ISO 27001 ja NIS2 käytäntöön – osa 2/3
Tämä on toinen osa kolmen kirjoituksen sarjasta. Ensimmäisessä osassa kävin läpi neljä muutosajuria. Tässä osassa esittelen kolme vaihtoehtoista lähestymistapaa tarkemmin – mitä vahvuuksia ja haasteita kuhunkin liittyy.
Vaatimustenmukaisuuden hallinnan suunnittelu alkaa tavanomaisesti hyvällä tahdolla ja innokkaalla suunnittelulla. Ja muutaman kuukauden päästä tilanne on usein muuttunut: kontrollirekisteri (eli listaus siitä, millä toimenpiteillä kukin vaatimuksista on yrityksessä toteutettu) elää omaa elämäänsä, todisteet (eli osoitus siitä, että kontrollit todella toimivat eivätkä ole jääneet vain suunnittelun asteelle) ovat hajallaan eri järjestelmissä ja kenelläkään ei ole oikeaa tilannekuvaa.
Miten siis viedä ISO 27001- ja NIS2-vaatimukset käytäntöön niin, että työ on hallittua, toistettavaa ja kestää vielä auditoijan tarkastelun?
Käyn seuraavaksi läpi kolme lähestymistapaa tämän saavuttamiseksi:
1. Manuaalinen lähestymistapa
Manuaalinen vaatimustenhallinta rakentuu tutuille Office-työkaluille. Excel-taulukoissa ylläpidetään kontrollirekisteriä ja riskianalyysiä, Word-dokumenteissa kuvataan prosessit ja verkkolevylle kerätään todisteet.
Manuaalisen mallin suurin vahvuus on sen tuttuus ja näennäisen nopea käyttöönotto. Työkalut löytyvät jo talosta eikä investointeja tarvita. Organisaatio oppii tuntemaan standardien vaatimukset perusteellisesti, koska jokainen kontrolli käydään läpi käsin. Joustavuus on maksimaalinen – excel-taulukoita voi muokata juuri omiin tarpeisiin.
Haasteita alkaa kertyä kun organisaatio kasvaa. Versiohallinta hämärtyy, kun samasta taulukosta on useita kopioita eri koneilla. Todisteiden kerääminen auditoinnin lähestyessä muuttuu viikkojen projektiksi. Luotettavan jäljen muodostaminen vie enemmän aikaa kuin itse kontrollien toteuttaminen. Lähes aina Excelien rakentaminen vie loppujen lopuksi enemmän aikaa, kuin etukäteen luultiin. Maailma on monimutkaisempi, kuin miltä se ensin näytti.
Kriittinen piste saavutetaan, kun organisaatiossa on hallittava useampaa standardia samanaikaisesti. Kontrollien määrä voi kasvaa satoihin, todisteiden päivitystarve moninkertaistuu ja virheiden riski kasvaa kohtuuttomaksi. Kun ylläpito alkaa kuluttaa enemmän resursseja kuin itse kontrollien toteuttaminen, on aika pohtia toista tapaa hoitaa vaatimustenmukaisuuden hallinta.
2. Koontinäkymä (dashboard) -pohjainen lähestymistapa
Dashboard-pohjainen vaatimustenhallinnan SaaS-sovellus tuo valmiin rakenteen ISO 27001- ja NIS2-vaatimuksille. Saat käyttöösi työkalun, jossa kontrollit, vastuuhenkilöt ja määräajat ovat selkeästi näkyvillä. Työkalun rakenne ja valmiit esimerkit toimivat usein samalla eräänlaisena koulutuksena siitä, miten muut ovat nämä haasteet taklanneet.
Dashboardin vahvuutena on läpinäkyvyys ja valmis struktuuri. Yhdellä silmäyksellä näet missä mennään ja mitkä kontrollit vaativat huomiota. Valmiit rakenteet säästävät viikkoja valmistelutyössä. Kun tehtävät ja todisteet kirjataan samaan paikkaan, myös auditoinnin valmistelu kevenee. Erityisen arvokasta tämä on kun tiimejä on useita ja kontrollinomistajia kymmeniä.
Vihreä ruutu ei kuitenkaan kerro koko totuutta. Dashboard näyttää vihreää vain jos joku on muistanut päivittää tiedon. Tämä voi synnyttää väärän turvallisuuden tunteen – koontinäkymä hehkuu moitteettoman vihreänä, vaikka koulutukset olisivat jääneet pitämättä tai poikkeamat käsittelemättä. Myös ylläpito kasaantuu helposti tietyille henkilöille, ja tästä seuraa pullonkaula ja kitkaa. On tärkeää onnistuneesti delegoida tehtävien lisäksi myös niiden toteuttamisen dokumentointi. Muuten työstä tulee liian raskasta.
