XCure Solutions Oy. Tietoturvatason ja tarpeen kartoittaminen

Transkriptio

1 XCure Solutions Oy Tietoturvatason ja tarpeen kartoittaminen

2 Tietojärjestelmien turvaamiseen tarvitaan paljon enemmän kuin palomuuri. Jokaisella organisaatiolla on erilaiset tietoturvatarpeet ja vaatimukset. Luottamuksellisen tiedon tulee olla saatavilla niillä henkilöillä, joilla on siihen tarve työtehtävien hoitamiseksi. Oikeuksien hallinnoinnissa tulee huomioida eri ryhmät; työntekijät, partnerit ja asiakkaat. On tärkeää tehdä kattava tietoturvakartoitus. Tällöin tarkastetaan, että tiedot ovat turvattuna korkeimmalle vaaditulle tasolle, sekä että ainoastaan hyväksytyt käyttäjät pääsevät käsiksi resursseihin. Luottamuksellisuus, eheys, kiistämättömyys ja saatavuus ovat tärkeimmät rakennuspalikat tietoturvallisen ympäristön luomiseen. Luottamuksellisuus on usein tärkein motivoija tietoturvallisen ympäristön suunnittelussa. Sillä varmistetaan, että tieto on rajatussa käytössä käyttäjillä, ohjelmilla ja prosesseilla. Resurssien, tietojen ja järjestelmien tulee olla vain niitä tarvitsevien käytettävissä. Ohjelmat prosessoivat organisaatiolle kriittistä tietoa, joten tietoturva ei saa olla vaikuttamassa organisaation tuottavuuteen. Prosessoidun tiedon tulee olla tarkkaa, täydellistä ja aina saatavissa. Tietoturvatason evaluoinnilla ja tarvittavan tason kartoittamisella varmistetaan, että kaikki komponentit toimivat tehokkaasti ja turvallisesti. XCure tarjoaa portaittaisen ja asiakkaan tarpeisiin räätälöidyn tietoturvatason määrittämisen. XCuren palvelut sisältävät sertifioitujen ammattilaisten suorittamina organisaation riskien kartoituksen ja tietoturvasääntöjen evaluoinnin. Tarvittaessa XCure suorittaa tarkemman tutkimuksen sääntöjen toteutumisesta organisaation tietoverkoissa. Tähän sisältyvät penetraatiotestit, arkkitehtuurin tarkastaminen ja suunnittelu, sekä laadun tarkastaminen. XCure voi arvioida arkkitehtuuria, laatua ja tietoturvasääntöjä myös kolmannen osapuolen laatimasta tietoturvainfrastruktuurista. Jo toteutetun tietoturvasuunnittelun uudelleen tarkastuttaminen on tärkeää, koska tietoturvallisuus on monimutkainen kokonaisuus. Sen rakentamiseen liittyy useita eri komponentteja, kuten esimerkiksi organisaation tehtävät, lait, etiikka, maiden rajat ylittävät tietoturvasäännöt, tekniset mahdollisuudet ja budjetit. Tietoturvatason määrittäminen lähtee liikkeelle riskien määrittämisestä, tietoturvapolitiikan evaluoinnista ja mahdollisesta päivittämisestä. Joskus organisaatiolta saattaa puuttua tietoturvasäännöt kokonaan, tällöin XCuren sertifioidut ammattilaiset auttavat sääntöjen luomisessa ja käyttöönotossa. 2 Riskien tunnistaminen Riskit itsessään ovat universaaleja, mutta niihin varautuminen ja riskien vaikutus organisaation toimintoihin on aina organisaatiokohtaista. Tämän takia jokaisen organisaation on luotava omasta riskikentästään tarkka kartta. On varmistettava, että jokaiseen riski on huomioitu juuri oikealla tavalla. Riskienhallinta kohtaa jatkuvasti uusia haasteita kiivaasti muuttuvassa ja kansainvälistyvässä kaupankäynnissä, tietotekniikka kehittyy, internet luo uusia rajoja ylittäviä uhkia ja kaupankäynti sähköistyy. Riskien hallinnasta on tullut huoli kaikille organisaatioille, riippumatta koosta, iästä tai organisaation toimintakentästä, eikä ainoastaan toimistolla vaan yhä yleistyvästi kotonakin. Riskien hallinta kokonaisuudessaan sisältää useita eri komponentteja, näistä tärkeimpänä on tietenkin koko hallinnalle pohjan luova riskien määritteleminen ja tunnistaminen. Muita komponentteja ovat keskitetyn hallintamallin luominen, sääntöjen suunnittelu ja käyttöönottaminen, sekä tarpeellisten kontrollien ja suojausten pystyttäminen. Toimivan ja tarkan tietoturvapolitiikan luominen ja sen pohjalta kustannustehokkaiden suojausmenetelmien valinta, sekä toimivan jatkuvuussuunnitelman luominen on mahdotonta ilman riskien tunnistamista. Koska riskit ja uhat muuttuvat ajan myötä, on tärkeää luoda jatkuva turvaprosessi riskien kartoittamiseksi. Tämä on välttämätöntä haluttaessa välttää tunnistamattoman riskin toteutumisen aiheuttamat haitat. Organisaatioon on luotava menetelmät, joilla tarkastetaan jo tunnistettujen riskien validiteetti, sekä tunnistetaan uudet ilmaantuneet riskit ja uhat. Tietoturvapolitiikkojen tehokkuus, sekä valittujen kontrollien toimivuus tulee myös tarkastaa jatkuvalla prosessilla. Riskien tunnistamisella tarjotaan päättäjille mahdollisuus ymmärtää riskien toteutumisesta aiheutuvat haitat organisaation toiminnalle. Tämän tiedon pohjalta voidaan rakentaa kustannustehokkaat suojautumismenetelmät. Oikein suoritettuna riskien tunnistaminen siis säästää organisaation resursseja, koska oikean tiedon ollessa käytettävissä organisaatio voi kohdentaa kontrollit sinne missä se on tarpeellista. Tietoturvapolitiikka Tietoturvapolitiikan luominen on tärkeä osa organisaation riskien hallintaa. Riskien tunnistamisen jälkeen minimoidaan tunnistettujen riskien aiheuttamat uhat luomalla tietoturvapolitiikka. Politiikkaa hyödynnetään jatkossa valitsemalla oikeat tekniset ratkaisut, oikeisiin paikkoihin.

3 Organisaation tietoturvapolitiikka on usein luotu monisivuisiksi komplekseiksi kokonaisuuksiksi. Tämä ei ole tietoturvapolitiikan perimmäinen tarkoitus. Tietoturvapolitiikan perusosan tulee olla jokaisen organisaation työntekijän tiedossa ja ymmärrettävissä, siksi tietoturvapolitiikan perusosan tulee olla myös oikean mittainen ja selkeä. Tietoturvapolitiikka kokonaisuudessaan sisältää useita tarkentavia liitteitä. Nämä liitteet saavat olla huomattavasti teknisempiä ja tarkempia kuvauksia riskien minimoimiseksi käytettävistä menetelmistä. XCure tarjoaa organisaatiolle apua täsmällisten ja tarkoituksenmukaisten tietoturvasääntöjen luomiseen. Teemme yhdessä asiakkaan kanssa kattavan ja suunnitelmallisen, juuri organisaation omiin tarpeisiin perustuvan sääntökokonaisuuden. Tietoturvapolitiikalla luodaan organisaatiolle vahva perusta ennen arkkitehtuurin suunnittelemista. Vain oikein luodun tietoturvapolitiikan ja sen teknisten liitteiden avulla voidaan lähteä rakentamaan ja suunnittelemaan turvallista arkkitehtuuria. Turvallisen arkkitehtuurin ja oikeiden tuotteiden valitseminen aiheuttaa organisaatiolle huomattavia teknisiä paineita. XCure tarjoaa mahdollisuuden hyödyntää sertifioituja ammattilaisia tuotteiden valinnassa, ja evaluoinnissa. XCurella on vuosien kokemus