Nykypäivän digitaalisessa maailmassa olet päätöksentekijänä liiankin tietoinen tietoturvan merkityksestä. Tärkeä osa jokaista tietoturvakokonaisuutta on varautuminen yllättäviin tapahtumiin hyvällä jatkuvuussuunnittelulla ja varmuuskopioilla. Tätä teemaa edellyttävät EU:n NIS2-direktiivi ja sitä on käsitelty laajasti ISO 27001 -standardissa.
Haluamme tarjota opastusta ja purkaa mysteerejä tämän tietoturva-aiheen tiimoilta. Tämä artikkeli opastaa laatimaan NIS2:n edellyttämät menettelyt liiketoiminnan jatkuvuutta ja varmuuskopiointia varten hyödyntäen ISO 27001 -standardin parhaita käytäntöjä, jotka on jo testattu käytännössä.
Jatkuvuussuunnittelu on prosessi, jossa kehitetään torjunta- ja toipumisjärjestelmiä, joilla varmistetaan, että keskeiset liiketoiminnan toiminnot pysyvät keskeytymättöminä tai jatkuvat nopeasti yllättävien tapahtumien jälkeen. Tehokas suunnitelma auttaa minimoimaan mahdollisten skenaarioiden, kuten sähkökatkosten, verkkohyökkäysten tai luonnonkatastrofien vaikutukset.
Tietoturvassa jatkuvuudella tarkoitetaan myös tietoturvan ylläpitämistä asianmukaisella tasolla häiriöiden tai muiden yllättävien tapahtumien aikana.
Varmuuskopioinnilla tarkoitetaan toiminnan jatkuvuuden kannalta prosessia, jossa luodaan kopioita tiedoista, järjestelmistä ja ohjelmistoista ja säilytetään ne turvallisesti erillään ensisijaisesta toimipisteestä. Tavoitteena on varmistaa, että katastrofaalisten tapahtumien, tietomurtojen, toimintahäiriöiden tai järjestelmävikojen sattuessa yrityksesi pystyy palauttamaan järjestelmänsä nopeasti toimintaan, mikä vähentää merkittävästi käyttökatkoksia ja tällaisiin tapahtumiin liittyviä mahdollisia tappioita.
NIS2-direktiivissä jatkuvuussuunnittelu ja varmuuskopiot on koottu samaan osioon. Tämä on loogista, koska molemmilla lähestymistavoilla on samanlainen tavoite - tehokas toipuminen yllättävistä tapahtumista. Monissa muissa vaatimuskehikoissa nämä aiheet nähdään kuitenkin erillisinä, sillä varmuuskopioinnissa keskitytään hyvin paljon tietoon ja tekniikkaan. Näiden kahden yhteyden ymmärtäminen on tärkeää riippumatta siitä, kuinka erillään ne toteutat omassa toiminnassasi.
Tietoturvassa toiminnan jatkuvuuden suunnittelu ei tarkoita vain varmuuskopiointisuunnitelmaa järjestelmän romahtamisen tai kyberhyökkäyksen varalta. Kyse on ennakoivasta varmistamisesta, että prosessit ja järjestelmä ovat joustavia ja voivat toipua nopeasti kaikenlaisista häiriöistä.
Toimintasi jatkuvuus riippuu monien erilaisten tekijöiden saatavuudesta: ihmiset, teknologia, yhteistyökumppanit, fyysiset toimipaikat, tiedot....
Jatkuvuussuunnittelun lähtökohtana on tietojenkäsittely-ympäristön eri osien jatkuvuusvaatimusten ymmärtäminen. Pärjäätkö 2 tuntia ilman tietojärjestelmää? Joillekin se on varmasti mahdollista, mutta toisille se voi olla hyvin haitallista.
Assetit ja muut keskeiset tietojenkäsittely-ympäristön osat olisi asetettava tärkeysjärjestykseen ennen jatkuvuussuunnitelmien laatimista, jotta voidaan varmistaa, että suunnittelet oikeita seikkoja varten.
Olisi syytä laatia jatkuvuussuunnitelma esimerkiksi tällaisten (jatkuvuutta uhkaavien) vaaratilanteiden varalta:
Jatkuvuussuunnitelmat ovat jatkuvuuden suunnittelun konkreettinen taso. Jatkuvuussuunnitelmiin tulisi sisältyä:
Näin rakennat kriittisen osan yrityksesi sietokyvystä. Näiden elementtien sisällyttäminen varmistaa, että yrityksesi pystyy selviytymään häiriötilanteesta ja toipumaan siitä nopeasti.
Tietotekniikan digitaalisessa maailmassa varmuuskopiot vastaavat turvaverkkoja. Ne ovat kopioita arvokkaista ja arkaluontoisista tiedoistasi, jotka on tallennettu turvallisesti eri paikkoihin ja jotka tarjoavat idioottivarman tavan palauttaa tiedot, jos ne katoavat tai vaarantuvat. Varmuuskopiot ovat ehdottoman tärkeitä liiketoiminnan jatkuvuussuunnitelmassa, sillä ne varmistavat, että yllättävien tapahtumien sattuessa liiketoiminnan keskeytysaika minimoituu huomattavasti ja että toimintaa voidaan jatkaa nopeasti ilman merkittäviä tietojen menetyksiä.
