Omaisuutta kannattaa hallita
Tieto, data, informaatio; saman asian eri sävyjä. Digitaalisessa muodossa bitteinä luotu, säilytettävä ja siirrettävä aineisto on nimestään ja olomuodostaan riippumatta jonkun omaisuutta, jolla on jokin arvo.
Kodin olosuhdeantureista kerätty lämpötilatieto on lämmitysjärjestelmän oikean toimivuuden kannalta hyvinkin arvokasta, mutta vain lyhyen ajan. Koko perheen Afrikan matkalla otetut digikuvat ovat tallennushetkellään helposti korvattavissa uusilla otoksilla, mutta kymmenen tai viidenkymmenen vuoden kuluttua ne ovat korvaamattomia muistojen herättäjiä.
Tieto-omaisuuden riittävä ja järkevillä panostuksilla tehty suojaaminen edellyttää ymmärrystä ja tietoa siitä mitä suojataan, missä suojataan ja millaisiin tapahtumiin tai häiriöihin varaudutaan. Kansainvälisen tietoturvallisuuden hallintajärjestelmästandardin ISO/IEC 27001 mukaan käsite suojattava omaisuus sisältää itse tiedon lisäksi myös tiedon käsittelyyn ja säilytykseen liittyvät palvelut ja muut elementit. Näin ollen suojattavaa omaisuutta on yhtä lailla yrityksen kriittisen liiketoimintatiedon sisältävä toiminnanohjausjärjestelmä tietokantoineen ja palvelimineen kuin toimistorakennuksen kellarissa sijaitseva lähiverkon solmupiste tai SaaS-palveluna ostetun HR-järjestelmän tietosisältö. Tästä omaisuudesta, sen arvosta ja siihen kohdistuvasta riskimassasta koottu luotettava tieto on elintärkeää myös organisaation toiminnan jatkuvuuden vaikuttavassa varmistamisessa.
Tietoturvallisuus omaisuuden suojana
Päivittäisessä uutisvirrassa lisääntyneen näkyvyytensä myötä tietoturvallisuus on vuotanut tietotekniikan ammattisanastosta koko kansan sanavarastoon. Tietoturvallisuudella jo laajasti ymmärretään suojattavan tietoa erilaisin ei vain teknisin vaan myös hallinnollisin ja ihmisten osaamiseen perustuvin keinoin. Suojattavia tiedon ominaisuuksia ovat sen luottamuksellisuus, saatavuus ja eheys.
Tiedon luottamuksellisuuden varmistaminen saa tyypillisesti paljon huomiota ja sen pettäminen tai vakava vaarantuminen voivat johtaa merkittäviin seuraamuksiin maineen menetyksestä aina rikostutkintaan asti. Verkkokaupan käyttäjätunnusten ja salasanojen vuotaminen verkkoon kaikkien saataville tai potilastietoja sisältävien paperitulosteiden löytyminen kadun varressa olevalta roskalavalta ovat esimerkkejä näistä tapauksista.
Suojattavia tiedon ominaisuuksia ovat sen luottamuksellisuus, saatavuus ja eheys.
Tiedon saatavuuden laajat tai merkittävät häiriöt ovat helposti julkisuudessa ja vievät luottamusta toimijan kykyyn täyttää lupauksensa. Heinäkuussa 2021 espoolaisella rakennustyömaalla kaivinkone katkaisi nipun valokuituja. Tuossa nipussa oli mm. usean valtionhallinnon palvelun päätietoliikenneyhteys – ja yllättäen myös varayhteys. Vahingosta seurannut, useita tunteja kestänyt katkos mm. Verohallinnon palveluissa esti suunnittelemattomasti tietojärjestelmiin ja tietoon pääsyn ja siten rikkoi tiedon saatavuutta.
