ISO 27001, NIS2, DORA. Standardeja ja muita viitekehyksiä tietoturvan ylläpitoon on lukuisia. Ne ovat kaikki hyviä, vaikka eivät välttämättä kovin helppotajuisia. Vaatimuksenmukaisuus tekee standardeista kattavia ja ne pitävät sisällään laaja-alaisen tietoturvan hallinnan kokonaisuuden ympäristön tuntemisesta auditointiin sekä poikkeamien hallintaan. Vaikuttavat täydellisiltä paketeilta, ainakin ensimmäisellä silmäyksellä.
Mutta puuttuuko jotain oleellista? Jäin kaipaamaan yhtä sanaa heti kun aloin tutustua 27-tonniseen. Ja sama kaipuu jatkui NIS2:n ja DORA:n parissa. Sitä on kyllä siellä rivien välissä, monellakin tavalla. Mutta sitä sanaa ei ole kirjoitettu auki kertaakaan:
Kulttuuri!
Se olisi mielestäni ansainnut oman otsikon.
Tietoturvakulttuuri lähtee johdosta, ei pelkästä standardista
Tietoisuutta pitää kouluttaa henkilökunnalle. Ylimmän johdon sitouttaminen on kulttuuriin liittyvä asia. Jatkuvasta parantamisesta tulee pikkuhiljaa osa kulttuuria. Tietoturvakulttuuri paranee automaattisesti, jos noudattaa standardeja ja direktiivejä. Nämä kaikki on mainittu viitekehyksissä ja standardeissa. Mutta voisiko tehdä vielä enemmän? Miten tietoturvakulttuurin saisi nivottua syvällisemmin standardiin ja käytäntöön?
Ylimmän johdon sitouttaminen. ISO 27001 -standardin mukaan se tarkoittaa esimerkiksi tietoturvaraporttien katselmointia ja työtä riskienhallinnan parissa. Mutta miten olisi, jos tietoturvaan liittyvät uutiset ja ilmoitukset tulisivat välillä toimarilta tietoturvapäällikön sijasta? Voisiko se parantaa tietoturvan näkyvyyttä ja arvostusta koko organisaatiossa? No taatusti voisi!
Hyvänä esimerkkinä voisin käyttää vuosien takaista kokemusta eräästä työpaikasta, jossa järjestettiin evakuointiharjoitus. Toimarilla oli kuitenkin harjoituksen aikaan jotain tärkeätä kesken ja katsoi, että hänellä ei ole aikaa leikkiä evakuointia. Tarina ei kerro mitä tärkeätä hänellä oli, mutta tieto hänen toiminnastaan levisi tehokkaasti firmassa. Hän vaikutti samalla turvakulttuuriin, vaikka ei varmaan ajatellut sitä juuri silloin.
Standardissa ei tätä mainita, mutta kaikentasoiset johtajat ja päälliköt ovat tärkeässä roolissa tietoturvan jalkauttamisessa, sillä välijohto ja tiimien vetäjät vaikuttavat myös kulttuuriin ja IT-henkilöstö on tietoturvan esikuva kaikille käyttäjille. Sekä hyvä että paha käytös leviää alas, ylös ja sivuttain organisaatiossa. Ymmärtävätkö kaikki esikuvat roolinsa tietoturvan vaikuttajana? Näkyykö tämä mitenkään koulutuksessa ja tietoturvan johtamisessa? Miten käytäntö ja hyvä tietoturvakulttuuri kohtaavat organisaatiossa?
Niin metsä vastaa kuin sinne huudetaan – myös tietoturvassa
Entä sitten tilanne, jossa käyttäjä saa viestin tilin vakavasta ongelmasta ja viestissä vaaditaan välitöntä kirjautumista organisaation tilille? Käyttäjä on epävarma viestin aitoudesta ja on ohjeistettu pyytämän apua. Tuki-tiketti on luotu ja sitten ei tapahdu mitään. Taas sama juttu, IT:n tukipalvelu on kuin musta aukko. On sanomattakin selvää, että tämä tilanne ei ole kovin rakentava tietoturvakulttuurin kannalta. Kukaan ei ole asiantuntija muutaman tietoisuuskoulutuksen jälkeen ja loppukäyttäjät tarvitsevat jatkuvasti apua huijausten tunnistamisessa. Nopea vastaus IT-tuelta viestittää, että oli oikein pyytää apua. Sen tärkeys on vielä suurempi tilanteissa, joissa viesti onkin aito.
