•3.2.2010

•1

Jari PirhonenTurvallisuusjohtaja

Samlink

Tietoturvallisuuden

mittaaminen

Aalto-yliopiston teknillinen korkeakoulu

Koulutuskeskus Dipoli

6. Tietoturvallisuuden koulutusohjelma

3.2.2010

Mittaamme, koska

• Haluamme varmistaa tietoturvatasomme riittävyyden

• Haluamme tunnistaa ja hallita riskit

• Haluamme osoittaa täyttävämme meille asetetut vaatimukset

• Haluamme tietää oman tietoturvatasomme verrattuna muihin vastaaviin organisaatioihin

• Haluamme tietää valittujen tietoturvakontrollien tehokkuuden

• Haluamme osoittaa tietoturvallisuustoimenpiteiden hyödyt

• Haluamme parantaa organisaation tietoturvatietoisuutta

•3.2.2010

•2

Määritelmiä

Tietoturvamittari kertoo tietoturvatason suhteessa valittuun tarkistuspisteeseen ja ohjaa tietoturvaa parantavien toimenpiteiden valinnassa. (W. Krag Brotby, Information Security Management Metrics)

Tietoturvamittari on objektiivinen, määriteltävissä oleva, valittuun kohteeseen liittyvä suure, joka mahdollistaa organisaatiolle tietoturvallisuuden tehokkuuden arvioimisen. (Information Security Forum)

Tietoturvan mittaaminen on tietoturvanhallinta-järjestelmän ja kontrollien tehokkuudesta tietoa antava prosessi, käyttäen valittua metodia, laskentaa, analyyttista mallia ja päätöskriteeriä. (ISO/IEC 27004)

Mitä mittaat?

• Sitä mistä tietoa helposti saat?

• Henkilökohtaisten tai tiimisi tavoitteiden toteutumista?

• Tietoturvaratkaisujen toimivuutta?

• Tietoturvavaatimusten toteutumista?

• Tietoturvatietoisuutta?

• Riskitasoa?

• Kustannuksia?

• Poikkeamia?

• Tietoturvakypsyyttä?

• Tietoturvan tuottoa?

• Tietoturvastrategian toteutumista?

•3.2.2010

•3

Miten mittaat?

• Itsearvioinnilla?

• Ulkoisella arvioinnilla?

• Vertailemalla muihin organisaatioihin (benchmarking)?

• Tarkkailemalla laatua?

• Laskemalla lukumääriä, tapahtumatiheyttä, kestoa?

• Laskemalla kustannuksia?

Mittareiden suunnittelu

• Tekniikka

• Prosessi

• Järjestelmä

• Organisaatio

• Tilanne

• Vertailu

• Ennuste

• Asiantuntija

• Johto

• Viran-omainen

X X

MITÄ MIKSI KENELLE

objektiivinen vs. subjektiivinen

laadullinen vs. määrällinen

staattinen vs. dynaaminen

absoluuttinen vs. suhteellinen

suora vs. epäsuora

•3.2.2010

•4

Hyvällä mittarilla on helppo M.I.T.A.T.A.

• Mitattava ���� hyvälaatuista dataa on riittävästi saatavilla

• Iteroitava ���� mittaus on toistettavissa

• Toteutettavissa ���� mittaustulokset ovat saavutettavissa

• Ainutlaatuinen ���� mittari kohdistuu oikein

• Toimenpidekelpoinen ���� mittari ohjaa tekemiseen

• Ajankohtainen ���� data on aina tarvittaessa saatavilla

• S.M.A.R.T – A.

• Specific – Measurable – Attainable – Repeatable – Timely - Actionable

Mittarin kuvaus• Mittarin nimi ja kuvaus

• Mittauksen kohde

• Mittaamisen tavoitteet

• Tietolähteet ja keräystapa

• Mittaustapa ja tulosten laskentatapa

• Mittausajankohdat ja -taajuus

• Vastuut

• Tulosten esitystapa ja raportointi

• Normaalin tulosalueen, hyvän tuloksen ja hälytysrajan määrittely

•3.2.2010

•5

EsimerkkejäRiskien hallinta # tietoturvariskit

Turvallisuuspolitiikka poikkeamat

Organisointi % tietoturvahenkilöstön osuus

Suojattavat kohteet % luokitellut kohteet

Henkilöstöturvallisuus # tietoturvakoulutukset

Fyysinen turvallisuus # kulkuoikeudet

Tietoliikenne ja käyttötoiminnot # palomuurin sääntömuutokset

Pääsyoikeudet % vanhentuneet tunnukset

Tietojärjestelmät % haavoittuvat järjestelmät

Tietoturvapoikkeamat # poikkeamat

Liiketoiminnan jatkuvuus % testatut jatkuvuussuunnitelmat

Vaatimustenmukaisuus # puutteet

•3.2.2010

•6

Hyvän mittaamisen ominaisuudet• Mittauksen kohde ja sen tärkeys

• Kuvaa ilmiön, jota halutaan mitata. Mittaamisen tarkoitus on oltava selkeä, jotta mittarin hyvyyttä tai huonoutta voidaan arvioida kriittisesti. Mittauksesta on oltava hyötyä.

• Mittarin validiteetti• Mittarin on kuvattava mahdollisimman hyvin mitattavaa ilmiötä.

• Mittauksen luotettavuus• Samasta aineistosta suoritetut mittaukset antavat eri mittauskerroilla ja eri mittaajien suorittamana samat tulokset. Satunnaiset tekijät eivät vaikuta tulokseen.

• Mittauksen ymmärrettävyys• Mittausprosessin on oltava mahdollisimman yksinkertainen ja ymmärrettävissä oleva.

