Tulostusversio

2/2010

Liiketoiminta: Tietoturva alkaa hankinnasta

Teksti: Mikko Jylhä

Valitettavan usein tietojärjestelmän toimitushanke on jo pitkällä ennen kuin herätään siihen, että järjestelmä pitäisi sovittaa yhteen olemassa olevan ympäristön kanssa seuraaviksi kolmeksikymmeneksi vuodeksi siten, että tietoturva toteutuu. Miksi näin pääsee käymään jatkuvasti niin teollisuudessa kuin hallinnossakin?

Järjestelmätoimitusmaailmassa jokainen ympäristö ja toimitus on ainutlaatuinen. Tämä johtaa väistämättä myös asiakaskohtaisiin tietoturvavaatimuksiin. Etenkin näiden vaatimusten hallinnassa ja ylipäätään vaatimusten saamisessa osaksi järjestelmätoimitusta on järjestään puutteita ja haasteita.

Lisätyöt maksavat moninkertaisesti

Tyypillinen järjestelmätoimitushanke sisältää toimittajasta riippumatta neljä vaihetta; tuotekehityksen (jatkuva prosessi), projektin, käyttöönoton ja tuotannon. Tuotantovaiheen rinnalla voidaan puhua ylläpitovaiheesta riippuen siitä, tarkastellaanko asiaa toimittajan vai tilaajan kannalta.

Tämän vaiheketjun rinnalla etenevät toimittajan myyntiprosessi ja tilaajan ostoprosessi, hankeprosessit sekä joukko muita toimintoja. 

Myyntivaiheessa sovitusta toimitussisällöstä saattavat unohtua esimerkiksi tarvittavat järjestelmäliittymien räätälöinnit. Vasta myöhemmin herätään siihen, että tietoturvaominaisuuksien toteuttaminen lisätöinä maksaa moninkertaisesti.

Siksi järjestelmätoimituksissa on välttämätöntä ottaa tietoturva mukaan jo hankintavaiheen ensimetreillä joko myyjän tai tilaajan aloitteesta.

Ammattilaiset mukaan heti alussa

Tietoturvallisen järjestelmän hankkiminen ja myyminen on ammattilaisten työtä. Usein ostajan hankintaprojektissa tietoturvan vaikutuksia ei kuitenkaan nähdä riittävällä laajuudella.

Kilpailutuksen takia tietoturvavaatimukset kuvataan usein laveasti, jotta ei rajattaisi eri toimittajia ulkopuolelle. Järjestelmien monimutkaisuuden takia myyjäyrityksen edustajakaan ei aina tiedä, mitä tarkalleen ottaen on myymässä.

Järjestelmätoimituksessa pääpaino on luonnollisesti toiminnallisilla pääominaisuuksilla ja -vaatimuksilla. Tietoturvaominaisuudet ovat usein rinnalla oleva välttämätön tukifunktio. Tästäkin johtuen hankinta- ja myyntiprosessin tukena pitäisi alkuvaiheista lähtien olla IT- ja tietoturvaedustus. 

Tietoturvaominaisuudet perusteltava

Tietoturvaominaisuuksien ensiaskeleet ovat jo osa tuotekehitysvaihetta ja siellä toimittajan omien prosessien tai asiakasrajapinnan kautta tulleita tietoturvavaatimuksia.

Jokainen tietoturvaominaisuus on voitava perustella, koska ne luonnollisesti lisäävät tuotekehityksen kustannuksia.

Vaatimukset tulisi lähtökohtaisesti valita hallitusti uhkakartoituksen pohjalta. Lisäksi vaatimuksia asettavat lait, muu sääntely ja compliance-vaatimukset sekä standardit.

Muita vaikuttimia ovat toimittajan oman maineen turvaaminen, asiakasvaatimukset ja myös myytävissä olevat lisäominaisuudet. Järjestelmästä voi pyytää perustellusti paremman hinnan, jos tietoturvallisuuden voi osoittaa.

Kypsän organisaation toiminnanohjaukseen liittyy joukko politiikkoja, standardeja, ohjeita ja määräyksiä. Tietoturvapolitiikka, -ohjeistus ja noudatettavat standardit ovat dokumentteja, joiden aiheuttamat vaatimukset järjestelmälle on ymmärrettävä järjestelmätoimituksen yhteydessä.

Vastuiden siirrosta sovittava

Järjestelmätoimitusten tietoturvassa omat erityispiirteensä muodostavat tietoturvallisuuden johtaminen muutostilanteessa ja vastuiden vaiheittainen siirtäminen.