Hälytysmerkki kasvun tarpeesta on muun muassa työläs päivitys. Kun päivitykseen kuluu yli 2 päivää kuukaudessa tai sama tieto syötetään useaan järjestelmään, malli alkaa olla liian raskas. Pilvipalveluiden suuri määrä voi myös tehdä manuaalisesta seurannasta mahdotonta. Tekninen ympäristö on kasvanut niin laajaksi, että käsin päivittäminen ei enää ole realistista, eikä välttämättä ole edes selvää, keiltä kaikilta on selvitettävä ympäristön nykytila.
3. Integroitu lähestymistapa
Integroidussa vaatimustenhallinnassa SaaS-sovellus on API-kyselyiden ja/tai agenttien kautta kytketty suoraan organisaation järjestelmiin. Tiedot luetaan automaattisesti identiteetinhallinnasta, päätelaitehallinnasta ja muista lähdejärjestelmistä. Monet tyypilliset poikkeamat muuttuvat automaattisesti tiketeiksi. Integroitu järjestelmä pystyy havaitsemaan puutteita, joista yrityksen vastuuhenkilöt eivät olleet edes tietoisia, toisin kuin dashboard- tai manuaalinen menetelmä.
Integroidun lähestymistavan etu on nopeampien korjausten lisäksi myös evidenssin laatu ja reaaliaikaisuus. Auditoija saa suoraan järjestelmästä poimitut lokitiedot ilman inhimillisen virheen mahdollisuutta. Poikkeamat havaitaan reaaliajassa, eikä vasta kvartaalikatselmuksessa. Aiemmin todisteiden keräämiseen kulunut aika ja resurssit saadaan varsinaisten ongelmien korjaamiseen.
Integraatiossa datan laatu ratkaisee. Paraskin integraatio on hyödytön, jos lähdedata on vinossa. Jos IT-omaisuusrekisteri on tiedoiltaan vajaa tai identiteettitieto pirstaleinen, automaatio tuottaa vääjäämättä vääriä tuloksia. Perustietojen on oltava ensin kunnossa. Integroitu lähestymistapa edellyttää myös merkittäviä investointeja ja kypsää IT-infrastruktuuria.
Integroidut järjestelmät luovat usein myös dokumentaation automaattisesti. Kun manuaalisessa mallissa jokainen dokumentti kirjoitetaan käsin ja standardi opitaan samalla perusteellisesti, integroitu järjestelmä tuottaa tarvittavat dokumentit nappia painamalla. Tämä nopeuttaa merkittävästi, mutta samalla standardin syvällinen tuntemus voi jäädä pinnallisemmaksi. Syntyy riski, että automaattisesti tuotetut dokumentit eivät vastaa organisaation todellista toimintaa – järjestelmä kuvaa mallin, mutta ei välttämättä arkea.
Korostan vielä sitä, että ihmisen vastuu säilyy, automaatiosta huolimatta. Johdon katselmusta ei voi automatisoida. Riskiarviointi vaatii liiketoiminnan tuntemusta. DR-harjoitus (eli katastrofeista toipumisen harjoittelu) edellyttää ihmisten osallistumista. Anna siis automaation vahvistaa nykytilaa helpottamalla tekninen todentaminen, päätökset sen sijaan ovat aina ihmisten vastuulla.
Työkalulla ei korvata johtamista
Mikään työkalu tai lähestymistapa ei itsessään takaa vaatimustenmukaisuutta tai tietoturvasta nyt puhumattakaan.
Työkalu näyttää riskit, kokoaa mittarit ja muistuttaa määräajoista. Mutta se ei voi luonnollisestikaan päättää puolestasi yhtiönne riskinsietokyvystä, tehdä priorisointeja liiketoiminnan näkökulmasta tai päättää strategisista valinnoista. Johtaminen jää ihmiselle, ja hyvä niin. Esimerkiksi jos dashboard näyttää: ”Kriittinen haavoittuvuus 10 palvelimessa” → on johdon päätettävä: suljetaanko palvelut heti, korjataanko ne vasta yöllä, vai ovatko järjestelmät ympäristössä jossa hyväksytään riski?
Vaatimustenmukaisuus syntyy järjestelmällisestä työstä, selkeistä prosesseista ja sitoutuneista ihmisistä. Oikein valittu lähestymistapa helpottaa ja tehostaa tätä työtä merkittävästi.
Blogisarjan viimeisessä, kolmannessa, osassa käyn läpi miten pitää vaatimustenmukaisuus elävänä jatkuvan parantamisen kautta ja listaan viisi nyrkkisääntöä onnistuneeseen toteutukseen.
Niki
Blogisarjan muut osat:
Osa 1 → ISO 27001 ja NIS2: Neljä syytä panostaa vaatimustenmukaisuuteen
Osa 3 → ISO 27001 ja NIS2: Jatkuva parantaminen ja viisi nyrkkisääntöä