ISO 27001 ja NIS2: Neljä syytä panostaa vaatimustenmukaisuuden hallintaan

ISO 27001 ja NIS2 käytäntöön – osa 1/3

Tämä on ensimmäinen osa kolmen kirjoituksen sarjasta, jossa käsittelen vaatimustenmukaisuuden hallinnan nykytilaa ja erilaisia tapoja viedä ISO 27001- ja NIS2-vaatimukset käytäntöön. Kuvaan tässä osassa miksi aihe on ajankohtainen juuri nyt. Toisessa osassa esittelen kolme vaihtoehtoista lähestymistapaa tarkemmin. Kolmannessa osassa listaan viisi nyrkkisääntöä onnistuneeseen toteutukseen.

NIS2-direktiivi (kyberturvallisuuslaki) on jo voimassa ja ohjaa toimintaa, ja yhä useampi organisaatio investoi ISO 27001 -sertifiointiin. Tämä on kipeästi tarpeen, sillä samanaikaisesti myös asiakkaiden ja kumppaneiden vaatimukset ovat kiristyneet, teknologiaympäristö monimutkaistunut ja kyberuhkat lisääntyvät. Hyvällä vaatimustenmukaisuuden hallinnalla vastataan kaikkiin näihin. 

Olen työskennellyt tietoturvan parissa yli 20 vuotta ja nähnyt, miten vaatimustenhallinta on kehittynyt vuosittaisesta rutistuksesta jatkuvaksi prosessiksi. Tämä on erinomainen kehityssuunta. Viimeisen kahden vuoden aikana tietoturva-alan muutosvauhti on kiihtynyt regulaation ja asiakasvaatimusten myötä – hyvästä tukiprosessista on tullut liiketoiminnan elinehto. Hyvän hallintajärjestelmän rakentaminen on aiempaa kriittisempää. 

Neljä muutosajuria

Kuvaan seuraavassa tärkeimmät muutosajurit, jotka vaikuttavat organisaatioihin, riippumatta siitä, oletteko juuri aloittamassa vai jo pidemmällä vaatimustenmukaisuuden hallinnan kanssa. 

1. Useampi standardi käytössä samanaikaisesti

Kaikki organisaatiot eivät enää pärjää yhdellä sertifikaatilla. ISO 27001:n rinnalle tarvitaan NIS2-vaatimustenmukaisuutta, kansainväliset asiakkaat edellyttävät SOC 2 -raporttia ja GDPR tuo omat dokumentaatiovaatimuksensa. Monilla aloilla on lisäksi omat standardinsa, kuten maksukorttiturvallisuuden PCI DSS.

• Käytännössä tämä tarkoittaa jopa satoja kontrolleja, jotka ovat usein päällekkäisiä. Jokainen standardi tuo mukanaan omat vaatimuksensa, dokumentaationsa ja päivitysrytminsä.

• Tyypillinen polku: ensin saadaan ISO 27001 -vaatimukset haltuun ja kuntoon  →  sitten vuorossa on NIS2-vaatimukset, ja huomaat, että yli puolet työstä on jo tehty, mutta osa asioista pitääkin tehdä kiusallisesti hiukan eri tavalla. 
• Seuraavaksi asiakas saattaa vaatia SOC 2:ta, ja taas palataan samoihin kontrolleihin kolmannen kerran. 

Ilman järjestelmällistä lähestymistapaa syntyy päällekkäistä työtä ja ristiriitaisia dokumentteja. Mitä useampia standardeja hallitsette samanaikaisesti, sitä tärkeämmäksi sopivan toimintamallin valinta muuttuu.

2. Teknologiainvestoinnit vajaakäytöllä

Organisaatiot ovat investoineet merkittäviä summia tietoturvaratkaisuihin, kuten palomuureihin, EDR-järjestelmiin (eli ennakoiva päätepisteiden tunnistus ja vastaus) sekä SIEM:iin (eli tietoturvatiedon ja tapahtumien hallinta), mutta: 

• Käyttöönotto on jäänyt kesken. 
• Lokeja, esim. SIEM-toteutuksesta, ei ehditä analysoida. 
• Varmuuskopiointijärjestelmä on käytössä, mutta palautustestejä ei tehdä säännöllisesti.

Budjetinhaltijasta voi tuntua, ettei investoinneista saada vastinetta. Järjestelmällinen vaatimustenhallinta paljastaa nämä vajaakäyttöongelmat. Se ohjaa panostukset toimiin, joilla saadaan sovituista ratkaisuista mitattavaa hyötyä. 

3. Puuttuva omistajuus ja jatkuvuus

Vaatimustenmukaisuus käsitetään usein projektina, jolla on alku ja loppu. Kyse on kuitenkin jatkuvasta prosessista, jolla on oltava omistaja ja säännöllinen ylläpitoprosessi. Projektina toteutettu vaatimustenhallinta saattoi riittää vielä 10-20 vuotta sitten, vaikkei se ollut standardien hengen mukaista, mutta tällainen toimintatapa ei enää riitä yritysten sidosryhmille.

Tyypillinen tilanne organisaatioissa on se, että IT-tiimi saattaa hoitaa hienosti teknisiä kontrolleja, HR pyörittää koulutuksista, ja johto pitää katselmuksia. Jokainen ahkeroi omalla tontillaan, mutta kukaan ei omista kokonaisuutta. Vaatimuksenmukaisuudella pitää olla selkeä vastuuhenkilö, joka aidosti kantaa vastuun siitä, että toimintaa seurataan ja tarvittaessa kehitetään.

Tämä johtaa siihen, että:

• Tietoturvahanke saattaa edetä aluksi hyvinkin, mutta viimeiset 20% eivät valmistu koskaan
• Kriittiset kontrollit jäävät tekemättä, kun aikaa kuluu vähemmän tärkeisiin tehtäviin
• Auditoinnin lähestyessä huomataan, että dokumentaatio on hajallaan, todisteet puuttuvat ja vastuut ovat epäselviä
• Resursseja kuluu, mutta konkreettiset tulokset antavat odottaa itseään

Ilman selkeää omistajuutta vaatimustenmukaisuus rapautuu pikkuhiljaa. Kontrollit vanhenevat, uudet riskit jäävät huomaamatta ja organisaatio palaa lähtöpisteeseen. Vaatimustenmukaisuuden hyvä hallinta edellyttää, että organisaatiossa on joku, joka pitää langat käsissään ja varmistaa, että työ etenee järjestelmällisesti. 

4. Johdon henkilökohtainen vastuu

NIS2-direktiivi toi mukanaan merkittävän muutoksen, johto on henkilökohtaisesti vastuussa organisaation kyberturvallisuudesta. Tämä tarkoittaa sitä, että: 

• Hallituksen jäsenet ja ylin johto ovat velvollisia valvomaan kyberturvallisuuden hallintatoimenpiteitä ja hyväksymään toteutetut toimet riskien hallitsemiseksi.
• Laiminlyönnistä voi seurata henkilökohtaisia sanktioita – jopa toimintakieltoja.
• Vakuutusyhtiöt ja sijoittajat kysyvät yhä useammin: ”Miten hallitsette kyberriskejä? Voitteko todentaa sen?”

Käytännössä direktiivi tarkoittaa sitä, että johto tarvitsee selkeän näkyvyyden tietoturvan tilaan. Vuosiraportointi ei riitä, vaan johdon on kyettävä seuraamaan tilannetta jatkuvasti ja tekemään perusteltuja päätöksiä. Ilman järjestelmällistä lähestymistapaa tämä on mahdotonta. Monessa organisaatiossa vastuu kaatuu automaattisesti tietohallintojohtajan niskaan, mutta kannattaa pohtia onko kyse sittenkin vaikka hallintojohtajan, talousjohtajan tai jopa tuotantojohtajan vastuualueesta.

Käytännön velvoitteet täsmentyvät kansallisessa toimeenpanossa, joten oman sektorin ohjeistusta kannattaa seurata. Johdon kuukausitason minimitilannekuvaan kannattaa sisällyttää ainakin kriittiset poikkeamat, keskeisten kontrollien kattavuus ja avoimet korkean riskin löydökset.

Aikapaine, evidenssin laatu ja toistettavuus

Muutosajureiden lisäksi toimintaympäristöä kiristää kasvava aikapaine – kaiken piti olla valmiina jo eilen ja mieli tekisi äkkiä saada leima siitä, että asiat on jo kunnossa. 

• NIS2 on jo voimassa. Asiakkaat vaativat todistuksia, toimittajat haluavat varmistuksia ja vakuuttajat kyselevät kontrollien tilasta.
• Evidenssin laatu korostuu. Auditoija haluaa nähdä, että kontrollit on suunniteltu, toimeenpantu ja että ne toimivat käytännössä. Pelkät vihreät ruudut eivät riitä.
• Ratkaisevaa on toistettavuus. Kerran vuodessa koottu kansio ei ole johtamisjärjestelmä. Tarvitaan selkeä rytmi ja omistajuus, jotta tekeminen on jatkuvaa, ei vain auditoinnin alla tapahtuvaa kirimistä. 

