Mitä on tietoturva? Ja miten sovellusten tietoturvaa johdetaan?

IT-johtaminen
Avatar
Author

Tietoturva on noussut viime vuoden aikana yhdeksi puhutuimmista aiheista omistajien, hallitusten ja johtoryhmien keskuudessa. Tietoturvan ajankohtaisuuden taustalla ovat mm. Venäjän käyttämät kybertoimet Venäjän aloittamassa hyökkäyssodassa Ukrainassa ja viime vuosina tapahtuneet merkittävät tietoturvapoikkeamat, kuten Vastaamon tietomurto, LastPassin tietoturvapoikkeama & sekä VMWaren kriittinen haavoittuvuus koskien VMWare ESXi-ohjelmistoa.

Tietoturvapoikkeamilla on yhä laajempia vaikutuksia yritysten toimintaan ja yksilöiden elämään. Vastaamon tietomurto johti jopa 33 300 henkilön arkaluonteisen henkilötietojen vuotamiseen, liiketoiminnan päättymiseen sekä toimitusjohtajan henkilökohtaisen omaisuuden takavarikointiin ja syytteeseen & oikeudenkäyntiin tietosuojarikoksesta, LastPassin tietoturvapoikkeama johti negatiiviseen julkisuuteen sekä menetettyihin asiakkaisiin ja VMWaren kriittinen haavoittuvuus mm. merkittäviin RansomWare -hyökkäyksiin

Tietoturvakenttä muuttuu nopeaa vauhtia teknologian nopean kehityksen, pilvipalveluiden yleistymisen sekä yritysten digitalisaation myötä. Prosessit digitalisoituvat, perinteistä infraa viedään pilveen kovaa vauhtia ja eri tyyppisiä pilvipalveluita ostetaan tiuhaa tahtia. Yrityksen oman palvelimen, siellä olevien sovellusten & tiedon ja verkon suojaamisen sijaan yrityksen tietoa luotetaan yhä useamman pilvipalveluiden toimittajien palvelimille, tietoa käsitellään julkisen internetin kautta ja laitteet kulkevat käyttäjien mukana mobiilisti myös vapaa-ajalla. Tietoturvasta tulee yhä monimutkaisempaa ja monimuotoisempaa.

Viimeistään nyt johto ei enää voi sulkea silmiään tietoturvalta, vaan joutuu aloittamaan toimenpiteet tietoturvatason parantamiseksi ja johtamiseksi. Monelle johtajalle tietoturva on kuitenkin hankalasti käsitettävä ja johdettava asia. Pelkkä tietokoneiden virustorjunta ei enää nykyään riitä hyvän tietoturvatason saavuttamiseksi, vaan tietoturva vaatii oman strategiansa, hallinnollisia toimenpiteitä ja teknisiä ratkaisuja.

Ymmärtääksemme paremmin, mistä tietoturvassa on kyse, käydään ensin läpi vastauksia kysymykseen “Mitä on tietoturva?”

Mitä on tietoturva?

Wikipedia määrittelee Tietoturvan seuraavasti: Tietoturva eli tietoturvallisuus tarkoittaa tiedon saatavuuden, luottamuksellisen ja eheyden ylläpitämistä”.

Kysyimme asiaa myös ChatGPT:ltä ja saimme seuraavan vastauksen:

Tietoturva on käytäntö, jolla suojataan tietojärjestelmiä, tietokoneita, verkkoja, laitteita ja tietoja luvattomalta käytöltä, muutoksilta, varkailta tai vahingoilta. Tietoturva pyrkii varmistamaan, että tieto on käytettävissä vain niille henkilöille, jotka ovat oikeutettuja siihen, ja että tieto on eheää ja luotettavaa.

Tietoturva sisältää monia eri toimenpiteitä ja tekniikoita, kuten salasanojen käytön, tietojen salaamisen, palomuurien käytön, virustorjunnan, verkon suojauksen ja monia muita. Tietoturvan tavoitteena on minimoida riskit, jotka liittyvät tietojen väärinkäyttöön, varkauksiin tai vahinkoon, ja varmistaa, että tietojärjestelmät ovat aina käytettävissä, kun niitä tarvitaan. Tietoturvaa tarvitaan kaikkialla, missä käsitellään arkaluontoista tietoa, kuten yrityksissä, hallituksissa, sairaaloissa, pankeissa ja muissa organisaatioissa.

