Omaisuutta kannattaa hallita
Tieto, data, informaatio; saman asian eri sävyjä. Digitaalisessa muodossa bitteinä luotu, säilytettävä ja siirrettävä aineisto on nimestään ja olomuodostaan riippumatta jonkun omaisuutta, jolla on jokin arvo.
Kodin olosuhdeantureista kerätty lämpötilatieto on lämmitysjärjestelmän oikean toimivuuden kannalta hyvinkin arvokasta, mutta vain lyhyen ajan. Koko perheen Afrikan matkalla otetut digikuvat ovat tallennushetkellään helposti korvattavissa uusilla otoksilla, mutta kymmenen tai viidenkymmenen vuoden kuluttua ne ovat korvaamattomia muistojen herättäjiä.
Tieto-omaisuuden riittävä ja järkevillä panostuksilla tehty suojaaminen edellyttää ymmärrystä ja tietoa siitä mitä suojataan, missä suojataan ja millaisiin tapahtumiin tai häiriöihin varaudutaan. Kansainvälisen tietoturvallisuuden hallintajärjestelmästandardin ISO/IEC 27001 mukaan käsite suojattava omaisuus sisältää itse tiedon lisäksi myös tiedon käsittelyyn ja säilytykseen liittyvät palvelut ja muut elementit. Näin ollen suojattavaa omaisuutta on yhtä lailla yrityksen kriittisen liiketoimintatiedon sisältävä toiminnanohjausjärjestelmä tietokantoineen ja palvelimineen kuin toimistorakennuksen kellarissa sijaitseva lähiverkon solmupiste tai SaaS-palveluna ostetun HR-järjestelmän tietosisältö. Tästä omaisuudesta, sen arvosta ja siihen kohdistuvasta riskimassasta koottu luotettava tieto on elintärkeää myös organisaation toiminnan jatkuvuuden vaikuttavassa varmistamisessa.
Tietoturvallisuus omaisuuden suojana
Päivittäisessä uutisvirrassa lisääntyneen näkyvyytensä myötä tietoturvallisuus on vuotanut tietotekniikan ammattisanastosta koko kansan sanavarastoon. Tietoturvallisuudella jo laajasti ymmärretään suojattavan tietoa erilaisin ei vain teknisin vaan myös hallinnollisin ja ihmisten osaamiseen perustuvin keinoin. Suojattavia tiedon ominaisuuksia ovat sen luottamuksellisuus, saatavuus ja eheys.
Tiedon luottamuksellisuuden varmistaminen saa tyypillisesti paljon huomiota ja sen pettäminen tai vakava vaarantuminen voivat johtaa merkittäviin seuraamuksiin maineen menetyksestä aina rikostutkintaan asti. Verkkokaupan käyttäjätunnusten ja salasanojen vuotaminen verkkoon kaikkien saataville tai potilastietoja sisältävien paperitulosteiden löytyminen kadun varressa olevalta roskalavalta ovat esimerkkejä näistä tapauksista.
Suojattavia tiedon ominaisuuksia ovat sen luottamuksellisuus, saatavuus ja eheys.
Tiedon saatavuuden laajat tai merkittävät häiriöt ovat helposti julkisuudessa ja vievät luottamusta toimijan kykyyn täyttää lupauksensa. Heinäkuussa 2021 espoolaisella rakennustyömaalla kaivinkone katkaisi nipun valokuituja. Tuossa nipussa oli mm. usean valtionhallinnon palvelun päätietoliikenneyhteys – ja yllättäen myös varayhteys. Vahingosta seurannut, useita tunteja kestänyt katkos mm. Verohallinnon palveluissa esti suunnittelemattomasti tietojärjestelmiin ja tietoon pääsyn ja siten rikkoi tiedon saatavuutta.
