Yhteiskunnassamme on tapahtunut merkittäviä muutoksia viimeisen vuoden aikana, mikä on muuttanut tapojamme työskennellä. Kohtaamme nyt täysin uudenlaisia tietoturvahaasteita – tai kuten kyberrikolliset asian näkevät – uusia mahdollisuuksia. Tietoturvauhkien monimutkainen luonne oli jo tiedossa, kuten myös perusedellytys niiden varalta suojautumiselle. Tietoturvauhkien havainnointi vaatii jatkuvaa valppautta yrityksiltä. 

Yhä useammat yritykset ovat huomanneet tehtävän olevan erittäin haastava yrityksen sisäisen IT-osaston hoidettavaksi. Tästä johtuen yritykset ostavat jatkuvasti enemmän tietoturvaa suoraan valmistajilta tai paikallisilta IT-toimijoilta, jotka pystyvät tarjoamaan sitä palveluna. Yrityksen omasta tietoturvasta huolehtiminen on yhtä tärkeää kuin sen varmistaminen, että potentiaalisella tietoturvapalveluiden tarjoajalla on itsellään tietoturva-asiat kunnossa. Tietoturvaosaamista ja tietoturvaan liittyvien prosessien hallitsemista ei tulisi koskaan pitää itsestäänselvyytenä.

Julkisilta ja suuremmilta yksityisiltä yrityksiltä voidaan edellyttää tietoturvan hallintajärjestelmää, ISO 27001-sertifikaattia tai vakiintuneita rutiineja tietoturvahyökkäysten tai niiden ilmeisten uhkien varalle. Mutta ollaanko näistä asioista yhtä tarkkoja pienemmissä yrityksissä? Luultavasti ei.

Mitä tietoturvapalvelua hankkiessa pitäisi tehdä?

Hyvä paikka aloittaa on paikallinen tietoturvaviranomainen, jota hallinnoi Suomessa Kyberturvallisuuskeskus. Norjan vastaava taho Norwegian National Security Authority (NSM) on kerännyt listan kymmenestä asiasta, johon on hyvä kiinnittää erityistä huomiota tietoturvapalvelua valitessa. Nämä asiat kannattaa tarkistaa riippumatta siitä, mitä tietoturvaan liittyvää palvelua ollaan hankkimassa.

1. Löytyykö tietoturvapalvelun tarjoajalta hallintajärjestelmä tietoturvaan liittyvän tiedon jakamiseksi sekä kansainvälisten standardien mukainen sertifikaatti, kuten ISO / IEC 27001:2017
2. Tarjoaako palveluntarjoaja tietoa tietoturva-arkkitehtuurista, jolle palvelu perustuu
3. Tekeekö palveluntarjoaja aktiivisesti töitä tietoturvan kehittämiseksi myös tulevan teknologisen kehityksen ja tietoturvariskinäkymät huomioiden
4. Löytyykö palveluntarjoajalta käsitys siitä, kenellä tulisi olla pääsy yrityksen tietoihin, missä ja miten tietoja tulisi prosessoida, ja miten yrityksen tiedot pidetään erillään asiakkaiden tiedoista
5. Tarjoaako palveluntarjoaja sellaisia tietoturvaan liittyviä toiminnallisuuksia, joita yritys tarvitsee
6. Tarjoaako palveluntarjoaja tietoturvamonitorointia tietoturvahyökkäysten ja poikkeavuuksien havainnoimiseksi
7. Onko palveluntarjoajalla vakiintuneita rutiineja tietoturvahyökkäysten käsittelemiseksi ja poikkeavuuksien raportoimiseksi
8. Onko palveluntarjoajalla yrityksen omien suunnitelmien kanssa yhteensopiva suunnitelma poikkeus- ja kriisitilanteiden varalle
9. Onko palveluntarjoajalla käytössään prosessi alihankkijoiden ja prosessi niiden hyväksyttämiseksi
10. Onko palvelutarjoaja selkeästi määritellyt, millaisia toimenpiteitä yhteistyösopimuksen päättyminen aiheuttaa, esimerkiksi yrityksen tietojen poistamiseen tai siirtämiseen liittyen.

Yrityksille yksi suurin haaste on yllä listattujen seikkojen arvioiminen, sillä tämä vaatii omanlaistaan asiantuntemusta. Kuka tahansa pystyy kuitenkin arvioimaan tapaa, jolla potentiaalinen palveluntarjoaja reagoi näitä seikkoja kartoittavaan kyselyyn. Jos vastaus tulee nopeasti ja on sisällöltään selkeä, voidaan päätellä tietoturvaan liittyvien perusasioiden olevan kunnossa. Epäselvä tai välttelevä vastaus puolestaan indikoi päinvastaista tilannetta. On kuitenkin tiedostettava, että tällaisen tulkinnan tekeminen on erittäin yksinkertaistettua ja parhaimmillaankin antaa vain alustavaa osviittaa johtopäätösten tekemiseksi. Tämän vuoksi suosittelemme, että asiantunteva taho olisi apuna eri palveluntarjoajilta saatujen vastausten arvioimiseksi.

Miten valitaan oikea palveluntarjoaja useiden ehdokkaiden joukosta?

Yllä olevan kriteeristön lisäksi on kriittistä punnita, millainen palveluntarjoaja on oikea juuri sinun yrityksellesi. Suosittelemme, että valitset sellaisen toimijan, jonka koko vastaa yrityksesi kokoa. Tämä takaa, että yrityksesi on tärkeä ja vakavasti otettava asiakas palveluntarjoajan näkökulmasta. Tämä takaa myös mahdollisuuden vaikuttaa muutoksiin, jotka tekevät tietoturvapalvelusta vielä paremmin sopivan juuri sinun yrityksellesi. Jos yrityksesi toimii pienten ja keskisuurten yritysten segmentissä, markkinoiden suurin ja tunnetuin toimija ei ole välttämättä valmis tai kykeneväinen toimimaan, tai mukauttamaan palvelunsa, sinun yrityksesi toiveiden mukaiseksi.

Viimeiseksi ennen tietoturvapalveluvalinnan tekemistä on kannattavaa pyytää pilotti- tai Proof of Concept -jaksoa. Tämän koejakson perusteella voit arvioida, onko palveluntarjoaja sinulle sopiva ja saatko tarjotusta palvelusta sen, mitä odotat saavasi.