Notecrow

Jäsentiedote 2019-06

Puheenjohtajan palsta

Arvoisa lukija,

Tilannekuva (situational awareness) on tuttu käsite jo pitkältä ajalta maanpuolustusmaailmassa. Yleisesti sillä tarkoitetaan eri sidosryhmien informointia kulloisestakin tilanteesta. Useimmiten kohderyhmänä on johto ja tiedon tarkoitus on helpottaa strategista ja operatiivista päätöksentekoa sekä johtamista. Perinteisesti siihen sisältyy varautuminen häiriötilanteisiin, niiden hallinta ja toiminnan johtaminen. Joka tapauksessa se liitetään vahvasti jo toteutuneisiin häiriötilanteisiin. Siviilimaailmassa turvallisuus on usein tässä vaiheessa jo pettänyt ja seurausten huomioarvo voi olla merkittäväkin. Turvallisuushenkilöt saavat selitellä johdolle, mitä on tapahtunut ja miksi näin on päässyt käymään.

Itse olen tuntenut mielenkiintoa situational awarenessiin jo jonkin aikaa, mutta lähestyn sitä hieman toisesta, laajemmasta näkökulmasta.

En ole niinkään huolissani asioista, joita havaitsemme. Havaintoja saamme jatkuvasti erilaisista tapahtumista, esimerkkinä vaikkapa torjutut haittaohjelmat, spämmit, phishing-meilit tms. Mitä se kertoo, jos niitä on nyt kaksi miljoonaa, kun edellisellä havainnointijaksolla niitä oli yksi tai kolme miljoonaa? Onko tilanne parempi vai huolestuttavampi? Mitä kerron johdolle tämän tiedon perusteella, jos ja kun he kysyvät, onko kyberturvamme parantunut vai huonontunut? Mahdotonta sanoa tämän tiedon perusteella, pitäisikö minun olla entistä enemmän huolissani vai ei. Toinen epäkohta on, että nämä havaitut ovat jo tapahtuneet, joten jos torjunta olisikin epäonnistunut, niin vahinko olisi jo tapahtunut. Tämän vuoksi olen enemmän huolissani asioista, joita emme näe selkeästi.

Liian usein olen saanut johdon jakamattoman huomion, kun jokin turvallisuuteen sidonnainen seikka on mennyt pieleen ja liiketoiminta on kohdannut vaikeuksia.

Haluaisin pystyä kertomaan positiivisia uutisia turvallisuudesta. Malliesimerkkinä vaikkapa tilanne, jossa mediassa kerrotaan laajasti monien muiden organisaatioiden vaikeuksista vahingollisten hyökkäysten johdosta, kun minä voisin kertoa meidän havainneen tilanteen ajoissa ja välttäneen vahingot tehtyjen aktiivisten toimenpiteidemme johdosta.

Nykyisin joudun ennemminkin arvailemaan, onko häiriötön tilanne pelkkää hyvää tuuria vai johtuuko se toimenpiteistämme?

Näistä pohdinnoista on itänyt ajatus, että voisimme luoda sellaisen turvallisuuden ajantasaisen tilannekuvan, jonka voisimme kertoa intressiryhmille ja muille kiinnostuneille sidosryhmille kuten riskitilanteen, jonka olemme tunnistaneet etukäteen ja estimme toimenpiteillämme poikkeamaa toteutumasta.

Tässä vaiheessa situational awareness (Corporate Security Strategy) kehityspolkumme jakautuu viiteen vaiheeseen: 1. tunnista (identify), 2. estä (prevent) 3. tutki (detect), 4. reagoi (response) ja 5. palaudu (recover). Suomennokset ovat hieman väkivaltaisia eivätkä vastaa asiasisällöltään täysin alkuperäistä tarkoitusta. Vastuut on jaettu eri tahojen osalle eri vaiheissa mukaan lukien liiketoiminta. Kaikkien, myös liiketoiminnan, sitoutuminen ja osallistuminen on tärkeää. Turvallisuutta ei voi ulkoistaa tai siirtää täysin turvallisuusyksikön ja kumppaneiden vastuulle, vaikka valitettavan usein tilanne onkin tällainen.

Palaan yksityiskohtaisemmin ajattelemaamme toteutustapaan myöhemmissä kirjoitelmissani. Erityisesti Detect- ja Response-vaiheet ovat erityisen mielenkiintomme ja kehityksen kohteena.

Havaitsit varmaan, että viidessä vaiheessa ei ole sinänsä mitään uutta tai mullistavaa. Vaikea kuvitella ylipäänsä, että turvallisuuteen keksittäisiin jotain yhtä mullistavaa läpimurtoa kuin tieteessä on keksitty vuosisatojen saatossa. Mielestäni kyse on ennemminkin uudenlaisten ajatusten käyttöönottamisesta ja olemassa olevien käytäntöjen uudenlaisesta soveltamisesta. Uutta kehitysmallissamme on se, että em. kuvataan ja kytketään yhtiömme liiketoimintastrategiaan, jolloin pystymme kertomaan miten yritysturvallisuus ja meidän päivittäinen tekemisemme tukee suoraan yrityksen liiketoimintastrategiaa. Turvallisuuden lähtökohta on yrityksen strategia, ei turvallisuus itsessään. Tätä kieltä isotkin johtajat ymmärtävät.

Vaikka esimerkkini olivat kybermaailmasta, sama yhteinen lähestymiskulma meillä on bisnesturvallisuudessa (fyysinen). Tätä mallia voidaan soveltaa riskienhallinnassa yleisemminkin kuten myös yksityiselämän piirissä.

