Vierasnurkka: Viisi mindsetin muutosta tietoturvaan – Ciscon tietoturvaliiketoimintajohtaja Marko Haarala

Tietoturvaongelmat nostavat jälleen päätään: otsikoissa on loistanut Facebookin tietovuoto, Eduskuntaan kohdistunut vakoilu ja surullisenkuuluisa Vastaamo-case.

Ongelma on siinä, että keskitymme tietoturvassa vääriin asioihin. Projektit venyvät ja uusien teknologioiden käyttöönotot venyvät viiden vuoden projekteiksi, joiden aikana koko teknologia ehtii vanheta. Rahaa palaa vuotavan laivan reikien tukkimiseen jeesusteipillä: aina vaan tilkitään ja tilkitään ja mitään uutta ei saada aikaiseksi.

Ensimmäistä kertaa ikinä olemme tilanteessa, jossa tietoturva voi tuoda yrityksille liiketoimintaetua esimerkiksi kustannussäästöjen tai paremman käyttökokemuksen avulla. Tähän pääseminen vaatii kuitenkin yrityksiltä ajattelutavan muutosta. On viisi mindsettiä, joihin tietoturvassa olisi päästävä pikimmiten.

Tietoturvalla täytyy olla selkeä omistajuus

Jos jokin yrityksessä ei toimi, on loppuviimein johtajan vastuulla pistää se kuntoon. Kumma kyllä tätä ajattelua ei sovelleta tietoturvaan, vaan se on aina sen kuuluisan “jonkun muun” vastuulla. Törmään kentällä jatkuvasti tilanteeseen, jossa IT-kavereiden pöydälle sysätään tekninen toteutus, mutta ei kahisevaa sen läpivientiin. Sanotaan vaan, että paa kuntoon ja tule sitten kertomaan että miten meni.

Johtamisen loistaessa poissaolollaan ei pitäisi olla kovin suuri yllätys, kun tietoturvaprojekti sitten epäonnistuu. Pahimmassa tapauksessa joudutaan hyökkäyksen kohteeksi, päädytään lööppeihin ja homma on sillä taputeltu. Vaikka vastuu on johtajalla, joutuvat työntekijät yleensä maksamaan loppulaskun ja vielä tipit päälle.

Ongelma on siinä, että johtotasolla pelätään tietoturvaan tarttumista, koska sitä ei ymmärretä. Se on aiheena niin laaja ja vaikea, että palomuurikin alkaa näyttää Kiinan muurilta, eikä kukaan halua sotkea käsiään siihen.

Johtotasolla pitäisi kuitenkin hoksata yksi ydinasia. Se, että on olemassa liiketoiminta ja se pitää suojata. Johtajan täytyy siis hahmottaa se, miltä näyttää suojattu liiketoiminta ja se, miten sinne päästään. Varsinaiseen määrittelyyn on olemassa ihan omat asiantuntijansa, mutta pyörän käyntiin pyöräyttäminen ja sen eteenpäin rullaaminen on aina yrityksen johdon vastuulla.

Tietoturva ei ole pelkkää teknologiaa, vaan kokonainen prosessi

Toinen kohta jossa homma yleensä kosahtaa on se, kun tietoturvaa lähdetään rakentamaan puhtaasti teknologianäkökulmasta.

Fakta kuitenkin on, että se ulottuu huomattavasti teknologiaa pidemmälle, aina työntekijöiden toimintaan saakka. Yritystoiminta kaatuu yllättävän nopeasti yhteen väärään sähköpostiklikkaukseen.

Siksi tietoturva pitäisi sulauttaa kiinteäksi osaksi kaikkia yrityksen prosesseja aina perehdytyksestä ja yhteisistä käytännöistä lähtien. Työntekijät pitäisi saada mukaan tietoturvakulttuuriin, jossa jokainen pitää silmällä riskejä, ja myös avaa niistä suunsa. Kummallisuuksista ja uhista raportoiminen pitäisi ehdottomasti palkita.

Tietoturvan tuominen osaksi yrityskulttuuria on vielä suhteellisen uusi asia, joten siihen vaaditaan muutosjohtamista. Ihmisen perusolemukseen kuuluu epäluulo kaikkea uutta kohtaan: jos emme tiedä tai ymmärrä jotain, pyrimme blokkaamaan sen ulkopuolelle. Tämä sama heijastuu myös tietoturvaan, ja pelkästään se nytkäyttäisi monta asiaa eteenpäin, jos kaikki yrityksessä suhtautuisivat siihen avoimemmin. Tämä vaatii johdolta aktiivista työtä ja henkilöstön kouluttamista.

Pelkkä teknologian valitseminen ei siis auta, kun ihminen on aina tietoturvassa se heikoin lenkki.

Tietoturvaa on mahdollista mitata ja jokaisen kannattaisi sitä myös tehdä

Yleinen harhaluulo on, että tietoturvan toimivuus on mahdollista mitata vasta tosipaikan tullen. Tällainen joko-tai mittaristo on kuitenkin tehoton: se kertoo missä kohtaa on vielä tekemistä vasta siinä kohtaa, kun ollaan jo pulassa.

