Oletko kuullut aiemmin sanan SABSA?
Luulen, että et ole kuullut SABSAsta aiemmin. Jos tiedät, mistä SABSA:ssa on kyse, kuulut varmasti pieneen vähemmistöön.
Haluaisitko kuitenkin tietää, miten liiketoimintatavoitteista voidaan johtaa juuri sopiva tietoturvan taso?
Ei liian tiukkaa tietoturvaa, joka haittaa toimintaa, mutta ei toisaalta liian löysää tietoturvaa, joka jättää huomioimatta selkeitä riskikohtia.
SABSA on menetelmä, jolla tämä onnistuu. SABSA on menetelmä, jonka avulla voit johtaa liiketoiminnan tavoitteista juuri oikean tasoisen tietoturvan.
Kun luet tämän kirjoituksen, ymmärrät, mistä Sabsassa oikein on kyse, ja miten voisit hyödyntää Sabsaa omassa toiminnassasi.
Miten minä törmäsin Sabsaan?
Jos olet lukenut kirjoituksiani aiemmin, tiedät varmaan, että olen toiminut vuosia tietoturvakonsulttina. Aloitin konsultointiurani suunnittelemalla teknisen tietoturvan ratkaisuja.
Tajusin kuitenkin melko pian, että teknisestä tietoturvasta ei ole paljoakaan hyötyä, jos tietoturvaa ei hallita tai johdeta oikein. Tämän vuoksi opettelin myös hallinnollisen puolen tietoturvan ja aloin tekemään erilaisia kokonaistietoturvan arviointi- ja kehitysprojekteja.
Mielestäni järjestelmien saatavuus eli se, että järjestelmät ovat päällä ja käytettävissä, on aina ollut lähes kaikille yrityksille tärkein tietoturvatavoite. Olenkin konsultoinut asiakkaitani järjestelmien saatavuuteen liittyvissä kysymyksissä, mm. silloin, kun suunnitellaan korkean käytettävyyden ympäristöjä tai kun halutaan varautua käyttökatkoihin.
Jossain vaiheessa hieman kyllästyin tietoturvaprojekteihin ja olen tehnyt viime vuosina pääasiassa erilaisia liiketoimintatavoitteisiin perustuvia arkkitehtuurin kehittämisprojekteja. Kuitenkin ollessani kerran palaverissa erään asiakkaan kanssa kuulin heidän tietoturvaosastonsa kysyvän meiltä Sabsasta.
En tuolloin tiennyt, mistä Sabsassa on kyse, mutta päätin ottaa selvää. Kiinnostuin asiasta niin paljon, että kävin viikon mittaisen Sabsa-kurssin Lontoossa vuonna 2017. Tein kurssin jälkeen SABSA Charted Security Architect - Foundation –sertifikaatin, ja olen sen jälkeen käyttänyt Sabsaa joissakin projekteissani.
Mistä Sabsassa siis on kyse? Kerron siitä pian, mutta ensin on hyvä tietää, mistä Sabsa sai alkunsa. Kerron siitä seuraavaksi.
Sabsan juuret ovat pankkien SWIFT-maksujen toteuttamisessa
Sabsan historia liittyy pankkien välisten SWIFT-maksujen toteuttamiseen. Ennen 90-lukua rahan siirtäminen pankista toiseen oli hidasta ja vaati manuaalisia työvaiheita.
1990-luvulla brittiläinen tietoturva-asiantuntija, John Sherwood, kehitti menetelmän, jonka avulla pankit pystyivät varmistumaan siitä, että pankista toiseen voidaan siirtää turvallisesti jopa miljardi dollaria kerrallaan.
Vuonna 1995 Sherwood julkaisi viitekehyksen ja kokoelman menetelmiä, joiden avulla liiketoiminnan vaatimuksista voidaan johtaa juuri oikean tasoiset tietoturvamekanismit. Tämän viitekehyksen nimeksi tuli SABSA.
SABSA tulee sanoista Sherwood Applied Business Security Architecture.
Mikä Sabsa oikeastaan on? Käsitellään sitä seuraavaksi.
Mikä Sabsa on?
Sabsa on käytännössä riskilähtöinen tapa tarkastella organisaation tietoturvaa. Se on kokoelma erilaisia viitekehyksiä ja malleja, metodiikoita ja prosesseja. Sabsa on ennen kaikkea ongelman ratkaisutyökalu, joka sopii hyvin erilaisiin tilanteisiin.