erilaisten tietoturvatuotteiden käyttöönotoista suurienkin organisaatioiden tietojärjestelmiin. Suoritamme tuotteiden valinnan huolellisesti, asiakkaan ympäristön huomioonottavien evaluointien jälkeen. Väärin valittu ja väärin asennettu tietoturvaratkaisu saattaa pahimmillaan jopa luoda uusia uhkia organisaation kriittiselle tiedolle. Välttääkseen tuotevalmistajien markkinointihelinän ansan, on syytä evaluoida tuotteet aina ammattitaitoisesti ennen käyttöönottoa. Suunnittelu ja/tai arkkitehtuurin tarkastaminen Tietoturvapolitiikkojen ja turvallisen arkkitehtuurin luomisen jälkeen organisaatiot saattavat tuudittautua omaan turvallisuuden tunteeseensa. XCure tarjoaa teknisiä ja hallinnollisia palveluja jo luotujen tietoturvallisten arkkitehtuurien tarkastamiseksi. Palveluna tarjoamme sääntöjen tarkastamista ja päivittämistä, teknistä ja fyysistä auditointia, kuntotarkastuksia ja yleisen tietoturvallisen laadun tarkastamista. 3 Sääntöjen ja käyttöönottosuunnitelmien tarkastaminen Luotaessa tietoturvallista toimintaa organisaatioon tai ratkaisua yksittäiseen ongelmaan, on tärkeää antaa kolmannen osapuolen tarkastaa luodut säännöt, arkkitehtuurit ja toteutukset. Tietoturva on monimutkainen kokonaisuus. Tämän vuoksi on tärkeää poistaa epävarmuudet siitä, että käyttöönotetut menetelmät eivät sisällä piilotettuja vikoja. Tarkastaminen tulisi suorittaa ennen kuin varsinainen arkkitehtuurin käyttöönotto organisaation tietojärjestelmään käynnistyy, näin minimoidaan ylimääräiset kustannukset huonosti suunnitellun toteutuksen mennessä pieleen. XCure tarjoaa portaittaisen luotujen sääntöjen ja arkkitehtuurien tarkastamisen asiakaslähtöisesti. Suunnitelmien ja arkkitehtuurien tarkastaminen voidaan suorittaa eri tietoturva osa-alueille, alkaen tietoturvapolitiikkojen tarkastamisesta, aina teknisten asennussuunnitelmien tarkastamiseen saakka. XCure ylläpitää jatkuvasti suhteitaan eri tuotevalmistajiin ja heidän kanssa yhdessä pystymme taklaamaan ongelmat jo ennen niiden syntymistä. Penetraatiotestit Tietoturvallinen ympäristö on tärkeä tekijä organisaation menestymisen kannalta. Tietoturvallisen ympäristön toiminta tulee todentaa erilaisilla testausmenetelmillä. XCure suorittaa tietojärjestelmille penetraatiotestejä, joissa teknisen tietoturvatason testaaminen tapahtuu paikallisen tai internet-verkon välityksellä. Testaamisen tarkoituksena on selvittää nykyisen tietoturva-arkkitehtuurin toimivuus, puutteet ja käytettyjen ohjelmistojen mahdolliset haavoittuvuudet. Sokea, ilman ennakkotietoa Sokea, internetin yli tapahtuva penetraatiotestaus toteutetaan XCuren sertifioitujen tietoturva ammattilaisten toimesta siten, että testaajalla ei ole hallussaan minkäänlaista ennakkotietoa organisaation olemassa olevasta tietoturva-arkkitehtuurista. Testaaja pyrkii keräämään itselleen erilaisin penetraatiomenetelmin tietoa organisaation arkkitehtuurista. Tällainen tutkiminen antaa organisaatiolle paljon hyödyllistä tietoa, koska se toteutetaan todellisuutta jäljitellen, eli tunkeutujalla on saman verran tietoa kuin todellisella hakkerilla olisi. Testaajan käyttämät työkalut ovat yleisesti saatavilla olevia ohjelmia, samoja joita todelliset hakkerit hyödyntävät.

