Nykypäivän digitaalisessa maailmassa olet päätöksentekijänä liiankin tietoinen tietoturvan merkityksestä. Tärkeä osa jokaista tietoturvakokonaisuutta on varautuminen yllättäviin tapahtumiin hyvällä jatkuvuussuunnittelulla ja varmuuskopioilla. Tätä teemaa edellyttävät EU:n NIS2-direktiivi ja sitä on käsitelty laajasti ISO 27001 -standardissa.
Haluamme tarjota opastusta ja purkaa mysteerejä tämän tietoturva-aiheen tiimoilta. Tämä artikkeli opastaa laatimaan NIS2:n edellyttämät menettelyt liiketoiminnan jatkuvuutta ja varmuuskopiointia varten hyödyntäen ISO 27001 -standardin parhaita käytäntöjä, jotka on jo testattu käytännössä.
Lyhyt johdatus toiminnan jatkuvuuteen ja varmuuskopiointiin
Mikä on jatkuvuussuunnitelma?
Jatkuvuussuunnittelu on prosessi, jossa kehitetään torjunta- ja toipumisjärjestelmiä, joilla varmistetaan, että keskeiset liiketoiminnan toiminnot pysyvät keskeytymättöminä tai jatkuvat nopeasti yllättävien tapahtumien jälkeen. Tehokas suunnitelma auttaa minimoimaan mahdollisten skenaarioiden, kuten sähkökatkosten, verkkohyökkäysten tai luonnonkatastrofien vaikutukset.
Tietoturvassa jatkuvuudella tarkoitetaan myös tietoturvan ylläpitämistä asianmukaisella tasolla häiriöiden tai muiden yllättävien tapahtumien aikana.
Mitä varmuuskopioinnilla tarkoitetaan?
Varmuuskopioinnilla tarkoitetaan toiminnan jatkuvuuden kannalta prosessia, jossa luodaan kopioita tiedoista, järjestelmistä ja ohjelmistoista ja säilytetään ne turvallisesti erillään ensisijaisesta toimipisteestä. Tavoitteena on varmistaa, että katastrofaalisten tapahtumien, tietomurtojen, toimintahäiriöiden tai järjestelmävikojen sattuessa yrityksesi pystyy palauttamaan järjestelmänsä nopeasti toimintaan, mikä vähentää merkittävästi käyttökatkoksia ja tällaisiin tapahtumiin liittyviä mahdollisia tappioita.
Jatkuvuussuunnitelma vs. varmuuskopiointi
NIS2-direktiivissä jatkuvuussuunnittelu ja varmuuskopiot on koottu samaan osioon. Tämä on loogista, koska molemmilla lähestymistavoilla on samanlainen tavoite - tehokas toipuminen yllättävistä tapahtumista. Monissa muissa vaatimuskehikoissa nämä aiheet nähdään kuitenkin erillisinä, sillä varmuuskopioinnissa keskitytään hyvin paljon tietoon ja tekniikkaan. Näiden kahden yhteyden ymmärtäminen on tärkeää riippumatta siitä, kuinka erillään ne toteutat omassa toiminnassasi.
Jatkuvuussuunnitelma 101
Tietoturvassa toiminnan jatkuvuuden suunnittelu ei tarkoita vain varmuuskopiointisuunnitelmaa järjestelmän romahtamisen tai kyberhyökkäyksen varalta. Kyse on ennakoivasta varmistamisesta, että prosessit ja järjestelmä ovat joustavia ja voivat toipua nopeasti kaikenlaisista häiriöistä.
Ymmärrä toimintasi jatkuvuutta koskevat vaatimukset
Toimintasi jatkuvuus riippuu monien erilaisten tekijöiden saatavuudesta: ihmiset, teknologia, yhteistyökumppanit, fyysiset toimipaikat, tiedot....
Jatkuvuussuunnittelun lähtökohtana on tietojenkäsittely-ympäristön eri osien jatkuvuusvaatimusten ymmärtäminen. Pärjäätkö 2 tuntia ilman tietojärjestelmää? Joillekin se on varmasti mahdollista, mutta toisille se voi olla hyvin haitallista.
