Blogisarjan toisessa osassa käyn läpi ISO 27001 -standardia ja sen sertifiointiprosessia. Pyrin tarkastelemaan sekä saavutettavia hyötyjä, että mahdollisia haasteita. Sarjan ensimmäinen osa esitteli taustaa viitekehysten käytölle yrityksen tieto- ja kyberturvallisuuden kehitystyössä. Tekstin lopussa on mukana ensimmäisen osan tapaan määrittelyt tietoturvalle ja kyberturvallisuudelle.

ISO 27001

ISO 27001 on kansainvälinen tietoturvallisuuden standardi, joka asettaa vaatimukset yrityksen tietoturvallisuuden hallintajärjestelmälle (TTHJ, englanniksi Information Security Management System, ISMS). Standardi on hyvin riskilähtöinen. Ensin tunnistetaan riskit, joiden pohjalta luodaan riskienhallintasuunnitelma. Suunnitelmaan valitaan sitten soveltuvat tietoturvakontrollit. Riskienhallinnassa olennaista on erilaisen tieto-omaisuuksien (assets) tunnistaminen ja näiden kriittisyyden määrittely tiedon luottamuksellisuuden, eheyden ja saatavuuden perusteella (Confidentiality-Integrity-Availability, CIA triad).

STANDARDIN HYÖDYNTÄMINEN

Standardia hyödyntäessä ilman sertifioitumistavoitetta erilaisten työkalujen, kuten digiturvamalli.fi:n, mukaisten käytänteiden noudattaminen luo yritykselle matalilla kustannuksilla hyvän pohjan tietoturvalliselle toiminnalle. Lähestyttäessä ISO 27001-standardin vaatimusten noudattamista, vain tarvittavat kontrollit tulevat käyttöön ja tietoturvallisuuden hallintajärjestelmää (TTHJ) ei päädytä tekemään kiireellä auditointia varten. ISO.org:n mukaan sertifioituminen on globaalisti kasvava trendi. Standardin yleistyminen voi kertoa siitä, että sitä vaaditaan yhä useammin erilaisissa tarjouskilpailuissa. Täten sertifioitumisella voi olla potentiaalia lisätä myös yrityksen myyntiä.

SERTIFIOITUMISPROSESSI

Sertifikaatin avulla organisaatio voi osoittaa luotettavasti nykyisille ja tuleville asiakkailleen, että se on ottanut käyttöönsä toimintaansa nähden riittävät tietoturvallisuuteen liittyvät menettelytavat, sitoutunut jatkuvaan tietoturvallisuuden ylläpitoon ja suhtautuu vakavasti asiakkaiden ja yhteistyökumppaneiden tietojen suojaamiseen. Nopeasti kasvavissa yrityksissä ISO 27001 saattaa auttaa selvittämään puuttuvan työnjaon ongelmia, sillä osana tietoturvallisuuden hallintajärjestelmän muodostamista tiedonhallintajärjestelmään kirjataan vastuuhenkilöt tuotettavalle dokumentaatiolle.

Sertifioitumisprojekti sitouttaa yrityksen johdon tietoturvatekemiseen muita tietoturvaviitekehyksiä paremmin, koska johdon tukea tarvitaan sertifioitumisprosessin monessa osassa. Yksi ISO 27001:n vahvuuksia on ehdottomasti yrityksen johdon sitouttaminen tietoturvatekemiseen. Tämä käy järkeen, sillä mikään näin laaja tietoturvaprojekti ei johda kattavaan tulokseen IT-osaston yksinään implementoidessa muutoksia.

Riittävien resurssien varmistamisessa on kuitenkin usein haasteita. Kiireen yllättäessä, ja jos tavoitteeksi on asetettu nimenomaan sertifioituminen eikä systemaattinen tietoturvajohtamisen parantaminen, voi tietoturva näyttäytyä yrityksen työntekijöille puhtaasti työn jarruna. Näin erityisesti, jos tietoturvakehittämistä tehdään puhtaasti teknisisistä näkökulmista, eikä huomioida liiketoiminnan vaatimuksia.

ISO 27001 ERITYISET HYÖDYT

TTHJ:n luonti lähtee riskien ja assettien arvioimisesta, joka oikein tehtynä johtaa siihen, että tietoturvan hallintajärjestelmä on räätälöity kullekin yritykselle sopivaksi. Erityisesti Euroopassa, jossa ISO-standardien hyödyntäminen on laajaa, tietoturvatoimien yhteensovittaminen yhteistyökumppaneiden kanssa myös helpottuu, sillä ISO 27001 on pääasiallisesti käytetyin standardi mitä tulee tietoturvan hallintaan tai laatuun. ISO standardissa käytetty nimeämisperiaate noudattaa Annex SL:n mukaista nimeämistapaa, jolloin se on yhteensopiva kaikkien nimeämiskäytäntöjä noudattavien muiden standardien kanssa. Erityisesti isoissa yrityksissä tämä on hyödyllistä, koska useampien standardien samanaikainen käyttö helpottuu.