Yhdistämällä Wikipedian määritelmän sekä ChatGPT:n vastauksen saamme aikaiseksi seuraavan määritelmän:

“Tietoturva on käytäntö, joka sisältää joukon monia toimenpiteitä ja tekniikoita, joilla varmistetaan tietoturvallisuus eli tiedon saatavuus, luottamuksellisuus ja eheyden ylläpitäminen.”

Tietoturva on siis sekä johtamista, että tekniikkaa. Tämä määritelmä toimii hyvin, joten lukitaan se ja mennään eteenpäin!

Miten sovellusten tietoturvaa johdetaan?

Tietoturvan johtaminen aloitetaan aina, kuten mikä tahansa strateginen IT-johtaminen vastaamalla kysymykseen “Missä olemme nyt?”. Tietoturvakartoitus on hyvä tapa selvittää organisaation tietoturvan nykytila.

Tyypillisesti tietoturvakartoituksissa keskitytään tietokoneiden tietoturvaan, palomuurien ja verkon tietoturvaan. Tiedon saatavuuden, luottamuksellisuuden ja eheyden ylläpitämisen varmistamiseksi on kuitenkin keskeistä tunnistaa kaikki toimintaan liittyvät sovellukset eli tietojärjestelmät. Sovelluksissa luodaan, käsitellään ja tallennetaan tietoa ja ne ovat tietoturvan kannalta kriittisessä asemassa.

Sovelluksista on tärkeää tietää myös enemmän, kun pelkkä nimi. Sovelluksiin liittyviä keskeisiä tietoja ovat mm.:

  • Sovelluksen elinkaari
  • Sovelluksen tyyppi (pilvipalvelu eli SaaS, omalla palvelimella pyörivä sovellus on-premise yms.)
  • Sovelluksen omistaja
  • Sovelluksen pääkäyttäjä
  • Sovelluksen toimittaja
  • Sisältääkö sovellus henkilötietoja?
  • Mitä muita tietoja sovellus sisältää?
  • Onko sovelluksessa käytössä monivaiheinen tunnistautuminen?
  • Sovelluksen vaikuttavuus
  • Sovelluksen kriittisyys
  • Käyttäjämäärä
  • Sopimuksen tyyppi
  • Sopimuksen kesto
  • Mitkä kaikki yrityksen toiminnot sovellusta käyttävät

Sovellusten lisäksi on tärkeää tunnistaa mitä tietoja sovellusten välillä liikkuu. Nämä saadaan selville kuvaamalla integraatiot. Ylätason kuvaus riittää. Olennaista on nähdä yhdestä kuvasta, miten sovellukset integroituvat muihin sovelluksiin sekä mitä tietoa integraatioissa siirtyy eri tietojärjestelmien välillä.

MyDigiMap tarjoaa valmiin ja helposti käytettävän mallin tietoturvan kannalta keskeisten liiketoimintaan liittyvien tietojärjestelmien kartoittamiseen ja kuvaamiseen. Vaihtoehtoisesti sovellukset & toimittajat voi listata Exceliin ja integraatioista voi piirtää esimerkiksi Visiolla tai PowerPointilla kuvan. Nämä dokumentit pysyvät kuitenkin harvoin ajan tasalla ja näin ollen ajan myötä joudutaan tekemään uusi kartoitus.

Tietoturva on jatkuvaa tekemistä

Nykytilakuvaksen jälkeen alkaa johtaminen, joka on jatkuvaa tekemistä. Usein tietoturvan johtamisessa noudatetaan tietoturvan vuosikelloa, johon on määritelty säännöllisesti toistuvat toimenpiteet. Tietoturvan vuosikellon keskeisenä tavoitteena on varmistaa, että organisaation tietoturva pysyy ajan tasalla ja tehokkaana.