Tiedon suojattavista ominaisuuksista eheys on moniulotteinen ja haastava. Kommentteja on esitetty siitä, että tietoturvallisuus ei ota kantaa tiedon oikeellisuuteen. Pitää paikkansa, että tietoturvallisuus ei tunkeudu syvälle informaation sisältöön tunnistaen ja torjuen valheita. Teknisestä näkökulmasta tiedon eheys on kuitenkin myös sen oikeellisuutta: täsmäävätkö toiminnanohjausjärjestelmän eri tietokokonaisuuksien osat toisiinsa, onko PDF-muotoinen sopimus digitaalisine allekirjoituksineen aito, onko saamani sähköpostin kirjoittaja ja lähettäjä sama henkilö, jonka nimi otsikkotiedoissa näkyy. Eheä tieto säilyttää luotettavuutensa ja siten myös arvonsa.
Artikkeli jatkuu kuvan jälkeen.
Kiwa Inspecta on yksi maailman suurimmista testaus-, tarkastus- ja sertifiointialan toimijoista, joka toimii useilla eri toimialoilla. Kiwa Inspecta on puolueeton, innovatiivinen ja sitoutunut kumppani, jonka visio on olla edelläkävijä turvallisuuden ja vastuullisen kehittämisessä. Kuva: Kiwa Inspecta
Omaisuudenhallinta on mahdollistaja
Henkilötietojen suojaamisen edellytys on tietää, millaista henkilötietoa ja siitä muodostuvia henkilörekistereitä tietovarannoissa on. Kun tehdään teknisiä kartoituksia tiedostopalvelimelta tai tietokannoista löytyvästä henkilötiedosta kuten sähköpostiosoitteista, henkilötunnuksista tai henkilönumeroista, löydökset saattavat yllättää. Aikojen saatossa ”varmuuden vuoksi” tallessa pidetyt vanhat levyjaot sisältävätkin Excel-taulukoita vaikkapa työhyvinvointiviikonlopun risteilylle osallistuneista: nimet, syntymäajat, ruoka-aineallergiat, lähiomaisen tiedot jne. Omaisuudenhallinnan tehtävä on tunnistaa ja luokitella nämäkin kohteet, jotta tarvittavat jatkotoimenpiteet – kuten tarpeettoman henkilötiedon oikea-aikainen hävittäminen – voidaan suunnitella ja käynnistää.
Organisaation jatkuvuudenhallinnassa käytetään ns. toiminnan vaikutusanalyysia (Business Impact Analysis, BIA), jossa tunnistetaan toiminnan kannalta keskeisiä aktiviteetteja ja analysoidaan näihin mahdollisesti kohdistuvien häiriöiden vaikutuksia. Vaikka organisaatioiden toiminnan jatkuvuuden kannalta tärkeitä elementtejä löytyisi muualtakin kuin tietotekniikasta ja tiedosta, BIAt usein aloitetaan tunnistetusta suojattavasta omaisuudesta kuten tietojärjestelmistä ja tietoliikenneyhteyksistä. Omaisuudenhallinnasta saadut näkymät toiminnan eri osa-alueiden ja komponenttien kriittisyyksistä ja keskinäisistä kytköksistä antavat lentävän lähdön erilaisten häiriöiden vaikutusten arvioinnille. Edellä mainitussa kesähelteiden kaivuutapahtumassa oikealle taholle saatavilla ollut ja huomioon otettu tieto pää- ja varayhteyden kulkureiteistä olisi estänyt palvelukatkon.
Omaisuudenhallinta on prosessi, ei projekti
Omaisuuden, ja varsinkin tieto-omaisuuden, hallinta vaatii jatkuvaa ja suunnitelmallista tietojen ylläpitoa ja niiden eheyden edelleen kehittämistä. Tunnistettavan ja suojattavan, digitaalisessa muodossa olevan tieto-omaisuuden määrä ei ainakaan vähene. Historiaa ei voi muuttaa, mutta uusia järjestelmiä kehitettäessä, verkkorakenteita suunniteltaessa ja tietovarantoja pilvipalveluihin siirrettäessä tietoarkkitehtuuriin, tietojen omistajuuteen ja tietomassojen elinkaaren hallintaan tulee kiinnittää huomiota.
Hyvin hallittu ja johdettu tietoturvallisuus varmistaa ja tukee omaisuuden – luonnollisesti erityisesti tieto-omaisuuden – hallintaa ja sen arvon säilymistä. Suunnitelmallinen omaisuudenhallinta puolestaan antaa vahvan perustan tietoturvallisuuden, tietosuojan ja toiminnan jatkuvuuden varmistamisen luomiseen, ylläpitämiseen ja kehittämiseen.
