Jokainen organisaatio elää yhä enemmän tietojärjestelmistä, joiden kautta toimintaa ohjataan ja dataa käsitellään. Järjestelmillä ohjataan omaa tuotantoa, myyntiä, asiakaspalvelua - kaikkia toiminnan ydinprosesseja. Isossa kunnassa tai sairaanhoitopiirissä tietojärjestelmiä on satoja - jopa tuhansia. Keskikokoisessa yrityksessäkin yleensä yli 100, pienessäkin kymmeniä.
Tämä järjestelmäportfolio vaatii uudenlaista johtamista ja hallintaa, sekä turvallisuuden että tehokkuuden näkökulmasta.
Tietojärjestelmät eroavat organisaation digiturvan näkökulmasta etenkin toimitustavan ja teknisten vastuiden suhteen.
Julkiset (tai yksityiset) pilvipalvelut
Julkiset pilvipalvelut ovat tarjolla yleiseen käyttöön internetin välityksellä. Palveluntarjoaja huolehtii yleensä palvelun päivityksistä, teknisestä ylläpidosta, varmuuskopioinnista, lokitusten järjestämisestä sekä muusta teknisestä tietoturvasta omien käytäntöjensä mukaan.
Julkisia pilvipalveluja livahtaa usein organisaatioiden käyttöön työntekijälähtöisesti, IT-osaston huomaamatta. Työntekijät voivat napata uuden projektinhallintasysteemin käyttöön vanhan kankean tilalle niin helposti, että tutkimusten mukaan IT-osasto aliarvioi pilvipalvelujen käytön jopa n.15-kertaisesti todellista pienemmäksi (eli luullaan käytössä olevan esim. 10 pilvipalvelua, kun todellisuus on 150).
Yksityisissä pilvipalveluissa puolestaan järjestelmän tarjoamiseksi käytetty IT-ympäristö on dedikoitu vain tietyn asiakkaan käyttöön, jolloin turvallisuudessa ja vaatimustenmukaisuudessa voidaan päästä pidemmälle, samalla kustannukset nousevat.
On-premises -järjestelmät
On-premises vittaa järjestelmiin, jotka on asennettu organisaation toimitiloissa oleville palvelimille ja tarjoillaan käyttäjille organisaation sisäisen verkon kautta.
Kun pilvipalveluissa toimittaja huolehtii mm. päivitykset keskitetysti, on-premises -järjestelmien suhteen organisaatiomme pitää itse huolehtia tämä osa-alue. Omiin toimitiloihin asennetut järjestelmät tuovat lisää ajateltavaa myös fyysisen turvallisuuden puolelta, esimerkiksi kulunvalvonta tai muut hälytysjärjestelmät palvelintiloissa ovat tällöin oleellisia.
Omat (itse kehitetyt) IT-palvelut
Vastuiltaan hyvin erilaisia ovat lisäksi ne IT-palvelut, joiden kehittämisestä ja ylläpidosta organisaatio vastaa itse täysin, joko itselleen tai myös ulkoisille asiakkaille.
Näiden palvelujen suhteen olemme itse vastuussa sekä kehityksestä että teknisestä tietoturvasta. Samoin meidän tulee käyttöehdoissa ja mm. sopimuksessa henkilöitietojen käsittelystä sitoutua tiettyihin vastuisiin, mm. rekisteröideyn oikeuksien toteuttamisessa sekä henkilötietojen palauttamisessa rekisterinpitäjälle tarvittaessa.
Rakenteettomat tietovarannot
Tämä termi viittaa exceleihin, papereihin, sähköpostien lomassa lymyileviin tai intranettiin tuupattuihin tärkeisiin tietoihin. Tietoihin, jotka ovat paikoissa, joita ei alunperin ole suunniteltu juuri näiden tietojen varastointiin ja käsittelyyn. Näiltä tiedoilta puuttuvat yleensä tietoturvan perusteet, kuten pääsynhallinta, käytön valvonta tai varmuuskopiointi. Lisäksi on vaikea tietää, paljonko tätä rakenteetonta tietoa oikein on, ja missä.
Nykyaikana yhä useampi organisaatio on täysin riippuvainen käyttämiensä tietojärjestelmien virheettömästä toiminnasta.
Tässä muutamia järjestelmien hallinnan tuomia hyötyjä:
Järjestelmä pääkäyttäjä on henkilö, joka monissa organisaatioissa on totuttu nimeämään. Monesti hän on vastuussa vähintäänkin järjestelmän toiminnasta yleisesti ja muiden ohjeistamisesta ongelmatilanteissa. Jos puretaan tätä roolia hieman tarkemmin, se olisi mielestämme järkeää jakaa seuraavantyylisiin tehtäviin, joissa voidaan mennä järjestelmän tärkeydestä riippuen joku enemmän tai vähemmän syvälle.
Järjestelmän perusasiat
Tietoturva-analyysi
Tietosuoja-analyysi
Hyvää digiturvaa ei voi olla ilman järjestelmällistä tietojärjestelmien hallintaa. Pureudumme jatkossa tarkemmin näiden listausten yksittäisiin kohtiin. Järjestelmien hallinta on tiimillemme myös tärkeä tulevaisuuden kehityssuunta omissa palveluissamme.