Tiedon suojattavista ominaisuuksista eheys on moniulotteinen ja haastava. Kommentteja on esitetty siitä, että tietoturvallisuus ei ota kantaa tiedon oikeellisuuteen. Pitää paikkansa, että tietoturvallisuus ei tunkeudu syvälle informaation sisältöön tunnistaen ja torjuen valheita. Teknisestä näkökulmasta tiedon eheys on kuitenkin myös sen oikeellisuutta: täsmäävätkö toiminnanohjausjärjestelmän eri tietokokonaisuuksien osat toisiinsa, onko PDF-muotoinen sopimus digitaalisine allekirjoituksineen aito, onko saamani sähköpostin kirjoittaja ja lähettäjä sama henkilö, jonka nimi otsikkotiedoissa näkyy. Eheä tieto säilyttää luotettavuutensa ja siten myös arvonsa.
Artikkeli jatkuu kuvan jälkeen.
Kiwa Inspecta on yksi maailman suurimmista testaus-, tarkastus- ja sertifiointialan toimijoista, joka toimii useilla eri toimialoilla. Kiwa Inspecta on puolueeton, innovatiivinen ja sitoutunut kumppani, jonka visio on olla edelläkävijä turvallisuuden ja vastuullisen kehittämisessä. Kuva: Kiwa Inspecta
Omaisuudenhallinta on mahdollistaja
Henkilötietojen suojaamisen edellytys on tietää, millaista henkilötietoa ja siitä muodostuvia henkilörekistereitä tietovarannoissa on. Kun tehdään teknisiä kartoituksia tiedostopalvelimelta tai tietokannoista löytyvästä henkilötiedosta kuten sähköpostiosoitteista, henkilötunnuksista tai henkilönumeroista, löydökset saattavat yllättää. Aikojen saatossa ”varmuuden vuoksi” tallessa pidetyt vanhat levyjaot sisältävätkin Excel-taulukoita vaikkapa työhyvinvointiviikonlopun risteilylle osallistuneista: nimet, syntymäajat, ruoka-aineallergiat, lähiomaisen tiedot jne. Omaisuudenhallinnan tehtävä on tunnistaa ja luokitella nämäkin kohteet, jotta tarvittavat jatkotoimenpiteet – kuten tarpeettoman henkilötiedon oikea-aikainen hävittäminen – voidaan suunnitella ja käynnistää.
Organisaation jatkuvuudenhallinnassa käytetään ns. toiminnan vaikutusanalyysia (Business Impact Analysis, BIA), jossa tunnistetaan toiminnan kannalta keskeisiä aktiviteetteja ja analysoidaan näihin mahdollisesti kohdistuvien häiriöiden vaikutuksia. Vaikka organisaatioiden toiminnan jatkuvuuden kannalta tärkeitä elementtejä löytyisi muualtakin kuin tietotekniikasta ja tiedosta, BIAt usein aloitetaan tunnistetusta suojattavasta omaisuudesta kuten tietojärjestelmistä ja tietoliikenneyhteyksistä. Omaisuudenhallinnasta saadut näkymät toiminnan eri osa-alueiden ja komponenttien kriittisyyksistä ja keskinäisistä kytköksistä antavat lentävän lähdön erilaisten häiriöiden vaikutusten arvioinnille. Edellä mainitussa kesähelteiden kaivuutapahtumassa oikealle taholle saatavilla ollut ja huomioon otettu tieto pää- ja varayhteyden kulkureiteistä olisi estänyt palvelukatkon.
Omaisuudenhallinta on prosessi, ei projekti
Omaisuuden, ja varsinkin tieto-omaisuuden, hallinta vaatii jatkuvaa ja suunnitelmallista tietojen ylläpitoa ja niiden eheyden edelleen kehittämistä. Tunnistettavan ja suojattavan, digitaalisessa muodossa olevan tieto-omaisuuden määrä ei ainakaan vähene. Historiaa ei voi muuttaa, mutta uusia järjestelmiä kehitettäessä, verkkorakenteita suunniteltaessa ja tietovarantoja pilvipalveluihin siirrettäessä tietoarkkitehtuuriin, tietojen omistajuuteen ja tietomassojen elinkaaren hallintaan tulee kiinnittää huomiota.
Hyvin hallittu ja johdettu tietoturvallisuus varmistaa ja tukee omaisuuden – luonnollisesti erityisesti tieto-omaisuuden – hallintaa ja sen arvon säilymistä. Suunnitelmallinen omaisuudenhallinta puolestaan antaa vahvan perustan tietoturvallisuuden, tietosuojan ja toiminnan jatkuvuuden varmistamisen luomiseen, ylläpitämiseen ja kehittämiseen.
