31 maaliskuuta 2022

Omaisuutta kannattaa hallita

tietoturva_tietosuoja_tieto-omaisuus_omaisuuden_hallinta_johdot_johtoja_sähkö

Tieto, data, informaatio; saman asian eri sävyjä. Digitaalisessa muodossa bitteinä luotu, säilytettävä ja siirrettävä aineisto on nimestään ja olomuodostaan riippumatta jonkun omaisuutta, jolla on jokin arvo.

Kodin olosuhdeantureista kerätty lämpötilatieto on lämmitysjärjestelmän oikean toimivuuden kannalta hyvinkin arvokasta, mutta vain lyhyen ajan. Koko perheen Afrikan matkalla otetut digikuvat ovat tallennushetkellään helposti korvattavissa uusilla otoksilla, mutta kymmenen tai viidenkymmenen vuoden kuluttua ne ovat korvaamattomia muistojen herättäjiä.

Tieto-omaisuuden riittävä ja järkevillä panostuksilla tehty suojaaminen edellyttää ymmärrystä ja tietoa siitä mitä suojataan, missä suojataan ja millaisiin tapahtumiin tai häiriöihin varaudutaan. Kansainvälisen tietoturvallisuuden hallintajärjestelmästandardin ISO/IEC 27001 mukaan käsite suojattava omaisuus sisältää itse tiedon lisäksi myös tiedon käsittelyyn ja säilytykseen liittyvät palvelut ja muut elementit. Näin ollen suojattavaa omaisuutta on yhtä lailla yrityksen kriittisen liiketoimintatiedon sisältävä toiminnanohjausjärjestelmä tietokantoineen ja palvelimineen, kuin toimistorakennuksen kellarissa sijaitseva lähiverkon solmupiste, tai SaaS-palveluna ostetun HR-järjestelmän tietosisältö. Tästä omaisuudesta, sen arvosta ja siihen kohdistuvasta riskimassasta koottu luotettava tieto on elintärkeää myös organisaation toiminnan jatkuvuuden vaikuttavassa varmistamisessa.

Tietoturvallisuus omaisuuden suojana

Päivittäisessä uutisvirrassa lisääntyneen näkyvyytensä myötä tietoturvallisuus on vuotanut tietotekniikan ammattisanastosta koko kansan sanavarastoon. Tietoturvallisuudella jo laajasti ymmärretään suojattavan tietoa erilaisin ei vain teknisin, vaan myös hallinnollisin ja ihmisten osaamiseen perustuvin keinoin. Suojattavia tiedon ominaisuuksia ovat sen luottamuksellisuus, saatavuus ja eheys.

Tiedon luottamuksellisuuden varmistaminen saa tyypillisesti paljon huomiota ja sen pettäminen tai vakava vaarantuminen voivat johtaa merkittäviin seuraamuksiin maineen menetyksestä aina rikostutkintaan asti. Verkkokaupan käyttäjätunnusten ja salasanojen vuotaminen verkkoon kaikkien saataville tai potilastietoja sisältävien paperitulosteiden löytyminen kadun varressa olevalta roskalavalta ovat esimerkkejä näistä tapauksista.

Tiedon saatavuuden laajat tai merkittävät häiriöt ovat helposti julkisuudessa ja vievät luottamusta toimijan kykyyn täyttää lupauksensa. Heinäkuussa 2021 espoolaisella rakennustyömaalla kaivinkone katkaisi nipun valokuituja. Tuossa nipussa oli mm. usean valtionhallinnon palvelun päätietoliikenneyhteys – ja yllättäen myös varayhteys. Vahingosta seurannut, useita tunteja kestänyt katkos mm. Verohallinnon palveluissa esti suunnittelemattomasti tietojärjestelmiin ja tietoon pääsyn ja siten rikkoi tiedon saatavuutta.

