1 - 3 - 2023 - Asiantuntijablogit

Hankintojen tietoturvan tekeminen, osa 1

Hankintojen tietoturva on yksi mielenkiintoisimmista ja monipuolisimmista hallinnolliseen tietoturvaan liittyvistä työtehtävistä. Nappaa tästä blogista Senior Cyber Consultant Ville Rantamäen vinkit, minkälaista osaamista hankintojen tietoturvan parissa työskentely vaatii.

KyberturvallisuusKyberkonsultointiTietoturva

Hankintojen tietoturvaa toteutettaessa työtehtävä itsessään voi olla mitä tahansa hyvin suoraviivaisen vaatimusmäärittelyn ja kokonaisvaltaisen, läpi projektin vaikuttavan tietoturvatyöskentelyn välillä, ja siksi sen hallitseminen voi edellyttää hyvin monipuolista osaamista eri osa-alueilta. Puhtaasti tekninen tulokulma voi toimia hyvin suppeissa hankinnoissa, ja puhtaasti hallinnollinen taas tarjoaa lähinnä taustatukea projektihenkilöstölle tarvittavien dokumenttien ja prosessien laadinnassa.

Ville Rantamäki asiantuntijablogi

Ymmärrä asiakkaan ja toimialan erityispiirteet

Päällimmäisenä osaamisena on kyky ymmärtää ja tuntea asiakasorganisaatio ja sen toimiala. Nykymaailmassa on merkittävä määrä erilaisia lakeja ja asetuksia, joilla ohjataan eri toimialoilla toimivia organisaatioita. Jo olemassa olevien lisäksi EU:n alueella on suunnitteilla uutta kyberturvallisuutta ohjaavaa lainsäädäntöä, kuten NIS 2.

On huomattavan erilaista suunnitella hankintojen tietoturvaa modernille ohjelmistotalolle, finanssialan yritykselle tai terveydenhuollon toimijalle, hankinnasta riippumatta. Sen lisäksi, että toimialoilla on omat ohjaavat dokumenttinsa, jokaisella organisaatiolla on omanlaisensa turvallisuus- ja riskinottokulttuuri. Tämä tulee huomioida erityisesti vaatimuksia suunniteltaessa.

Hallitse standardit

Kun on pystytty tunnistamaan asiakkaan ja toimialan edellyttämät erityispiirteet ja pakollisesti noudatettavat lait ja asetukset, on yleensä tarpeen soveltaa jonkinlaista standardia tai viitekehystä tietoturvallisuuden muiden näkökulmien huomioimiseksi. Mikäli halutaan varmistua esimerkiksi toimittajan tietoturvallisuusmenettelyistä, voidaan edellyttää ISO 27001 tai ISAE 3402 -vaatimuksenmukaisuutta, ja teknistä tietoturvaa arvioitaessa voidaan tukeutua esimerkiksi OWASP:n ASVS-standardiin tai muihin vastaaviin suosituksiin. Teollisuuden ja automaation sovellutuksissa kyseeseen voi tulla niiden turvallisuutta ohjaava standardi IEC 62443.

Kaikki pohjautuu riskienhallintaan

Koska tarjolla on miltei loputon määrä erilaisia standardeja, viitekehyksiä ja suosituksia, kaiken täytyy pohjautua riskienhallintaan. Jos pyrkii saavuttamaan aukottoman tietoturvan, täytyy myös varautua pohjattomalla budjetilla. Lainsäädännön edellyttämä minimitaso on luonnollisesti saavutettava, mutta sen jälkeen on arvioitava tapauskohtaisesti liiketoimintariskit.

Organisaatiolle voi olla tärkeää taata palvelun mahdollisimman korkea saatavuus monista syistä, kuten taloudellisen tappion välttäminen, maineen säilyttäminen potentiaalisten työntekijöiden, asiakkaiden tai yhteiskunnan silmissä, tai miltei mistä tahansa muusta syystä. Hyvin toteutettu riskiarviointi yhteistyössä organisaation ICT- ja liiketoimintahenkilöstön kanssa mahdollistaa soveltuvan riskitason hyväksymisen, ja asettaa näin raamit vaatimuksille ja niiden tuottamille kustannuksille.

Kommunikoi kaikille sidosryhmille

Kun kaikki yllä mainitut asiat ovat kunnossa, jää jäljelle enää hankalin osa – kommunikaatio. Usein hankinnassa saattaa olla useitakin sidosryhmiä: projektiryhmä, organisaation johto, organisaation tietohallinto tai esimerkiksi ulkoiset palveluntarjoajat. Yksi suorittaa hankinnan normaalia prosessia tarjouspyynnöillä ja toiminnallisilla vaatimuksilla, toinen ohjaa liiketoimintaa koskevilla vaatimuksilla ja reunaehdoilla, kolmas ohjaa tietoturvaa ja tietosuojaa koskevilla vaatimuksilla ja neljäs täytyy pitää mukana prosessin alusta asti, koska tekninen toteutus saattaa vaatia yhteistyötä. Usein projektiryhmä myös vastaa raportoimisesta hankkivalle taholle ja johdolle työn etenemisestä. Tietoturva-asiantuntijan on useimmiten tarpeen kommunikoida näille kaikille projektin eri kohdissa.

Kokonaisuutena arvioiden hankinta vaatii siis monenlaista osaamista tietoturvan eri osa-alueilta. Samalla se on kuitenkin varma tapa oppia paljon uutta, koska hankinnat voivat olla sisällöltään hyvin erilaisia, fyysisistä laitteista pilvipalveluihin. Samalla se tarjoaa hyvän näkymän laajalle organisaatioon, ja auttaa ymmärtämään sen eri osien tekemää yhteistoimintaa pintaa syvemmältä. Suosittelen jokaista aiheesta kiinnostunutta kokeilemaan, mikäli sellaiseen tarjoutuu mahdollisuus. Vastaavaa kokemusta on hankala saada muulla tavalla.

Mitä osaamista työ vaatii:

  1. Tunne asiakkaasi

  2. Tunne toimialan erityispiirteet

  3. Tunne standardit ja viitekehykset

  4. Riskienhallinta

  5. Kommunikaatiotaidot

Haluaisitko tietää, miten itse päädyin Installe?

Lue lisää uratarinastani

Ville Rantamäki
Kirjoittaja

Ville Rantamäki

Kirjoittaja työskentelee Instassa kyberturvallisuuskonsulttina.

Jaa artikkeli

Pysy alan aallonharjalla ja tilaa uutiskirjeemme

Tärkeimmät uutiset, inspiroivat artikkelit ja asiantuntijoidemme ajankohtaisia näkemyksiä eri toimialoilta sekä tietoa tulevista tapahtumistamme.

Hyväksy käyttöehdot. Käsittelemme tietojasi vastuullisesti.
Tutustu tietosuojaselosteeseemme.