Kyberturvallisuuskeskus on vastannut ajankohtaisiin kyberturvahaasteisiin ja nostanut kyberturvallisuuden johdon agendalle lanseeraamalla kansallisen kyberturvallisuuden arviointimallin. Kybermittari soveltuu myös monelle organisaatiolle sisäisesti käytettäväksi työkaluksi oman kyberturvatilannekuvansa muodostamiseksi.
Digitaalisiin palveluihin on kohdistunut viime vuosina entistä enemmän kyberhyökkäyksiä ja loppua ei näy horisontissa. Digitaalisesta toimintaympäristöstä johtuvat keskinäisriippuvuudet vaikeuttavat entisestään turvallisuuden realistista arviointityötä. Ilahduttavan monet yritykset ovat jo tiedostaneet vastuunsa turvata sekä oman että asiakkaidensa tietopääoman ja samalla organisaatiot ovat tiedostaneet olevansa osa laajempaa/useampaa toimitusketjua, joista ne ovat riippuvaisia.
Kybermittari on julkaistu lokakuun 2020 lopussa ja sen kehityksessä on ollut mukana kriittisen infrastruktuurin organisaatioita, yrityksiä ja asiantuntijoita. Mittari mittaa organisaation kypsyystasoa kansainvälisten mallien mukaisesti (Kybermittarin pohjana toimivat kansainväliset NIST Cybersecurity Framework sekä Cybersecurity Capability Maturity Model - C2M2).
Kybermittarin kautta organisaation johto saa nähtäväkseen ajantasaisen tilanteen oman vastuualueensa kyberriskien tunnistamiseen, havainnointiin, suojautumiseen ja turvallisuuspoikkeamatilanteesta palautumiseen.
Yhteisen mallin kenties suurin hyöty on kyberturvallisuuden tilan vertailussa (’benchmarking’) muiden kotimaisten toimijoiden kesken, sekä yhteisen kielen löytäminen omien toimitusketjujensa, kumppanien, alihankkijoiden ja viranomaisten suuntaan.
Kyberturvallisuuskeskuksen rooli on ylläpitää arviointimallia, sekä luoda edellytykset jakaa luottamuksellisesti tietoa parhaista käytänteistä kriittisten organisaatioiden kanssa, mm. luomalla anonymisoituja referenssi ja -suositustasoja.
Luontevinta on, että organisaation johtoryhmä tai muu organisaation päätöksentekoelin suorittaa päätöksen kybermittarin käyttöönotosta ja kybertilaarvioinnin toteuttamisesta. Samalla tehdään päätös arvioinnin kohteesta ja nimitetään arvioinnille sponsori sekä arvioinnin vetäjä.
Arvioinnin sponsori voi olla johtoryhmän jäsen tai muuten organisaatiossa arvostettu toimihenkilö. Arvioinnin vetäjä voi olla yrityksen oma kyberosaaja tai ulkopuolinen turvallisuusasiantuntija tai -konsultti. Sponsori ja arvioitsija ottavat nimitystensä jälkeen johtoryhmältä vetovastuun arvioinnin loppuun viemisestä.
Kybermittarin käyttöönotto voidaan toteuttaa luontevasti työpajamenetelmänä ja arviointi voidaan suorittaa kerralla koko yritykseen, mutta suuremmissa organisaatioissa on suositeltavaa arvioida aluksi vain kriittisimpiä palveluita ja toimintoja (tyypillisesti yksi kerrallaan).
Työpajoihin olisi hyvä kutsua ne organisaation asiantuntijat, jotka vastaavat arvioitavan toiminnan osa-alueista, sekä toiminta-alueen toimintojen mahdollisista riippuvuuksista. Esimerkkiorganisaatiossa nämä osa-alueet voisivat olla tietohallinto, riskienhallinta ja (liike)toiminnan arvioitavan osa-alueen vastuulliset henkilöt.
Työpajoihin osallistuvien henkilöiden ei oleteta tietävän vastauksia kaikkiin kybermittarissa esitettäviin kysymyksiin, vaan riittää että osallistujat vastaavat parhaan tietonsa mukaisesti. Kybermittari tarjoaa kuitenkin valmiiksi pohditut kysymykset, joiden avulla se ohjaa arvioinnin toteutusta ja kertoo lopulta annettujen vastausten pohjalta organisaation kypsyystason.
Arvioinnin tavoitteena on määrittää yksityiskohtaisesti arvioitavana olevan toiminnon osa-alueet ja tunnistaa niiden toimintavarmuuden kannalta kriittiset riippuvuudet. Riippuvuuksia ovat kaikki sellaiset tiedot, prosessit ja järjestelmät, joita ilman yrityksen arvioitava palvelu tai toiminto ei toteudu.
