuvat kirjaimellisesti ohjeiden mukaan, ja tähän on syytä varautua. Käytän termiä asettaa, sillä johdolla on valta päättää, miten he suhtautuvat tietoturvaan. Jos vastuuta ei tunnisteta tai asia ei kiinnosta, tietoturva jää huomioimatta.
Työilmapiiri vaikuttaa myös tietoturvaan. Tietoturvan on siksi oltava vakituinen ja luonnollinen osa työkulttuuria ja arkityötä. Yksittäisen ihmisen panos kertautuu positiivisesti, kun kaikki työntekijät pitävät huolta tietoturvasta.
Johdolle pitää pystyä perustelemaan tietoturvan merkitys.
Tietotekniikkapalveluista tulee kiinteämpi osa organisaatiota, jos niiden rooli ymmärretään paremmin. Kontrollit ja parhaat käytännöt vaativat tietoteknisten resurssien ja -palveluiden luokittelua ja tarkastelua sekä yksinään että kokonaisuutena. Tuloksena on resurssien selkeytyminen, kun vuorovaikutussuhteet tunnetaan. Tietotekniikkapalveluita on tutkittava koko niiden elinkaaren ajan. Usein ei nykyisten palveluiden tilaa tiedetä, jolloin eletään uskomusten varassa. Tutkimalla ja testaamalla saadaan todellista tietoa ja voidaan toimia paljon luotettavammin ja tehdä parempia suunnitelmia, kun yllätyksiä ei tapahdu niin helposti. Tietoturvan kehitysprosessin tukena on hyvä olla koulutettuja ihmisiä, konsultteja ja alan kirjallisuutta.
Tietotekniikkahallinnan kustannustehokkuus paranee, kun tietojenkäsittelyn prosessit hallitaan ja tunnetaan paremmin. Kun tiedetään, mitä tarvitaan ja kenelle, ei synny ali – tai ylikapasiteettia. Prosessien läpikohtainen tunteminen antaa mahdollisuuden perustella, miksi tietoturvallisuuteen on panostettava varoja.
Organisaatioiden tietoturvan budjetti ei ikinä riitä täydellisiin ja kaikki osa-alueet kattaviin suojauksiin. Riskien hallinnalla ja kustannusten selvittämisellä saadaan tärkeää tietoa varojen osoittamiseen oikeisiin kohteisiin. Riskien todennäköisyyttä pienentämällä ja seurausten minimoimisella voidaan välttyä suurilta kustannuksilta, jos ja kun jokin uhka toteutuu.
Yhteisien kontrollien ja yhtenevien termien käytöllä helpotetaan huomattavasti organisaatioiden sisäistä ja -välistä kommunikaatiota tietotekniikka-asioista. Sekaannuksia tai väärinymmärryksiä tapahtuu näin vähemmän.
Tietoturvan kehityksen aloitus on vaativa tehtävä organisaatiolle.
Tietoturvakehityksen ensimmäiseltä kehitystasolta on pyrittävä tarmokkaasti seuraavalle. Tavoitteena on aina toiminnan parantaminen, nopeuttaminen ja muut. Ensimmäisellä tasolla tietoturva on muutamien yksittäisten ihmisten vastuulla, samoin korkeammilla tasoilla muutamat ihmiset tekevät tärkeimmät ohjauspäätökset. Aloittavalla tietoturvaorganisaatiolla on kehitettävää joka
osa-alueella. On osattava priorisoida, mitä tehdään ja mitkä kohteet vaativat eniten kehitystä ja suojaa. Tärkein yksittäinen osa-alue on tietoturvan hallintajärjestelmä, joka pitää sisällään kaikki kehityksessä tarvittavat osat aina suunnitelmista käytännön menetelmiin. Erona AD Hoc toimintaan on muiden ihmisten ja järjestelmien tuki päätösprosessissa. Miten siis vakuutetaan organisaation johto tietoturvan tärkeydestä, ja miten saadaan tietoturvatyöhön resursseja? Vaaditaanko toteutuneita riskejä ennen kuin todella ymmärretään suojausten tärkeys?
Tietoturvakehityksen aloittamisessa organisaatiolla täytyy olla vastuuhenkilöt, myönteinen tietoturvakulttuuri, jokin toimiva hallintorakenne, jokin standardi tai ohjeisto, jonka mukaan toimia ja riittävä määrä budjetoituja resursseja. Kun tietoturvatyö on saatu alulle, sitä ei saa lopettaa. Saavutetut edut voidaan menettää, jos tietoturvaa ei mitata, seurata, ylläpidetä ja kehitetä.