Tiedon suojattavista ominaisuuksista eheys on moniulotteinen ja haastava. Kommentteja on esitetty siitä, että tietoturvallisuus ei ota kantaa tiedon oikeellisuuteen. Pitää paikkansa, että tietoturvallisuus ei tunkeudu syvälle informaation sisältöön tunnistaen ja torjuen valheita. Teknisestä näkökulmasta tiedon eheys on kuitenkin myös sen oikeellisuutta: täsmäävätkö toiminnanohjausjärjestelmän eri tietokokonaisuuksien osat toisiinsa, onko PDF-muotoinen sopimus digitaalisine allekirjoituksineen aito, onko saamani sähköpostin kirjoittaja ja lähettäjä sama henkilö, jonka nimi otsikkotiedoissa näkyy. Eheä tieto säilyttää luotettavuutensa ja siten myös arvonsa.

Omaisuudenhallinta on mahdollistaja

Henkilötietojen suojaamisen edellytys on tietää millaista henkilötietoa ja siitä muodostuvia henkilörekistereitä tietovarannoissa on. Tehtäessä teknisiä kartoituksia tiedostopalvelimelta tai tietokannoista löytyvästä henkilötiedosta kuten sähköpostiosoitteista, henkilötunnuksista tai henkilönumeroista, löydökset saattavat yllättää. Aikojen saatossa ”varmuuden vuoksi” tallessa pidetyt vanhat levyjaot sisältävätkin Excel-taulukoita vaikkapa työhyvinvointiviikonlopun risteilylle osallistuneista: nimet, syntymäajat, ruoka-aineallergiat, lähiomaisen tiedot jne. Omaisuudenhallinnan tehtävä on tunnistaa ja luokitella nämäkin kohteet, jotta tarvittavat jatkotoimenpiteet – kuten tarpeettoman henkilötiedon oikea-aikainen hävittäminen - voidaan suunnitella ja käynnistää.

Organisaation jatkuvuudenhallinnassa käytetään ns. toiminnan vaikutusanalyysia (Business Impact Analysis, BIA), jossa tunnistetaan toiminnan kannalta keskeisiä aktiviteetteja ja analysoidaan näihin mahdollisesti kohdistuvien häiriöiden vaikutuksia. Vaikka organisaatioiden toiminnan jatkuvuuden kannalta tärkeitä elementtejä on muitakin kuin tietotekniikkaa ja tietoa, BIAt usein aloitetaan tunnistetusta suojattavasta omaisuudesta kuten tietojärjestelmistä ja tietoliikenneyhteyksistä. Omaisuudenhallinnasta saadut näkymät toiminnan eri osa-alueiden ja komponenttien kriittisyyksistä ja keskinäisistä kytköksistä antavat lentävän lähdön erilaisten häiriöiden vaikutusten arvioinnille. Edellä mainitussa kesähelteiden kaivuutapahtumassa oikealle taholle saatavilla ollut ja huomioon otettu tieto pää- ja varayhteyden kulkureiteistä olisi estänyt palvelukatkon.

Omaisuudenhallinta on prosessi, ei projekti

Omaisuuden, ja varsinkin tieto-omaisuuden, hallinta vaatii jatkuvaa ja suunnitelmallista tietojen ylläpitoa ja niiden eheyden edelleen kehittämistä. Tunnistettavan ja suojattavan, digitaalisessa muodossa olevan tieto-omaisuuden määrä ei ainakaan vähene. Historiaa ei voi muuttaa, mutta uusia järjestelmiä kehitettäessä, verkkorakenteita suunniteltaessa ja tietovarantoja pilvipalveluihin siirrettäessä tietoarkkitehtuuriin, tietojen omistajuuteen ja tietomassojen elinkaaren hallintaan tulee kiinnittää huomiota.

Hyvin hallittu ja johdettu tietoturvallisuus varmistaa ja tukee omaisuuden – luonnollisesti erityisesti tieto-omaisuuden – hallintaa ja sen arvon säilymistä. Suunnitelmallinen omaisuudenhallinta puolestaan antaa vahvan perustan tietoturvallisuuden, tietosuojan ja toiminnan jatkuvuuden varmistamisen luomiseen, ylläpitämiseen ja kehittämiseen.

 

tietosuoja_tietoturva_asiantuntija_jyrki_lahnalahti

Tekstin on kirjoittanut Jyrki Lahnalahti, Kiwa Inspectan tuoteryhmäpäällikkö, pääarvioija ja tietoturva-asiantuntija. Teksti on julkaistu alunperin TIVIA Newsin lokakuun numerossa 2021.