Assetit ja muut keskeiset tietojenkäsittely-ympäristön osat olisi asetettava tärkeysjärjestykseen ennen jatkuvuussuunnitelmien laatimista, jotta voidaan varmistaa, että suunnittelet oikeita seikkoja varten.
Mitkä ovat esimerkkejä vaaratilanteista, joihin tulisi varautua?
Olisi syytä laatia jatkuvuussuunnitelma esimerkiksi tällaisten (jatkuvuutta uhkaavien) vaaratilanteiden varalta:
- Ulkoiset katastrofit: Rikollinen toiminta / terrori-iskut, pandemiat.
- Sisäiset tekniset katastrofit: Tietovuoto / tietomurto, tietokantahäiriö, muut verkkohyökkäykset.
- Sisäiset fyysiset katastrofit: Tulipalo laitoksessa, jossa on kriittisiä resursseja, avainhenkilö ei ole pitkään aikaan tavoitettavissa.
- Yhteistyökumppaneihin liittyvät katastrofit: Keskeisen kumppanin konkurssi, muun kumppanin palvelukatkos, keskeisen tietojärjestelmän pitkäaikainen katkos, sähkökatkos keskeisessä tietokeskuksessa.
Mitä jatkuvuussuunnitelman tulisi sisältää?
Jatkuvuussuunnitelmat ovat jatkuvuuden suunnittelun konkreettinen taso. Jatkuvuussuunnitelmiin tulisi sisältyä:
- Suunnitelman tavoitteet: BIA-analyysin (Business Impact Analysis) avulla voit vahvistaa tarvittavat reagointi- ja toipumisajat tunnistamalla häiriöiden vaikutukset niihin liittyviin liiketoiminnan toiminnallisuuksiin ja prosesseihin. Organisaatiosi tulisi asettaa tärkeysjärjestykseen keskeisimmät tai kriittisimmät liiketoiminnan toiminnot jatkuvuussuunnitelmissa.
- Vastuuhenkilöt ja kumppanit: Ketkä ovat vastuussa ja keitä tarvitaan suunnitelman toteuttamisessa.
- Välittömät vastatoimet: Suunnitelman on hahmotettava vaiheittain, mitä toimia tehdään välittömästi häiriötilanteen vaikutusten vähentämiseksi ja katastrofaalisimpien vahinkojen estämiseksi.
- Palauttamistoimet: Suunnitelmassa on esitettävä erityiset taktiikat kriittisten järjestelmien, resurssien ja prosessien palauttamiseksi. Nämä voivat edellyttää järjestelyjä, kuten sopimussuhteisia kolmannen osapuolen palveluntarjoajia, vaihtoehtoisia työmaita tai vaihtoehtoisia toimintatapoja.
- Testaus, harjoitukset ja koulutus: Simuloidut häiriötilanteet voivat testata yrityksesi valmiutta ja suunnitelman tehokkuutta. Tämän jälkeen olisi järjestettävä henkilöstölle asianmukaista koulutusta, jotta varmistetaan, että heillä on hyvät valmiudet reagoida häiriötilanteeseen.
Näin rakennat kriittisen osan yrityksesi sietokyvystä. Näiden elementtien sisällyttäminen varmistaa, että yrityksesi pystyy selviytymään häiriötilanteesta ja toipumaan siitä nopeasti.
Varmuuskopiointi 101
Tietotekniikan digitaalisessa maailmassa varmuuskopiot vastaavat turvaverkkoja. Ne ovat kopioita arvokkaista ja arkaluontoisista tiedoistasi, jotka on tallennettu turvallisesti eri paikkoihin ja jotka tarjoavat idioottivarman tavan palauttaa tiedot, jos ne katoavat tai vaarantuvat. Varmuuskopiot ovat ehdottoman tärkeitä liiketoiminnan jatkuvuussuunnitelmassa, sillä ne varmistavat, että yllättävien tapahtumien sattuessa liiketoiminnan keskeytysaika minimoituu huomattavasti ja että toimintaa voidaan jatkaa nopeasti ilman merkittäviä tietojen menetyksiä.
Mitkä ovat jokaisen varmuuskopiointiprosessin avainkysymykset?
