Onnistunut kyberharjoitus alkaa huolellisella valmistautumisella

Tietoturva Nyt!

Vuoden 2022 kyberharjoitteluun liittyvissä Tietoturva Nyt! -artikkeleissa keskitytään harjoitusta edeltäviin vaiheisiin. Ensimmäisenä käsittelyssä on organisaation kybermaturiteetti, eli kyky havainnoida tapahtumia ja toimia itse omassa kyberympäristössään. Tässä artikkelissa käydään läpi muutamia kybermaturiteetin peruspilareja, jotka edistävät organisaation kokonaisvaltaista tietoturvaa.

Onnistuneen harjoituksen kaavan voi typistää seuraavasti

maturiteetti + tavoite + resurssit + opit = onnistunut harjoitus

Varmista, että organisaatiossasi on otettu seuraavia asioita huomioon ennen harjoittelun aloittamista

1: Organisaatiossa on määritelty kyberturvallisuuden lähtötilanne

  • Ratkaisevan tärkeää on tietää mitä järjestelmiä organisaation eri verkoissa on, mitkä järjestelmät ovat yhteydessä toisiinsa, kenellä on pääsy tiettyihin tietoihin, sekä kuka omistaa minkäkin verkon tai palvelun.
  • Kriittiset tietotekniset resurssit ovat tiedossa.
    Mitkä tietoteknisen ympäristön osat ovat tärkeimpiä liiketoimintatavoitteiden saavuttamiseksi, esimerkiksi pitkäikäiset asiakkuudet.

2: Kyberturvallisuus on sisällytetty organisaation riskienhallintaprosesseihin

  • Organisaatiolla on prosessi, jolla varmistetaan, että päätöksentekijät saavat mahdollisimman kattavat tiedot. Prosessissa on keskityttävä ensisijaisesti siihen, että päätöksentekijät voivat tehdä päätöksiä parhaiden mahdollisten saatavilla olevien tietojen pohjalta. Päätöksentekijöitä voivat olla hallitus, johto tai muut organisaation työntekijät. Sekä hallituksen että toimenpiteen toteuttajan on saatava mahdollisimman paljon ymmärrettävää tietoa päätöksenteon tueksi.
  • Hallitus ja johto ovat määritelleet selvästi, miten riskejä organisaatiossa hallitaan. Tämä sisältää selkeät riskien raportointia koskevat prosessit, riskien merkityksen viestimisen organisaatiossa, sekä kasautuvien riskien huomioinnin.
  • Kyberriskien hallintaan sovelletaan samoja riskienhallinnan periaatteita kuin muihinkin riskeihin. Kyberturvallisuuden ratkaisut ja teknologiat kehittyvät kuitenkin niin nopeasti, että vaarana on jäädä jälkeen ja käyttää kyberriskien arviointiin vanhentuneita menetelmiä. Siksi kyberriskejä olisi hyvä arvioida useammin kuin muita riskejä.

3: Organisaatiolla on toimiva turvallisuuskulttuuri

  • Henkilöstö tietää, miten ja kenelle huolenaiheista tai poikkeamista voi raportoida. He myös kokevat olevansa kannustettuja raportointiin.
  • Henkilöstö ei pelkää negatiivisia seurauksia raportoidessaan huolenaiheista tai poikkeamista.
  • Henkilöstö kokee voivansa kyseenalaistaa toimintamalleja rakentavalla tavalla.
  • Henkilöstön näkemyksiä hyödynnetään aidosti turvallisuuskäytäntöjen muovaamisessa.
  • Henkilöstö ymmärtää kyberturvallisuuden tärkeyden ja merkityksen organisaatiolle.
  • Epäonnistumisten sijaan raportoinnissa ja sisäisessä viestinnässä keskitytään onnistumisiin (kerrotaan esimerkiksi moniko raportoi tietojenkalastelusähköposteista, eikä sitä moniko lankesi niihin).

4: Organisaatiossa on suunnitelma tietoturvaloukkausten ja niiden aiheuttamien kyberhäiriöiden hallitsemiseksi

Suunnitelman on katettava teknisten osa-alueiden lisäksi:

  • ihmiset ja prosessit, kuten tiedotusvälineet sekä viestintä asiakkaille ja sidosryhmille
  • ilmoituksen tekeminen Kyberturvallisuuskeskukselle
  • raportointi sääntelyviranomaisille
  • rikosilmoituksen tekeminen Poliisille.

Yleisimpiä poikkeamia varten voi olla hyödyllistä laatia erityinen suunnitelma, jossa määritellään organisaation toimenpiteet.

  • Miten tietoturvahäiriöihin varaudutaan?
  • Miten vahinkoja rajoitetaan, jos yritys joutuu tietoturvaloukkauksen uhriksi?
  • Miten yritys toipuu tietoturvahäiriöstä?

Kun organisaatiosi on ottanut käyttöön useamman tai kaikki yllä mainituista kybermaturiteettia kasvattavista toimista, on harjoittelun aloittamiselle hedelmälliset puitteet. Seuraavissa artikkeleissa tarkastelemme maturiteettia harjoittelun näkökulmasta, käymme läpi järkevää tavoitteenasettelua sekä annamme kokemukseen perustuvia neuvoja harjoitustoiminnassa etenemiseen.