Eurooppalainen turvallisuussääntely on viime vuosina muuttunut merkittävästi. Säädökset NIS2, CER, DORA ja CRA ovat sisällöltään erilaisia ja kohdistuvat osittain eri toimialoihin, mutta niiden perusajatus on sama; organisaation on pystyttävä hallitsemaan turvallisuutta järjestelmällisesti ja osoittamaan, että tämä toteutuu käytännössä. Miten jatkuva turvallisuuskyvykkyys organisaatioissa rakennetaan?
Sääntely korostaa jatkuvaa kyvykkyyttä, joka kattaa riskienhallinnan, valvonnan, poikkeamien käsittelyn ja toiminnan jatkuvuuden. Turvallisuuden tulee siis olla osa normaalia arjen toimintaa, se ei ole erillinen kehityshanke.
Monessa organisaatiossa turvallisuutta on jo kehitetty pitkäjänteisesti. Turvajärjestelmiä, valvontaa ja tietoturvakontrolleja on useimmilla käytössä. Suurin haaste syntyy usein kokonaiskuvan puutteesta. Jotta vaatimuksiin voidaan vastata hallitusti, turvallisuutta on tarkasteltava yhtenä kokonaisuutena.
Nykytilan arviointi on kehittämisen lähtökohta
Jatkuvan turvallisuuskyvykkyyden rakentaminen alkaa nykytilan arvioinnista. Organisaation on tunnistettava kriittiset toiminnot ja niiden riippuvuudet. Tähän kuuluvat järjestelmät, tilat, palvelut ja toimitusketjut, joiden varassa toiminta on. Tarkastelu ei kuitenkaan rajoitu organisaation omiin järjestelmiin, sillä myös ulkoistetut palvelut, toimittajat ja muut riippuvuudet voivat olla keskeisiä riskitekijöitä. Sääntely korostaa, että myös nämä on huomioitava osana kokonaisuutta.
Kun nykytila arvioidaan systemaattisesti, syntyy turvallisuuden tasosta dokumentoitu kokonaiskuva, joka ei ole vain yksittäinen dokumentti tai auditointiraportti. Tarkoitus on jäsentää toimintaa ja suhteuttaa riskit niiden vaikutukseen liiketoiminnalle. Tämä luo perustan kehitystoimien priorisoinnille ja auttaa osoittamaan, miten riskejä hallitaan käytännössä.
Jatkuva valvonta muodostaa tilannekuvan
Sääntely edellyttää, että organisaatio kykenee havaitsemaan poikkeamat ja reagoimaan niihin. Jotta tämä toteutuu, on oltava jatkuva näkyvyys kriittisiin järjestelmiin ja toimintoihin.
Tilannekuva muodostuu useista havainnoista. Fyysisessä ympäristössä tietoa syntyy esimerkiksi kulkemisesta, liikkeestä ja hälytyksistä. Digitaalisessa ympäristössä vastaavaa tietoa syntyy kirjautumisista, järjestelmätapahtumista ja konfiguraatiomuutoksista. Yksittäinen tapahtuma ei vielä kerro kokonaisuutta. Kun tapahtumia tarkastellaan yhdessä, voidaan tunnistaa poikkeavia tapahtumaketjuja ja arvioida niiden vaikutusta toimintaan.
Fyysinen ja digitaalinen turvallisuus liittyvät tiiviisti toisiinsa. Digitaalinen infrastruktuuri sijaitsee fyysisissä tiloissa, ja fyysinen pääsy kriittisiin kohteisiin voi mahdollistaa digitaalisen väärinkäytön. Toisaalta digitaalinen haavoittuvuus voi vaikuttaa fyysisiin turvajärjestelmiin. Siksi tilannekuvan tulee kattaa molemmat näkökulmat.
Elinkaaren hallinta ylläpitää turvallisuustasoa
Turvallisuusratkaisut toteutetaan usein projektina, vaikka niitä on saatavissa myös palveluna. Järjestelmä suunnitellaan, otetaan käyttöön ja siirrytään normaaliin operointiin. Tässä vaiheessa voi syntyä käsitys, että turvallisuustyö on valmis. Näin ei kuitenkaan ole, ellei kyse ole jatkuvasta palvelusta, jota osaava turvallisuuskumppani ylläpitää.
Jos järjestelmiä ei ylläpidetä systemaattisesti, turvallisuustaso heikkenee vähitellen. Laitteet vanhenevat ja lisäksi uusia haavoittuvuuksia löydetään jatkuvasti, joten ohjelmistot kaipaavat päivittämistä. Elinkaaren hallinta tarkoittaa, että turvallisuusratkaisujen toimivuutta, ajantasaisuutta ja kattavuutta seurataan suunnitelmallisesti. Organisaation on tiedettävä esimerkiksi:
- ovatko kriittiset järjestelmät edelleen tuettuja
- toteutuvatko päivitykset ja korjaukset ajallaan
- vastaavatko ratkaisut muuttuvaa riskiympäristöä
Kun elinkaarenhallinta on osa johdettua toimintamallia, turvallisuustaso ei myöskään jää yksittäisten henkilöiden varaan. Se perustuu dokumentoituun jatkuvaan seurantaan ja ennakoivaan kehittämiseen.
Kun turvallisuutta johdetaan yhtenä kokonaisuutena, riskienhallinta, valvonta, reagointi ja raportointi muodostavat yhteisen rakenteen. Tämä helpottaa sekä turvallisuuden kehittämistä että sääntelyn vaatimusten täyttämistä. Mikään yksittäinen järjestelmä tai projekti ei ole käänteentekevä. Olennaista on se, että käytetyt turvallisuusratkaisut muodostavat hallitun kokonaisuuden, joka tukee organisaation toimintakykyä myös häiriötilanteissa. Lisäksi on oltava suunnitelma siitä, miten tätä kokonaisuutta ylläpidetään.
Lue lisää oppaastamme ja poimi talteen turvallisuuden muistilista.