4 Testiraporttiin kerätty tieto kuvaa siis todellista tilannetta, millainen uhka ulkopuoliset hakkerit ovat organisaatioille. Tärkeänä tietona saadaan organisaation tietoturvallisuudessa esiintyvät puutteet. Avoin, pohjatiedolla Avoin penetraatiotesti suoritetaan läheisellä yhteistyöllä asiakkaan kanssa. Avoin testi poikkeaa sokeasta siten, että yhteisesti sovituilla pelisäännöillä testaajalle annetaan ennakkoon tietoa organisaation arkkitehtuurista ja usein myös hyökkäyksen kohde määritellään huomattavasti tarkemmin. Asiakas valitsee yhdessä XCuren ammattilaisten kanssa kohteen ja määrittelee testattavan haavoittuvuuden. Avoimessa testaamisessa voi olla useita eri tasoja, eli liikkeelle voidaan lähteä hyvinkin pienillä tiedoilla tai sitten toisessa ääripäässä testaajalla saattaa olla tarkat tiedot kaikista organisaation järjestelmistä. Lähtötietojen valinnassa usein tärkeänä kriteerinä on aika, eli mitä suuremmalla pohjatiedolla testaaja lähtee liikkeelle, niin sitä nopeammin kohteeksi valitun haavoittuvuuden testit on suoritettu, testaajan ei siis tarvitse matkalla kuluttaa aikaa oikean polun löytämiseksi. Ennen testaamisen aloittamista luodaan kattavat suunnitelmat siitä miten eri tilanteissa toimitaan, mikä on aikataulu suoritettavalle testille, mitkä ovat menetelmät ja maalit. Fyysinen tunkeutuminen Tietoturvallisuus on muutakin kuin digitaalisen järjestelmän turvaamista. XCure suorittaa tarvittaessa myös fyysisen työympäristön tarkastuksia. Organisaatiot ymmärtävät usein teknisten uhkien aiheuttamat riskit, mutta siinä ohella jää huomioimatta, että tietoturvallinen työympäristö ulottuu digitaalisen tietojenkäsittelyn ja verkkoturvallisuuden ulkopuolelle. Organisaatioissa käsitellään edelleenkin suuria määriä ei-digitaalista tietoa. Käytännössä tämä tarkoittaa sitä, että organisaation luottamukselliseksi luokiteltua tietoa saattaa löytyä ympäri toimistorakennusta tai työntekijät kuljettavat sitä mukanaan ilman suojausta. XCuren suorittamassa fyysisen turvallisuuden tarkastuksessa tietoturvaammattilainen pyrkii löytämään tietoa käyttämättä tietoverkkoja ja tietokoneita. Tämä toteutetaan sosiaalisella hakkeroinnilla, ihmisten hyväuskoisuudella tai pyrkimällä toimitiloihin, roska-astioihin ja muihin ei-digitaalisiin tiedon lähteisiin. Totuus on edelleenkin, että organisaation luottamuksellista tietoa löytää helpommin eidigitaalisessa muodossa kuin tietokoneilta. Tämän takia myös fyysisen ympäristön tarkastaminen ja siihen liittyvien havaintojen liittäminen tietoturvapolitiikkaan on tärkeää. Loppujen lopuksi käyttäjien valistaminen on erittäin suuressa roolissa tietoturvauhkia poistettaessa. 