Toimittajalla ja tilaajalla on luonnollisesti omat ohjaavat tietoturvakäytäntönsä. Siksi on sitä parempi, mitä aikaisemmassa vaiheessa päästään sopimuksellisesti sopimaan järjestelmätoimitukseen liittyvistä vastuista ja velvollisuuksista sekä niiden projektointiin sovitetuista siirtymistä ja luovutuksista toimittajalta asiakkaalle. Näin muodostetaan perusta tietoturvan ja vastuun siirtämiselle vaiheittain osana toimitusprosessia.

Sopimuksellisesti on huolehdittava myös toimitukseen ja sen aikaiseen projektiin liittyvästä tietoturvallisuudesta. Kyse on siis omasta aliprojektistaan, jossa tietoturvavastuu siirretään hallitusti toimitettavan järjestelmäkokonaisuuden mukana toimittajalta tilaajalle. Usein myyjä ja ostaja ovat tietoturvan kehittyneisyyden suhteen eri tasoilla. Myös tämä tulee huomioida.

Järjestelmän koosta riippuen tietoturvavastuun siirrossa on tarkoituksenmukaista suorittaa riskiperustainen arviointi tai riskikartoitus ja määrittää vaadittava tietoturvataso sen pohjalta. Muodollinen tietoturvataso voi olla viranomais- tai julkishankinnoissa jo määritetty osana tietoturvavaatimuksia. Yrityspuolella pitää soveltaa.

Toimitus vaatii luottamusta

Tietoturvakäytäntöjen lisäksi toimittajan ja tilaajan tulee sopia mahdollisimman varhain myös lopputoimituksen yksityiskohtaisista teknisistä tietoturvavaatimuksista. Toimitetun järjestelmän tulee toteuttaa tilaajan toimintaympäristön tietoturvavaatimukset ja -kontrollit.

Varsinkin toimitusvaiheessa on varauduttava tietovuotoihin. Usein esimerkiksi ylläpitovaihetta varten tarvittavat etäyhteydet on pystyttävä sovittamaan tilaajan tietoturvapolitiikkaan sopiviksi. Toimittajan ei tulisi olettaa kohdeympäristöstä mitään. Tilaajan vastuulla on kuvata heidän ympäristövaatimuksensa.

Tässä viimeistään törmätään luottamuskysymyksiin: Miten toimittaja takaa, että tilaajan järjestelmiin ei esimerkiksi huoltoyhteyttä hyödyntämällä tehdä tietomurtoa? Vaikka luottamus onkin osin sopimuksellinen asia, se perustuu myös maineeseen ja kykyyn osoittaa luotettavuus ja tietoturvallinen toiminta esimerkiksi auditoinneilla. 

Auditoinnissa kaikki osa-alueet huomioon

Toimittajan, toimitettavan järjestelmän ja toimitusprojektin auditoinneissa tulisi hallinnollisen ja teknisen tietoturvallisuuden lisäksi huomioida muitakin osa-alueita.

Kansainvälisten standardien ohella suomalaisessa toimintaympäristössä voi mainiosti hyödyntää valtiovarainministeriön määrittelemiä tietoturvan osa-alueita. Niitä ovat hallinnollinen tietoturvallisuus, henkilöstöturvallisuus, fyysinen turvallisuus, tietoliikenneturvallisuus, laitteistoturvallisuus, ohjelmistoturvallisuus, tietoaineistoturvallisuus ja käyttöturvallisuus.

Myös kansallista turvallisuusauditointikriteeristöä (KATAKRI), tietoturvatasoja (TTT) ja ICT-varautumisen kriteerejä voi hyvin hyödyntää kotimaisissa yrityksissä.

Viranomaisten vaatimukset vaikuttavat alihankintaketjujen kautta välillisesti teollisuuteen ja siten muokkaavat suomalaista tietoturvakypsyystasoa yrityksissäkin.

---

[KIRJOITTAJA]

Mikko Jylhä toimii johtavana tietoturvakonsulttina IT-alan ja liiketoiminnan konsulttiyhtiö Logica Suomi Oy:ssä.

Lue myös

Liiketoiminta: Järjestelmätoimitusten muistilista »
Liiketoiminta: Ulkoistus haastaa tietosuojan »
Liiketoiminta: Tietoja pyydetään työntekijältä »
Liiketoiminta: Tietosuoja mukaan sopimusehtoihin »
Liiketoiminta: IT-ehdot pk-yritysten tueksi »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.