Sabsan perusmalli muistuttaa kovasti Zachmannin arkkitehtuurimenetelmää. Se onkin kehitetty Zachmannin arkkitehtuurimallin pohjalta. Voit lukea lisää Zachmannista mallista täältä.
Sabsan perusidea on tarkastella asioita erilaisista näkökulmista ja käyttää hyväkseen "kuuden viisaan miehen palveluksia". Vanha Rudyard Kiplingin runon alku kuuluu vapaasti suomennettuna näin:
Kaiken, mitä olen oppinut, olen oppinut kuudelta rehelliseltä mieheltä. Heidän nimet ovat Mitä ja Miksi ja Milloin ja Miten ja Missä ja Kuka.
Nämä Sabsan kuusi kysymystä (Mitä, miksi, miten, kuka, missä ja milloin) tuovat asioiden tarkasteluun erilaisia näkökulmia. Kullakin kysymyksellä on oma roolinsa asian ymmärtämisessä. Näiden kuuden kysymyksen lisäksi Sabsa tarkastelee asioita erilaisilta abstraktiotasoilta. Voit lukea lisää näiden kysymysten käytöstä täältä.
Sabsa siis tarkastelee asioita eri näkökulmista. Nämä kuusi kysymystä eivät kuitenkaan ole ainoita näkökulmia, joita Sabsa hyödyntää. Kysymysten lisäksi Sabsa tarkastelee asioita eri abstratktiotasoilta. Lue eteenpäin, niin kerron, mistä on kyse.
6 välttämätöntä abstraktiotasoa
Tietoturvaratkaisuita otetaan yleensä käyttöön täysin pistemäisesti. Yrityksissä kuitenkin ollaan tietoisia tietoturvan merkityksestä ja sen vuoksi tietoturvaan ollaan valmiita investoimaan yhä kasvavia rahasummia.
Tämä muodostuu ongelmaksi, koska tietoturvaratkaisuita otetaan käyttöön ns. taktisella tasolla.
Tarkoitan taktisella tasolla sitä, että ratkaisuita ehdottavat (myyjät) ja tietoturvan tarvitsijat (ostajat) eivät osaa hahmottaa kokonaiskuvaa.
Liiketoiminnan tarpeista keskusteleminen ymmärrettävästi on monelle teknisen tietoturvan asiantuntijalle liian haastava tehtävä.
On suhteellisen helppoa hankkia jokin tuote ja kuvitella, että sen avulla tietoturva saadaan riittävälle tasolle.
Liiketoiminnan tarpeiden ymmärtäminen on monelle tietoturva-asiantuntijalle liian haastava tehtävä. Moni tietoturva-asiantuntija on tottunut miettimään asioita teknisellä tasolla, eikä heitä edes kiinnosta katsoa asioita kokonaisuuden kannalta.
Oman kokemukseni mukaan osa päällikkötasonkin tietoturvaihmisistä sijoittuu samaan kategoriaan. He eivät katso asioita pelkästään teknisten lasien läpi, mutta heitä kiinnostaa liikaa poliisina toimiminen, eivätkä he useinkaan osaa asettua liiketoiminnan asemaan.
Sabsa tarjoaa menetelmän liiketoiminnan tarpeiden kääntämiseksi tietoturvaratkaisuksi
Sabsan ydintä on kuusikerroksinen malli, jossa joka tasolla kysytään aiemmin mainitsemani kuusi kysymystä (mitä, miksi, miten, kuka, missä ja milloin). Joka kerta asiaa tarkastellaan erilaiselta abstraktiotasolta. Nämä abstratktiotasot muodostavat kuuden kysymyksen kanssa oheisen matriisin.
Sabsan perusideaan kuuluu lähteä liikkeelle keskusteluista liiketoiminnan kanssa. Kun liiketoiminnan edustajien kanssa jutellaan heidän kielellään ja asiaa tarkastellaan eri näkökulmista, saadaan riittävästi tietoa siitä, mitä ollaan oikeasti tekemässä.
Sabsan mukaan suojausratkaisuiden suunnittelu on mahdotonta, jos ei ymmärretä, mitä liiketoiminta haluaa saada aikaan. Minusta tämä on aika helppo ymmärtää ihan maalaisjärjelläkin.
Kun liiketoiminnan vaatimukset ovat selvillä, suunnitellaan sen perusteella ylätason tietoturva-arkkitehtuuri (Conseptual architecture). Tämän perusteella suunnitellaan looginen arkkitehtuuri (Logical architecture), jonka perusteella mennään fyysiselle tasolle (Physical architecture). Fyysisen tason perusteella voidaan valita komponentit (tuotteet) jne.
