Tulostusversio

2/2014

Iso parannus tietoturvallisuuden hallintaan

Teksti: Marianne Saine

Vastoin yleisiä luuloja sertifiointi ei ollut kallista eikä lisännyt tietohallintoon byrokratiaa.

CSC Tieteen tietotekniikan keskukselle myönnettiin kesäkuussa 2013 tietoturvallisuuden hallintajärjestelmien sertifikaatti. Se perustuu standardiin ISO/IEC 27001. Sertifioinnin kohteena ollut Kajaanin datakeskus tarjoaa superlaskenta- ja pilvipalveluita yliopistoille, tutkimuslaitoksille ja yrityksille. Sertifioinnilla CSC halusi varmistaa, että palveluiden tuotanto ja käyttöturvallisuus noudattaa parhaita kansainvälisiä turvallisuuskäytäntöjä.

Tietoturvapäällikkö Urpo Kailan mukaan sertifiointityö kannatti.

"CSC:n toiminnassa asiakkaiden ja omistajien luottamus on erittäin tärkeää. Sertifikaatilla voidaan uskottavasti näyttää, että tietoturvallisuuden hallintajärjestelmät ovat kunnossa."

Suomessa sertifiointi ei ole yleistä. Prosessia saatetaan pelätä kalliiksi, työlääksi ja byrokraattiseksi.

"CSC:llä on valtion omistamana voittoa tuottamattomana yhtiönä kehittäjän rooli. Keskuksen asiakkaat ovat pikemminkin yhteistyökumppaneita, joille halutaan tarjota parasta mahdollista palvelua", Kaila perustelee.

Sertifikaatin hakemiseen liittyi myös kansainvälinen näkökulma.

"CSC:n kollegiaalisia keskuksia on kaikissa sivistysmaissa, ja yhteistyö tiivistyy koko ajan. Tietoturvan kannalta on haasteellista, kun vaikkapa Portugalista tai Kreikasta tulee vierailijoita, jotka ajavat ohjelmistojaan meidän koneillamme. Tähänkin pitää olla yhteismitallinen metodi.”

Urpo Kaila ei pidä voimakasta keskittymistä kansallisiin tietoturvaratkaisuihin parhaana mahdollisena kehittämistapana.

"ISO 20071 on kansainvälinen standardi. Kotimaisissa valtionhallinnon tietoturva-asetuksen turvatasoissa ja kansallisessa turvallisuusauditointikriteeristössä (Katakri) on paljon hyvää, mutta ne eivät aukea Suomen rajojen ja kielialueen ulkopuolella."

Byrokratia on itsestä kiinni

Tietoturvassa erotetaan maailmalla kaksi asiaa, Computer Security ja Information Security eli tekninen tietoturvallisuus ja turvallisuusjohtaminen.

"Suomessa tietoturvasta tulee usein mieleen vain Computer Security, eli onko koneessa virus", Kaila sanoo.

Standardin pohjalta sertifioitu tietoturvallisuuden hallintajärjestelmä varmistaa, että organisaatiolla on kyky hallita, johtaa ja jatkuvasti parantaa palveluidensa ja toimintansa tietoturvallisuutta.

"Tietoturvallisuus käsittää siis organisaation koko toiminnan. Siihen kuuluu myös johdon aktiivinen osallistuminen, tilaturvallisuus, henkilöstön osaaminen ja toki tuo virusturva. Sertifioinnilla varmistetaan, että prosessit ovat vastuutettuja ja valvottuja," Kaila tiivistää.

Sertifioinnin hintavuusolettama voi selittyä esimerkiksi sillä, että organisaatioon palkataan lisähenkilökuntaa prosessia tekemään. Sertifiointi ei sinänsä ole kallista. Työlästä se saattaa olla, riippuen organisaation aiemmista menettelytavoista ja asenteista.

"Meille ei henkilökuntaa lisätty. Koimme tärkeäksi, ettei sertifiointi olisi mikään päälleliimattu toiminto, vaan että aidosti parannamme arkisia toimintatapoja. Erillinen sertifiointiyksikkö ei tätä tavoitetta olisi auttanut", Kaila kertoo.

Byrokratiakaan ei Kailan mukaan lisäänny.

"Jos ajattelee jäykästi, lopputulos voi olla byrokraattinen. On organisaation omasta fiksuudesta kiinni, kuinka ketteriksi toiminnot luodaan. Tärkeintä on että organisaation keskeiset toiminnot ovat läpinäkyviä, kuvattu dokumenteissa ja johdon valvomia."

Auditointi kerran vuodessa

Sertifikaatti on voimassa kolme vuotta. Siihen kuuluu kattava vaatimuslista siitä, mitä toimintoja organisaatiolla pitää olla, jotta vaatimukset täytetään. Pakollisia vaatimuksia on peräti 133. Vuosittaisella auditoinnilla varmistetaan, että homma toimii.

"Auditointipäivät saattavat olla tietoturvapäällikölle työläitä. Kun 133 kohtaa käydään läpi, saa kyllä vastata aika moneen kysymykseen", Urpo Kaila hymähtää. 

Kaila ei kuitenkaan vastaile yksin, vaan eri toiminnoille on nimettyjä vastuuhenkilöitä.

Auditoija voi tentata esimerkiksi, onko organisaatiolla palomuurien pääsylistojen hallinta, onko se kuvattu vai sovitaanko palomuurituksista vain puheen tasolla. Entä onko johto tehnyt asiasta päätöksen, vai ovatko ylläpitäjät vain alkaneet itse laatia pääsylistoja? Auditoijat tekevät pistokokeita ja keräävät näytedokumentteja.

Auditointi kestää joitakin päiviä.

"Sen valmisteluun menee toki enemmän aikaa."

Peukalot ylhäällä

Palaute yhteistyökumppaneilta on ollut positiivista. 

"Jos olisimme liikeyritys, toiminnan kehittäminen näkyisi taloudellisessa tuloksessa. Nyt tulokset näkyvät kumppanien toiminnassa."

CSC:n tarkoitus on laajentaa sertifikaatin kattavuutta muuhunkin kuin Kajaanin datakeskuksen toimintaan.

Kaila uskoo, että standardisointi tulee IT-maailmaan vääjäämättä. Tietokoneita on ollut olemassa viitisenkymmentä vuotta mutta esimerkiksi erilaisia talousjärjestelmiä tuhansia vuosia.

"Rahoja ja kuluja ei viedä kirjanpitoon sattumanvaraisesti. Joka vuosi tehdään tilinpäätös, ja sen tarkistaa tilintarkastaja, eikä kukaan tätä kyseenalaista", Kaila vertaa.

Suomessa sertifikaatti on myönnetty vain muutamalle keskeiselle IT-toimittajalle sekä Viestintävirastolle ja Väestörekisterikeskukselle. Muualla maailmassa se on muiden muassa Google Apps´llä, Amazon Web Servicellä ja Microsoftilla.

"Tähän kerhoon on mukava jatkossakin kuulua", Urpo Kaila sanoo.

Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi
Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.