Mihin perustuu tietoturvallisuuden mittaaminen?

Iikka Salmela

Iikka Salmela

Tammikuu 17, 2013 at 02:30

Talousjohtaja kysäisi vuoden 2012 lukuja silmäiltyään yrityksen tietoturvapäälliköltä: ”Viime vuonna tietoturvainvestoinnit kasvoivat 15%, kuinka paljon tietoturvallisuutemme parani?”. Miten tähän kysymykseen voidaan vastata?

Tietoturvallisuuden merkitys ja tietoturvavaatimukset liiketoiminnalle lisääntyvät jatkuvasti. Esimerkiksi asiakkaat, lainsäädäntö, standardit ja liiketoimintatietoon liittyvät riskit antavat vaatimuksia yrityksen tietovarojen tehokkaalle, esteettömälle ja luotettavalle käytölle. Lisäksi tietohyökkäyksistä uutisoidaan liki päivittäin, viime joululomien aikaan vieläpä todella laajalti. Näistä syistä liiketoimintajohto on entistä kiinnostuneempi yrityksen tietoturvallisuudesta. Sidosryhmien vaatimuksista ja riskienhallinnasta muodostuu myös johdon tietovastuu sekä lähtökohta mittaamiselle.

Tietoturvallisuuden mittaaminen esiintyy etäisenä mainintana esimerkiksi ISO27001-standardissa, VAHTI-ohjeissa ja maturiteettimalleissa. ISO27004 on muodostettu tietoturvallisuuden mittaamisen viitekehykseksi, mutta prosessi mittareiden kehittämiselle on turhan raskas. Ongelmana on myös se, että esitellyt mittarit perustuvat usein tietoturvapäällikön tarpeisiin. Tällöin ne sisältävät liian yksityiskohtaista tietoa eikä niiden avulla voida raportoida johdolle tietoturvallisuudesta.

Yritysjohdolle suunnatun mittariston tavoitteena voisi olla, että sen avulla pystytään ymmärtämään onko yrityksen toiminta tietoturvallisuuden kannalta kunnossa ja mitkä asiat mittaustuloksiin vaikuttavat.

Mittariston avulla voidaan tukea päätöksentekoa esimerkiksi siitä, mihin pitää investoida jotta tietovastuuseen liittyvät vaatimukset ja tavoitteet pystytään täyttämään. Mittaristosta muodostuukin parhaimmillaan ajankohtainen tilannekuva, jonka avulla johto saa tiiviitä ja informatiivisia raportteja tietoturvallisuuden tilasta.

Mittareiden kautta yrityksen johdolla on myös mahdollisuus osoittaa tavoitteita ja vaatimuksia tietoturvallisuuden hallinnoinnille ja nähdä miten niihin liittyvät toimenpiteet onnistuvat. Mittaaminen onkin perinteinen keino ohjata toimintaa sekä havaita ongelmia ja ymmärtää mistä ne johtuvat. Tietoturvallisuuden näkökulmasta tämä voisi tarkoittaa esimerkiksi varmistumista siitä, että

  • Yritykselle kriittiset tietovarat on tunnistettu, luokiteltu ja suojattu
  • Tietoturvatoimintaa ohjataan tavoitteiden ja vaatimusten mukaisesti
  • Tietoturvaongelmiin osataan reagoida ja niihin liittyviä riskejä hallitaan
  • Henkilöstöllä on riittävä tietoturvaosaaminen

Liiketoiminnalle suunnatut mittarit ovat siis tehokas kommunikointikeino tietoturvallisuuden hallinnoinnin tueksi. Kommunikoinnin avulla voidaan lisätä tietoturvatietoisuutta, jolloin yrityksen kyky havaita ongelmia ja reagoida niihin parantuu. Toisaalta huolellisesti suunniteltu mittaristo osoittaa suunnan yrityksen tietoturvatoiminnalle, sillä sen avulla ymmärretään mikä on tärkeää yrityksen tietoturvallisuuden kannalta. Liiketoiminnan kannalta tärkeisiin tietoturva-asioihin investoimalla ja niiden kehitystä mittaamalla ollaan valmiimpia vastaamaan talousjohtajan kysymykseen vuoden 2014 alussa.

Kirjoittaja on tehnyt diplomityön mittaamisesta. Työ on tehty osana eurooppalaista ITEA2 Predykot-hanketta, jossa Nixu on mukana kehittämässä tilannekuvaan, mittaamiseen ja tietoturvan hallintaan liittyviä menetelmiä.