Fiksuinta on päättää missä aikataulussa työ saadaan kunnolla tehtyä. Kohtuuton kiire johtaa uusiin virheisiin, joskus kalliisiinkin. Auditoijan silmissä uskottavin evidenssi on lähdejärjestelmästä noudettu loki tai raportti – manuaaliset koosteet täydentävät, eivät korvaa tätä.

Kolme lähestymistapaa vastata haasteeseen

Näihin vaatimustenhallinnan haasteisiin on kolme erilaista lähestymistapaa. Vaatimustenmukaisuuden hallinnalla tarkoitamme niitä työkaluja ja prosesseja, joilla yritys ja sen johto pystyy seuraamaan, mitä on tehty, mitä pitäisi tehdä, kuka vastaa kustakin osa-alueesta jne. Nämä kolme lähestymistapaa eroavat toisistaan merkittävästi niin työmäärän, kustannusten kuin saavutettavan näkyvyydenkin osalta. 

1. Manuaalinen lähestymistapa rakentuu tutuille työkaluille. Taulukot, tekstidokumentit ja jaetut kansiot muodostavat hallintajärjestelmän perustan. Aloittaminen on nopeaa ja budjetti pysyy kurissa. Kun kaikki käydään käsin läpi, organisaatio oppii tuntemaan standardien vaatimukset perusteellisesti, mutta toiminta on helposti hyvin henkilösidonnaista. Seurantataulukkojen tulkintaan tarvitaan usein taulukon tekijän aikaa, muille näiden oikein tulkinta voi olla vaikeaa tai mahdotonta.
2. Koontinäkymä (dashboard) -pohjainen lähestymistapa tarkoittaa kaupallisen SaaS-tuotteen hankintaa vaatimustenmukaisuuden seurantaan. Tällainen SaaS-tuote antaa valmiit rakenteet ja koontinäkymät. Standardien vaatimukset ovat valmiina, kontrolleille on omat paikkansa ja tilannekuva päivittyy sitä mukaa kun tietoja syötetään järjestelmään. Tiedot syötetään käsin, mutta näkyvyys paranee olennaisesti.
3. Integroitu lähestymistapa tarkoittaa SaaS-tuotetta, jossa osa sisällöstä haetaan suoraan lähdejärjestelmistä (API/agentit) ja näin automatisoidaan todennus. Järjestelmä hakee tiedot suoraan lähteistä – identiteetinhallinnasta, pilvialustoilta, päätelaitehallinnasta. Evidenssi on aina tuoretta ja auditoinnin jälki selkeä. Integroidussa lähestymistavassa on mahdollista huomata puutteita, joista vaatimustenmukaisuudesta vastaava ei ollut tietoinen.

Oikean vaatimustenhallintamallin ja siihen liittyvien työkalujen valinta on kriittistä onnistumiselle. Se todellisuudessa ratkaisee, saadaanko investoinneista täysi hyöty ja jopa kyetäänkö projektit viemään maaliin.

Edetä voi monella tavalla 

Vaatimustenmukaisuus voidaan saavuttaa kaikilla kolmella hallintamallilla. Käyttöönottoa ei siis tarvitse ajatella malli kerrallaan – lineaarisesti. Yritys voi myös hypätä suoraan integroituun malliin, jos esimerkiksi toimiala sitä edellyttää. Koontinäkymä (dashboard) -malli voi olla pysyvä ratkaisu, eikä vain välivaihe kohti integroitua kokonaisuutta. Ja manuaalinen lähestymistapa voi toimia erinomaisesti pienelle organisaatiolle vuosikausia. 

Sopivimman mallin valinta riippuu lähtötilanteesta, toimialasta ja tavoitteista. Jokainen lähestymistapa toimii oikeassa kontekstissa.

Nämä neljä esiteltyä muutosajuria – useat standardit, vajaakäyttöiset investoinnit, puuttuva omistajuus ja jatkuvuus sekä johdon henkilökohtainen vastuu – rohkaisevat tekemään systemaattisen päätöksen siitä, missä ja miten vaatimuksenmukaisuutta hallitaan.

Seuraavassa osassa vertaan näitä kolmea lähestymistapaa käytännön vahvuuksien ja haasteiden kautta, jotta oman tilanteen tunnistaminen ja mallin valinta helpottuu. 

Niki