Varmistaaksesi, että varmuuskopiointiprosessisi ovat oikeassa suhteessa, sinun tulisi miettiä useita keskeisiä näkökohtia. Varmista, että voit vastata seuraaviin kysymyksiin:
- Mitä tietoja on varmuuskopioitava? Vastaus riippuu pitkälti yrityksestäsi, mutta nyrkkisääntönä voidaan pitää, että kaikki toiminnan palauttamiseen tarvittavat tiedot on varmuuskopioitava.
- Missä varmuuskopiot säilytetään? Hyvä käytäntö on säilyttää varmuuskopiot erillään ensisijaisista tiedoista. Tämä voi olla muualla kuin toimipisteessä tai mahdollisesti pilvipohjaisessa tallennusjärjestelmässä. Muista, että valitun sijainnin on oltava asiaankuuluvien tietojen säilytysvaatimusten ja asiakkaille antamiesi lupauksien mukainen.
- Kuinka usein varmuuskopioita pitäisi tehdä? Varmuuskopiointitiheyttä ohjaa se, kuinka usein tiedot muuttuvat ja kuinka suuri on tietojen katoamisriski. Jos tietoja ei voida menettää, sinun on mietittävä tietokannan reaaliaikaista replikointia. Joissakin tapauksissa esimerkiksi viikoittaiset varmuuskopiot voivat riittää.
- Kuinka kauan varmuuskopioita olisi säilytettävä? Erityisesti henkilötietoja ei pitäisi säilyttää ilman asianmukaista syytä. Mikä on realistinen aikataulu varmuuskopioiden tarpeelle?
- Kuka vastaa varmuuskopioiden hallinnoinnista? On määriteltävä selkeät vastuualueet, joissa määritellään, kuka vastaa varmuuskopioiden määrittämisestä, valvonnasta ja palauttamisesta tarvittaessa. Tämä voi olla oma tiimi tai yksittäinen henkilö, riippuen yrityksesi koosta ja monimutkaisuudesta.
- Miten varmuuskopiointia testataan? Varmuuskopioiden säännöllinen testaaminen on ratkaisevan tärkeää, jotta voidaan varmistaa, että ne voidaan palauttaa onnistuneesti, kun niitä tarvitaan. On oltava suunnitelma siitä, miten ja milloin nämä testit tehdään.
Yleiset haasteet jatkuvuussuunnitelman ja varmuuskopioinnin toteutuksessa
Tässä muutamia ongelmia, joita voit pyrkiä välttämään jatkuvuussuunnittelun ja varmuuskopioinnin yhteydessä.
Johdon osallistumisen ja tuen puute: Sinun tulisi tehdä parhaasi tietoisuuden lisäämiseksi jatkuvuussuunnittelun hyödyistä ja kannustaa yhteistyöhön, jotta yllättävät tapahtumat voidaan tunnistaa kaikista näkökulmista.
Rajalliset resurssit (aika, budjetti, henkilöstö) ja tiimityö: Kun ymmärrät, millaisia katastrofeja jatkuvuussuunnittelulla on pyritty hallitsemaan, alat ymmärtää sen merkityksen. Määrittele erillisesti riittävät resurssit ja työhön tarvittavat henkilöt - ylimmän johdon tukemana.
IT-infrastruktuurin monimutkaisuuden tuntu: Monimutkainen ympäristö voi saada aikaan tunteen, että esimerkiksi varmuuskopiointiprosesseja on vaikea hallita. Mutta kun etenet askel askeleelta - ensin dokumentoit varmuuskopiointiprosessit, sitten luokittelet tietojärjestelmien varmuuskopioinnin vastuualueet, etenet tasaisesti ja ennen pitkää aihe ei tunnu enää niin monimutkaiselta.
Jatkuvuussuunnitelmien riittämätön testaus ja ylläpito: Suunnitelma ei ole erityisen tehokas, jos se pannaan täytäntöön ensimmäistä kertaa vasta tositilanteessa. Kaikissa tietoturvan vaatimuskehikossa mainitaan jatkuvuussuunnitelmien ja varmuuskopioiden palauttamisen säännöllinen harjoittaminen, jotta toteutus stressaavassa tosielämän tilanteessa onnistuisi.
