Huoneessasi istuu käyttäjä, joka on jäänyt kiinni tietoturvasääntöjen rikkomisesta. Kutsutaan häntä vaikka Frankiksi. Tunnelma on kireä. Olet muistuttanut häntä säännöistä ja painottanut kuinka paljon vahinkoa luottamuksellisen aineiston lataaminen yhteistyökumppanin pilvipalveluun olisi voinut aiheuttaa. Muistutat häntä tiukkaan sävyyn siitä, että hänen tilinsä pilvipalvelussa suljetaan, jos hän jää kiinni vielä kerran. Frankin naama on peruslukemissa. Hän ei näytä kovin katuvaiselta. Hän mutisee jotain tavoitteista ja työskentelyn tehokkuudesta. Hän poistuu huoneesta ja voit kuvitella miten hän näyttää kansainvälistä käsimerkkiä käytävässä.
No, miten meni niin kuin omasta mielestä?
Miksi tämä tapahtui? Onko Frank tyhmempi ja piittaamattomampi kuin muut? Tuskin. Tuleeko hän toistamaan saman virheen? Ehkä, ehkä ei. Tuleeko joku muu tekemään saman mokan? Todennäköisesti. Mutta miksi, säännöthän ovat täysin selkeät ja löytyvät firman intrasta. Ne pitäisi olla kaikkien tiedossa! Miksi ihmeessä näitä keissejä tulee silti jatkuvasti? Tässä vaiheessa kannattaa pohtia mitä vaaditaan, että turvasääntö toimii käytännössä.
Toimivan säännön vaatimukset voidaan nähdä eräänlaisena pyramidina, vähän niin kuin Maslowin tunnettu tarvehierarkia.
Aloitetaan alhaalta, perustasolta. Sääntö pitää olla olemassa dokumentoidussa muodossa. Siitähän se kaikki lähtee. Kirjoittamattomiin sääntöihin ei kannata luottaa turvallisuusasioissa. Tämä saattaa kuulostaa itsestään selvältä, mutta vaatimus ei olekaan niin helppo. Sääntödokumentti löytyy varmasti, mutta onko se tarpeeksi kattava? Koko käyttäjäkunnan luovuus ylittää aina välillä CISO:n kyvyn keksiä sääntöjä. Välillä tulee vastaan tapauksia, joissa olisi pitänyt olla tiukempi sääntö tai ohjaus.
Seuraavalla tasolla on tietoisuus. Käyttäjän pitää olla tietoinen säännöstä, ja päästä tarkistamaan sitä tarvittaessa. Tämä hoituu koulutuksella, sisäisellä tiedottamisella ja tarpeeksi selkeällä dokumenttijärjestelmällä mistä oikeasti voi löytää jotain. Homma jää valitettavan usein tälle tasolle. Sääntö on olemassa, check. Sääntö on julkaistu intranetissä ja mainittu ohimennen koulutuksessa, check. Ja sitten joku Frank toimii kuitenkin ihan niin kuin haluaa. Tässä tapauksessa sääntö ei estä vahinkoja, se voi korkeintaan toimia siirtämällä vastuun CISO:lta loppukäyttäjälle.
Tietoisuudesta ei ole hyötyä, jos käyttäjä ei ymmärrä sääntöä. Kannattaa siis kiinnittää huomiota esitysmuotoon ja kielen selkeyteen. Ei ole vaikeata löytää esimerkkejä säännöistä, jotka ovat nörtin kirjoittamia, ja sen takia täyttä hepreaa tavalliselle käyttäjälle. Softakehityksessä testataan tuotteita ennen julkaisua. Mutta kuinka moni luetuttaa uusia tietoturvasääntöjä muutamalla loppukäyttäjillä ennen hyväksymistä?
Entä sitten motivaatio? Ymmärtääkö käyttäjä miksi sääntö on olemassa, ja miksi on tärkeätä noudattaa sitä? Tässä koulutus on taas avainroolissa. Liitä mukaan esimerkkejä siitä, mitä voi tapahtua, jos sääntöä ei noudateta. Käytä esimerkkejä oman organisaation tapahtumista, jos mahdollista. Se sitoo koulutuksen todellisuuteen ihan eri tavalla kuin keksityt tai netistä ladatut esimerkit.
Viimeinen taso on kyky. Ok, sääntö on siis olemassa. Käyttäjä on tietoinen siitä ja ymmärtää sen sisältöä. Hän ymmärtää myös miksi sääntö on olemassa. Mutta pystyykö hän noudattamaan sitä käytännössä? Vai onko oma pilvipalvelu niin kökkö, että Frank mieluummin tarttuu tarjoukseen työskennellä yhteistyökumppanin palvelussa? Ovatko säännöt realistisia käytännössä? Tietoturvatyö on aina raippaa ja porkkanaa sopivassa suhteessa. Tehokkain tapa saada käyttäjät tottelemaan sääntöjä on tehdä se helpoksi.
Kelataan takaisin ja aloitetaan keskustelu Frankin kanssa alusta. Sääntöjä rikkonut käyttäjä on siis kutsuttu puhutteluun. Mitä haluat saavuttaa keskustelulla? Nuhtelu ja rankaisu voi korkeintaan parantaa yhden käyttäjän käytöstä, jos edes sitä. Informointi säännöistä pehmeään sävyyn voi toimia, mutta taas ainoastaan yhden käyttäjän kohdalla. Ja me emme edes tiedä oliko puutteellinen tietoisuus syynä rikkomukseen.
Ei, tärkein tavoite keskustelussa Frankin kanssa on selvittää mikä näistä yllä mainituista tasoista petti. Tämä johtaa niin monessa standardissa ja ISMS-dokumenteissa mainittuun mantraan; jatkuva parannus.
Syypää rikkomukseen ei välttämättä ole käyttäjä vaan sääntöjen jalkauttaminen organisaatiossa. Perinteinen tapa lähestyä ongelmaa on miettiä, mitä Frankin olisi pitänyt tehdä toisin. Vähintään yhtä tärkeätä on miettiä mitä sinä itse olisi voinut tehdä toisin sääntöjen jalkauttamisessa.
Mikael Albrecht
2NS CISO
2NS:n CISO Newsletter on sisältökonsepti, jossa CISO:mme kertoo siitä, millaisia asioita tulee tietoturvapäällikön pöydälle. Voit tilata CISO Newsletterimme suoraan sähköpostiisi tai käydä lukemassa blogistamme aina uusimman CISO Newsletterin. Julkaisemme uutiskirjeen noin kerran kuussa.
Tilaa CISO Newsletter
Kaikki CISO Newsletterit löydät kootusti täältä.