• Mittauksen edullisuus• Mittauksen hyötyjen on oltava kustannuksia suuremmat.

Mittaamisen suunnittelu• Valitse mitattavat kohteet

• Mittarin perusteella on pystyttävä tekemään päätöksiä ja aloittamaan toimenpiteitä

• Valitse mittaustavat• Kuka, miten, missä? Onko data saatavilla ja luotettavaa?

• Valitse raportointitavat• Yritysjohto vs. tietoturvajohto vs. asiantuntija

• Implementoi raportointijärjestelmä• Teoria vs. käytäntö

• Oltava muutettavissa: organisaatiomuutokset, riskimuutokset,…

• Päätä tavoitteet ja KPI:t• Sitä saat, mitä mittaat

• Johdon tavoitteet voivat poiketa omistasi…

Lähde: 7 myths about security metricshttp://www.noticebored.com/html/metrics.html

•3.2.2010

•7

ISO/IEC 27004:2009

Mittaamisen strategiset tasot

Strategia

Esim. budjetti

Prosessit ja järjestelmäkehitys

Esim. projekti-katselmoinnit,

riskiarviot, testaus,…

Tietoturvan operointiEsim. haavoittuvuuksien ja

korjauksien hallinta, poikkeamien havainnointi,…

• Tietoturvan osuus IT-budjetista• Kustannukset per työntekijä •Toimialavertailu• Käytössä olevat standardit

• tietoturva-auditoinnit• hyväksytyt riskit• havaitut virheet

• poikkeamien lkm• korjaamattomat haavoittuvuudet• haittaohjelma-havainnot• tietoturvakoulutus

•3.2.2010

•8

Mittaamisen kypsyystasot

1. Mukavuustaso ���� Näyttävätkö tietoturvatoimet hyvältä?

2. Tietotaso ���� Lisäävätkö tietoturvamittarit ymmärrystä tietoturvan tasosta ja ratkaisujen toimivuudesta?

3. Kehitysohjelmataso ���� Voidaanko tietoturvamittareiden perusteella käynnistää tietoturvaa parantavia toimenpiteitä?

4. Strategiataso ���� Optimoiko tietoturvamittareiden käyttö organisaation tietoturvallisuutta? Kohdennetaanko tietoturvatoimenpiteet oikein?

Lähde: Aberdeen Group

Pieni

Pieni

Suuri

Suuri

HYÖTY

TEHO

Data Informaatio Viisaus ja toimintaTietämys

Automaattinentiedonkeräys

Automaattinentiedon koonti

Automaattinentiedon analysointi

Tiedon merkitys ja priorisointi

Toimintaaohjaavaa tietoaoikeille tahoille

Monitorointi

Analysointi

Hallinta

Tiedosta toimintaan

•3.2.2010

•9

Lokitietojen hyödyntäminen

Hallinta, hälytys

Esitys, raportointi

Kaavamaisuuden löytäminen, priorisointi

Tapahtumien korrelointi

Tapahtumien koonti

Tiedon normalisointi ja vähentäminen

Tiedon suodatus

Tiedon keräys

TOIMINTA

TIETÄMYS

INFORMAATIO

DATA

Hallintakonsoli, reagointi, eskalointi

Tapahtumien näyttö, raportointi, trendit, suorituskyky

Priorisointi, yhdistäminen, mallinnus

Lokien tiivistys, duplikaattien poisto

Syslog, SNMP,…

SIEM – tuotteetSecurity Information and Event Management

•3.2.2010

•10

Raportointitapoja

Havaintoja mittareista• Tietoturvamittareille ei ole selkeää ja yleisesti hyväksyttyä määritelmää

• Yleisimmät syyt tietoturvan mittaamiseen: vaatimustenmukaisuuden ja tietoturvallisuuden hyödyn osoittaminen

• Yleisimmin käytetyt mittarit liittyvät: haittaohjelmiin, tietoturvakorjauksiin, tietoturvariskeihin, ulkoisiin tietoturvavaatimuksiin, tarkastustuloksiin ja kustannuksiin

• Kohdejoukko ja esitystavat vaihtelevat suuresti

• Tekniset mittarit yleisimpiä

• Tietoturvamittarit eivät yleensä tue organisaation tavoitteita ja liiketoimintaa eivätkä usein edes tietoturvatoimintoa

Lähde: ISF Business and Security Measures Project

•3.2.2010

•11

Strategisia mittareita• KGI, Key Goal Indicator

• Kuvaa halutun tavoitetason

• KPI, Key Performance Indicator• Tapa mitata ja raportoida suhteessa asetettuihin (tietoturva)tavoitteisiin, suorituskyky

• Yleensä liittyvät tietoturvan hallintaan, tietoturvariskien hallintaan tai vaatimustenmukaisuuteen

• KRI, Key Risk Indicator• Mittaa aktiviteettien riskitasoa

• Auttaa potentiaalisten ongelmien ennakoinnissa

• KCI, Key Compliance Indicator• Mittaa tietoturvavaatimusten toteutumista

• BSC, Balanced Score Card• Näkökulmat: Talous, Asiakkaat, Oppiminen, Prosessit

Taloudellisia mittareita• ROI, ROSI, Return On (Security) Investment

• Tietoturvaratkaisun taloudellinen hyöty

• TCO, Total Cost of Ownership• Tietoturvaratkaisun kokonaiskustannukset

• ALE, Annual Loss Expectancy• Vuositason vahinko-odotukset

• ALE = yksittäisen vahingon kustannukset x vuotuinen esiintymistiheys