ISO 27001: Jatkuvuussuunnittelun parhaat käytännöt toteutukseen
ISO 27001 -standardissa käsitellään jatkuvuutta useissa hallintakeinoissa, jotka liittyvät muun muassa tietojen suojaamiseen häiriötilanteiden aikana, organisaatioiden tieto- ja viestintätekniikan jatkuvuusvalmiuteen ja tietojenkäsittelytilojen redundanssiin.
On olemassa myös toinen ISO-standardi, ISO 22301, joka on omistettu yksinomaan liiketoiminnan jatkuvuuden hallinnalle. Tämä standardi tukee häiriöihin varautumista, niihin reagoimista ja niistä toipumista tarjoamalla kattavamman vaatimuskehikon jatkuvuussuunnittelulle. Jos pidät tätä tietoturvaohjelmasi keskeisenä osa-alueena, kannattaa tutustua myös tähän standardiin.
5.29: Tietoturvallisuus häiriötilanteessa
Tässä hallintakohdassa korostetaan tarvetta laatia jatkuvuussuunnitelmia, joilla varmistetaan, että tietoturva pysyy asianmukaisella tasolla myös häiriöiden aikana, ja joilla pyritään turvaamaan tiedot ja niihin liittyvät assetit haastavissa olosuhteissa.
Näillä jatkuvuussuunnitelmilla olisi oltava selkeät omistajat, ja niitä olisi testattava ja tarkistettava säännöllisesti, jotta kriittisten liiketoimintaprosessien tietoturva voidaan ylläpitää tai palauttaa häiriön jälkeen.
5.30: Tieto- ja viestintätekniikan valmius liiketoiminnan jatkuvuussuunnittelussa
Tässä hallintakeinossa korostetaan varmistamaan, että organisaation tieto- ja viestintätekninen (ICT) valmius on riittävän korkea, jotta se pystyy vastaamaan liiketoiminnan jatkuvuustavoitteita ja ICT:n jatkuvuusvaatimuksia. Tämä tarkoittaa periaatteessa sitä, että esimerkiksi kriittisten toimintojen kannalta välttämättömät tietojärjestelmät on pystyttävä palauttamaan samassa ajassa kuin mitä pääprosessissa edellytetään.
Organisaation on määriteltävä, mihin palautumisaikoihin ja -pisteisiin eri ICT-palvelujen on pystyttävä, ottaen huomioon asiaan liittyvien prosessien osalta määritellyt toipumistavoitteet, ja varmistettava, että ne pystytään saavuttamaan. Edelliseen hallintakeinoon liittyen erityisesti ICT-palveluihin liittyvät jatkuvuussuunnitelmat olisi laadittava ja hyväksyttävä, ja niitä olisi testattava säännöllisesti.
8.6: Kapasiteetinhallinta
Organisaatioiden on seurattava tieto- ja viestintätekniikan ja muiden keskeisten resurssien käyttöä. Tämä auttaa varmistamaan, että niillä on riittävästi tietoteknisiä välineitä, henkilöstöresursseja, toimistoja ja muita tiloja, kun otetaan huomioon kyseisten järjestelmien ja prosessien kriittisyys liiketoiminnalle. On hyödyllistä, että käytössä on varhainen havaitsemis- ja hälytysjärjestelmä, jotta ongelmakohdat voidaan havaita ja jotta tulevaa kapasiteettia koskevat ennusteet voidaan sovittaa yhteen esimerkiksi liiketoiminnan kasvun ja teknologian kehityssuuntausten kanssa.
8.14: Tietojenkäsittelypalvelujen vikasietoisuus
Tässä hallintakeinossa korostetaan tarvetta varajärjestelmiin keskeisten tiedonkäsittelyresurssien varalle, jotta varmistetaan järjestelmän käytettävyys ja toimintojen jatkuvuus. Organisaation olisi suunniteltava ja otettava käyttöön menettelyjä ylimääräisten komponenttien ja tilojen käyttämiseksi. Menettelyissä olisi määriteltävä, ovatko ylimääräiset osat aina aktiivisia vai aktivoidaanko ne automaattisesti tai manuaalisesti hätätilanteissa. On tärkeää, että ylimääräisillä osilla ja tiloilla on sama turvallisuustaso kuin pääasiallisilla.