Meillä Ciscolla mitataan henkilöstön tietoturvaosaamista jatkuvasti. Esimerkiksi IT-osastomme lähettää kalastelumeilejä, linkkejä ja kummallisia liitetiedostoja jatkuvasti, joilla testataan moniko niihin haksahtaa. Samoin minun toimintaani ja käyttäytymismalliani ympäristöä kohtaan tietoturvaliiketoimintajohtajana seurataan aktiivisesti, ja se on oikein.

Tietoturvan toimivuutta täytyy auditoida jatkuvasti, jotta nähdään missä sen kanssa mennään. Testijaksot todentavat paljonko pahaa olisi tapahtunut, jos vahinko olisi tapahtunut oikeassa elämässä. Näin myös IT-osaston on helpompi osoittaa, että tietoturvaan kannattaa panostaa resursseissa ja budjetissa.

On hyvä muistaa, että 100 % kestävää tietoturvaa ei saada koskaan. Aina jonnekin jää se pieni prosentti, jolle ei voida siinä hetkessä mitään. Siksi tietoturvan kehitysprosessista täytyy tehdä ikiliikkuja, eikä koskaan pidä ajatella, että projekti olisi valmis. Mittaaminen ja testaaminen on korvaamaton apu kehityksen tukena.

Tietoturvassa ei kannata jumahtaa pelkkään palomuuriin, vaan valjastaa koko ympäristö tekemään tietoturvaa

Ohjelmistokehityksessä kaikki kehitys puretaan sprintteihin. IT-maailmassa puolestaan päädytään joka vuosi takaisin lähtöpisteeseen, jossa todetaan että IT-ympäristöön ei ole minkäänlaista näkyvyyttä ja asioille on vaikea tehdä mitään.
Yleisin haaste on siinä, että IT:n eri osa-alueita kohdellaan erillisinä ja niitä rakennetaan ja kehitetään omina putkinaan: esimerkiksi niin, että VPN ja liikenne ovat yhden henkilön vastuulla ja konesalit toisen.

Jos homma hahmotettaisiin alusta asti niin, että IT-ympäristö on kokonaisuus ja tietoturva elementti, joka kulkee sen läpi, liikuttaisiin jo täysin eri sfääreissä. Esimerkiksi pilvipalveluita hyödyntäessä tietoturvaa ei turhaan rakenneta konesaleihin ja kierrätetä liikennettä sen kautta.

Ongelma on piillyt siinä, että aiemmin tämä ei ole ollut mahdollista ilman, että olisi menetetty näkyvyys työasemiin ja työntekijöihin. Uudet pilvihallitut ratkaisut, kuten Cisco Umbrella ja Cisco Meraki, poistavat nämä esteet notkeasta ja turvallisesta infrastruktuurista.

Cisco SecureX:n avulla voidaan luoda avoin ja automatisoitu ekosysteemi, jossa eri teknologiat keskustelevat keskenään ja korjaavat ongelmia ennen kuin ne eskaloituvat kestämättömiksi. Parhaimmillaan tietoturva ja ekosysteemin muodostama analytiikka tuo kullanarvoista tietoa siitä, miten liiketoiminta oikeasti ruohonjuuritasolla toimii.

Tietoturva ei ole staattista, vaikka ympäröivät uhat näyttävätkin vuodesta toiseen samalta

Tietoturvariskit itsessään eivät ole paljoa muuttuneet vuosien varrella. Edelleen pelätään kyberhyökkäyksiä ja heikkoja salasanoja siinä missä ennenkin.

Mutta se mikä on muuttunut, on koko maailma näiden ympärillä. On tullut pilvijuttuja ja datasta sitä kuuluisaa öljyä, josta jokainen haluaa saada osansa. Siitä huolimatta tietoturvassa lahjakkaasti jätetään nämä huomiotta, tuijotellaan tuttuja riskejä ja pyritään torjumaan niitä ihan samaan tapaan kuin ennenkin.

Tässä kohtaa tietoturvaan syntyy isoja aukkoja, joista nämä tutut uhat möngertävät sisään. Hyvänä esimerkkinä tästä on nytkin ajankohtainen etätyö. Työntekijät eivät ole enää pitkään aikaan jököttäneet toimistolla pöydän ääressä, mutta IT-ympäristöt, tietoturva ja kontrolli on edelleen rakennettu lähityötä ajatellen.

Ikävä kyllä ei ole olemassa manuaalia, joka kertoisi miten tämän päivän tietoturvaa pitäisi tehdä ja miten sen pitäisi mukautua muuttuvaan maailmaan. Tuoreinkin IT-opas on ehtinyt jo vanhentua.

Siksi on turhaa yrittää yksin hoksata kaikkia mahdollisia elementtejä, jotka tietoturvaan vaikuttavat. Suosittelen vahvasti ottamaan puhelimen käteen ja pirauttamaan kaverille, joka on perehtynyt aiheeseen. Näin säästyt turhalta tuskailulta ja murjottamiselta.

Ja muista: Mitä pidempään pysyt vanhassa ja lykkäät kehitystyötä, sen kalliimmaksi korjaaminen tulee.

Rakensimme Suomen laajimman SD-WAN-toimipisteverkon Itä-Suomen seurakunnille

Lue miten toimipisteiden lähiverkko ja langaton verkko sekä tietoturvapalvelut ja palomuurit toteutettiin Ciscon Meraki-teknologialla.