Kyberturvallisuusvalvonta – omilla vai kumppanin resursseilla?
Pohdituttaako kyberturvallisuus? Tuntuuko, että kyvykkyyksiä tietoturvapoikkeamien havainnointiin ja hallintaan pitäisi kehittää? Miten hankkia riittävät tekniset työkalut ja tarvittava osaaminen?
Digitaalisten palvelujen kehittäminen ja tuottaminen edellyttää myös kyber- ja tietoturvallisuusriskien pohdintaa ja mitigointia. Nykyinen uhkaympäristö eri toimijoineen vaatii usein reaaliaikaista ympärivuorokautista kykyä havainnoida ja reagoida tunkeutumisyrityksiin ja kyberhyökkäyksiin. Puhutaan siis SOC (Security Operations Center) -kyvykkyydestä, jonka tarpeellisuuden moni organisaatio on tunnistanut, mutta toiminnon rakentaminen tai hankinta aiheuttaa päänvaivaa. Kysymys usein on siitä, että rakennammeko SOC-kyvykkyyden itse vai ostammeko sen palveluna?
Kun esimerkiksi pohditaan koko yrityskenttää pienimmästä suurimpaan, voidaan nopeasti todeta, että pienen yrityksen voi olla vaikea investoida merkittäviä summia SOC-kykyyn, jos ajatellaan vaikkapa 24/7 reagointi- ja analyysikykyä. Asiaa on arvioitava useiden tekijöiden näkökulmasta, mukaan lukien organisaatioon kohdistuvat riskit ja uhkat, suojattavan infrastruktuurin ja palvelujen koko ja IT-budjetti sekä käytössä olevat henkilöresurssit. Kumppanoituminen voi olla perusteltua sen sijaan että yritys rakentaisi oman itsenäisen SOC-toiminnallisuuden. Ison organisaation tai yrityksen on sen sijaan resurssimielessä helpompi rakentaa kykyä in-house, varsinkin jos olemassa oleva tietoturvatiimi on jo varsin vahva ja organisaatio muutenkin järjestää 24/7-ICT-valvonnan.
Ulkoistamistapauksessa on organisaation huomioitava eri vaihtoehdot. Perusratkaisussa teknisen liiketoimintaympäristön valvonta ja havainnointi annetaan ulkoisen palvelutuottajan SOC:n hoidettavaksi. Tässä vaihtoehdossa organisaatio maksaa kolmannelle osapuolelle ICT- ja liiketoimintaympäristön seurannasta, poikkeamiin reagoinnista ja mahdollisesti muista palveluista, kuten haavoittuvuushallintasta. Vaikka palveluntuottajalla on ammattitaitoinen SOC-tiimi, haasteena voi olla asiakkaan liiketoiminnan syvällinen ymmärrys poikkeamatilanteisiin liittyen sekä kyky reagoida nopeasti ja täsmällisesti. Tämä siis verrattuna in-house SOC-tiimiin.
Toinen tapa ulkoistaa SOC on rakentaa valvomo ja valvontajärjestelmät in-house-periaatteella, mutta hankkia operointi eli henkilöresurssit kolmannelta osapuolelta. Järjestelyssä voidaan välttää edellä kuvatun puhtaan ulkoistuksen haittoja, mutta toisaalta kustannukset voivat olla korkeammat. Ratkaisussa on myös tarkkaan sovittava kustannusmalli, henkilöstön kelpuutukset sekä teknologiainvestoinnit.
SOC voidaan myös integroida olemassa olevaan toimintoon, kuten IT-toimintoon tai NOC:iin (verkkovalvomo). Tässä järjestelyssä organisaatiolla ei ole vahvaa erillistä SOC-asiantuntijaresurssia, vaan IT/NOC-asiantuntija kasvattaa osaamistaan kyberturvallisuus-poikkeamien havainnointiin ja mitigointiin. Tässä mallissa haasteena on, että vaaratilanteet jäävät huomaamatta tai että, jos niitä havaitaan, niitä ei käsitellä nopeimmalla, tehokkaimmalla tai kattavimmalla tavalla. Isoissa organisaatioissa, esimerkiksi jos kyseessä on valtion virasto tai sen osa, voi olla kustannustehokasta tukeutua rakenteissa valmiina olevaan SOC-yksikköön. Tässäkin tapauksessa voidaan puhua tietynlaisesta ulkoistamisesta, vaikka aina ei raha vaihdakaan omistajaa.
Oli organisaation koko pieni tai suuri, keskeistä on löytää SOC-palveluihin luotettava kumppani, joka pystyy auttamaan organisaatiota SOC-toiminnan käynnistämisessä ja kehittämisessä - oli sitten kyseessä in-house -ratkaisu tai puhdas ulkoistaminen. Hyvä SOC-kumppani tarjoaa ratkaisun asiakastarpeen mukaisesti.
- Anssi Kärkkäinen, johtaja, Palvelu- ja kyberturvallisuusyksikkö, Cinia
Anssi Kärkkäisellä on pitkä kokemus tietoliikenne- ja kyberturvallisuusalan kehitys- ja johtamistehtävistä. Hän on työskennellyt puolustusvoimissa muun muassa hallinnon turvallisuusverkkohankkeessa projektipäällikkönä, hankepäällikkönä, kyberpuolustuksen asiantuntijana sekä kyberosaston osastopäällikkönä
Lue lisää Cinian kyberturvallisuuspalveluista