---
Teksti: Jyrki Lahnalahti
Jyrki Lahnalahti on Kiwa Inspectan tuoteryhmäpäällikkö ja pääarvioija, minkä lisäksi hän mm. pitää koulutuksia ja osallistuu standardisointityöhön.
Kiwa Inspecta on TIVIA-kumppani. Lue lisää TIVIA-kumppanuudesta.
---
TIVIA News on TIVIAn jäsenlehti, jonka ensimmäinen numero ilmestyi kesäkuussa 2016. Lehti ilmestyy myös osana painettua Tivi-lehteä.
TIVIA Newsin artikkelit julkaistaan myös digitaalisina versioina TIVIAn verkkosivustolla, jossa ne ovat myös vapaasti luettavissa. Lisäksi TIVIA Newsin digitaalinen näköislehti on vapaasti luettavissa TIVIAn verkkosivustolla.
TIVIA ry - Asiantuntijat ja yhteyshenkilöt
TIVIA ry - Muita referenssejä
TIVIA ry - Muita bloggauksia
It- ja ohjelmistoalan työpaikat
- Laura - Ohjelmistokehittäjä
- Nordea - Senior Manual Test Engineer, Nordea Payments
- Nordea - Senior Test Automation Engineer with Python, Nordea Payments
- Nordea - Senior IT Analyst in SWIFT area
- Laura - C++ kehittäjä
- Nordea - Senior Backend Developer, Nordea Finance
- Laura - Palveluvastaava, tietohallinto
Premium-asiakkaiden viimeisimmät referenssit
- e21 Solutions Oy - Pakkausalan Benchmark-palvelu Mercamerilta
- Into-Digital Oy - S-Ryhmän rengasliiketoiminnan digitaalinen kauppapaikka
- Into-Digital Oy - Burger Kingin Whopperit, ravintolat, aukioloajat ja kampanjat verkossa
- Into-Digital Oy - Uusi Worldvision.fi viemään järjestön varainhankinta uudelle tasolle
- Netum Group Oyj - Radio- ja tv-museo Mastolassa opastaa kohta tekoälypohjainen asiakaspalvelija
- Netum Group Oyj - Peppi-järjestelmän ylläpito turvaa opiskelijoiden ja opettajien arjen sujuvuuden Lapin korkeakouluissa
- Into-Digital Oy - Suomalaisen työn uusi verkkopalvelu edistämään jäsenpalvelua ja -hankintaa
Tapahtumat & webinaarit
- 29.01.2025 - Modern toolchain and AI breakfast seminar with Eficode, AWS and HashiCorp
- 30.01.2025 - 30.1.2025 | Webinaari: Tehokkaampaa tuotantoa teollisuusyritykselle Fellowmindin Manufacturing Template -ratkaisulla
- 30.01.2025 - Suuri Rahoitusilta
- 30.01.2025 - Open Future
- 29.01.2025 - SecD-Day event
- 05.02.2025 - Smart Commerce Nordic 2025
- 05.02.2025 - AIX Forum - Medical Device Regulation and AI: Success Stories
Premium-asiakkaiden viimeisimmät bloggaukset
- Ready Solutions Oy - Mitä on Data Science tai datatiede?
- Ready Solutions Oy - Mikä on datatuote?
- Into-Digital Oy - Onnistunut verkkopalvelu – millainen se on ja miten niitä tehdään?
- Into-Digital Oy - Miksi verkkosivusto kannattaa uudistaa nyt, eikä sitten joskus?
- Netum Group Oyj - ”Jatkuva release-show ei tunnu kovin upealta” – tietojärjestelmäprojektin julkaisuprosessin kehittäminen
- Netum Group Oyj - Jälkitunnelmia ja -ajatuksia Kuntamarkkinoilta
- Into-Digital Oy - Oletko tekemässä B2B-verkkosivua? Huomioi ainakin nämä asiat
Digitalisaatio & innovaatiot blogimediaBlogimediamme käsittelee tulevaisuuden liiketoimintaa, digitaalisia innovaatioita ja internet-ajan ilmiöitä |