Jokainen organisaatio elää yhä enemmän tietojärjestelmistä, joiden kautta toimintaa ohjataan ja dataa käsitellään. Järjestelmillä ohjataan omaa tuotantoa, myyntiä, asiakaspalvelua - kaikkia toiminnan ydinprosesseja. Isossa kunnassa tai sairaanhoitopiirissä tietojärjestelmiä on satoja - jopa tuhansia. Keskikokoisessa yrityksessäkin yleensä yli 100, pienessäkin kymmeniä.
Tämä järjestelmäportfolio vaatii uudenlaista johtamista ja hallintaa, sekä turvallisuuden että tehokkuuden näkökulmasta.
Millaisia eri tietojärjestelmät ovat?
Tietojärjestelmät eroavat organisaation digiturvan näkökulmasta etenkin toimitustavan ja teknisten vastuiden suhteen.
Julkiset (tai yksityiset) pilvipalvelut
Julkiset pilvipalvelut ovat tarjolla yleiseen käyttöön internetin välityksellä. Palveluntarjoaja huolehtii yleensä palvelun päivityksistä, teknisestä ylläpidosta, varmuuskopioinnista, lokitusten järjestämisestä sekä muusta teknisestä tietoturvasta omien käytäntöjensä mukaan.
Julkisia pilvipalveluja livahtaa usein organisaatioiden käyttöön työntekijälähtöisesti, IT-osaston huomaamatta. Työntekijät voivat napata uuden projektinhallintasysteemin käyttöön vanhan kankean tilalle niin helposti, että tutkimusten mukaan IT-osasto aliarvioi pilvipalvelujen käytön jopa n.15-kertaisesti todellista pienemmäksi (eli luullaan käytössä olevan esim. 10 pilvipalvelua, kun todellisuus on 150).
Yksityisissä pilvipalveluissa puolestaan järjestelmän tarjoamiseksi käytetty IT-ympäristö on dedikoitu vain tietyn asiakkaan käyttöön, jolloin turvallisuudessa ja vaatimustenmukaisuudessa voidaan päästä pidemmälle, samalla kustannukset nousevat.
On-premises -järjestelmät
On-premises vittaa järjestelmiin, jotka on asennettu organisaation toimitiloissa oleville palvelimille ja tarjoillaan käyttäjille organisaation sisäisen verkon kautta.
Kun pilvipalveluissa toimittaja huolehtii mm. päivitykset keskitetysti, on-premises -järjestelmien suhteen organisaatiomme pitää itse huolehtia tämä osa-alue. Omiin toimitiloihin asennetut järjestelmät tuovat lisää ajateltavaa myös fyysisen turvallisuuden puolelta, esimerkiksi kulunvalvonta tai muut hälytysjärjestelmät palvelintiloissa ovat tällöin oleellisia.
Omat (itse kehitetyt) IT-palvelut
Vastuiltaan hyvin erilaisia ovat lisäksi ne IT-palvelut, joiden kehittämisestä ja ylläpidosta organisaatio vastaa itse täysin, joko itselleen tai myös ulkoisille asiakkaille.
Näiden palvelujen suhteen olemme itse vastuussa sekä kehityksestä että teknisestä tietoturvasta. Samoin meidän tulee käyttöehdoissa ja mm. sopimuksessa henkilöitietojen käsittelystä sitoutua tiettyihin vastuisiin, mm. rekisteröideyn oikeuksien toteuttamisessa sekä henkilötietojen palauttamisessa rekisterinpitäjälle tarvittaessa.
Rakenteettomat tietovarannot
Tämä termi viittaa exceleihin, papereihin, sähköpostien lomassa lymyileviin tai intranettiin tuupattuihin tärkeisiin tietoihin. Tietoihin, jotka ovat paikoissa, joita ei alunperin ole suunniteltu juuri näiden tietojen varastointiin ja käsittelyyn. Näiltä tiedoilta puuttuvat yleensä tietoturvan perusteet, kuten pääsynhallinta, käytön valvonta tai varmuuskopiointi. Lisäksi on vaikea tietää, paljonko tätä rakenteetonta tietoa oikein on, ja missä.
Miksi järjestelmien hallinta kannattaa?
Nykyaikana yhä useampi organisaatio on täysin riippuvainen käyttämiensä tietojärjestelmien virheettömästä toiminnasta.
Tässä muutamia järjestelmien hallinnan tuomia hyötyjä:
- Voimme panostaa oikeasti tärkeisiin järjestelmiin - Tutkimusten mukaan merkittävä osa järjestelmistä jää turhiksi, mutta lojumaan silti käyttöön - kuluttamaan rahaa ja muita resursseja. Samaan asiaan (esim. viestintä, tehtävienhallinta, jne.) kertyy helposti myös käyttöön useita päällekkäisiä järjestelmiä, jotka tekevät ainakin pääosin samat temput. Kun tiedämme tämän ja näemme kokonaisuuden, voimme karsia järjestelmien määrää, joka johtaa tehokkaammin hyödynnettyihin järjestelmiin.