ISO 27001: Varmuuskopioinnin parhaat käytännöt toteutukseen
ISO 27001 -standardi käsittelee varmuuskopiointia lähinnä yhdessä hallintakohdassa 8.13. Tässä kohdassa edellytetään varmuuskopioiden säännöllistä ylläpitoa ja testausta, mutta sen soveltamisohjeissa annetaan myös monia tärkeitä vinkkejä, jotka liittyvät esimerkiksi varmuuskopiointia koskevien liiketoiminnallisten vaatimusten ymmärtämiseen, varmuuskopioiden säilytyspaikkoihin, varmuuskopioiden asianmukaiseen suojaukseen ja salaukseen.
8.13: Tietojen varmuuskopiointi
Organisaation olisi varmistettava, että tietojen, ohjelmistojen ja järjestelmien varmuuskopioita ylläpidetään ja testataan säännöllisesti varmuuskopiointia koskevan vakiintuneen politiikan mukaisesti. Tämä käytäntö on tärkeä, jotta tiedot tai järjestelmät voidaan palauttaa tietojen katoamisen yhteydessä.
Nykyiset varmuuskopiointiprosessit tulisi kartoittaa ja varmistaa, että sinulla on oikeasuhtaiset vastaukset keskeisiin kysymyksiin: Mitä tietoja varmuuskopioidaan? Missä varmuuskopiot säilytetään? Kuinka usein varmuuskopiot tehdään? Kuinka kauan varmuuskopioita tulisi säilyttää? Kuka vastaa varmuuskopioinnista?
Kun olet tyytyväinen varmuuskopiointiprosessin kuvauksiin, vaikein osa on ohi. Sen jälkeen sinun on vain huolehdittava siitä, että varmuuskopiot toimivat, tarkistettava niiden kattavuus ja testattava palautus säännöllisesti.
8.24: Salauksen käyttö
Tämä valvonta koskee lähinnä turvallista konfigurointia yleisesti, mutta varmuuskopiointiin liittyvien selkeiden salaus- ja avainhallintasääntöjen laatiminen ja noudattaminen on tärkeä osa vahvaa varmuuskopiointistrategiaa.
5.23: Pilvipalvelujen tietoturvallisuus
Kun organisaatio käyttää pilvipalvelua, sen on varmistettava turvallisuuteen liittyvien vastuiden selkeä jako. Tietojen varmuuskopiointi voi usein olla palveluntarjoajan vastuulla, mutta esimerkiksi valittu suunnitelma ja hosting-tyyppi voivat vaikuttaa varmuuskopioinnin yksityiskohtiin. Varmista, että olet hyvin tietoinen tärkeiden järjestelmien varmuuskopioiden kattavuudesta.
Johtopäätöksenä
Jotta voit noudattaa NIS2-vaatimuksia toiminnan jatkuvuuden ja varmuuskopioinnin osalta, sinulla on oltava suhteutetut, selkeästi dokumentoidut ja toteutetut toimenpiteet näitä tietoturva-aiheita varten. Kun mukautat toimesi ISO 27001 -standardin parhaiden käytäntöjen mukaisesti, voit olla varma, että olet toteuttanut aiheen asianmukaisesti ja parannat samalla yleistä kestävyyttä ja valmiutta.
Muista, että jatkuvuussuunnittelu ei ole pelkkää listan ruksimista. Kyse on vahvan rakenteen luomisesta, joka kykenee kestämään vaaratilanteet ja varmistamaan toiminnan sujuvuuden. Asioita voi mennä pieleen; tärkeintä on, että sinulla on hyvin harkittu strategia, jonka avulla toipuminen ja jatkaminen on mahdollista. Ja vaikka varmuuskopiotekniikat ovatkin moninaisia ja monimutkaisia, ensisijainen näkökohta olisi oltava luotettava ja turvallinen järjestelmä, joka varmistaa, että tärkeät tiedot ovat saatavilla myös kriittisinä aikoina.
Jatkuvuussuunnittelu ja varmuuskopiointi ovat siis pohjimmiltaan toimenpiteitä, joilla ehkäistään ja hallitaan kaikkein kauheimpia toimintaasi koskevia katastrofeja! Tästä näkökulmasta voisi hyvinkin väittää, että ne ovat yksi keskeisimmistä osa-alueista kaikissa joustavissa tietoturvamenetelmissä.