Pirkka Rannikko

Pirkka Rannikko

UX and Service Design

pirkka.rannikko@vincit.fi

TwitterLinkedIn

Tietoturvallisuus on nyt meidän kaikkien huulilla ja mielessä. Pääsin keväällä auttamaan asiakkaamme Finnparkin Moovy-palvelun tietoturvallisuuden hallintajärjestelmän kehittämisessä ja jaan tässä muutamia projektin aikana mieleeni nousseita mietteitä. En väitä olevani tietoturvallisuuden ammattilainen, mutta digitaalisten palveluiden tuoteomistajan tehtävissä toimiminen saattaa synnyttää tietynlaista kokemusasiantuntijuutta. 

Täydellistä tietoturvallisuutta ei ole, mutta voimme toimintatapojen, ajattelun ja turvallisuuskulttuurin kehittämisen myötä nostaa hallinnan ja suojauksen tasoa. Tekniikka seuraa perästä, kun ihmiset ottavat asian hallintaansa.

Ihminen ei ymmärrä tietoturvallisuutta

Kevään projektin yhteydessä tulin pohtineeksi, että perinteisesti tietoturvallisuuden hallinnan kehittämishankkeita lähestytään usein tietoturva-, organisaatio-, tietojärjestelmä- tai teknologialähtöisesti – ja tietysti uhkakuvat edellä. Puhutaan viitekehyksistä, riskeistä, toimintamalleista, politiikoista, hallintakeinoista, prosesseista, järjestelmistä, tekniikasta, haavoittuvuuksista, hyökkäysvektoreista ja niin edelleen. Jargonia riittää, mutta harvemmin puhutaan ihmisistä, heidän tarpeistaan ja odotuksistaan – tunteista nyt puhumattakaan – paitsi tietysti huolimattomina tietoturvaongelmien syypäinä. Me ihmiset olemme ketjun heikot lenkit.

On aivan luonnollista, että ihmiset ovat hankaluuksissa tietoturvan suhteen, sillä se on teemana kokonaisvaltainen ja siten vaikeasti hallittavissa. Tieto kun ei ole konkreettista eikä sitä voi käsin kosketella. Eikä meillä tavan ihmisillä ole minkäänlaista käytännön käsitystä siitä, mikä tiedon arvo on. Mielikuvituksemme ei yksinkertaisesti riitä pohtimaan, miten tietoa voi käyttää väärin. Tieto asuu laitteissa ja järjestelmissä, joiden toimintaperiaatteita emme ymmärrä. Hyvä kun osaamme niitä juuri ja juuri käyttää. Saatamme tuntea itsemme epävarmoiksi ja turvattomiksi kaiken meitä ympäröivän monimutkaisuuden äärellä.

Usein aihetta katsotaan liian tiukalla linssillä tai vain yhdestä näkökulmasta. Esimerkiksi liiketoimintajohto saattaa nähdä tietoturvallisuuden teknisenä ATK-ongelmana. Tai ihan puhtaasti paperiharjoituksena tietoturvapolitiikan, sertifioinnin ja sopimusten muodossa. Softakehittäjän näkökulmasta tietoturvallisuus voi kapeasti katsottuna käsittää ainoastaan sen, että itse kirjoitettu ohjelmakoodi on turvallista. UX-suunnittelija voi nähdä tietoturvallisuuden ainoastaan palveluun kirjautumisen näkökulmasta. Näiden välimaastoon jää monta näkökulmaa huomioimatta, kuten:

  • Kuka omistaa tietoturvallisuuden kehittämisen ja johtaa sitä? Miten ihmiset osallistetaan kehittämiseen?
  • Miten riskienhallintaa tehdään ja miten tietoturvallisuus näkyy liiketoiminnan jatkuvuuden suunnittelussa?
  • Kuinka ihmisten riittävä osaaminen on varmistettu (ATK ja toimintatavat) kunkin työtehtävien ja niissä käytettävien tietojen käsittelyn vaatimalla tavalla?
  • Miten on tunnistettu suojattava omaisuus (eli missä tieto asuu) ja vastuutettu sen hallinta?
  • Miten on varmistettu, että järjestelmä- ja ohjelmistokehityksen käytännöt ja toimintatavat tuottavat turvallisia ratkaisuja?
  • Miten on varmistettu, että ohjelmiston käyttöympäristöt eli ns. infra on turvallinen?
  • Miten palvelua monitoroidaan ja miten häiriöitä hallintaan ja niistä toivutaan?
  • Miten fyysinen turvallisuus on varmistettu?
  • Miten henkilöstöturvallisuus on varmistettu? Entäpä alihankinta?
  • Miten tietoturvallisuuden hallinnan vaikuttavuutta seurataan? Kuinka sitä kehitetään osana yrityksen muuta liiketoimintaa?
  • Mitä alan hyviä käytäntöjä tai palveluntarjoajien ohjeistuksia on hyödynnetty asioiden turvaamisessa?
  • Miten näytetään toteen esim. auditoinnin yhteydessä se, että on toimittu niin kuin on suunniteltu ja kuvattu?