Jokaisella kerroksella on oma tehtävänsä arkkitehtuurin täsmentämisessä. Tämä voi kuulostaa teoreettiselta, mutta oikein käytettynä tässä lähestymisessä on järkeä.
Mihin Sabsaa sitten voi käyttää? Kerron siitä seuraavaksi.
Mihin Sabsaa voi käyttää
Sabsa on hyvin monikäyttöinen viitekehys, jonka merkittävin ominaisuus on liiketoimintatavoitteiden vahva huomioiminen tietoturvatyössä ja riskien hallinnassa.
Sabsaa voi käyttää esimerkiksi liiketoimintatavoitteiden kääntämiseksi tietoturvatavoitteiksi. Sabsa tarjoaa tavan keskustella liiketoimintajohdon kanssa heidän tavoitteista johdon omalla kielellä. Liiketoimintatavoitteet voidaan kääntää sen jälkeen arkkitehtuuriksi ja aina teknisiksi ratkaisuiksi saakka.
Sabsan "hyvyys" on huomattu viime aikoina monella taholla. Sen vuoksi moni tunnettu standardi ja viitekehys tukeutuu nykyään tietoturvan osalta Sabsaan.
Sabsa esimerkiksi integroituu Togaf-viitekehykseen ja Cobit-malliin. Tästä näiden viitekehysten välisestä suhteesta on hyvä kirjoitus Isacan sivuilla.
Sabsaa voi käyttää myös riskien arviointiin. Jos haluat lukea yhdestä riskien arviointiprojektista, jonka tein Oras Groupille ja jossa hyödynsin Sabsan lähestymistä, löydät sen täältä.
Mitä hyötyä Sabsasta on
Sabsan avulla osaava asiantuntija pystyy johtamaan liiketoimintatavoitteista kokonaisvaltaisen tietoturva-arkkitehtuurin, jonka avulla jokainen yksittäinen tietoturvaratkaisu tai tietoturvakäytäntö istuu kokonaisuuteen.
Sabsan avulla päästään eroon taktisen tason pistemäisistä ratkaisuista ja voidaan saada kokonaisvaltainen näkemys liiketoimintaa hyödyttävästä tietoturvasta.
Sabsan avulla voidaan myös arvioida riskejä liiketoimintalähtöisesti.
Minusta Sabsa on tietyllä tavalla puuttuva lenkki tietoturvaratkaisuiden ja liiketoiminnan tarpeiden välillä.
Sabsa ei tee kenestäkään liiketoiminnan kanssa sujuvasti kommunikoivaa tietoturva-asiantuntijaa, mutta jos on halua paneutua asiaan ja opetella uusia näkökulmia tietoturva-arkkitehtuurin rakentamiseen, Sabsasta voi olla paljon hyötyä.
Yllä mainitsemani case-artikkeli kertoo hyvin hyödyistä, joita liiketoimintalähtöisellä mallilla voi saavuttaa.
Missä Sabsaa voi opiskella
Sabsaa voi opiskella SABSA Instituten järjestämissä koulutuksissa. Helsingissä muuten järjestetään Sabsa Foundation –sertifikaattiin tähtäävä koulutus toukokuussa 2019. Itse kävin koulutuksen Lontoossa pari vuotta sitten. Kurssi oli erittäin mielenkiintoinen, mutta melko teoreettinen. Koe tehtiin kurssin päätteeksi ja se on suhteellisen vaikea, joten ihan ilman tietoturvataustaa läpäisy voi olla hiukan haastavaa.
Sabsasta on kirjoitettu minun tietääkseni vain yksi kirja, Enterprise Security Architecture. Kirjan on kirjoittanut Nicholas A Sherwood, Sabsan kehittäjä.
Sabsa-osaajia on maailmalla suhteellisen vähän. Vuonna 2017 sertifioituja Foundation-tason arkkitehtejä oli noin 7000. Suomessa ei käsittääkseni ole kovinkaan montaa kymmentä sertifioitua arkkitehtiä. Practitioner-tason sertifioituja on maailmallakin vain joitakin satoja ja Master-tason sertifioituja vain joitakin kymmeniä.
Jos tarvitset apua Sabsan hyödyntämiseen organisaatiossanne, laita viestiä tai soita, niin autan sinua mielelläni.
Jos tämä kirjoitus tuntui hyödylliseltä tai kiinnostavalta ja haluaisit saada tiedon uusista kirjoituksistani, tilaa uutiskirjeeni, niin saat sähköpostiisi ilmoituksen aina, kun julkaisen uutta materiaalia.