4 Tietoturvatason kuntotarkastus ja toinen mielipide Organisaation tulisi olla varma toimintaympäristönsä turvallisuudesta. Tietoturvakokonaisuus sisältää sovellusten turvallisuuden ja koko infrastruktuurin turvallisuuden. XCure suorittaa palveluna turvallisuuden kuntotarkoituksia, aina yksittäisistä sovelluksista kokonaisiin infrastruktuureihin. Tarkastukset suorittaa sertifioitu ammattilainen ja siitä toimitetaan asiakkaalle kattava ja ammattimainen raportti. Tarkastukset lähtevät liikkeelle tietoturvapolitiikan läpikäymisestä ja siinä esiintyvien sääntöjen toimivuuden arvioinnista todellisessa ympäristössään. XCuren kuntotarkastuksessa läpikäydään myös erilaiset ohjeet, säännöt ja standardit, joita organisaatio hyödyntää. Yksi tavallinen tilanne kuntotarkastuksen suorittamiselle on hetki, jolloin organisaatio pyrkii hankkimaan itselleen tieturvasertifiointeja. Organisaatiot eivät ole haavoittuvaisia ainoastaan ulkopuolelta tulevia hyökkäyksiä vastaan, vaan useimmat hyökkäykset tapahtuvatkin organisaation sisältä, omien työntekijöiden tekeminä. Täydellinen tietoturvan kuntotarkastus sisältää myös organisaation sisäisten toimintatapojen ja oikeuksien jakamiseen käytettävien prosessien tarkastamisen. Kuntotarkastuksesta XCure toimittaa organisaatiolle tarkan analyysin nykytilanteesta ja mahdollisista suositeltavista muutoksista tietoturvainfrastruktuuriin. Kuntotarkastuksia suoritetaan usein myös siksi, että saataisiin ns. toinen mielipide. Uusikin, juuri määritelty, tietoturvaarkkitehtuuri on hyvä tarkistuttaa puolueettomalla ulkopuolisella taholla. Kun kyseessä on tietoturvallisuus, toinen mielipide on tärkeää suunnitelmissa, valituissa ratkaisuissa, tarjouksia vertailtaessa ja käyttöönottosuunnittelussa. XCure tarjoaa asiakkailleen mahdollisuuden evaluoida organisaation uuden tietoturvastrategian ulkopuolisen silmin nähtynä. Tällöin strategiaan mahdollisesti jääneet puutteet havaitaan hyvissä ajoin.

5 Laadun tarkastaminen Laatu on tietoturvallisuudessa tärkeä elementti. XCuren tietoturvallisuuden laadun tarkastaminen kohdistuu luotuihin suunnitelmiin ja käyttöönottoihin. Laadun tarkastaminen tapahtuu tietoturvaprojektien päätyttyä, eli juuri tapahtuneiden uusien käyttöönottojen jälkeen. Laadun tarkastamisessa käydään jälkikäteen läpi tietoturvaprojektin eri vaiheet ja miten projektin läpikäyminen on onnistunut. Laadun tarkastaminen on siis työvaihe, jonka suorittajana tulisi olla sellainen kolmas osapuoli, joka ei ole millään tavalla osallistunut itse suoritettuun tietoturvaprojektiin. Laadun tarkastaminen on tärkeää tulevaisuudessa tapahtuvien projektien kannalta, jotta niissä ei toistettaisi samoja virheitä uudelleen. Tämä tarkastaminen voi sisältää useita eri vaiheita, alkaen aina alkuperäisten vaatimusten tarkastamisesta, verraten niitä yleisiin standardeihin. Tarkastuksessa läpikäydään myös implementaation vastaavuus lakeihin, sekä organisaation toimintaan ja selvitetään projektista aiheutuneet turhat kustannukset. Laadun tarkastaminen voidaan suorittaa säännöllisin väliajoin silloin kun projekti on vielä meneillään. Tällöin tarkastellaan kolmannen osapuolen silmin sitä, että projekti etenee oikeiden raamien sisällä. XCuren tietoturva-ammattilaisilla on useiden vuosien kokemus tämänkaltaisten tietoturvaprojektien läpiviemisestä. Täten XCure tuo tietoturvaprojekteihin täsmällisyyttä, tarkkuutta ja kustannustehokkuutta. 5