Eikä ole syytä unohtaa tietoturvan kaikkien tärkeintä osaa eli ihmistä. Ihminen tekee virheitä kuten myös parantaa tietoturvaa. Organisaation on panostettava tietoturvakoulutukseen, jos halutaan, että tietoturvakäytännöt ovat todella käytössä eivätkä vain hienoja suunnitelmia.
Organisaatiosta riippuen suurin ongelma tietoturvan parantamiselle ei ole välttämättä rahan riittäminen vaan muutosvastarinta ja toimintatapojen muuttamisen pelko työntekijöissä. Tietoturvan sosiaalinen puoli ei saa missään vaiheessa unohtua. Valittaessa tietoturvan kehitykseen standardeja ja ohjeita pitää huomioida, miten niissä otetaan huomioon sitä käyttävien ja sitä toteuttavien ihmisten tarpeet ja osaaminen. Jos onnistutaan saamaan työntekijät työskentelemään tietoturvan hyväksi pakottamatta ja omasta tahdosta, tietoturvan toteutumisen suurin este on voitettu.
Riskianalyysien teon aikana ymmärsin, että jo tiedostettuihin riskeihin ja uhkiin varautuminen ei pelkästään riitä. Ajan tasalla pysyminen ja muutosten hallinta antavat mahdollisuuden ennustaa ja arvioida mahdollisia uusia uhkia ja niiden mahdollistamia riskejä. Oman työympäristön tunteminen on vahvuus riskien hallinnassa, sillä valmiita riskianalyysiohjeita ainoastaan seuraamalla voi jäädä huomaamatta uniikkeja, juuri omaan työympäristöön liittyviä erityispiirteitä. Itse riskianalyysien suorittamista ja analyysimenetelmiä kannattaa myös kehittää ja parantaa, sillä tietoturvan hallintajärjestelmän parantaminen vaatii parempia työkaluja.
Tutkimuksessa tuli vastaan paljon minulle ja Kivelälle uusia asioita tietoturvasta. Pitkäkestoisen tutkimuksen vaatimukset ja yhteistyö muiden osapuolten kanssa antoivat paljon kokemusta. Tutkimukseni teoriat on koottu BS 7799:stä, ITIListä ja VAHTI-ohjeista. Niiden perusteita soveltumista käytäntöön on tutkittu huolellisesti ennen niiden julkaisua, joten pidin niitä luotettavina lähteinä. Myös lähdekirjojen kirjoittajat ovat maininneet
teorioidensa pohjautuvat omiin käytännön kokemuksiin. Riskianalyyseissa käytin VAHTI-ohjeiden mallia, joten analyysini toteuttavat VAHTI-ohjeiden vaatimuksia. Lähdemateriaalin kritiikkinä haluan erotella yksittäisten kirjoittajien ja standardien tyylieroja ja tapoja tuoda asioita esille. VAHTI, BS 7799 tai ITIL eivät juuri sisällä mielenkiintoisia huomautuksia tai uusia ideoita.
Kirjojen kirjoittajilla oli mukana omia, omiin ajatusmalleihin ja kokemuksiin perustuvia näkemyksiä asioista. Mielestäni nämä kaksi näkökulmaa, persoonallinen ja persoonaton antoivat mahdollisuuden arvioida kummankin tyyppisiä kirjoituksia ja niiden tarkoitusperiä. Persoonaton teksti on tarkoitettu välittymään lukijalle sellaisenaan. Tarkoituksena ei ole välttämättä herättää erityisiä ajatuksia tai kyseenalaistaa sanomaa. Toisin on yksityisten kirjailijoiden teksteissä. He ilmoittavat, että tämä on heidän tapansa ilmaista asiat ja lukijalla on oikeus muodostaa ja arvostella lukemaansa ja siihen suorastaan kehotetaan.
Tutkimuksen edetessä kävi selväksi, että aihealueen laajuudesta johtuen ei olisi mahdollista tehdä täysin kaikenkattavaa tutkimusta, sillä liian pitkään kestävän tutkimuksen tulokset eivät valmistuessaan enää välttämättä olisi todellisuutta vastaavia. Tutkimuksen tarkoituksena oli toimia alkusysäyksenä tietoturvan parantamiselle HAMKissa ja vanhentuneet tiedot eivät olisi paljoa auttaneet. Myös tietoturvastandardeissa tapahtui kehitystä tutkimuksen aikana: BS 7799:stä kehitettiin ISO 17799 ja tämä kehitys jatkuu edelleen.