ISO 27001 HAASTEET

Standardoitumisella ja sertifioimisella on myös haasteelliset puolensa. ISO 27001 on pohjimmiltaan laatujärjestelmä. Yrityksen tavoitellessa sertifioitumista saattaa käydä niin, että dokumentaation, kuten politiikkojen ja eri toimintaohjeiden, merkitys korostuu liiaksi. Riski siihen, että kaikki näyttää hyvältä vain paperilla, kasvaa jos loppukäyttäjien puolella varsinainen tarvittavien toimien noudattaminen jää heikoksi. Tämä oman kokemukseni mukaan toki kostautuu sitten auditointivaiheessa. Dokumentaation kohdentaminen ja tarvittavien asioiden hyvin kohdistettu viestiminen työntekijöille tulee myös suunnitella tarkoin, jotta koko yrityksessä saavutetaan tavoiteltu toimintakulttuurin muutos.

ISO27001 ei myöskään kata juurikaan tietosuojaa. ISO 27701 on ISO 27001:n laajennusosa ISO-standardiperheessä kuvaten EU:n yleisen tietosuoja-asetuksen (GDPR), California Consumer Privacy Act (CCPA) sekä muun alueellisen tietosuojalainsäädännön vaatimuksia täyttävää tietosuojan hallintajärjestelmän (Privacy Information Management System, PIMS) luontia ja ylläpitoa.

ISO STANDARDIPERHEEN MUITA JÄSENIÄ

On ylipäätään huomionarvoista, että ISO 27001 on vain yksi osa kokonaista standardiperhettä, ja se asettaa vaatimukset nimenomaan tietoturvallisuuden hallintajärjestelmälle. Oikeastaan yksi olennainen asia standardissa itsessään onkin standardin liite A, jossa luetellaan edellä mainitut hallintakeinot. ISO 27002 taas määrittelee periaatteita tietoturvallisuuden hallinnan käyttöönottoon ja ylläpitoon, 27005 määrittelee TTHJ:n mittaamista ja niin edelleen. Ja toisaalta ISO-standardeista löytyy standardeja kuten ISO/IEC 62443, joka on teollisuuden kyberturvallisuuden standardi, joka on suunnattu nimenomaan teollisuuden (esim. komponenttivalmistajat) toimijoille.

Sertifioituminen tapahtuu aina ISO 27001 -standardia vasten, ja samoin edellä mainitut muut standardit tulisi tuntea. Usein niiden vaatimuksia kuuluu myös noudattaa tai valita käyttöön korvaavat käytännöt.

LOPPUSANAT

Mielestäni ISO 27001 -standardin noudattamista voi suositella tällä hetkellä oikeastaan kaikille yrityksille ja sertifioitumistakin hyvin monelle. Kaikista yrityksistä löytyy tieto-omaisuutta, jonka suojaukseen on hyödyllistä käyttää globaalia standardia, vaikkei yrityksessä olisi välttämättä heti nähtävissä liiketoiminnallista perustelua sertifioitumiselle. Blogisarjan seuraava osa käsittelee CIS Controls -viitekehystä, joka tarjoaa yhden vaihtoehdon ISO 27001:lle erityisesti teknisestä näkökulmasta.

MÄÄRITTELYT TIETOTURVALLE JA KYBERTURVALLISUUDELLE

Tietoturvasta puhuttaessa tarkoitetaan järjestelyjä, joilla pyritään varmistamaan tiedon saatavuus, eheys ja luottamuksellisuus. Täten tietoturvaan kuuluu muun muassa tietoaineistojen, laitteistojen, ohjelmistojen, tietoliikenteen ja toiminnan turvaaminen.

Kyberturvallisuus määritellään tavoitetilana, jossa kybertoimintaympäristöön voidaan luottaa ja jossa sen toiminta turvataan. Kybertoimintaympäristö koostuu yhdestä tai useammasta tietojärjestelmästä, jotka nähdään yhteiskunnassa kriittisinä. Esimerkiksi elintarvikkeiden kuljetus- ja logistiikkajärjestelmät sekä pankki- ja maksujärjestelmät.

Kybertoimintaympäristön häiriöt aiheutuvat usein toteutuneista tietoturvauhista, joten tietoturva on keskeinen osa kyberturvallisuutta. Tietoturvan varmistamisen lisäksi kyberturvallisuuden varmistamisessa tarkoituksena on turvata häiriytyneestä kybertoimintaympäristöstä riippuvaiset fyysisen maailman osa-alueet.

”Siinä missä tietoturvalla tarkoitetaan tiedon saatavuutta, eheyttä ja luottamuksellisuutta, kyberturvallisuus tarkoittaa digitaalisen ja verkottuneen yhteiskunnan tai organisaation turvallisuutta ja sen vaikutusta niiden toimintoihin.” Lähde: https://turvallisuuskomitea.fi/wp-content/uploads/2018/06/Kyberturvallisuuden-sanasto.pdf

Kerromme mielellämme lisää kyberturvallisuuden eri viitekehysvaihtoehdoista, jos mieleesi nousee kysymyksiä aiheeseen liittyen. Saat meihin helpoiten yhteyttä osoitteen myynti[at]netum.fi kautta!

Petri Saarenmaa

Teknisen tietoturvan asiantuntija, Kyberturvallisuuspalvelut, Netum Oy

petri.saarenmaa(at)netum.fi