Osa ISO 27001 -kokoelmaa
Osa NIS2-kokoelmaa

Tietojärjestelmien fiksu hallinta - lähtökohta digiturvalle

ISO 27001
Tietojärjestelmien fiksu hallinta - lähtökohta digiturvalle
NIS2
Tietojärjestelmien fiksu hallinta - lähtökohta digiturvalle
Artikkelit
Tietojärjestelmien fiksu hallinta - lähtökohta digiturvalle

Jokainen organisaatio elää yhä enemmän tietojärjestelmistä, joiden kautta toimintaa ohjataan ja dataa käsitellään. Järjestelmillä ohjataan omaa tuotantoa, myyntiä, asiakaspalvelua - kaikkia toiminnan ydinprosesseja. Isossa kunnassa tai sairaanhoitopiirissä tietojärjestelmiä on satoja - jopa tuhansia. Keskikokoisessa yrityksessäkin yleensä yli 100, pienessäkin kymmeniä.

Tämä järjestelmäportfolio vaatii uudenlaista johtamista ja hallintaa, sekä turvallisuuden että tehokkuuden näkökulmasta.

Millaisia eri tietojärjestelmät ovat?

Tietojärjestelmät eroavat organisaation digiturvan näkökulmasta etenkin toimitustavan ja teknisten vastuiden suhteen.

Julkiset (tai yksityiset) pilvipalvelut

Julkiset pilvipalvelut ovat tarjolla yleiseen käyttöön internetin välityksellä. Palveluntarjoaja huolehtii yleensä palvelun päivityksistä, teknisestä ylläpidosta, varmuuskopioinnista, lokitusten järjestämisestä sekä muusta teknisestä tietoturvasta omien käytäntöjensä mukaan.

Julkisia pilvipalveluja livahtaa usein organisaatioiden käyttöön työntekijälähtöisesti, IT-osaston huomaamatta. Työntekijät voivat napata uuden projektinhallintasysteemin käyttöön vanhan kankean tilalle niin helposti, että tutkimusten mukaan IT-osasto aliarvioi pilvipalvelujen käytön jopa n.15-kertaisesti todellista pienemmäksi (eli luullaan käytössä olevan esim. 10 pilvipalvelua, kun todellisuus on 150).

Yksityisissä pilvipalveluissa puolestaan järjestelmän tarjoamiseksi käytetty IT-ympäristö on dedikoitu vain tietyn asiakkaan käyttöön, jolloin turvallisuudessa ja vaatimustenmukaisuudessa voidaan päästä pidemmälle, samalla kustannukset nousevat.

On-premises -järjestelmät

On-premises vittaa järjestelmiin, jotka on asennettu organisaation toimitiloissa oleville palvelimille ja tarjoillaan käyttäjille organisaation sisäisen verkon kautta.

Kun pilvipalveluissa toimittaja huolehtii mm. päivitykset keskitetysti, on-premises -järjestelmien suhteen organisaatiomme pitää itse huolehtia tämä osa-alue. Omiin toimitiloihin asennetut järjestelmät tuovat lisää ajateltavaa myös fyysisen turvallisuuden puolelta, esimerkiksi kulunvalvonta tai muut hälytysjärjestelmät palvelintiloissa ovat tällöin oleellisia.

Omat (itse kehitetyt) IT-palvelut

Vastuiltaan hyvin erilaisia ovat lisäksi ne IT-palvelut, joiden kehittämisestä ja ylläpidosta organisaatio vastaa itse täysin, joko itselleen tai myös ulkoisille asiakkaille.

Näiden palvelujen suhteen olemme itse vastuussa sekä kehityksestä että teknisestä tietoturvasta. Samoin meidän tulee käyttöehdoissa ja mm. sopimuksessa henkilöitietojen käsittelystä sitoutua tiettyihin vastuisiin, mm. rekisteröideyn oikeuksien toteuttamisessa sekä henkilötietojen palauttamisessa rekisterinpitäjälle tarvittaessa.

Rakenteettomat tietovarannot

Tämä termi viittaa exceleihin, papereihin, sähköpostien lomassa lymyileviin tai intranettiin tuupattuihin tärkeisiin tietoihin. Tietoihin, jotka ovat paikoissa, joita ei alunperin ole suunniteltu juuri näiden tietojen varastointiin ja käsittelyyn. Näiltä tiedoilta puuttuvat yleensä tietoturvan perusteet, kuten pääsynhallinta, käytön valvonta tai varmuuskopiointi. Lisäksi on vaikea tietää, paljonko tätä rakenteetonta tietoa oikein on, ja missä.

