Tavoitteet määräävät kyberharjoituksen tahdin

Yksi tärkeimpiä asioita kyberharjoittelussa on tavoitteiden arvostaminen. Arvostaminen näkyy siinä, että tavoitteiden miettimiseen, niiden toteutumiseen ja etenkin harjoituksen jälkeiseen arvioimiseen käytetään aikaa ja vaivaa. Parhaat tavoitteet johdetaan organisaation strategiasta ja riskienhallintatyöstä ja niillä on selkeä johdon tuki takanaan. On tärkeää, että tavoitteilla kuvataan todellisia ja olemassa olevia tarpeita.

Tavoitteiden määrittelyn apuna voi käyttää seuraavia kysymyksiä:

1. Minkälaisia kyberhäiriöihin liittyviä prosesseja organisaatiossamme on?
2. Kuinka hyvin prosessit on jalkautettu organisaatiossamme?
3. Mitä tapahtuisi, jos avainhenkilömme vaihtaisivat työtehtäviä tai olisivat poissa häiriön hetkellä?
4. Onko organisaatiossamme konsensus viestinnän linjasta ja vastuista häiriötilanteessa?
5. Olemmeko huomioineet kyberhäiriöiden vaikutukset sopimussuhteissamme palveluntuottajien tai alihankkijoiden kanssa?
6. Mistä löydämme tietoa häiriön sattuessa ja keille olemme ilmoitusvelvollisia kriisin kohdatessa?

Taustamateriaalina tavoitteiden määrittelyssä on hyvä käyttää tietoturvastandardeja, henkilöstökyselyjen tuloksia, johdon määrittämiä kehityskohteita, käytäväkeskusteluja aiheesta, muihin yrityksiin tai organisaatioihin kohdistuneita tietoturvahyökkäyksiä tai Kyberturvallisuuskeskuksen jakamaa uhista kertovaa materiaalia (muun muassa Kybersää , haavoittuvuustiedotteet ).

Huolellisesti mietittyjen tavoitteiden perusteella voidaan valita niitä parhaiten palveleva harjoittelumuoto, tunnistaa suunnittelussa ja itse harjoitustilanteessa tarvittavat henkilöstöresurssit sekä luoda uskottava skenaario, jolla tavoitteita päästään testaamaan. Jos tavoite on riittävän konkreettinen, jälkikäteen voidaan todeta, saavutettiinko se vai ei. ”Parannetaan prosessia x” -tyyppisissä tavoitteissa onnistumista tai epäonnistumista on vaikea todeta.

Selkeät tavoitteet auttavat harjoittelijoita

Käytännön kokemus on osoittanut, ettei tavoitteiden asettamisessa kannata olla ahne. Harjoittelijoilta vaaditaan yksinkertaisissakin harjoituksissa nopeaa tiedon omaksumista ja mukautumista muuttuviin tilanteisiin.

Harjoittelijat on myös hyvä sitouttaa harjoituksen tavoitteisiin. Kerro heille, miksi harjoitus järjestetään ja mitä heiltä odotetaan. Näin harjoittelijoilla on mahdollisuus miettiä toimintaansa erityisesti asetettujen tavoitteiden kautta, jolloin spontaanit ja tosielämää vastaamattomat päätökset vähenevät häiriöharjoittelun hetkellä.

Harjoituksen jälkeisten havaintojen tulkitsemisessa on tärkeää peilata havaintoja alussa määriteltyihin tavoitteisiin. Epäonnistumisia harjoituksissa ei ole - jos jokin tavoite jää saavuttamatta, on suunnittelijoiden ja tarkkailijoiden yhteinen vastuu analysoida, mitä voisi parantaa, jotta tavoite seuraavalla kerralla täyttyisi. Selkeät tavoitteet vievätkin epäonnistumisen pelosta kohti prosessien johdonmukaista tarkastelua.

Kun harjoittelun syy, eli tavoitteet, on päätetty, voidaan siirtyä suunnitteluprosessin käytännönläheisiin kysymyksiin. Seuraavassa harjoitusaiheisessa Tietoturva Nyt! -artikkelissa käydään läpi muutamia hyväksi koettuja tapoja suunnittelijoiden tueksi.