Kuten sanottua, on SIEM loistava työkalu kybertilannekuvan muodostamisessa. Suurin osa käyttöönottoon ja toimintaan liittyvistä haasteista ovat tyypillisiä tietojärjestelmäprojektin haasteita. Keskeisintä on katsoa kokonaisuutta riittävän kaukaa kaiken hypetyksen ulkopuolelta. Ohessa muutama huomio omasta muistikirjastani SIEM -käyttöönottoon ja ylläpitoon liittyen:
- Mistä tilannekuvaa aidosti tarvitaan
Valitse lokilähteet siten, että ne tuovat aitoa lisäarvoa tilannekuvan muodostamiseen. Muista riskienhallinnan tulokulma myös tässä turvallisuuden osa-alueessa.
- Osallista ja määritä selvät tavoitteet
Osallista tavoitteiden asettamiseen henkilöitä laajasti eri organisaatiotasoilla. Ota tavoitteiden määrittämiseen mukaan tietoturvallisuudesta vastaavat tahot strategiselta, taktiselta ja operatiiviselta tasolta. Tämä koskee myös käyttötapausten suunnittelua, kun mittakaava säilyy järkevänä.
- Vältä teknologiakeskeistä ajattelua
SIEM on työkalu, siinä missä vasarakin on. Sen sisältämien ominaisuuksien lisäarvo on hyvin rajallinen, jos niitä ei sidota toimintaan. Teknologiakeskeinen ajattelu voi johtaa tähän tilanteeseen. Takataskusta on hyvä kaivaa mukaan myös prosessit ja ihmiset. Tarkastele erityisesti järjestelmän ylläpidettävyyttä ja siihen liittyvän osaamisen riittävyyttä ylläpidosta vastaavien ihmisen näkökulmasta. Varmista, että herätteiden käsittely on sidottu vahvasti poikkeamahallintaprosessiin.
- SIEM-järjestelmä vaatii jatkuvaa ylläpitoa
Erityisesti SIEM-järjestelmä vaatii jatkuvaa ylläpitoa. Käyttötapausten tarjoaman tilannekuvan mittaaminen ei ole yksiselitteistä, mutta siihen tulee pyrkiä. Muista alkuperäiset tavoitteet ja arvioi niiden ajantasaisuutta. Vaadi tätä myös ylläpidosta vastaavalta taholta.
Parhaimmillaan SIEM-käyttöönottoa johtaa systemaattisesti vastuullinen projektipäällikkö, joka pitää SIEM-järjestelmän sidosryhmät tietoisina tehdyistä töistä ja varmistaa riittävän vapauden ja työrauhan käyttöönottoon osallistuville henkilöille.
Huld on mukana Cyber Security Nordic 2019 -tapahtumassa. Tulethan moikkaamaan ja keskustelemaan aiheesta lisää.
Teksti: Jouni Ihanus, Senior Consultant (Information & Cyber Security)