Miksi järjestelmien hallinta kannattaa?

Nykyaikana yhä useampi organisaatio on täysin riippuvainen käyttämiensä tietojärjestelmien virheettömästä toiminnasta.

Tässä muutamia järjestelmien hallinnan tuomia hyötyjä:

  • Voimme panostaa oikeasti tärkeisiin järjestelmiin - Tutkimusten mukaan merkittävä osa järjestelmistä jää turhiksi, mutta lojumaan silti käyttöön - kuluttamaan rahaa ja muita resursseja. Samaan asiaan (esim. viestintä, tehtävienhallinta, jne.) kertyy helposti myös käyttöön useita päällekkäisiä järjestelmiä, jotka tekevät ainakin pääosin samat temput. Kun tiedämme tämän ja näemme kokonaisuuden, voimme karsia järjestelmien määrää, joka johtaa tehokkaammin hyödynnettyihin järjestelmiin.
  • Järjestelmien osaavampi käyttö - IT ei voi tukea ja ohjeistaa järjestelmiä, joista se ei tiedä. Muut yksiköt eivät voi hyödyntää tietoa, jonka olemassaolosta he eivät tiedä. IT ei voi tilata integraatioita järjestelmien välille, joita ei hallita keskitetysti.
  • Turvallisuus ja riskit hallinnassa - Päätös ottaa tietojärjestelmä käyttöön on samalla päätös luottaa tämän järjestelmän toimintaan ja kykyyn suojata henkilötietoja tai yrityssalaisuuksia, joita järjestelmään laitamme. Eri luokkainen tieto vaatii toki erilaiset turvallisuuskriteerit, mutta vähintääkin yleisillä kriteereillä pitäisi ohjata päätöksentekoa (ja sitä kautta riskiajattelua). Iso osa myös esimerkiksi tietosuojaan liittyvien vaatimusten täyttymisestä riippuu siitä, ymmärrämmekö järjestelmäportfoliomme (tiedämmekö esim. mitä tietoa meillä on ja missä, jotta voimme kertoa siitä?) ja tukevatko nämä järjestelmät rekisteröidyn oikeuksien toteuttamista.
  • Tulevaisuuden järjestelmäsuunnittelu kokonaisuuden ja yhteistoiminnan näkökulmasta - Kuinka voimme kehittää portfoliotamme palvelemaan toiminnan tarpeita paremmin? Mikä tapahtuu integraatioiden avulla, mikä laajentamalla jonkin käytössäolevan järjestelmän versiota, mikä hankkimalla uusia järjestelmiä? Mitkä ovat meille tärkeät kriteerit järjestelmiä hankittaessa, jotta portfolio kehittyy myös kokonaisuutena hyvään suuntaan?

Mitä asioita järjestelmän pääkäyttäjälle voi kuulua?

Järjestelmä pääkäyttäjä on henkilö, joka monissa organisaatioissa on totuttu nimeämään. Monesti hän on vastuussa vähintäänkin järjestelmän toiminnasta yleisesti ja muiden ohjeistamisesta ongelmatilanteissa. Jos puretaan tätä roolia hieman tarkemmin, se olisi mielestämme järkeää jakaa seuraavantyylisiin tehtäviin, joissa voidaan mennä järjestelmän tärkeydestä riippuen joku enemmän tai vähemmän syvälle.

Tulemme esittelemään näitä järjestelmähallinnan osa-alueita tarkemmin tulevissa artikkeleissa ja webinareissa.

Järjestelmän perusasiat

  • käyttötarkoitus - eli mitä temppuja teemme järjestelmän kautta
  • järjestelmän täykeys (entä jos järjestelmän toiminnot eivät olisikaan saatavissa?)
  • toimittaja, hosting-tapa, tietojen sijainti ja ehdot / sopimukset
  • hinta per käyttäjä (tai muu muuttuja)
  • nykyiset käyttäjät ja heidän aktiivisuus
  • järjestelmän sisältämät tiedot ja niiden tärkeys (entä jos järjestelmän tiedot eivät olisikaan saatavissa?)
  • käyttäjien ohjeistus

Tietoturva-analyysi

  • pääsyoikeusroolien määrittely
  • käytettyjen tunnistamistapojen määrittely
  • varmuuskopioinnin tarkistus / määrittely
  • käytön valvontatavat ja seuranta
  • integraatiot / rajapinnat
  • tietojen tarkempi luokittelu (julkinen, salainen, erittäin salainen, jne.)
  • kumppanin tietoturvakäytäntöjen auditointi
  • tietoturvariskien tunnistaminen, arviointi ja hallinta