Varmistaaksesi, että varmuuskopiointiprosessisi ovat oikeassa suhteessa, sinun tulisi miettiä useita keskeisiä näkökohtia. Varmista, että voit vastata seuraaviin kysymyksiin:
Tässä muutamia ongelmia, joita voit pyrkiä välttämään jatkuvuussuunnittelun ja varmuuskopioinnin yhteydessä.
Johdon osallistumisen ja tuen puute: Sinun tulisi tehdä parhaasi tietoisuuden lisäämiseksi jatkuvuussuunnittelun hyödyistä ja kannustaa yhteistyöhön, jotta yllättävät tapahtumat voidaan tunnistaa kaikista näkökulmista.
Rajalliset resurssit (aika, budjetti, henkilöstö) ja tiimityö: Kun ymmärrät, millaisia katastrofeja jatkuvuussuunnittelulla on pyritty hallitsemaan, alat ymmärtää sen merkityksen. Määrittele erillisesti riittävät resurssit ja työhön tarvittavat henkilöt - ylimmän johdon tukemana.
IT-infrastruktuurin monimutkaisuuden tuntu: Monimutkainen ympäristö voi saada aikaan tunteen, että esimerkiksi varmuuskopiointiprosesseja on vaikea hallita. Mutta kun etenet askel askeleelta - ensin dokumentoit varmuuskopiointiprosessit, sitten luokittelet tietojärjestelmien varmuuskopioinnin vastuualueet, etenet tasaisesti ja ennen pitkää aihe ei tunnu enää niin monimutkaiselta.
Jatkuvuussuunnitelmien riittämätön testaus ja ylläpito: Suunnitelma ei ole erityisen tehokas, jos se pannaan täytäntöön ensimmäistä kertaa vasta tositilanteessa. Kaikissa tietoturvan vaatimuskehikossa mainitaan jatkuvuussuunnitelmien ja varmuuskopioiden palauttamisen säännöllinen harjoittaminen, jotta toteutus stressaavassa tosielämän tilanteessa onnistuisi.
ISO 27001 -standardissa käsitellään jatkuvuutta useissa hallintakeinoissa, jotka liittyvät muun muassa tietojen suojaamiseen häiriötilanteiden aikana, organisaatioiden tieto- ja viestintätekniikan jatkuvuusvalmiuteen ja tietojenkäsittelytilojen redundanssiin.
On olemassa myös toinen ISO-standardi, ISO 22301, joka on omistettu yksinomaan liiketoiminnan jatkuvuuden hallinnalle. Tämä standardi tukee häiriöihin varautumista, niihin reagoimista ja niistä toipumista tarjoamalla kattavamman vaatimuskehikon jatkuvuussuunnittelulle. Jos pidät tätä tietoturvaohjelmasi keskeisenä osa-alueena, kannattaa tutustua myös tähän standardiin.
Tässä hallintakohdassa korostetaan tarvetta laatia jatkuvuussuunnitelmia, joilla varmistetaan, että tietoturva pysyy asianmukaisella tasolla myös häiriöiden aikana, ja joilla pyritään turvaamaan tiedot ja niihin liittyvät assetit haastavissa olosuhteissa.
Näillä jatkuvuussuunnitelmilla olisi oltava selkeät omistajat, ja niitä olisi testattava ja tarkistettava säännöllisesti, jotta kriittisten liiketoimintaprosessien tietoturva voidaan ylläpitää tai palauttaa häiriön jälkeen.
Tässä hallintakeinossa korostetaan varmistamaan, että organisaation tieto- ja viestintätekninen (ICT) valmius on riittävän korkea, jotta se pystyy vastaamaan liiketoiminnan jatkuvuustavoitteita ja ICT:n jatkuvuusvaatimuksia. Tämä tarkoittaa periaatteessa sitä, että esimerkiksi kriittisten toimintojen kannalta välttämättömät tietojärjestelmät on pystyttävä palauttamaan samassa ajassa kuin mitä pääprosessissa edellytetään.
Organisaation on määriteltävä, mihin palautumisaikoihin ja -pisteisiin eri ICT-palvelujen on pystyttävä, ottaen huomioon asiaan liittyvien prosessien osalta määritellyt toipumistavoitteet, ja varmistettava, että ne pystytään saavuttamaan. Edelliseen hallintakeinoon liittyen erityisesti ICT-palveluihin liittyvät jatkuvuussuunnitelmat olisi laadittava ja hyväksyttävä, ja niitä olisi testattava säännöllisesti.
Organisaatioiden on seurattava tieto- ja viestintätekniikan ja muiden keskeisten resurssien käyttöä. Tämä auttaa varmistamaan, että niillä on riittävästi tietoteknisiä välineitä, henkilöstöresursseja, toimistoja ja muita tiloja, kun otetaan huomioon kyseisten järjestelmien ja prosessien kriittisyys liiketoiminnalle. On hyödyllistä, että käytössä on varhainen havaitsemis- ja hälytysjärjestelmä, jotta ongelmakohdat voidaan havaita ja jotta tulevaa kapasiteettia koskevat ennusteet voidaan sovittaa yhteen esimerkiksi liiketoiminnan kasvun ja teknologian kehityssuuntausten kanssa.
