Skip to content

Kyberturvan mittaamisessa yksi kysymys on kaikkein oleellisin

Benjamin Särkkä

8.6.2022

Nykyinen maailmantilanne on herättänyt monet yritykset ja organisaatiot miettimään kyberturvan tasoaan. Kyvykkyys suojautua kyberuhilta on noussut entistäkin tärkeämmäksi. Mutta mistä tietää, onko kaikki ok eli miten tietoturvan tasoa voi ja kannattaa mitata?

Loihde Trustin Cyber Intelligence Director Benjamin Särkän mukaan hyvin tyypillinen tapa lähestyä aihetta on pohtia erilaisia mittareita. Nekin ovat toki tärkeitä, mutta ennen mittarien valintaa tulisi vastata siihen kaikkein tärkeimpään kysymykseen.

”Ei ole mielekästä lähteä liikkeelle siitä, mitä dataa on käytössä ja tehdä päätöksiä sen pohjalta. Se voi ohjata ajattelua jopa ihan väärään suuntaan. Ensin on tärkeintä miettiä sitä, mihin halutaan vastaus, ja vasta sitten tulee pohtia, mitä dataa tarvitaan”, Särkkä toteaa.

Usein yrityksissä tarkastellaan tietoturvapoikkeamien määrää. Jos tänään tietoturvapoikkeamia oli tietty määrä ja eilen jotain muuta, mitä siitä voidaan päätellä?

”Tietoturvapoikkeamat eivät yksistään tarkoita mitään. Sen sijaan, jos aletaan tarkastelemaan trendin kehitystä, ollaan jo askeleen pidemmällä ajattelussa. Kun vielä aletaan pohtia oman turvallisuustason kehittymistä, on taas edistytty.”

Mikä meille on kriittisintä?

Siinäpä se tuli, se kaikkein tärkein kysymys. Kun yrityksissä määritellään, mikä on sen liiketoiminnan kannalta oleellisinta, päästään myös sen äärelle, miten kyberturvaa kannattaa mitata.

”Usein kaikkein tärkeintä on suojata kriittiset toiminnat, prosessit ja henkilöstö. Nämä ovat niitä tavallisimpia, mutta niiden painotuksissa ja tarkemmissa sisällöissä on eroja eri organisaatioissa. Esimerkiksi verkkokaupalle on tärkeä turvata sen toimivuus. Tällöin on mietittävä, mitkä järjestelmät liittyvät verkkokaupan toimintaan ja miten mahdolliset tietoturvapoikkeamat vaikuttavat sen toimintakykyyn. Onko esimerkiksi erityyppisillä poikkeamilla erihintaisia ja -pituisia vaikutuksia”, Särkkä selventää.

Yrityksen tietoturvan tasoa olisi hyvä arvioida vähintään kerran vuodessa. Toisaalta mielekäs tarkasteluväli riippuu myös valituista mittareista. Usein kyberturvan tasoa mitataan juuri tietoturvapoikkeamin ja niiden kriittisyyden sekä kiireellisyyden kautta. Tämä ei toki ole huono asia, mutta yksistään ne harvoin kertovat riittävästi yrityksen tietoturvan kokonaistasosta.

”Tietoturvapoikkeamien mittaaminen on helppoa ja nopeaa. Yksittäisen datapointin rajallisuudet täytyy kuitenkin ottaa huomioon. Se ei kerro kaikkea. Poikkeamien osalta on oleellista pohtia niihin liittyviä attribuutteja, kuten palautumista ja kestoa sekä poikkeamiin reagointia. Kun tarkkuutta lisätään, vaikka vain pienin askelin, ajan kanssa kyberturvan taso ja sen mittaaminen kehittyy merkittävästi. Parhaimmillaan valitut mittarit mittaavat myös omaa tarkkuuttaan.”

Kiinnostus kyberturvan mittaamiseen kasvussa

Kun on määritelty se, mikä on organisaation toiminnan kannalta tärkeintä, pystytään vastaamaan siihen, mitä kyberturvan mittaamisen osalta halutaan erityisesti tarkastella. Sen jälkeen päätetään, mitä mitataan ja katsotaan, miltä data näyttää. Joskus joudutaan myös rakentamaan uudenlaisia mekanismeja relevantin datan saamiseksi.

”Toisinaan yrityksissä käytetään jopa mittareita, jotka eivät ole arvauksia parempia. Niitä saatetaan kuitenkin pitää totuutena ja niiden pohjalta tehdä merkittäviä päätöksiä. Näin syntyy helposti vääränlaista turvallisuuden ja kontrollin tunnetta. Osumatarkkuus on huono, jos ei oikeastaan edes ymmärretä, mitä mitataan.”

Kiinnostus kyberturvan mittaamiseen on yrityksissä Särkän arvion mukaan noussut. Enää ei riitä se, että joku sanoo, että kaikki on hyvin, vaan osataan jo vaatia dataa väitteen pohjaksi. Mutta onko yrityksissä kyvykkyyttä arvioida itse omaa tietoturvan tasoaan? Tämä riippuu pitkälti yrityksistä, mutta usein ulkopuolinen arvioija kykenee tarkastelemaan asioita puolueettomammin. Toisaalta yrityksen sisällä on tietoa juuri sen yrityksen toiminnasta.

”Parhaimmillaan arvioinnissa yhdistetään nämä molemmat näkökulmat ja näin saadaan aikaiseksi parempi kuva nykytilanteeseen. On olemassa monia toimivia malleja ja mittareita kyberturvan arviointiin. Näitä voidaan hyödyntää, mutta kuitenkin huomioiden juuri kunkin organisaation kannalta se ydinkysymys. Tämä vaatii työtä, mutta on sen arvoista.”

Tutustu Loihteen tietoturva-arviointiin