Omaisuutta kannattaa hallita
Tieto, data, informaatio; saman asian eri sävyjä. Digitaalisessa muodossa bitteinä luotu, säilytettävä ja siirrettävä aineisto on nimestään ja olomuodostaan riippumatta jonkun omaisuutta, jolla on jokin arvo.
Kodin olosuhdeantureista kerätty lämpötilatieto on lämmitysjärjestelmän oikean toimivuuden kannalta hyvinkin arvokasta, mutta vain lyhyen ajan. Koko perheen Afrikan matkalla otetut digikuvat ovat tallennushetkellään helposti korvattavissa uusilla otoksilla, mutta kymmenen tai viidenkymmenen vuoden kuluttua ne ovat korvaamattomia muistojen herättäjiä.
Tieto-omaisuuden riittävä ja järkevillä panostuksilla tehty suojaaminen edellyttää ymmärrystä ja tietoa siitä mitä suojataan, missä suojataan ja millaisiin tapahtumiin tai häiriöihin varaudutaan. Kansainvälisen tietoturvallisuuden hallintajärjestelmästandardin ISO/IEC 27001 mukaan käsite suojattava omaisuus sisältää itse tiedon lisäksi myös tiedon käsittelyyn ja säilytykseen liittyvät palvelut ja muut elementit. Näin ollen suojattavaa omaisuutta on yhtä lailla yrityksen kriittisen liiketoimintatiedon sisältävä toiminnanohjausjärjestelmä tietokantoineen ja palvelimineen kuin toimistorakennuksen kellarissa sijaitseva lähiverkon solmupiste tai SaaS-palveluna ostetun HR-järjestelmän tietosisältö. Tästä omaisuudesta, sen arvosta ja siihen kohdistuvasta riskimassasta koottu luotettava tieto on elintärkeää myös organisaation toiminnan jatkuvuuden vaikuttavassa varmistamisessa.
Tietoturvallisuus omaisuuden suojana
Päivittäisessä uutisvirrassa lisääntyneen näkyvyytensä myötä tietoturvallisuus on vuotanut tietotekniikan ammattisanastosta koko kansan sanavarastoon. Tietoturvallisuudella jo laajasti ymmärretään suojattavan tietoa erilaisin ei vain teknisin vaan myös hallinnollisin ja ihmisten osaamiseen perustuvin keinoin. Suojattavia tiedon ominaisuuksia ovat sen luottamuksellisuus, saatavuus ja eheys.
Tiedon luottamuksellisuuden varmistaminen saa tyypillisesti paljon huomiota ja sen pettäminen tai vakava vaarantuminen voivat johtaa merkittäviin seuraamuksiin maineen menetyksestä aina rikostutkintaan asti. Verkkokaupan käyttäjätunnusten ja salasanojen vuotaminen verkkoon kaikkien saataville tai potilastietoja sisältävien paperitulosteiden löytyminen kadun varressa olevalta roskalavalta ovat esimerkkejä näistä tapauksista.
Suojattavia tiedon ominaisuuksia ovat sen luottamuksellisuus, saatavuus ja eheys.
Tiedon saatavuuden laajat tai merkittävät häiriöt ovat helposti julkisuudessa ja vievät luottamusta toimijan kykyyn täyttää lupauksensa. Heinäkuussa 2021 espoolaisella rakennustyömaalla kaivinkone katkaisi nipun valokuituja. Tuossa nipussa oli mm. usean valtionhallinnon palvelun päätietoliikenneyhteys – ja yllättäen myös varayhteys. Vahingosta seurannut, useita tunteja kestänyt katkos mm. Verohallinnon palveluissa esti suunnittelemattomasti tietojärjestelmiin ja tietoon pääsyn ja siten rikkoi tiedon saatavuutta.
