Yhteiskuntamme on käynyt läpi merkittäviä mullistuksia viimeisen vuoden aikana ja sama pätee tapaan, jolla työskentelemme. Tämä johtaa uudenlaisiin tietoturvahaasteisiin - tai kuten kyberrikolliset asian näkevät - uusiin mahdollisuuksiin. Jo ennen näitä muutoksia oli tiedossa, että tietoturvauhkat ovat luonteeltaan monimutkaisia. Niiden varalta suojautumisen perusedellytys on jatkuva valppaus tietoturvauhkien havainnoimisessa.

Yhä useammat yritykset ovat huomanneet, että tämä tehtävä on erittäin haastava - ellei mahdoton - yrityksen sisäisen IT-osaston hoidettavaksi. Tämän vuoksi yritykset ostavat yhä enenevässä määrin tietoturvaa suoraan valmistajilta tai paikallisilta IT-toimijoilta, jotka pystyvät tarjoamaan sitä palveluna. Yhtä tärkeää, kuin yrityksen omasta tietoturvasta huolehtiminen on kuitenkin myös sen varmistaminen, että mahdollisella tietoturvapalveluiden tarjoajalla on itsellään tietoturva-asiat kunnossa. Tietoturvaosaamista ja tietoturvaan liittyvien prosessin hallitsemista ei koskaan tule pitää itsestäänselvyytenä.

Julkisten ja suurempien yksityisten yritysten ollessa kyseessä nykyisin on tyypillistä edellyttää tietoturvapalvelun tarjoajalta tietoturvan hallintajärjestelmää, ISO 27001-sertifikaattia ja / tai vakiintuneita rutiineja tietoturvahyökkäysten tai niiden ilmeisten uhkien varalle. Mutta ollaanko näistä asioista yhtä tarkkoja pienemmissä yrityksissä? Luultavasti ei.

Mitä tietoturvapalvelua hankkiessa pitäisi tehdä?
Hyvä paikka aloittaa on paikallinen tietoturvaviranomainen, Suomessa Kyberturvallisuuskeskus. Norjan vastaava taho Norwegian National Security Authority (NSM) on koostanut listan kymmenestä seikasta, joihin kannattaa tietoturvapalvelua valitessa kiinnittää erityistä huomiota. Nämä asiat kannattaa tarkistaa riippumatta siitä, mitä tietoturvaan liittyvää palvelua ollaan hankkimassa.

1. Onko tietoturvapalvelun tarjoajalla hallintajärjestelmä tietoturvaan liittyvän tiedon jakamiseksi sekä mahdollisesti kansainvälisten standardien mukainen sertifikaatti, kuten ISO / IEC 27001:2017
2. Antaako palveluntarjoaja tietoja tietoturva-arkkitehtuurista jolle palvelu perustuu
3. Tekeekö palveluntarjoaja aktiivista työtä tietoturvan kehittämiseksi myös tulevan teknologisen kehityksen ja tietoturvariskinäkymät huomioiden
4. Onko palveluntarjoajalla käsitys siitä kenellä tulisi olla pääsy yrityksen tietoihin, missä ja miten tietoja tulisi prosessoida ja miten yrityksen tiedot pidetään erillään muiden asiakkaiden tiedoista
5. Tarjoaako palveluntarjoaja sellaisia tietoturvaan liittyviä toiminnallisuuksia, jotka vastaavat yrityksen tarpeisiin
6. Tarjoaako palveluntarjoaja tietoturvamonitorointia poikkeavuuksien ja tietoturvahyökkäysten havainnoimiseksi
7. Onko palveluntarjoajalla vakiintuneita rutiineita tietoturvahyökkäysten käsittelemiseksi ja poikkeavuuksien raportoimiseksi
8. Onko palveluntarjoajalla yrityksen omien suunitelmien kanssa yhteensopiva suunnitelma kriisi- ja poikkeustilanteiden varalle
9. Onko palveluntarjoajalla käytössään prosessi alihankkijoiden ja näiden alihankkijoiden hyväksyttämiseksi
10. Onko palvelutarjoaja selkeästi määritellyt, mitä toimenpiteitä yhteistyösopimuksen päättyminen aiheuttaa, esim. yrityksen tietojen siirtämiseen / poistamiseen liittyen.

Yrityksille suurinta haastetta aiheuttaa yllä listattujen seikkojen arvioiminen tämän vaatiessa omanlaistaan asiantuntemusta. Kuka tahansa pystyy kuitenkin arvioimaan tapaa, jolla potentiaalinen palveluntarjoaja reagoi näitä seikkoja kartoittavaan kyselyyn. Jos vastaus tulee nopeasti ja se on sisällöltään selkeä, voidaan tästä päätellä tietoturvaan liittyvien perusasioiden olevan palveluntarjoajalla kunnossa. Välttelevä tai epäselvä vastaus puolestaan indikoi päinvastaista asioiden laitaa. Toki tällaisen tulkinnan tekeminen on hyvin yksinkertaistettua ja parhaimmillaankin antaa vain alustavaa osviittaa johtopäätösten vetämiseksi. Tämän vuoksi suosittelemme asiantuntevan tahon ottamista avuksi eri palveluntarjoajilta saatujen vastausten arvioimiseksi.

Kuinka valita oikea palveluntarjoaja useiden ehdokkaiden joukosta?
Yllä olevan kriteeristön lisäksi on tärkeää harkita millainen palveluntarjoaja on oikea juuri sinun yrityksellesi. Suosittelemme, että valitset toimijan jonka koko vastaa yrityksesi kokoa. Tämä takaa, että olet tärkeä ja vakavasti otettava asiakas palveluntarjoajan näkökulmasta ja että voit mahdollisesti vaikuttaa muutoksiin, jotka tekevät tietoturvapalvelusta vieläkin paremmin sopivan juuri sinun yrityksellesi. Jos yrityksesi toimii pienten ja keskisuurten yritysten segmentissä ei ole sanottua, että markkinoiden suurin ja tunnetuin toimija on valmis tai kykeneväinen toimimaan näin ja tekemään muutoksia palveluunsa sinun yrityksesi toiveiden perusteella.

Lopulta, ennen tietoturvapalveluvalinnan tekemistä, on kannattavaa pyytää pilotti- tai Proof of Concept -jaksoa. Tämän koejakson perusteella voidaan arvioida onko palveluntarjoaja sinulle oikea ja saatko tarjotulta palvelulta sen mitä odotat saavasi.