Kuvitellaan, että käyttäjä meni halpaan ja on syöttänyt salasanansa kalastelusivulle. Kutsutaan häntä vaikka Frankiksi. Frank tajusi heti, että se oli moka. Mutta miten hän toimii sen jälkeen? Se riippuu pitkälti kulttuurista, juuri siitä, jota ei standardissa mainita, mutta joka kuitenkin vaikuttaa käytännön tekemiseen.
Frank saattaa muistaa aiempia keskusteluita CISO:n kanssa. Kynnys raportoida on hyvin korkea, jos se johtaa läksytykseen, josta tullaan ulos naama punaisena. Esihenkilöt, jotka eivät koskaan myönnä omia virheitään edistävät myös vaikenemisen ilmapiiriä, ja hakkeri on ainoa, joka hyötyy siitä. Pitää tunnustaa, että kaikki tekevät virheitä silloin tällöin. Oman virheen raportointi on vastuullista eikä siitä pidä rangaista. On tietenkin tieturvan intresseissä luoda kulttuuri, jossa voidaan luottaa siihen, että Frank raportoi mokansa.
Tietoturvastandardit ja viitekehykset kertovat kyllä kuinka hyviä toimintatapoja rakennetaan, mutta ne eivät ota suoraan kantaa tietoturvakulttuurin luomiseen tai siihen, kuinka tietoturvan osalta hyvä kulttuuri syntyy. Kulttuuri kuitenkin vaikuttaa vahvasti siihen, kuinka organisaatiossa tietoturva näkyy ja kuinka ihmiset toimivat. Tämän vuoksi kulttuurin luomiseen on syytä kiinnittää huomiota ihan jokaisella portaalla organisaatiossa, jotta ihmiset toimivat tietoturvallisesti.
Minkä viestin lähetät?
Kulttuuri on siis hyvin monipuolinen ilmiö, johon voi vaikuttaa monella tavalla. On varmaan helpompaa listata ne harvat asiat, jotka eivät vaikuta kulttuuriin. Standardin vähimmäisvaatimusten täyttäminen ennen auditointia on toki askel oikeaan suuntaan, mutta se ei ole kokonaisvaltaista tietoturvakulttuurin hallintaa. Sen jälkeenkin on paljon mahdollisuuksia parantaa kulttuuria ja pilata sitä. Auditoinnin läpäisy kunnialla ei siis välttämättä tarkoita, että tietoturvakulttuuri on hyvällä tasolla.
Tärkeä askel kohti parempaa on kulttuurin merkityksen tunnustaminen ja ymmärtäminen, että lähes kaikki mitä CISO tekee vaikuttaa tietoturvakulttuuriin, joko suoraan tai epäsuorasti. Voi toki käynnistää erillisen projektin kulttuurin parantamiseksi, mutta tärkeimmät kulttuuria edistävät teot liittyvät meidän päivittäiseen työhömme. Kannattaa aina pysähtyä hetkeksi miettimään miten päätös tai toimenpide vaikuttaa. Onko sen lähettämä viesti rakentava vai kampittava?
Mikael Albrecht
2NS CISO
2NS:n CISO Newsletter on sisältökonsepti, jossa CISO:mme kertoo siitä, millaisia asioita tulee tietoturvapäällikön pöydälle. Voit tilata CISO Newsletterimme suoraan sähköpostiisi tai käydä lukemassa blogistamme aina uusimman CISO Newsletterin. Julkaisemme uutiskirjeen noin kerran kuussa.