- Järjestelmien osaavampi käyttö - IT ei voi tukea ja ohjeistaa järjestelmiä, joista se ei tiedä. Muut yksiköt eivät voi hyödyntää tietoa, jonka olemassaolosta he eivät tiedä. IT ei voi tilata integraatioita järjestelmien välille, joita ei hallita keskitetysti.
- Turvallisuus ja riskit hallinnassa - Päätös ottaa tietojärjestelmä käyttöön on samalla päätös luottaa tämän järjestelmän toimintaan ja kykyyn suojata henkilötietoja tai yrityssalaisuuksia, joita järjestelmään laitamme. Eri luokkainen tieto vaatii toki erilaiset turvallisuuskriteerit, mutta vähintääkin yleisillä kriteereillä pitäisi ohjata päätöksentekoa (ja sitä kautta riskiajattelua). Iso osa myös esimerkiksi tietosuojaan liittyvien vaatimusten täyttymisestä riippuu siitä, ymmärrämmekö järjestelmäportfoliomme (tiedämmekö esim. mitä tietoa meillä on ja missä, jotta voimme kertoa siitä?) ja tukevatko nämä järjestelmät rekisteröidyn oikeuksien toteuttamista.
- Tulevaisuuden järjestelmäsuunnittelu kokonaisuuden ja yhteistoiminnan näkökulmasta - Kuinka voimme kehittää portfoliotamme palvelemaan toiminnan tarpeita paremmin? Mikä tapahtuu integraatioiden avulla, mikä laajentamalla jonkin käytössäolevan järjestelmän versiota, mikä hankkimalla uusia järjestelmiä? Mitkä ovat meille tärkeät kriteerit järjestelmiä hankittaessa, jotta portfolio kehittyy myös kokonaisuutena hyvään suuntaan?
Mitä asioita järjestelmän pääkäyttäjälle voi kuulua?
Järjestelmä pääkäyttäjä on henkilö, joka monissa organisaatioissa on totuttu nimeämään. Monesti hän on vastuussa vähintäänkin järjestelmän toiminnasta yleisesti ja muiden ohjeistamisesta ongelmatilanteissa. Jos puretaan tätä roolia hieman tarkemmin, se olisi mielestämme järkeää jakaa seuraavantyylisiin tehtäviin, joissa voidaan mennä järjestelmän tärkeydestä riippuen joku enemmän tai vähemmän syvälle.
Tulemme esittelemään näitä järjestelmähallinnan osa-alueita tarkemmin tulevissa artikkeleissa ja webinareissa.
Järjestelmän perusasiat
- käyttötarkoitus - eli mitä temppuja teemme järjestelmän kautta
- järjestelmän täykeys (entä jos järjestelmän toiminnot eivät olisikaan saatavissa?)
- toimittaja, hosting-tapa, tietojen sijainti ja ehdot / sopimukset
- hinta per käyttäjä (tai muu muuttuja)
- nykyiset käyttäjät ja heidän aktiivisuus
- järjestelmän sisältämät tiedot ja niiden tärkeys (entä jos järjestelmän tiedot eivät olisikaan saatavissa?)
- käyttäjien ohjeistus
Tietoturva-analyysi
- pääsyoikeusroolien määrittely
- käytettyjen tunnistamistapojen määrittely
- varmuuskopioinnin tarkistus / määrittely
- käytön valvontatavat ja seuranta
- integraatiot / rajapinnat
- tietojen tarkempi luokittelu (julkinen, salainen, erittäin salainen, jne.)
- kumppanin tietoturvakäytäntöjen auditointi
- tietoturvariskien tunnistaminen, arviointi ja hallinta
Tietosuoja-analyysi
- käyttötarkoitukset - eli kenen tietoja, mitä tietoja, minkä tekemiseksi käytetään ja millä oikeusperusteella
- rekisteröityn oikeudet - voiko tiedot tarvittaessa mm. poistaa, rajata tai ladata näytettäväksi
- järjestelmän tietojen eri säilytysajat
- tietojen poistoprosessit
- henkilötietojen käsittelystä informointi
- tietosuojariskien tunnistaminen, arviointi ja hallinta
Hyvää digiturvaa ei voi olla ilman järjestelmällistä tietojärjestelmien hallintaa. Pureudumme jatkossa tarkemmin näiden listausten yksittäisiin kohtiin. Järjestelmien hallinta on tiimillemme myös tärkeä tulevaisuuden kehityssuunta omissa palveluissamme.