Kukapa meistä pitäisi auditoinneista? Yleinen mielikuva auditoijasta on kivikasvoinen, tummaan pukuun ja solmioon pukeutunut, sanan varsinaisessa merkityksessä TARKASTAJA. Yritykseen tunkeutunut ulkopuolinen ”besserwisser”, joka yrittää löytää viimeisenkin pielessä olevan nippelin pönkittääkseen omaa itsetuntoaan ja alistaakseen tarkastuksen kohteen tuntemaan suurta häpeää ja voimattomuutta tekemättömien töiden ja osaamattomuutensa vuoksi.

No, tämä oli tarkoituksella hieman kärjistetty ja provosoiva kuvaus auditointitilanteesta, mutta silloin tällöin auditoinnit koetaan varsinkin auditoitavan kohteen ylläpitäjien kannalta joskus kiusallisiksi. Usein koetaan, että kohteen ylläpitäjiin ja heidän tietotaitoonsa ei luoteta, kun yritysjohto katsoo tarpeelliseksi toteuttaa ulkopuolisen tekemän auditoinnin. Maailma on kuitenkin kehittynyt ja asenteet parantuneet puolin ja toisin, ja entistä enemmän valveutuneet organisaatiot käyttävät auditointeja nykytilanteen selvittämiseen ja turvallisuuden kehittämiseen. Ovatko auditoinnit sitten loppujen lopuksi niin tärkeitä? Ehkä aihetta on hyvä lähestyä kysymysten ”miksi, mitä, kuka ja milloin” näkökulmasta.

Miksi? Vastaus on ilmeinen vahvasti turvallisuusreguloiduilla toimialoilla kuten esimerkiksi finanssisektorilla, tietoliikenteessä, julkishallinnossa ja monessa muussa. Yleinen vaatimus on, että IT-järjestelmiä ja niiden hallintaa tulee auditoida säännöllisesti. GDPR edellyttää, että rekisterinpitäjä käsittelee henkilötietoja ”tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus”. Lisäksi rekisterinpitäjän tulee kyetä osoittamaan, että turvallisuus on järjestetty asianmukaisesti. Laadukas riskienhallintaprosessi, joka käyttää auditointeja turvallisuuden tason varmistamiseen, toimii osana osoitusvelvollisuuden täyttämistä varsin hyvin.

Regulaatioita tärkeämpää tietenkin on – tai ainakin pitäisi olla – parantuneen turvallisuuden tuoma liiketoiminnallinen hyöty. Varmistamalla palvelujen luottamuksellisuus, eheys ja saatavuus, asiakas saa laadukkaampaa palvelua ja on myös valmis maksamaan siitä.

Mitä? Auditointiin voi sisällyttää kaikki IT-järjestelmät ja niiden hallinnan tai vain osan siitä. Useimpien toimijoiden IT-infrastruktuuri on niin laaja, että sen perusteellinen auditointi voi olla liian suuri aika- ja kustannuserä kerralla. Kun auditoinnin kattavuudesta joudutaan syystä tai toisesta tinkimään, on oltava tarkkana mitä kohteita auditointiin valitsee. Riskianalyysi tietenkin ohjaa kohdistamaan tarkastustoimenpiteet kaikkein kriittisimpiin osa-alueisiin. Tietojen sensitiivisyys sekä järjestelmien käytettävyysvaatimukset ohjaavat tehokkaasti mihin käytettävissä olevia voimavaroja kannattaa suunnata.

On hyvä huomioida, että IT-järjestelmien auditointi on vain osa kokonaisuutta. Merkittävä osa turvallisuudesta liittyy järjestelmien hallintaan ja erilaisiin prosesseihin. Teknisten yksityiskohtien auditointi ja vikojen korjaaminen on hyödytöntä, jos esimerkiksi pääkäyttäjäoikeuksien hallinnointiprosessi on puutteellinen ja mahdollistaa tunnusten joutumisen vääriin käsiin. Lisäksi auditoinnin kohteena tulisi ainakin ajoittain olla myös henkilö- ja toimitilaturvallisuus, jonka avulla voidaan varmistua siitä, että toimistojen käytävillä kävelee ja tietoihin pääsee käsiksi vain firman omia henkilöitä. Maailma tuntee lukuisia väärinkäyttötapauksia, joissa päämenetelmänä on ollut social engineering muodossa tai toisessa. Jos henkilö- ja toimitilaturvallisuuden prosessit ovat kunnossa, on soluttautujan paljon vaikeampi päästä kohteeseensa.

Kuka?
Auditointeja voi tehdä sisäisesti omin voimin tai ulkopuolisen asiantuntijan toimesta. Ulkopuolinen auditoija havaitsee varmuudella asioita, joille itse on mahdollisesti tullut sokeaksi. Ulkopuolinen auditoija näkee erilaisia kohteita ja toimintaympäristöjä, minkä ansiosta hän kykenee antamaan suosituksia laaja-alaisen kokemuksensa perusteella. Ja toki auditointi on oma erikoisalueensa, johon tulee olla riittävä koulutus ja asiantuntemus. Järjestelmän ylläpitäjän taidot antavat hyvän pohjan auditoinnin oppimiselle, mutta se ei tarkoita, että hyvä ylläpitäjä osaisi välttämättä automaattisesti myös auditoida.

Sisäinen auditointi on parempi kuin ei auditointia ollenkaan, ja parhaassa tapauksessa se täydentää hyvin ulkopuolisten tekemiä auditointeja. Jos harkitset sisäisiä auditointeja tai käytät niitä ulkopuolisten auditointien täydentäjänä, on hyvä muistaa, että järjestelmien ylläpitäjät eivät saisi auditoida omia järjestelmiään. Sisäisestikin toteutettuna auditoija tulisi olla ”ulkopuolinen”, eli henkilö, joka ei ole järjestelmän omistaja eikä vastaa juuri kyseisen järjestelmän hallinnoinnista.

Milloin?
Yleisimpien turvallisuusstandardien mukaan järjestelmiä tulisi auditoida aina merkittävien muutosten jälkeen ja vähintään kerran vuodessa. Lisäksi kaikki uudet järjestelmät tulisi auditoida ennen käyttöönottoa, joko erikseen tai osana niiden aiheuttamaa, edellä mainittua merkittävää muutosta IT-arkkitehtuurissa. Auditointi tulisikin sisällyttää projekti- ja hankeohjeiden vakiomalleihin osana projektin laadunvarmistusta.

Mitä auditoinnin jälkeen?
Liian usein auditoinnin jälkeen raportti heitetään pöytälaatikon perukoille ja siihen kirjattuja havaintoja laitetaan kuntoon, jos muistetaan tai ehditään. Auditoinnille ja auditointiraportille tulisi nimetä omistaja, joka huolehtii siitä, että havainnot ja niiden korjaaminen vastuutetaan, priorisoidaan ja aikataulutetaan. Korjaustoimien edistymistä tulee seurata säännöllisesti ja laatia muistiot seurantapalavereista. Parhaimmillaan auditoinnit toimivat jatkuvan riskienhallintaprosessin tärkeimpänä syötteenä ja varmistavat, että yrityksen turvallisuus pysyy aina ajan tasalla.

Haluaisitko tietää lisää tietoturva-auditoinnista? Tutustu tarjoamaamme arviointiin tai ota suoraan yhteyttä!

Blogin on kirjoittanut Loihteella työskennellyt seniorikonsultti Timo Rinne.