Tietosuoja-analyysi

  • käyttötarkoitukset - eli kenen tietoja, mitä tietoja, minkä tekemiseksi käytetään ja millä oikeusperusteella
  • rekisteröityn oikeudet - voiko tiedot tarvittaessa mm. poistaa, rajata tai ladata näytettäväksi
  • järjestelmän tietojen eri säilytysajat
  • tietojen poistoprosessit
  • henkilötietojen käsittelystä informointi
  • tietosuojariskien tunnistaminen, arviointi ja hallinta

Hyvää digiturvaa ei voi olla ilman järjestelmällistä tietojärjestelmien hallintaa. Pureudumme jatkossa tarkemmin näiden listausten yksittäisiin kohtiin. Järjestelmien hallinta on tiimillemme myös tärkeä tulevaisuuden kehityssuunta omissa palveluissamme.

Kirjoittanut
Aleksi Pulkkanen
10.4.2019
@
apulkkanen
LinkedIn

Sisältö

Muita kokoelman artikkeleita

Koko ISO 27001 -kokoelma
Katso koko NIS2-kokoelma

Muita liittyviä artikkeleita

Jaa artikkeli

Muuta samanlaista sisältöä Akatemiassa

Blogikirjoitukset

10 seikkaa, jotka olisin toivonut tienneeni: ISO 27001 -projektin aloittaminen oikeilla raiteilla

10 keskeistä asiaa, jotka olemme oppineet ISO 27001 -sertifiointihankkeen läpiviemisestä - selkeiden tavoitteiden asettamisen ja dokumentoinnin tärkeydestä riskienhallinnan realiteetteihin ja oikeiden työkalujen käytön arvoon.
24.4.2025

NIS2 valvonta ja seuraamukset vaatimusten noudattamatta jättämisestä

Tarkastellaan NIS2-direktiiviä, sen valvontaa EU:n jäsenvaltioissa ja sitä, mitä valvotaan. Tutustutaan myös NIS2-direktiivin noudattamatta jättämisestä aiheutuviin seuraamuksiin ja siihen, miten voit pysyä vaatimusten mukaisena.
17.4.2025

EU:n vaatimuskehikot vertailussa: NIS2, GDPR, DORA ja muut

Keskeisten kyberturvallisuuden vaatimuskehikkojen vertailu EU:ssa – NIS2, GDPR, DORA, CRA ja ISO 27001. Katso, ketä ne koskevat ja mitä ne edellyttävät.
11.4.2025

Aloita jo tänään

Aloita ilmaiseksi tutussa Microsoft Teams -ympäristössä.
Jos sinulla on kysymyksiä, varaa palaveri sinulle sopivaan ajankohtaan.

Ilmainen 14 päivän kokeilu
Varaa palaveri

Tutustu tiimiimme

Tiimillämme on vankka osaaminen tietourvasta, ohjelmistokehityksestä, tietosuojasta sekä compliancesta.

Lähde mukaan kumppaniksi? 

Kumppanoidumme mielellään muiden alan osaajien kanssa. Varaa palaveri, niin keskustellaan asiasta lisää.
EtusivuHinnastoAsiakkaatTiimiTietoturvaVaraa demoVaraa palaveriKirjauduKokeile
Kuinka se toimii?
YhteenvetoTietoturvatehtävät ja toteutusDokumennoin työkalutHenkilöstön digiturvaohjeetAutomatisoitu raportointi
Käyttötavat
Kehikon mukaanKaikki vaatimuskehikotISO 27001TiedonhallintalakiNIS2-direktiiviNIST CSFCSA CCMISO 27701GDPR, Tietosuoja-asetusISO 27017ISO 27018
Teeman mukaanTietoturvariskien hallintaHenkilöstön tietoisuusCompliance-raportointiHallintakeinojen toteutusSuojattavan omaisuuden hallintaDynaamiset politiikkadokumentitTietosuojan hallinta
Resurssit
AkatemiaWebinaaritTilaa uutiskirjeOhjekeskusBlogiVideokurssitViikon digiturvauutisetKäyttöehdotTietosuojaselosteetSisältöpankki: ISO 27001Sisältöpankki: GDPRSisältöpankki: KatakriSisältöpankki: TiedonhallintalakiLabs
Ota yhteyttä
+358 10 231 6010
tiimi@digiturvamalli.fi
Labs
Tarjolla kielillä:
Digiturvamalli tunnetaan kansainvälisesti nimellä Cyberday
© Cyberday Oy, Kalevantie 2 33100 Tampere, Suomi
Digiturvamalli.fi - Moderni alusta tietoturvan hallintaan ja sertifiointiin