---
Teksti: Jyrki Lahnalahti
Jyrki Lahnalahti on Kiwa Inspectan tuoteryhmäpäällikkö ja pääarvioija, minkä lisäksi hän mm. pitää koulutuksia ja osallistuu standardisointityöhön.
Kiwa Inspecta on TIVIA-kumppani. Lue lisää TIVIA-kumppanuudesta.
---
TIVIA News on TIVIAn jäsenlehti, jonka ensimmäinen numero ilmestyi kesäkuussa 2016. Lehti ilmestyy myös osana painettua Tivi-lehteä.
TIVIA Newsin artikkelit julkaistaan myös digitaalisina versioina TIVIAn verkkosivustolla, jossa ne ovat myös vapaasti luettavissa. Lisäksi TIVIA Newsin digitaalinen näköislehti on vapaasti luettavissa TIVIAn verkkosivustolla.
Lisätietoja
Tagit
Omat tagit
TIVIA ry - Asiantuntijat ja yhteyshenkilöt
TIVIA ry - Muita referenssejä
TIVIA ry - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Fellowmind - Senior UI/UX Designer
- Fellowmind - Business Intelligence Consultant
- Laura - Gaming Product Security Lead
- Laura - Suunnittelupäällikkö – TECH
- Innofactor Oyj - Sales Manager (Dynamics 365)
- Innofactor Oyj - Azure Data Engineer
- Innofactor Oyj - Konsultti, Finance & Operations (Dynamics 365)
Premium-asiakkaiden viimeisimmät referenssit
- SD Worx - Säästöjä, sujuvuutta ja varmuutta pilvipalveluiden avulla
- SD Worx - Stella hankki tarpeitansa vastaavan palkkajärjestelmän – nyt säästyy monta työpäivää kuukaudessa
- Vetonaula Oy - Vetonaula HTJ:n liiketoiminnan kasvun mahdollistajana
- SD Worx - LUMENE ja SD Worx yhteistyössä jo yli 10 vuotta
- Pengon Oy - Molokin vastuullisuusraportointi pohjaa ajantasaiseen ja automatisoituun dataan
- Pengon Oy - Tiedolla johtaminen tuo Toyota Tammer-Autolle kilpailuedun markkinoilla
- SD Worx - Bilfingerin palkkaprosessiin kaivattua tehokkuutta SD Worxin palkkapalvelun avulla
Tapahtumat & webinaarit
- 13.11.2024 - Rakettiwebinaari: ohjelmistotestaus ja sen tulevaisuus
- 13.11.2024 - Miten palvelumuotoilu poistaa epävarmuutta digi-investoinneista?
- 14.11.2024 - RoimaDay 2024
- 14.11.2024 - Verkkolaskufoorumin syysseminaari 2024
- 14.11.2024 - Tervetuloa syventymään NIS2 -direktiiviin torstaina 14.11. klo 9 - 9.45
- 19.11.2024 - The Future of Software - Embracing Collaboration in an AI-Powered World
- 19.11.2024 - Tehokkuutta ja säästöjä low-code-ratkaisuilla
Premium-asiakkaiden viimeisimmät bloggaukset
- Vetonaula Oy - 10 kyberturvallisuusvinkkiä yrityksille
- Vetonaula Oy - Dropbox-hyökkäykset ja kalasteluviestit: Mitä toimenpiteitä tulisi tehdä?
- SD Worx - Miten generatiivinen tekoäly vaikuttaa työntekijäkokemukseen?
- SD Worx - Kaipaatko lisää tehokkuutta ja tarkkuutta? On aika hyödyntää automaatiota HR:ssä ja palkanlaskennassa
- SD Worx - Miten ESG-raportointi voi vahvistaa HR:n asemaa?
- SD Worx - Palkanmaksu ei voi katketa, vaikka palkka-asiantuntija olisi poissa – ennakoi, varaudu ja hanki erityisosaaja avuksi
- SD Worx - 7 yleisintä piilokustannusta, joita aiheutuu, jos HR:n digitalisointiin ei investoida
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |