Terve, minä olen Mikael ja aloitin 2NS:llä hallinnollisena tietoturvakonsulttina tammikuussa 2024, siis aika tarkkaan vuosi sitten. Se oli hyppy tuntemattomaan. Tietoturva-ala oli toki hyvin tuttu, mutta konsulttibisnes ei. Minua kiehtoi mahdollisuus laajentaa osaamistani tutustumalla monien eri yhtiöiden haasteisiin ja ratkaisuihin, enkä ole pettynyt! Mutta kolikolla on toinenkin puoli, lyhyissä projekteissa ei voi kehittää jotain omaa pitkäjänteisesti. Onneksi 2NS:n valikoimaan kuuluu palvelukonsepti, jossa molemmat hyvät puolet yhdistyvät; ”Interim-CISO”. Tätä konseptia käytämme itsekin oman tietoturvamme kehittämiseen.
Interim-CISO on hyvä konsepti juuri meidän kaltaisillemme yrityksille, jotka haluavat satsata tietoturvaan, mutta joiden koko ei edellytä kokoaikaisen tietoturva-vastaavan palkkaamista. Meillähän on kymmeniä päteviä henkilöitä tekemässä asiakastyötä, ja valitsemme vuodeksi kerrallaan jonkun meistä vastaamaan omasta tietoturvastamme. Olen itse ollut vastuussa 2NS:n tietoturvasta kesäkuusta 2024 lähtien, joten näin reilun puolen vuoden jälkeen on hyvä ajankohta katsoa taaksepäin ja miettiä mitä on tullut opittua ja miten tällainen konsepti käytännössä toimii.
Kulupuoli on keskeistä
Keskeistä tässä konseptissa on tietenkin kulupuoli, siis kuinka paljon resursseja allokoidaan tietoturvan hoitamiseen. Suunniteltu allokaatio on yksi päivä viikossa sekä meillä että monella asiakkaalla, siis 20 % täyspäiväisestä. Toteutunut työmäärä oli vuoden 2024 aikana 47,3 henkilötyöpäivää (HTP), mikä vastaa suunnitelmia aika tarkasti. On kuitenkin huomioitava, että tämä on pelkän CISO:n työmäärä. Apua tarvitaan muilta asiantuntijoilta, ja konsulttifirman hyvä puoli on, että käytetyn työajan mittaaminen on osa DNA:ta. Tiedämme sen takia, että muiden työntekijöiden panostus oli 37,7 HTP. Kokonaistyömäärä oli siis 85,0 HTP.
Onko se sitten tarpeeksi? Hyvä kysymys. 2NS on melko pieni (noin 50 työntekijää), moderni ja vahvasti pilvipalveluita hyödyntävä yritys. Merkittävä osa teknisen tietoturvan hallinnasta sisältyy palvelutarjoajien sopimuksiin. Meille itsellemme jää siis kokonaisuuden hallinta, alihankkijoiden perään katsominen, sääntöjen ja prosessin ylläpito sekä insidenttien hallinta.
Sertifikaatit auttavat ja velvoittavat
2NS:llä on sekä tietoturvan ISO 27001– että laadun ISO 9001-sertifikaatit. Se on melkoinen saavutus tämän kokoluokan firmassa, mutta elintärkeätä alallamme! CISO:n tärkein haaste on näiden hoito ja ylläpitovelan kurissa pitäminen. Vuoden tärkeimmät opit liittyvät juuri tähän.
Ylläpitovelka on kuin rikkaruoho puutarhassa. Pääsee helpommalla, jos kitkee sitä heti, siis käytännössä estää velan syntymistä. Ylläpitotoimenpiteiden lykkääminen aikapulan takia on kavala ansa, koska eihän kellään ole enemmän aikaa sitten kun velka on maksettava. Pakko myöntää, että tätä on opittu kantapään kautta! Mutta miten voidaan estää velan syntymistä?
Yksi tärkeä työkalu on yksinkertaistaminen. Yksinkertainen prosessi toimii. Meidän ISMS:ssä (Information Security Management System) on prosesseja, jotka ovat niin raskaita, että ne saattavat jäädä käyttämättä. Osa on jo korjattu, osa työlistalla.
Toinen tärkeä perusperiaate on riskilähtöinen toimintatapa. Riskirekisteri on alusta, jonka päälle tietoturva rakentuu. Se määrittelee mitkä hallintakeinot tarvitaan ja millä prioriteetilla. Mutta se voi myös osoittaa, että jotain ei tarvitsekaan tehdä. Meidän riskirekisterimme on pääasiassa kunnossa, mutta riskien vakavuusluokitukset ovat osittain vanhentuneet.
Kaikki auditoinnit ovat tärkeitä apuvälineitä, sekä sisäiset että ulkoiset. Parannettavien kohtien identifiointi on työlästä ja ISO 27001-standardin vaatimat auditoinnit antavat arvokasta vetoapua. Raportti on tärkeä resurssi, jota kannattaa lukea tarkasti! Ja älä jätä löydöksiä kasvattamaan ylläpitovelkaa. Varaa aikaa niiden korjaamiseen osana auditointiprojektia.
Viimeinen, mutta ei missään nimessä vähiten tärkeä työkalu on vuosikello. Standardi ja käytäntö vaativat, että tietyt asiat katselmoidaan säännöllisin väliajoin, joten näiden tehtävien suorittaminen ajallaan on tärkeä tapa hallita ylläpitovelkaa.
Alkaa siis jo muodostua selkeä lista asioista, joita tarvitsee kehittää. Tässä 2NS:n CISO:n tärkeimmät kehityskohteet vuodelle 2025:
- Vie muutaman kevennetyn prosessin kehitys ja hyväksyntä maaliin
- Hoida muu ylläpitovelka, mukaan lukien kohtia aiemmista auditointiraporteista
- Pidä riskienhallinnan työpaja
- Katselmoi ja kehitä CISO:n vuosikelloa
Kuulostaako tutulta? Näin meillä, mutta veikkaan, että aika monen CISO:n työlista näyttää hyvin samanlaiselta.
Ja sitten vain kääritään hihat…
Mikael Albrecht,
CISO, Senior Security Consultant, 2NS
2NS:n CISO Newsletter on sisältökonsepti, jossa CISO:mme kertoo siitä, millaisia asioita tulee tietoturvapäällikön pöydälle. Voit tilata CISO Newsletterimme suoraan sähköpostiisi tai käydä lukemassa blogistamme aina uusimman CISO Newsletterin. Julkaisemme uutiskirjeen noin kerran kuussa.