Sami Koskinen
Oct 6, 2011

Tietoturvan riskienhallinta - faktaa vai fiktiota?

Törmäsin taannoin erään Jack Danielin kirjoitukseen[1] siitä, kuinka Penn & Teller –shown [2] tapaan ilmaistuna liiketoimintalähtöinen tietoturva on hevonpeetä. Tulilinjalla on vanha hokema siitä, että mikäli tietoturvapäällikkö tai -johtaja haluaa tulla otetuksi vakavasti, hänen täytyy ymmärtää yhtiön liiketoimintaa, puhua liiketoiminnan kieltä ja luoda liiketoiminnalle arvoa. Sinänsä mantra on järkeenkäypä, vai mitä? Mikä siinä sitten on vialla?

Liikeyrityksen tarkoitus on tuottaa rahaa. Motiiveja yrittämiseen ja omistamiseen voi olla muitakin kuin raha, mutta yritys kuolee, ellei se tuota rahaa. Jack Daniel kirjoittaa, että turvallisuushenkilö voi edistää asioitaan organisaatiossa ymmärtämällä organisaatiossa valtaa pitävien ajureita – karkeasti sanottuna ahneutta ja pelkoa, ei liiketoimintaa. Puhtaasti liiketoiminnan ehdoilla eteneminen kaatuu kvartaalitalouteen ja numeroilla johtamiseen ja näiden tuomaan lyhytjännitteisyyteen. Tietoturva on numeroiden valossa menoa, ei tuloa.

Ihmiset pelkäävät tietoturvaa. Se on vaikeaa, se on aina tiellä ja haittaa asioiden tekemistä. Olisi parempi, jos sen voisi jättää jonkun muun huoleksi.[3] Yritykset eivät pidä tietoturvasta: se näkyy tilikirjoissa ensisijaisesti kuluna, johon on vaikea saada otetta. Ei helpota, että voimavarojen säästämiseksi tietoturvaratkaisujen olisi perustuttava riskianalyyseihin. Yritysjohdolle riski tarkoittaa mahdollisuutta tienata tai hävitä rahaa, ja etupäässä tienata. Turvallisuusihmiset puhuvat riskeistä vahinkoriskeinä, eli mahdollisuutena hävitä rahaa – tulopuolesta ei juuri puhuta. Usein ei voikaan: hyvästä päätöksestä syntynyt hyöty harvoin näkyy pankkitilillä. Jos kieli ei kohtaa, eivät mittaritkaan.

Alan veteraani, Donn B. Parker [4], on ollut vuosia riskianalyysiperustaista tietoturvaa vastaan. Hänen mielestään sellainen tulisi korvata käytännönläheisellä, vaatimustenmukaisuuteen ja huolellisuusvaatimusten (due diligence) täyttämiseen perustuvalla turvallisuusjohtamisella [5]. Karkeasti sanottuna kyse on sellaisten turvallisuuden perustasojen asettamisesta ja toteuttamisesta, joissa huomio on yritykselle varmuudella suoraa vahinkoa aiheuttavien erilaisten laiminlyöntien ja konfliktien välttämisessä [6].

Parker on saanut osakseen myös kritiikkiä. Jeff Lowder huomauttaa, että riskianalyysiperustainen tietoturva tai Parkerin ehdottama malli eivät kumpikaan ole oikeita, vaan oikea vastaus on johtaa turvallisuutta molemmilla [7]. Keskeisimpiä syitä tähän on, että tietoturvaan liittyvä lainsäädäntö on lähes aina kirjoitettu riskianalyysinäkökulmasta. Eräät tärkeät standardit, erityisesti PCI DSS[8] sekä ISO 27001[9], ovat riskienhallintapainotteisia. Ongelmana on, että nämä tekstit ja tämä metodiikka kuvastavat tietoturvaihmisten ajatusmaailmaa ja sisältävät leikkirahaa jota liiketoiminta ei ymmärrä.

Tietoturvankin pitää lunastaa paikkansa organisaatiossa ja ylimmän johdon silmissä. Se onnistuu Jack Danielia lainaten ymmärtämällä organisaation todellisetrakenteet ja toiminta, tukemalla sen toiminnan todellisia ajureita ja poistamalla pelkoja. Sen jälkeen saadaan mahdollisuudet puuttua suorien vahinkojen välttämiseen Donn Parkerin esittämällä tavalla. Tästä eteenpäin voidaan haluttaessa edetä Lowderin kuvaamaan malliin, jossa tietoturvaa johdetaan sekä riskienhallinnan että Parkerin esittämän due diligence –mallin keinoilla. Samalla selviää, oliko riskianalyyseihin perustuvassa tietoturvassa kyse keisarin uusista vaatteista [10].

 

 

[1] Daniel, Jack (2011): Infosec’s misunderstanding of business.http://blog.uncommonsensesecurity.com/2011_07_01_archive.html
[2] Wikipedia: Penn & Teller: Bullshit!http://en.wikipedia.org/wiki/Penn_%26_Teller:_Bullshit!
[3] Koskinen, Sami (2011): Käärmeöljykauppiaat. tivi.fi CIO, 21.9.2011. Talentum.http://www.tietoviikko.fi/cio/kaarmeoljykauppiaat/a688138
[4] Wikipedia: Donn B Parker. http://en.wikipedia.org/wiki/Donn_B._Parker
[5] Parker, Donn B (2006): Making the case for replacing risk-based security. ISSA Journal, May 2006. Information Systems Security Association.http://www.issa.org/Library/Journals/2006/May/Parker%20-%20Replacing%20Risk-Based%20Security.pdf
[6] Parker, Donn B (2008): A diligence-based idealized security review. ISSA Journal, January 2008. Information Systems Security Association.http://www.issa.org/Library/Journals/2008/January/Parker-A%20Diligence-Based%20Idealized%20Security%20Review.pdf
[7] Lowder, Jeff (2010): Is risk-based security a failed concept? ISSA Journal, December 2010. Information Systems Security Association.http://www.issa.org/Library/Journals/2010/December/Lowder-Is%20Risk-Based%20Security%20a%20Failed%20Concept.pdf
[8] Wikipedia: Payment Card Industry Data Security Standard (PCI-DSS).http://en.wikipedia.org/wiki/Payment_Card_Industry_Data_Security_Standard
[9] Wikipedia: ISO 27001. http://en.wikipedia.org/wiki/ISO_27001
[10] Parker, Donn B (2007): Risks of risk-based security. Communications of the ACM – Emergency response information systems: emerging trends and technologies, Volume 50 Issue 3, March 2007. Association for Computing Machinery. http://dl.acm.org/citation.cfm?id=1226774

Ota yhteyttä Tietohallintomalli PDF

Haluatko tietää lisää Tietohallintomallista ja sen soveltamisesta käytännössä? Ota yhteyttä.