Älä anna snowdeneille joululahjaa – panosta tietoturvallisiin rutiineihin

Pilvipalvelut tekevät helposti käyttöönotettavat, laajennettavat ja tehokkaat palvelut mahdollisiksi organisaatioille ja kuluttajille. Parhaimmillaan pilvipalvelut mahdollistavat ajasta, paikasta ja käytettävästä tietoteknisestä laitteesta riippumattoman tietotyön.

Mikäli siirtymää ei toteuteta huolellisesti, voidaan sekoittaa organisaation tapaa toimia ja ihmisten päivittäisiä rutiineja ja tuoda uusia tietoturvariskejä luottamuksellisen tiedon käsittelyyn. Tarvitaan hyvät suunnitelmat ja tukea, jotta edistetään tietoturvallisten rutiinien kehittymistä, kun ajasta, paikasta ja laitteesta riippumaton tietotyö saapuu organisaatioihin pilvipalveluiden siivittämänä.

Luottamuksellisuus on osa tietoturvaa

Tietoturva on tietojen, järjestelmien ja palveluiden asianmukaista suojaamista sekä normaali- että poikkeusoloissa hallinnollisilla, teknisillä ja muilla toimenpiteillä (Valtionhallinnon tietoturvallisuuden johtoryhmä, VAHTI).

Tietoturva rakentuu kolmelle periaatteelle: luottamuksellisuudelle, eheydelle ja käytettävyydelle (CIA Triad), joiden tehtävänä on varmistaa, että järjestelmissä olevaan ajantasaiseen tietoon pääsee käsiksi vain siihen oikeutetut henkilöt. Tietoon käsiksi pääsyä rajoitetaan esimerkiksi siksi, että tieto on sensitiivistä henkilötietoa, liiketoimintakriittistä tietoa tai että asiattomien pääsy tietoon voi vaarantaa jopa kansallisen turvallisuuden.

Luottamuksellisuus tarkoittaa sitä, että järjestelmät ja niissä olevat tiedot ovat vain niiden käyttöön oikeutettujen käytettävissä. Tällöin tietoja ei paljasteta henkilöille, joilla ei ole oikeutta tietoon, eikä heille anneta mahdollisuutta muuttaa tai tuhota tietoja.

Eheys puolestaan tarkoittaa, että järjestelmät ja niissä olevat tiedot ovat luotettavia, ajantasaisia ja oikein. Ne eivät myöskään ole hallitsemattomasti muutettavissa ”laitteisto- tai ohjelmistovikojen, luonnontapahtumien tai inhimillisen toiminnan seurauksena” (VAHTI). Käytettävyys merkitsee, että järjestelmät ja niissä olevat tiedot ovat niihin oikeutettujen käytettävissä määritellyn ajan puitteissa.

Tietoon käsiksi pääsyn rajoittaminen osana tietoturvallisia rutiineja

Tietoturva ilmentää organisaation, siellä työskentelevien sekä liiketoimintakumppanien tapaa toimia. Pilvipalveluiden käyttöönotto ei saa vaarantaa olemassa olevia, tietoturvallisia rutiineja vaan niiden tulee tukea uusien, tietoturvallisten rutiinien kehittämistä organisaatiossa.

Yrityksen toimintatapojen tulee täyttää tietoturvavaatimukset ja hyödynnettävän teknologian lisäksi ihmisten tulisi ymmärtää tietoturvan tärkeys. Tässä tarvitaan henkilöstön ja yrityksen kanssa työskentelevien henkilöiden jatkuvaa opastusta ja koulutusta.

On tärkeää ymmärtää, ettei kaikki organisaatiossa oleva tieto ole luottamuksellista, mutta luottamuksellisen tiedon käsittelyssä pitää olla tietoturvalliset käsittelytavat ja kontrollit. Tietojen luokittelulla voidaan erottaa luottamuksellinen tieto ja rakentaa sopivat kontrollit tiedon suojaamiseksi.

Organisaation tietoturvallisia työn tekemisen rutiineja ja tiedon suojausta voidaan edistää sopivalla teknologialla. Microsoftin pilvipalveluiden Azure Information Protection (AIP) tarjoaa välineitä sen varmistamiseen, että tietoon pääsee käsiksi vain siihen oikeutetut henkilöt.

Välineiden avulla ei ainoastaan sallita suojattujen tiedostojen jakamista siihen oikeutettujen henkilöiden kesken vaan myös rajoitetaan sitä, miten ja kuka tietoon pääsee käsiksi. Esimerkiksi tietovuotojen mahdollisuutta voidaan rajoittaa siten, että estetään luottamuksellisten asiakirjojen aukaisu tunnistamattomista verkoista.

Koneoppimista hyödynnetään jo nyt tiedon automaattisessa luokittelussa ja suojauksessa. Esimerkiksi käyttäjän syöttäessä luottokorttinumeron excel-taulukkolaskentaan, numero tunnistetaan luottokorttitiedoksi ja excel-tiedosto suojataan automaattisesti. Automaattinen suojaus on johdonmukainen tapa suojata tietoa ja luokitteluvirheiden korjaaminen on helpompaa kuin käsin tehtävässä suojauksessa.

Luokittelumallin säännöt pitää kuitenkin pitää yksinkertaisina, ne tulee kunnolla kouluttaa henkilöstölle ja niistä tulee saada jatkuvaa palautetta organisaatiossa työskenteleviltä. Yksinkertaisesta luokittelumallista voidaan helposti siirtyä monipuolisempaan malliin. Luokittelusääntöjä pitää kuitenkin testata pienellä määrällä käyttäjiä ennen niiden laajentamista organisaatiossa. Kun tieto on luokiteltu, organisaatiot voivat liittää luokiteltuun tietoon erilaisia tietoturvakontrolleja.

Älä anna snowdeneille joululahjaa vaan kehitä organisaatiollesi tietoturvalliset rutiinit ja ota käyttöön niitä tukevat järjestelmäominaisuudet!

Lue lisää tietoturvasta ja tiedon suojauksesta palveluistamme

Microsoft valitsi Sulavan maailman parhaiden joukkoon tekoälyssä ja koulutuksissa – neljä tunnustusta Partner of The Year -kilpailussa!

5+1 vinkkiä johdolle Copilotin hyötyjen maksimointiin

Tekoälyn kanssa treenaamassa – kuinka koulutat organisaatiosi huippukuntoon?

Webinaari: Miten tekoäly voi auttaa sinua raportoinnissa?

Webinaari: Tutustu ketterään analytiikkaan – esittelyssä Microsoft Fabric

Webinaari: Back to work with Copilot

Microsoft valitsi Sulavan maailman parhaiden joukkoon tekoälyssä ja koulutuksissa – neljä tunnustusta Partner of The Year -kilpailussa!

Indutrade

YIT

KSS Energia

Azure Data Architect / Engineer

Azure Infra -asiantuntija

Dynamics 365 -arkkitehti

Dynamics 365 -konsultti

Haku

Et ole vielä kirjautunut sisään

Kirjaudu

Ostoskori

Älä anna snowdeneille joululahjaa – panosta tietoturvallisiin rutiineihin

Luottamuksellisuus on osa tietoturvaa

Tietoon käsiksi pääsyn rajoittaminen osana tietoturvallisia rutiineja