TigerTeam - suomalainen tietoturvablogi

Tietojärjestelmien suunnittelu on edelleen vaikeaa ja valitettavan usein suuret hankkeet epäonnistuvat tavoitteissa budjetin ja aikataulun osalta. Kiire ja puutteellinen suunnittelu aiheuttavat myös vakavia virhetilanteita, jotka puutteellisen testauksen takia havaitaan vasta tuotannossa. Kun ydintoiminnallisuudenkin toteuttaminen on näin vaikeaa, niin miten hyvin suunnittelussa on sitten otettu huomioon järjestelmien tietoturvavaatimukset?

Oma kokemukseni tietojärjestelmien tarkastuksista osoittaa, että tietoturvaa ei edelleenkään oteta riittävissä määrin huomioon suunnittelun alkuvaiheessa. Tietoturva on edelleen tarkistuspiste järjestelmien käyttöönoton yhteydessä.

“Onhan meidän järjestelmät turvallisia, koska meidän koodarit ovat tosi taitavia.”

Ja yleensä koodarit ovatkin taitavia, ongelmana on vain, että toteuttajat toteuttavat asiat määritysten mukaan. Suunnitteluvaiheessa tietoturvakontrolleja otetaan mukaan, silloin kun niitä otetaan, käyttäen apuna yleisesti tunnettuja hyviä käytäntöjä. Yleisesti hyviksi todettujen käytäntöjen hyödyntäminen ei välttämättä ole huono asia, mutta on hyvä muistaa, että ne ovat edelleen yleisiä, eikä kyseiselle järjestelmälle liiketoimintaperusteista johdettuja kontrolleja ja vaatimuksia. Usein lopputulos on, että arkkitehti tai suunnittelija tekee johtajien puolesta päätökset järjestelmälle hyväksytyistä riskeistä, ilman johtajien liiketoimintanäkemystä. Tietenkään johtajilta ei voi ottaa pois vastuuta, joten he joutuvat hyväksymään arkkitehdin näkemykset heidän kyvystään kantaa riskejä. Kuulostaako hyvältä?

Kuinka liiketoimintariskit saadaan prosessiin mukaan?

Kuinka olisi mahdollista kehittää tietojärjestelmät niin, että:

• Tietoturvariskit olisivat liiketoiminnalle selkeästi esitettävissä ja siten tietoisesti hyväksyttävissä

• Järjestelmien suunnittelussa otettaisiin alusta asti huomioon liiketoimintariskit

• Tietoturvakontrolleihin olisi selkeä liiketoiminnallinen tarve

• Liiketoiminnallinen tarve olisi mahdollista jäljittää toteutetussa lopullisessa tietojärjestelmässä tietoturvakontrolliin ja näin perustella sen olemassaolo

Vastauksen näihin haasteisiin tuo SABSA (Sherwood Applied Business Security Architecture). Se kehitettiin jo vuonna 1995, mutta ei ole vielä levinnyt laajalti ammattilaisten tietoisuuteen Suomessa tai Euroopassa yleensäkään. Yhdysvalloissa sekä Aasian ja Australian suunnalla yritykset ovat ottaneet SABSA:n hyvin vastaan ja osaksi organisaatioiden tietoarkkitehtuuristrategiaa. Esimerkiksi Iso-Britannian puolustusministeriö ja Kanadan hallitus ovat adoptoineet standardin kehitysmallikseen.

Suomessa järjestettiin elokuussa ensimmäinen SABSA Foundation -kurssi, johon myös allekirjoittanut osallistui. Kurssia oli yritetty järjestää jo kuutisen vuotta ja viimein se saatiin tänne – sekä vetäjäksi yksi mallin kehittäjistä, David Lynas. SABSA tarjoaa kolmiportaisen sertifiointiohjelman tietoturva-arkkitehdeille: Foundation (SCF), Practitioner (SCP) ja Master (SCM).

SABSA on liiketoiminnan näkökulmasta lähtevä malli kehittää tietoturvaratkaisuja, tietoturva-arkkitehtuureja, organisaation tietoturvastrategiaa, tietoturvapalveluja ja yksittäisiä tietojärjestelmiä tai komponentteja. SABSA:n kuusitasoinen malli kattaa kaikki neljä IT-kehityksen vaihetta: strategia, suunnittelu, toteutus ja hallinta sekä operointi. Riskipohjainen lähestymistapa yhdistettynä kaksisuuntaiseen jäljitettävyyteen toteutuksesta liiketoimintavaatimuksiin ja päinvastoin mahdollistaa selkeän näkymän myös yrityksen johdolle. Toteutetut tietoturvakontrollit ovat myös mitattavissa ja siten niiden hyödyllisyys on todistettavissa. Mallia on mahdollista hyödyntää myös erittäin kompleksisissa ympäristöissä ja se on siten hyvin skaalautuva eri käyttötarkoituksiin. SABSA on myös täysin yhteensopiva muiden mallien kuten ISO 27000, ITIL ja CobIT kanssa.

Laajemmin asiaa voi käsitellä organisaation tietoarkkitehtuuristrategiana (Enterprise Architecture, EA). Tällä hetkellä ehkä suosituin käytetty malli on TOGAF (The Open Group Architecture Framework), joka tarjoaa työkalut informaatioarkkitehtuurin suunnitteluun, kehittämiseen, toteutukseen ja hallintaan (governance). Merkittävä uutinen SABSA:n kannalta on, että TOGAF tulee integroimaan SABSA:n osaksi tietoturvaosuuttaan, mikä tulee varmasti lisäämään SABSA:n käyttöönottoa maailmalla.

Seuraava SABSA-kurssi Suomessa on suunniteltu toukokuulle 2012, joten rohkeasti mukaan!

Kirjoittaja Jari Pesonen toimii Nixussa tietoturva-arkkitehtuurien konsulttina ja tietojärjestelmien auditoijana.