Tässä hallintakeinossa korostetaan tarvetta varajärjestelmiin keskeisten tiedonkäsittelyresurssien varalle, jotta varmistetaan järjestelmän käytettävyys ja toimintojen jatkuvuus. Organisaation olisi suunniteltava ja otettava käyttöön menettelyjä ylimääräisten komponenttien ja tilojen käyttämiseksi. Menettelyissä olisi määriteltävä, ovatko ylimääräiset osat aina aktiivisia vai aktivoidaanko ne automaattisesti tai manuaalisesti hätätilanteissa. On tärkeää, että ylimääräisillä osilla ja tiloilla on sama turvallisuustaso kuin pääasiallisilla.
ISO 27001 -standardi käsittelee varmuuskopiointia lähinnä yhdessä hallintakohdassa 8.13. Tässä kohdassa edellytetään varmuuskopioiden säännöllistä ylläpitoa ja testausta, mutta sen soveltamisohjeissa annetaan myös monia tärkeitä vinkkejä, jotka liittyvät esimerkiksi varmuuskopiointia koskevien liiketoiminnallisten vaatimusten ymmärtämiseen, varmuuskopioiden säilytyspaikkoihin, varmuuskopioiden asianmukaiseen suojaukseen ja salaukseen.
Organisaation olisi varmistettava, että tietojen, ohjelmistojen ja järjestelmien varmuuskopioita ylläpidetään ja testataan säännöllisesti varmuuskopiointia koskevan vakiintuneen politiikan mukaisesti. Tämä käytäntö on tärkeä, jotta tiedot tai järjestelmät voidaan palauttaa tietojen katoamisen yhteydessä.
Nykyiset varmuuskopiointiprosessit tulisi kartoittaa ja varmistaa, että sinulla on oikeasuhtaiset vastaukset keskeisiin kysymyksiin: Mitä tietoja varmuuskopioidaan? Missä varmuuskopiot säilytetään? Kuinka usein varmuuskopiot tehdään? Kuinka kauan varmuuskopioita tulisi säilyttää? Kuka vastaa varmuuskopioinnista?
Kun olet tyytyväinen varmuuskopiointiprosessin kuvauksiin, vaikein osa on ohi. Sen jälkeen sinun on vain huolehdittava siitä, että varmuuskopiot toimivat, tarkistettava niiden kattavuus ja testattava palautus säännöllisesti.
Tämä valvonta koskee lähinnä turvallista konfigurointia yleisesti, mutta varmuuskopiointiin liittyvien selkeiden salaus- ja avainhallintasääntöjen laatiminen ja noudattaminen on tärkeä osa vahvaa varmuuskopiointistrategiaa.
Kun organisaatio käyttää pilvipalvelua, sen on varmistettava turvallisuuteen liittyvien vastuiden selkeä jako. Tietojen varmuuskopiointi voi usein olla palveluntarjoajan vastuulla, mutta esimerkiksi valittu suunnitelma ja hosting-tyyppi voivat vaikuttaa varmuuskopioinnin yksityiskohtiin. Varmista, että olet hyvin tietoinen tärkeiden järjestelmien varmuuskopioiden kattavuudesta.
Jotta voit noudattaa NIS2-vaatimuksia toiminnan jatkuvuuden ja varmuuskopioinnin osalta, sinulla on oltava suhteutetut, selkeästi dokumentoidut ja toteutetut toimenpiteet näitä tietoturva-aiheita varten. Kun mukautat toimesi ISO 27001 -standardin parhaiden käytäntöjen mukaisesti, voit olla varma, että olet toteuttanut aiheen asianmukaisesti ja parannat samalla yleistä kestävyyttä ja valmiutta.
Muista, että jatkuvuussuunnittelu ei ole pelkkää listan ruksimista. Kyse on vahvan rakenteen luomisesta, joka kykenee kestämään vaaratilanteet ja varmistamaan toiminnan sujuvuuden. Asioita voi mennä pieleen; tärkeintä on, että sinulla on hyvin harkittu strategia, jonka avulla toipuminen ja jatkaminen on mahdollista. Ja vaikka varmuuskopiotekniikat ovatkin moninaisia ja monimutkaisia, ensisijainen näkökohta olisi oltava luotettava ja turvallinen järjestelmä, joka varmistaa, että tärkeät tiedot ovat saatavilla myös kriittisinä aikoina.
Jatkuvuussuunnittelu ja varmuuskopiointi ovat siis pohjimmiltaan toimenpiteitä, joilla ehkäistään ja hallitaan kaikkein kauheimpia toimintaasi koskevia katastrofeja! Tästä näkökulmasta voisi hyvinkin väittää, että ne ovat yksi keskeisimmistä osa-alueista kaikissa joustavissa tietoturvamenetelmissä.
Elevate Your Knowledge with Exclusive Access to Weekly Webinars, Video Courses, Help Articles, and Blogs.