Liiketoimintasovelluksen kannalta tietoturvan vuosikelloon kuuluu useita tehtäviä. Vaikka sovellukset ovat siirtymässä pilvipalveluiksi, jää organisaation vastuulle silti tietoturvaan liittyviä toimenpiteitä. Muutamia keskeisiä sovelluksiin liittyviä tietoturvan johtamisen tehtäviä ovat:

  • Säännöllinen riskienhallintatyö. Joka vuosi on arvioitava uhat, jotka toimintaan liittyvät ja päivittää tietoturvan johtamisen suunnitelmat niitä vastaaviksi.
  • Henkilöstön osaamisen hallinta. Hyvä tietoturvan taso tarvitsee jatkuvaa koulutusta ja ohjeistusta. Ohjeet on syytä laittaa yhteen yhteiseen paikkaan, josta ne löytyvät sovelluksittain ryhmiteltynä.
  • Tietoturvaan liittyvän dokumentaation päivittäminen. Tietoturvaan liittyvää dokumentaatiota tarvitaan ohjeistuksiin, tietoturvapoikkeamien johtamis- & palautumissuunnitelmiin sekä 3. osapuolien tietoturva-auditointeja varten.
  • Toimittajien auditointi. Käydään läpi sovelluksien ja integraatioiden toimittajat varmistaaksemme organisaatioiden toiminnan jatkuvuuden edellytykset, tarkastetaan sopimukset ja varmistetaan, että niissä on tarvittavat dokumentit mm. henkilötietojen käsittelyn ja muiden tietoturvaliitteiden osalta. Tärkeää on varmistaa, että toimittaja ottaa tietoturvan tosissaan ja tekee vaadittavia toimenpiteitä tietoturvatason ylläpitämiseksi ja kehittämiseksi.
  • Sovellusten käyttäjävaltuuksien auditointi. Käydään läpi kaikki sovellukset ja varmistetaan, että sovelluksissa ei ole ylimääräisiä käyttäjiä ja vääriä käyttäjäoikeuksia.
  • Jatkuvuus- ja toipumissuunnitelma. Tehdään sovelluskohtainen suunnitelma siitä, miten mahdollisesta tietoturvapoikkeamasta palaudutaan. Ennen jatkuvuus- ja toipumissuunnitelmaa on syytä luokitella sovellukset kriittisyyden mukaan ja aloittaa tämä työ kaikista kriittisimmistä sovelluksista.

Tietoturvan vuosikellon tehtävät on hyvä kirjata ylös, jotta tarvittaessa voidaan osoittaa toimenpiteet tehdyksi.

MyDigiMap tietoturvan johtamisen alustana

Teimme MyDigiMapin, jotta IT-johtamisen voi viedä Exceleistä ja muista yksittäisistä tiedostoista pilveen. MyDigiMap tarjoaa alustan sovellusten tietoturvan johtamisen kannalta tarvittavan tietoturvakartoituksen toteuttamiseen. Saatte selkeän kokonaiskuvan liiketoimintasovellusten keskeisistä tiedoista ja pääsette suunnittelemaan tietoturvan vuosikellon oikeaan tietoon perustuen.

Tietoturvan vuosikellon toimenpiteiden toteuttamisen ja johtamisen osalta mahdollistamme dokumentaation linkittämisen yhteen alustaan. Lisäksi voitte johtaa tietoturvaan liittyviä aktiviteettejä MyDigiMapin projektien ja tehtävien avulla.

Yksittäisten tiedostojen saatte käyttöönne alustan, jossa voitte toimia tiiminä ja tiedot pysyvät jatkuvasti ajan tasalla. Tämä on jatkuvuuden kannalta erittäin tärkeää ja esimerkiksi henkilöstömuutosten yhteydessä kriittiset tiedot eivät häviä, vaan kokonaiskuva pysyy koko ajan hallussa!

Haluatko nähdä, miten MyDigiMap voisi auttaa teitä tietoturvan johtamisessa? Ota rohkeasti yhteyttä, niin käydään läpi demo ja käynnistetään ilmainen 14 päivän kokeilujakso! 

pekka@mydigimap.com
+358 400 437 907
LinkedIn chatissa

Joko viedään IT-johtaminen Exceleistä pilveen?

Jätä yhteystietosi, niin olemme yhteydessä sinuun käytön aloituksen osalta mahdollisimman pian!

Aloita käyttö ilmaiseksi