Kun katson edellistä listaa, yllättää sen pituus minut edelleen. On vaikeaa ymmärtää, kuinka kokonaisvaltaisesti kaiken toiminnan läpileikkaavasta asiasta tai systeemistä oikeastaan onkaan kyse. Kirjassaan “Secure & Simple: A Small-Business Guide to Implementing ISO 27001 On Your OwnDejan Kosutic kirjoittaa ymmärryksen puutteesta seuraavalla tavalla:

There is actually one top reason that most information security practitioners are emphasizing, that is responsible for the failure of their projects: lack of understanding from top management and, consequently, lack of their continuous support.

However, top management is not the only problem. Very often, information security practitioners are, if not completely misunderstood, then at least avoided by other employees in a company.

The solution to this problem? You are probably not going to like this: you have to become a combination of a diplomat and a salesman. You’ll have to sell the idea of information security to your management, to your employees, and to your partners, and you’ll have to use all your power of persuasion to convince them. And no, your job as information security practitioner is not only about safeguards or security processes – it is primarily about psychology and convincing people around you.

Tietoturvallisuuden hallinta onkin ensisijaisesti psykologiaa ja vuorovaikutusta – ihmistyötä.

Ihminen keskiöön palvelumuotoilun menetelmillä

Henkilökohtaisen tietoturvallisuuden ja tietosuojan hallinnan pitäisi olla kansalaistaito siinä missä liikenneturvallisuudenkin tulisi olla (Internetin ajokortti anyone?). Vastaavasti digitaalisten palveluiden suunnittelijoiden, kehittäjien ja niitä operoivien ihmisten perustaitoihin tulisi kuulua oman tonttinsa tietoturvallisuuden hallinta sekä ymmärrys siitä, että asia ei ole kenenkään tontilla yksin. Tukeeko yrityksen kulttuuri ja arvot ihmisten jatkuvaa kehittymistä ja työssäoppimista? Onko työyhteisössä OK myöntää, että en ymmärrä tietoturvallisuutta ja tunnen oloni epävarmaksi? Osaamisen ja ymmärryksen kehityksen myötä me heikoimmat lenkit kuitenkin vahvistuisimme. Ajan myötä ketjusta kasvaisi verkko, joka suojaisi meille ihmisille kuin liiketoiminnallekin arvokkaita tietoja.

Jos meidän ihmisten tekemät virheet todella ovat syitä 90%:iin raportoiduista tietomurtotapauksista, miksi sitten organisaatioiden tietoturvallisuuden hallintaa ei kehitettäisi ihmislähtöisesti tai vähintäänkin ihmiskeskeisesti. Kun hallintakeinoja kehitetään, tulisi kehitykseen ottaa alusta asti mukaan niitä ihmisiä, joiden työhön hallintakeinot vaikuttavat. Tämä tuottaa yleensä ihmisille sopivampia ratkaisuja. Mikä edelleen johtaa siihen, että hallintakeinot tulevat todennäköisemmin käyttöön ja niillä on todellista vaikutusta. Kehitykseen osallistuneista ihmisistä saattaa tulla ratkaisujen puolestapuhujia, mikä auttaa halutun muutoksen toteutumisessa organisaation sisällä.

Palvelumuotoilun työkalupaketista löytyy paljon osuvia menetelmiä, joilla pureudutaan siihen, mitä ihmiset ajattelevat, tarvitsevat, tuntevat ja kokevat, sekä keinoja joilla ihmiset otetaan mukaan kehittämiseen ja suunnittelemaan heille sopivia ratkaisuja. Haastattelut, kyselyt, työn tarkkailu ja sen tehtäväanalyysi, yhteiskehittäminen työpajoissa sekä tietysti data-analytiikka ovat näistä perinteisempiä esimerkkejä.

Vastaavasti suunnittelijan pakista löytyy työkaluja, keinoja ja ideoita, joilla suunniteltujen ratkaisujen toimivuutta ihmisille voidaan koeponnistaa esim. testaamalla protoja ja tekemällä muita nopeita kokeiluja.

Suunnittelijat pyrkivät usein hahmottamaan kokonaisuuksia ja kartoittamaan systeemejä kokonaisvaltaisesti ja visuaalisesti. Tätä samaa lähestymistapaa voi yhtä hyvin hyödyntää tietoturvallisuuden hallinnan kehittämisessä. Suojattavan omaisuuden, uhkien ja haavoittuvuuksien sekä hallintakeinojen syy-yhteydet ovat moninaiset ja monimuotoiset, ja niiden selittämiseen ja niistä keskustelemiseen tarvitaan kättä pidempää. Alkeellinenkin esimerkinomainen visualisointi kertoo enemmän kuin tuhat sanaa.

Tästä johdannaisena käytämme nykyään suunnittelutyössä paljon kanvaaseja (esim. Lean Canvas) tukemaan tiedon keruuta, sen visualisointia ja prosessin juoksutusta.

Kevään projektin tiimoilta innostuin hahmottelemaan parikin eri kanvaasia, joista saattaa olla apua tietoturvallisuuden kehittämisessä ihmiskeskeisesti. Ensimmäinen soveltuu projektin alkukartoitukseen, eli määrittelyyn mitä ollaan tekemässä ja missä ollaan nyt. Toinen taas pyrkii vastaavasti pureutumaan ihmiseen tietoturvallisuuden hallinnan kehittämisen keskellä. Millainen on se heikoin lenkki tällä kertaa ja miten sitä voitaisiin vahvistaa?

Julkaisen näistä kanvaaseista naurukappaleet tämän blogin jatko-osassa ja jaan hiukan ajatuksia siitä, miten niitä voisi hyödyntää osana ihmiskeskeisen tietoturvallisuuden hallinnan kehitysprosessia.

Härkää sarvista

Tietoturvallisuus ja sen kokonaisvaltainen hallinta vaikuttaa helposti hankalalta ja abstraktilta asialta, johon on vaikea löytää tarttumapintaa. Sitten kun kokonaisuudesta saa otteen, näyttäytyy se valtavana työmaana koko komeudessaan. Kun pysähtyy listaamaan, voi pienestäkin organisaatiosta löytyä aika monta tietotyövälinettä, viestivälinettä, järjestelmää ja muuta hilavitkutinta, joita me ihmiset päivittäin käytämme ja jotka sisältävät ulkopuolisille kuulumatonta tietoa.

Työmaan edessä ei auta vaipua epätoivoon, vaan ryhtyä määrätietoisesti rakentamaan huomista, joka ei pelota. Muotoilun menetelmiä ja muotoiluajattelua voidaan käyttää, itse palvelun tai tuotteen muotoilun lisäksi, sen taustalla olevien liiketoimintaprosessien, toimintatapojen ja muiden hallintakeinojen muotoiluun siten, että ne yhdessä luovat turvaverkon liiketoiminnan tarvitsemien arvokkaiden tietojen ympärille.

Toinen avaintyökalu tässä kehittämistyössä on riskienhallinta. Sen jälkeen, kun nykysysteemien matalalla roikkuvat hallintahedelmät, esimerkiksi pääsynhallinnan käytännöt ja kaksivaiheinen kirjautuminen, on poimittu, kannattaa tiimin ja organisaation kääntää katseensa riskien tunnistamiseen ja analysointiin. Tämän työn kautta kaikkien ymmärrys suojattavasta omaisuudesta ja siihen kohdistuvista uhkakuvista kasvaa, ja tietoturvallisuuden hallinnan kehitysjono saadaan priorisoitua.

Mikä todennäköinen uhka voi toteutuessaan pysäyttää liiketoiminnan? Aloita sen turvaamisesta ja osallista ihmiset ratkaisun muotoiluun. Jatka pala kerrallaan.

Loppuun

Veikkaan, että moni digitaalisen palvelun tuoteomistaja miettii paraikaa millä mallilla oman palvelun tietoturvallisuus on. Tästä kannattaa keskustella tiimin kanssa avoimesti esim. näiden kysymysten avulla.

Voi olla, että seuraavalle sprintille löytyykin jo aiheeseen liittyvää tekemistä.

Tykkäsitkö artikkelista?

Anna pienet aplodit!

Kommentit

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *