Blogi

Mitä turvallisuusarkkitehtuurilla tarkoitetaan?

Turvallisuusarkkitehtuuri osana kokonaisarkkitehtuuria 

Turvallisuusarkkitehtuuri terminä on elänyt ajassa. Alun perin se assosioitiin vahvasti sotilaalliseen turvallisuuteen ja puolustustoimenpiteisiin. Tiedon aikakaudella turvallisuusarkkitehtuurilla alettiin tarkoittaa myös tiedon turvaamista väärinkäytöksiltä, erityisesti digitaalisen tiedon. Tänä päivänä nämä assosiaatiot kietoutuvat yhteen, tietoa ja sitä vastaan tehtyjä hyökkäyksiä käytetään myös sotilaallisessa tarkoituksessa. 

Turvallisuusarkkitehtuurissa pitääkin nähdä laaja kuva ja tarkastella turvallisuutta kokonaisvaltaisesti. Siksi kokonaisarkkitehtuuri on sille oivallinen maaperä.

Viitekehyksiä on paljon tämän työskentelyn tueksi, joita löytyy helposti satakunta erilaista, hieman erilaisin lähtökohdin. Webinaarissani esittelin kevyesti muutaman, joten jos viitekehykset kiinnostavat, vilkaise alta webinaaritallenne.

Näin eri viitekehykset kuvailevat turvallisuusarkkitehtuuria

Tutkimuksissa on erilaisia näkökulmia siihen, millainen on kokonaisarkkitehtuurin ja turvallisuusarkkitehtuurin välinen suhde, mutta selkeästi oppositiossa on näkemys, että turvallisuusarkkitehtuuri olisi täysin itsenäinen alueensa.

Valtaosa tutkimuksista liittää nämä termit yhteen ja turvallisuusarkkitehtuurin riippuvaiseksi kokonaisarkkitehtuurista.

  • Kokonaisarkkitehtuuri voidaan nähdä menetelmänä turvallisuusarkkitehtuurin toteuttamisessa esimerkiksi SABSA,
  • toisaalta kokonaisarkkitehtuurissa tuotettuja artefakteja voidaan käyttää hyväksi turvallisuusarkkitehtuurin muotoilussa esimerkiksi TOGAF.
  • Kiinteimmän riippuvuussuhteen synnyttävät toteavat, että turvallisuusarkkitehtuuri on osa kokonaisarkkitehtuuria esimerkiksi Zachman.
  • Viitekehyksissä voidaan turvallisuusarkkitehtuuri ajatella horisontaalina, joka läpäisee kaikki näkökulmat ESA = Enterprise Security Architecture. Tällöin turvallisuus myös ajatellaan jokaisen näkökulman läpi, toimintanäkökulmassa se voi olla esim. finanssiturvallisuutta, järjestelmissä ja teknologioissa turvallisuus ajatellaan sekä fyysisesti että funktionaalisesti.
  • Tietonäkökulmasta löytyy oma turvallisuusarkkitehtuurikokonaisuutensa EISA = Enterprise Information Security Architecture. 
Horisontaalinen turvallisuusarkkitehtuuri, Arter Oy
Horisontaalinen turvallisuusarkkitehtuuri. KLIKKAA KUVA ISOMMAKSI.

Turvallisuusarkkitehtuuri saattaa aiheuttaa lisävaatimuksia organisoitumiseen

Turvallisuuden huomioiminen arkkitehtuurissa saattaa aiheuttaa lisävaatimuksia myös organisoitumiseen, kokonaisarkkitehtien rinnalla yleistyvät turvallisuusarkkitehdit, jotka varmistavat, että liiketoimintaratkaisujen suunnittelussa otetaan huomioon turvallisuus ja yhteensopivuus.

Heidän työtään on myös viestintä ja kouluttaminen, turvallisuusriskien tunnistaminen ja erilaisten uhkakuvien huomioiminen. 

Turvallisuusarkkitehtuuriin liittyvät oleellisesti käsitteet vaatimus, riski ja kontrolli

  1. Vaatimukset ovat aina business-spesifejä. Geneerisesti niitä voidaan ilmaista saavutettavuudella, eheydellä, autenttisuudella, luottamuksellisuudella, käytettävyydellä jne. Turvallisuusarkkitehtuurityössä nämä on kuitenkin syytä hakea strategiasta ja tarkentaa aidoiksi business-vaatimuksiksi, jotta niiden avulla voidaan tunnistaa riskit ja luoda toimintaa vastaavat kontrollit.
  2. Riskit johdetaan strategisista tavoitteista ja vaatimuksista. Mikä uhkaa tavoitteiden saavuttamista?
  3. Kontrollit ovat vaatimuksista ja riskeistä johdettuja hallintakeinoja, eli menetelmiä vaatimusten täyttämisen varmistamiseksi. Kontrolleja voidaan kategorisoida eri tavoin, esim.
    • ennaltaehkäisevät kontrollit, joilla ehkäistään epätoivottuja tapahtumia toteutumasta tai estetään niiden vaikutukset (esim. virustorjunta, palomuurit)
    • paljastavat kontrollit, jotka tunnistavat tiettyjä tapahtumia ja ilmoittavat niistä vastuuhenkilöille (esim. lokimonitorointi, turvahälytykset, videovalvonta)
    • korjaavat kontrollit, jotka on tärkeä luoda etukäteen, jotta voidaan pienentää sattuvien haittojen vaikutuksia ja parantaa toipumista (esim. toipumissuunnitelma, backupit)

Turvallisuusohjelman rakentaminen käytännössä

Alla esimerkki, millaisia askelia turvallisuusohjelman rakentamisessa voi olla käytännössä. 

Turvallisuusohjelman rakentaminen käytännössä, Arter Oy
Turvallisuusohjelman rakentaminen käytännössä. KLIKKAA KUVA ISOMMAKSI.

Kiinnostaako tietoturvallisuus? Suosittelen sinulle näitä sisältöjä:

👉 Näin pääset alkuun tietoturvatyössä ja vältyt turhalta tekemiseltä | blogi
👉 ISO 27001 -standardin 10 keskeistä vaatimusta | blogi
👉 Kustannustehokas tietoturva lähtee suojaamisvaatimusten ja riskien tuntemisesta | blogi

Kirjoittaja

Salla vastaa Arterin tutkimus- ja kehitysyksiköstä. Hän on kokonaisarkkitehtuuriasiantuntija, jolla on pitkä kokemus myös tietojärjestelmähankkeista, laatujohtamisesta ja mallintamisesta. Hän on kiinnostunut tuomaan Arterin ohjelmistoja ja palveluja rohkeasti digiaikakauden uusille kehittämisalueille. Vapaa-ajalla hänet tapaa marttailemasta tai matkustelemasta käsitöiden ja taiteen parissa.

Liittyvät materiaalit