Tulosten arviointiin osallistuvat tyypillisesti arvioinnin sponsori, arvioinnin vetäjä, organisaation asiantuntijat sekä mahdolliset muut kehityssuunnitelmien omistajat.
Osallistujat voivat analysoida yhdessä arvioinnin tulokset ja määrittää niiden perustella tavoiteltavan kyberturvallisuuden kypsyyden tason. Yleissuositus on pyrkiä ensin kaikissa toiminnassa alimmalle, eli kypsyystasolle 1.
Kyberturvallisuuskeskus voi toimittaa pyynnöstä referenssi/suositustason, joka perustuu tietyn yrityksen liiketoiminta-alueeseen. Suositusta korkeamman kypsyystason tavoittelulle voi löytyä kuitenkin myös muita liiketoiminnallisia ja/tai riskipohjaisia syitä ja perusteita.
Arvioinnin tulosten ja tavoitetilan perusteella voidaan tunnistaa ne kehitystoimenpiteet, joita organisaation tulisi toteuttaa toimintansa kehittämiseksi ja suunnitellun tavoitetilan saavuttamiseksi. Toimenpiteistä laaditaan kehityssuunnitelma, jolle määritellään toteutusprioriteetti, vastaava omistaja sekä realistinen aikataulu. Organisaation johtoryhmän ja arvioinnin sponsorin vastuulle jää tarpeellisten ja riittävien resurssien kiinnittäminen kehitysprojekteille.
Kybermittarin käyttäminen on prosessi, jossa organisaation kyberturvallisuuden tasoa nostetaan kunnes se
vastaa haluttua kypsyystasoa. Vaikka arviointi kybermittarin avulla voidaan suorittaa yksittäisenä tarkastuksena, suosittelemme ehdottomasti arviointien liittämistä osaksi organisaation jatkuvia arviointi – ja kehitysprosesseja, jolloin kybermittaria voidaan käyttää luontevasti muiden riskienhallinnan työkalujen rinnalla.
Kybermittari on kirjoitettu kiitettävän selväkielisesti, mutta sen käyttämä termistö, joka sisältää runsaasti kyberturvallisuussanastoa, vaatii jonkin verran asiaan perehtymistä. Turvallisuutta käsitellään sekä hallinnollisella että käytännön tasolla, kun tarkastellaan yleisiä hallintatoimia.
Kysymyksissä pureudutaan myös kiitettävästi usein unohdettuihin riippuvuusriskien hallintaan (toimittajasuhteet, kyberturvallisuusvaatimukset sopimusulkoistuksissa ja hankinnoissa) ja tässä kybermittarin potentiaali piileekin. Organisaatio voi tulevaisuudessa varmistaa oman kyberturvallisuutensa kypsyystason ohessa myös kotimaisten kumppaniyritystensä kypsyystason, samalla kun Kyberturvallisuuskeskuksen tilannekuva laajenee palvelemaan kansallisella tasolla paremmin meitä kaikkia.
Kybermittarin sisällön katselmointi ja sen perusteella suoritettu sisäinen arviointi ei ole turhaa yhdenkään organisaation johdolle. Arviointi vastaa aina vähintäänkin kahteen tärkeään kysymykseen:
”Mitä osa-alueita kyberturvallisuus nykyaikana sisältää?” ja ”Tiedämmekö mihin asioihin meidän tulisi seuraavaksi kiinnittää huomiota tai kohdentaa resursseja?” Lisäksi kybermittarin avulla on mahdollista havaita aidosti liiketoimintaa uhkaavia kriittisiä puutteita, ilman laajempaa tai syvällisempää ymmärrystä kyber- tai tietoturvallisuudesta.
Kybermittarista saatu hyöty organisaatiolle on suuresti kiinni arvioinnin vetäjän osaamisesta, mutta toisaalta sen käyttöön ottaminen on varsin mutkatonta erityisesti tilanteessa, jossa organisaatiolla on riittävät sisäiset kyvykkyydet sekä ylimmän johdon tuki.
Mikäli oman organisaation resurssit eivät riitä arvioinnin toteuttamiseen, voi Seclionin turvallisuusasiantuntija toimia mainiosti arvioinnin vetäjänä. Samalla varmistutaan siitä, että asioita tarkastellaan mahdollisimman neutraalisti ja objektiivisesti, sekä saadaan tukea soveltuvien ja kustannustehokkaiden kehitystoimenpiteiden määrittämiseen ja toteuttamiseen.
Seclion Oy on Suomen johtava turvallisuuteen erikoistunut asiantuntijayritys. Tuotamme ainoastaan erityisosaamista vaativia suunnittelu- ja konsultointipalveluita, jonka vuoksi voimme tarjota asiakkaillemme aidosti puolueettomia ja alan toimijoista riippumattomia turvallisuusasiantuntijoita.
Tutustu asiakkaidemme kokemuksiin palveluistamme täällä.