Tiedon suojattavista ominaisuuksista eheys on moniulotteinen ja haastava. Kommentteja on esitetty siitä, että tietoturvallisuus ei ota kantaa tiedon oikeellisuuteen. Pitää paikkansa, että tietoturvallisuus ei tunkeudu syvälle informaation sisältöön tunnistaen ja torjuen valheita. Teknisestä näkökulmasta tiedon eheys on kuitenkin myös sen oikeellisuutta: täsmäävätkö toiminnanohjausjärjestelmän eri tietokokonaisuuksien osat toisiinsa, onko PDF-muotoinen sopimus digitaalisine allekirjoituksineen aito, onko saamani sähköpostin kirjoittaja ja lähettäjä sama henkilö, jonka nimi otsikkotiedoissa näkyy. Eheä tieto säilyttää luotettavuutensa ja siten myös arvonsa.
Artikkeli jatkuu kuvan jälkeen.
Kiwa Inspecta on yksi maailman suurimmista testaus-, tarkastus- ja sertifiointialan toimijoista, joka toimii useilla eri toimialoilla. Kiwa Inspecta on puolueeton, innovatiivinen ja sitoutunut kumppani, jonka visio on olla edelläkävijä turvallisuuden ja vastuullisen kehittämisessä. Kuva: Kiwa Inspecta
Omaisuudenhallinta on mahdollistaja
Henkilötietojen suojaamisen edellytys on tietää, millaista henkilötietoa ja siitä muodostuvia henkilörekistereitä tietovarannoissa on. Kun tehdään teknisiä kartoituksia tiedostopalvelimelta tai tietokannoista löytyvästä henkilötiedosta kuten sähköpostiosoitteista, henkilötunnuksista tai henkilönumeroista, löydökset saattavat yllättää. Aikojen saatossa ”varmuuden vuoksi” tallessa pidetyt vanhat levyjaot sisältävätkin Excel-taulukoita vaikkapa työhyvinvointiviikonlopun risteilylle osallistuneista: nimet, syntymäajat, ruoka-aineallergiat, lähiomaisen tiedot jne. Omaisuudenhallinnan tehtävä on tunnistaa ja luokitella nämäkin kohteet, jotta tarvittavat jatkotoimenpiteet – kuten tarpeettoman henkilötiedon oikea-aikainen hävittäminen – voidaan suunnitella ja käynnistää.
Organisaation jatkuvuudenhallinnassa käytetään ns. toiminnan vaikutusanalyysia (Business Impact Analysis, BIA), jossa tunnistetaan toiminnan kannalta keskeisiä aktiviteetteja ja analysoidaan näihin mahdollisesti kohdistuvien häiriöiden vaikutuksia. Vaikka organisaatioiden toiminnan jatkuvuuden kannalta tärkeitä elementtejä löytyisi muualtakin kuin tietotekniikasta ja tiedosta, BIAt usein aloitetaan tunnistetusta suojattavasta omaisuudesta kuten tietojärjestelmistä ja tietoliikenneyhteyksistä. Omaisuudenhallinnasta saadut näkymät toiminnan eri osa-alueiden ja komponenttien kriittisyyksistä ja keskinäisistä kytköksistä antavat lentävän lähdön erilaisten häiriöiden vaikutusten arvioinnille. Edellä mainitussa kesähelteiden kaivuutapahtumassa oikealle taholle saatavilla ollut ja huomioon otettu tieto pää- ja varayhteyden kulkureiteistä olisi estänyt palvelukatkon.
Omaisuudenhallinta on prosessi, ei projekti
Omaisuuden, ja varsinkin tieto-omaisuuden, hallinta vaatii jatkuvaa ja suunnitelmallista tietojen ylläpitoa ja niiden eheyden edelleen kehittämistä. Tunnistettavan ja suojattavan, digitaalisessa muodossa olevan tieto-omaisuuden määrä ei ainakaan vähene. Historiaa ei voi muuttaa, mutta uusia järjestelmiä kehitettäessä, verkkorakenteita suunniteltaessa ja tietovarantoja pilvipalveluihin siirrettäessä tietoarkkitehtuuriin, tietojen omistajuuteen ja tietomassojen elinkaaren hallintaan tulee kiinnittää huomiota.
Hyvin hallittu ja johdettu tietoturvallisuus varmistaa ja tukee omaisuuden – luonnollisesti erityisesti tieto-omaisuuden – hallintaa ja sen arvon säilymistä. Suunnitelmallinen omaisuudenhallinta puolestaan antaa vahvan perustan tietoturvallisuuden, tietosuojan ja toiminnan jatkuvuuden varmistamisen luomiseen, ylläpitämiseen ja kehittämiseen.
---
Teksti: Jyrki Lahnalahti
Jyrki Lahnalahti on Kiwa Inspectan tuoteryhmäpäällikkö ja pääarvioija, minkä lisäksi hän mm. pitää koulutuksia ja osallistuu standardisointityöhön.
Kiwa Inspecta on TIVIA-kumppani. Lue lisää TIVIA-kumppanuudesta.
---
TIVIA News on TIVIAn jäsenlehti, jonka ensimmäinen numero ilmestyi kesäkuussa 2016. Lehti ilmestyy myös osana painettua Tivi-lehteä.
TIVIA Newsin artikkelit julkaistaan myös digitaalisina versioina TIVIAn verkkosivustolla, jossa ne ovat myös vapaasti luettavissa. Lisäksi TIVIA Newsin digitaalinen näköislehti on vapaasti luettavissa TIVIAn verkkosivustolla.
Lisätietoja
Tagit
Omat tagit
TIVIA ry - Asiantuntijat ja yhteyshenkilöt
TIVIA ry - Muita referenssejä
TIVIA ry - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Nordea - Strategic Partner, Data Strategy and Alignment
- Innofactor Oyj - Sales Manager (Data & Analytics)
- Laura - Mobiilikehittäjä, Android
- Laura - Ohjelmistoarkkitehti, Tampere/Oulu
- Laura - Development Team Manager, Sports Games
- Taito United Oy - Senior Full Stack -kehittäjä
- Webscale Oy - Head of Sales, Cloud Services
Premium-asiakkaiden viimeisimmät referenssit
- Altoros Finland Oy - Automaattinen kestävyysraportointityökalu CSRD siirtymää varten / Sustashift
- Digiteam Oy - Verkkokaupan toteutus Apollokaihdin.fi
- Digiteam Oy - Kattokeskuksen sivut ykköseksi Googlessa
- Digiteam Oy - Kokonaisvaltainen digimarkkinoinnin kumppanuus – Case Tradehit
- SD Worx - Kehitystyö SD Worxin kanssa takaa Clas Ohlsonille parhaat palkanmaksun prosessit kasvun tiellä
- Digiteam Oy - Case Esperi Care Oy: Ketterä kumppanuus vei Esperin verkkosivu-uudistuksen maaliin sujuvasti ja aikataulussa
- Kisko Labs Oy - Howspace Hub - Mukautuva oppimisen hallintajärjestelmä kasvaviin oppimisalustavaatimuksiin
Tapahtumat & webinaarit
- 28.11.2024 - Webinaari: Keskity myyntityön laatuun!
- 28.11.2024 - Copilot-webinaari – Mielekkäämpää tietotyötä turvallisesti
- 04.12.2024 - Kuinka oikea matka- ja kululaskujärjestelmä tehostaa prosesseja?
- 05.12.2024 - Green ICT VICTIS -hankkeen kick off -tilaisuus
- 15.01.2025 - Datavastuullisuuden valmennus: hanki valmiudet vastuulliseen datan ja tekoälyn hyödyntämiseen
- 23.01.2025 - Generatiivisen tekoälyn hyödyt liiketoimintajohtajalle
Premium-asiakkaiden viimeisimmät bloggaukset
- Kisko Labs Oy - Oman palvelimen hallinta vs. pilvipalvelut vs. Heroku: Mikä on paras alusta projektiisi?
- SD Worx - Miksi HR on avainasemassa ESG-työssä?
- SD Worx - 6 hyötyä – näin palkanlaskennan ulkoistus säästää aikaa ja rahaa
- Timeless Technology - Miksi UPS-akuston etävalvonta on tarpeellista?
- BCS Itera Oy - Nykyaikaiset tekniset vaatimukset täyttävän tietovaraston kehittäminen
- Ready Solutions Oy - Mitä tarkoittaa sovellusten suorituskyvyn mittaaminen Azuressa?
- Enter SystemSolutions Oy - Enter Arkistointi
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |