Hankintojen tietoturvaa toteutettaessa työtehtävä itsessään voi olla mitä tahansa hyvin suoraviivaisen vaatimusmäärittelyn ja kokonaisvaltaisen, läpi projektin vaikuttavan tietoturvatyöskentelyn välillä, ja siksi sen hallitseminen voi edellyttää hyvin monipuolista osaamista eri osa-alueilta. Puhtaasti tekninen tulokulma voi toimia hyvin suppeissa hankinnoissa, ja puhtaasti hallinnollinen taas tarjoaa lähinnä taustatukea projektihenkilöstölle tarvittavien dokumenttien ja prosessien laadinnassa.
Ymmärrä asiakkaan ja toimialan erityispiirteet
Päällimmäisenä osaamisena on kyky ymmärtää ja tuntea asiakasorganisaatio ja sen toimiala. Nykymaailmassa on merkittävä määrä erilaisia lakeja ja asetuksia, joilla ohjataan eri toimialoilla toimivia organisaatioita. Jo olemassa olevien lisäksi EU:n alueella on suunnitteilla uutta kyberturvallisuutta ohjaavaa lainsäädäntöä, kuten NIS 2.
On huomattavan erilaista suunnitella hankintojen tietoturvaa modernille ohjelmistotalolle, finanssialan yritykselle tai terveydenhuollon toimijalle, hankinnasta riippumatta. Sen lisäksi, että toimialoilla on omat ohjaavat dokumenttinsa, jokaisella organisaatiolla on omanlaisensa turvallisuus- ja riskinottokulttuuri. Tämä tulee huomioida erityisesti vaatimuksia suunniteltaessa.
Hallitse standardit
Kun on pystytty tunnistamaan asiakkaan ja toimialan edellyttämät erityispiirteet ja pakollisesti noudatettavat lait ja asetukset, on yleensä tarpeen soveltaa jonkinlaista standardia tai viitekehystä tietoturvallisuuden muiden näkökulmien huomioimiseksi. Mikäli halutaan varmistua esimerkiksi toimittajan tietoturvallisuusmenettelyistä, voidaan edellyttää ISO 27001 tai ISAE 3402 -vaatimuksenmukaisuutta, ja teknistä tietoturvaa arvioitaessa voidaan tukeutua esimerkiksi OWASP:n ASVS-standardiin tai muihin vastaaviin suosituksiin. Teollisuuden ja automaation sovellutuksissa kyseeseen voi tulla niiden turvallisuutta ohjaava standardi IEC 62443.
Kaikki pohjautuu riskienhallintaan
Koska tarjolla on miltei loputon määrä erilaisia standardeja, viitekehyksiä ja suosituksia, kaiken täytyy pohjautua riskienhallintaan. Jos pyrkii saavuttamaan aukottoman tietoturvan, täytyy myös varautua pohjattomalla budjetilla. Lainsäädännön edellyttämä minimitaso on luonnollisesti saavutettava, mutta sen jälkeen on arvioitava tapauskohtaisesti liiketoimintariskit.
Organisaatiolle voi olla tärkeää taata palvelun mahdollisimman korkea saatavuus monista syistä, kuten taloudellisen tappion välttäminen, maineen säilyttäminen potentiaalisten työntekijöiden, asiakkaiden tai yhteiskunnan silmissä, tai miltei mistä tahansa muusta syystä. Hyvin toteutettu riskiarviointi yhteistyössä organisaation ICT- ja liiketoimintahenkilöstön kanssa mahdollistaa soveltuvan riskitason hyväksymisen, ja asettaa näin raamit vaatimuksille ja niiden tuottamille kustannuksille.
Kommunikoi kaikille sidosryhmille
Kun kaikki yllä mainitut asiat ovat kunnossa, jää jäljelle enää hankalin osa – kommunikaatio. Usein hankinnassa saattaa olla useitakin sidosryhmiä: projektiryhmä, organisaation johto, organisaation tietohallinto tai esimerkiksi ulkoiset palveluntarjoajat. Yksi suorittaa hankinnan normaalia prosessia tarjouspyynnöillä ja toiminnallisilla vaatimuksilla, toinen ohjaa liiketoimintaa koskevilla vaatimuksilla ja reunaehdoilla, kolmas ohjaa tietoturvaa ja tietosuojaa koskevilla vaatimuksilla ja neljäs täytyy pitää mukana prosessin alusta asti, koska tekninen toteutus saattaa vaatia yhteistyötä. Usein projektiryhmä myös vastaa raportoimisesta hankkivalle taholle ja johdolle työn etenemisestä. Tietoturva-asiantuntijan on useimmiten tarpeen kommunikoida näille kaikille projektin eri kohdissa.
Kokonaisuutena arvioiden hankinta vaatii siis monenlaista osaamista tietoturvan eri osa-alueilta. Samalla se on kuitenkin varma tapa oppia paljon uutta, koska hankinnat voivat olla sisällöltään hyvin erilaisia, fyysisistä laitteista pilvipalveluihin. Samalla se tarjoaa hyvän näkymän laajalle organisaatioon, ja auttaa ymmärtämään sen eri osien tekemää yhteistoimintaa pintaa syvemmältä. Suosittelen jokaista aiheesta kiinnostunutta kokeilemaan, mikäli sellaiseen tarjoutuu mahdollisuus. Vastaavaa kokemusta on hankala saada muulla tavalla.
Mitä osaamista työ vaatii:
Tunne asiakkaasi
Tunne toimialan erityispiirteet
Tunne standardit ja viitekehykset
Riskienhallinta
Kommunikaatiotaidot
Haluaisitko tietää, miten itse päädyin Installe?
Lue lisää uratarinastani
Ville Rantamäki
Kirjoittaja työskentelee Instassa kyberturvallisuuskonsulttina.