Let’s be careful out there.


logo
Jäsentiedote 2019-06 Puheenjohtajan palsta Arvoisa lukija, Tilannekuva (situational awareness) on tuttu käsite jo pitkältä ajalta maanpuolustusmaailmassa. Yleisesti sillä tarkoitetaan eri sidosryhmien informointia kulloisestakin tilanteesta. Useimmiten kohderyhmänä on johto ja tiedon tarkoitus on helpottaa strategista ja operatiivista päätöksentekoa sekä johtamista. Perinteisesti siihen sisältyy varautuminen häiriötilanteisiin, niiden hallinta ja toiminnan johtaminen. Joka tapauksessa se liitetään vahvasti jo toteutuneisiin häiriötilanteisiin. Siviilimaailmassa turvallisuus on usein tässä vaiheessa jo pettänyt ja seurausten huomioarvo voi olla merkittäväkin. Turvallisuushenkilöt saavat selitellä johdolle, mitä on tapahtunut ja miksi näin on päässyt käymään. Itse olen tuntenut mielenkiintoa situational awarenessiin jo jonkin aikaa, mutta lähestyn sitä hieman toisesta, laajemmasta näkökulmasta. En ole niinkään huolissani asioista, joita havaitsemme. Havaintoja saamme jatkuvasti erilaisista tapahtumista, esimerkkinä vaikkapa torjutut haittaohjelmat, spämmit, phishing-meilit tms. Mitä se kertoo, jos niitä on nyt kaksi miljoonaa, kun edellisellä havainnointijaksolla niitä oli yksi tai kolme miljoonaa? Onko tilanne parempi vai huolestuttavampi? Mitä kerron johdolle tämän tiedon perusteella, jos ja kun he kysyvät, onko kyberturvamme parantunut vai huonontunut? Mahdotonta sanoa tämän tiedon perusteella, pitäisikö minun olla entistä enemmän huolissani vai ei. Toinen epäkohta on, että nämä havaitut ovat jo tapahtuneet, joten jos torjunta olisikin epäonnistunut, niin vahinko olisi jo tapahtunut. Tämän vuoksi olen enemmän huolissani asioista, joita emme näe selkeästi. Liian usein olen saanut johdon jakamattoman huomion, kun jokin turvallisuuteen sidonnainen seikka on mennyt pieleen ja liiketoiminta on kohdannut vaikeuksia. Haluaisin pystyä kertomaan positiivisia uutisia turvallisuudesta. Malliesimerkkinä vaikkapa tilanne, jossa mediassa kerrotaan laajasti monien muiden organisaatioiden vaikeuksista vahingollisten hyökkäysten johdosta, kun minä voisin kertoa meidän havainneen tilanteen ajoissa ja välttäneen vahingot tehtyjen aktiivisten toimenpiteidemme johdosta. Nykyisin joudun ennemminkin arvailemaan, onko häiriötön tilanne pelkkää hyvää tuuria vai johtuuko se toimenpiteistämme? Näistä pohdinnoista on itänyt ajatus, että voisimme luoda sellaisen turvallisuuden ajantasaisen tilannekuvan, jonka voisimme kertoa intressiryhmille ja muille kiinnostuneille sidosryhmille kuten riskitilanteen, jonka olemme tunnistaneet etukäteen ja estimme toimenpiteillämme poikkeamaa toteutumasta. Tässä vaiheessa situational awareness (Corporate Security Strategy) kehityspolkumme jakautuu viiteen vaiheeseen: 1. tunnista (identify), 2. estä (prevent) 3. tutki (detect), 4. reagoi (response) ja 5. palaudu (recover). Suomennokset ovat hieman väkivaltaisia eivätkä vastaa asiasisällöltään täysin alkuperäistä tarkoitusta. Vastuut on jaettu eri tahojen osalle eri vaiheissa mukaan lukien liiketoiminta. Kaikkien, myös liiketoiminnan, sitoutuminen ja osallistuminen on tärkeää. Turvallisuutta ei voi ulkoistaa tai siirtää täysin turvallisuusyksikön ja kumppaneiden vastuulle, vaikka valitettavan usein tilanne onkin tällainen. Palaan yksityiskohtaisemmin ajattelemaamme toteutustapaan myöhemmissä kirjoitelmissani. Erityisesti Detect- ja Response-vaiheet ovat erityisen mielenkiintomme ja kehityksen kohteena. Havaitsit varmaan, että viidessä vaiheessa ei ole sinänsä mitään uutta tai mullistavaa. Vaikea kuvitella ylipäänsä, että turvallisuuteen keksittäisiin jotain yhtä mullistavaa läpimurtoa kuin tieteessä on keksitty vuosisatojen saatossa. Mielestäni kyse on ennemminkin uudenlaisten ajatusten käyttöönottamisesta ja olemassa olevien käytäntöjen uudenlaisesta soveltamisesta. Uutta kehitysmallissamme on se, että em. kuvataan ja kytketään yhtiömme liiketoimintastrategiaan, jolloin pystymme kertomaan miten yritysturvallisuus ja meidän päivittäinen tekemisemme tukee suoraan yrityksen liiketoimintastrategiaa. Turvallisuuden lähtökohta on yrityksen strategia, ei turvallisuus itsessään. Tätä kieltä isotkin johtajat ymmärtävät. Vaikka esimerkkini olivat kybermaailmasta, sama yhteinen lähestymiskulma meillä on bisnesturvallisuudessa (fyysinen). Tätä mallia voidaan soveltaa riskienhallinnassa yleisemminkin kuten myös yksityiselämän piirissä. Let’s be careful out there.
📧 Juha Härkönen, Puheenjohtaja
juha.harkonen@fortum.com
◀ Takaisin