Miksi tietosuoja ja tietoturva tarvitsevat toimivan konfiguraationhallinnan?
Mitä yhteistä on tietosuojavastaavalla ja tietoturvavastaavalla riippumatta siitä, millä tittelillä (DPO, CISO, CIO, CDO, jne) he tuota vastuuta kantavat?
Kumpikin tarvitsee ajantasaisen konfiguraatiotietokannan (Configuration Management Database eli CMDB) käyttöönsä!
Jos et tiedä mitä omistat, et voi suojella sitä.
Tarpeet: tietoa tiedosta
Kummankin työn kannalta oleellista on varmistaa organisaation huolehtivan CIA* / CIAR** velvollisuuksista organisaation sisäisiä ja ulkoisia sidosryhmiä kohtaan.
*Confidentiality, Integrity, Availability (esim. ISC2 CISSP materiaalit)
**Confidentiality, Integrity, Availability, Resilience (esim. IAPP CIPP/E materiaalit)
Kyetäkseen varmistamaan ja todentamaan organisaation huolehtivan kyseisistä velvoitteista, heidän tulee pystyä keräämään ja ylläpitämään organisaatiossa siellä täällä olevaa tietoa tiedosta. Esimerkiksi…
Mitä tietoa tallennetaan? Onko kyseessä henkilötietoa, taloustietoa, teknistä tietoa, vai jotain muuta? Mitä attribuutteja (esim. henkilön ikä tai laitteen sarjanumero) on tallennettu? Jos kyseessä on henkilötieto, tietosuojavastaavaa kiinnostaa lisäksi myös se, miten tieto on kerätty ja millä oikeutuksella se on kerätty.
Missä tietoa tallennetaan? Tiedon maantieteellisen fyysinen sijainnin lisäksi pitää tietää loogisesti esimerkiksi onko kyseessä ulkoisen toimijan SaaS-palvelu, sisäisesti tuotettu palvelu vai jonkunlainen hybridi, missä esimerkiksi ulkoinen toimija tuottaa infrastruktuurin (kuten palvelimet) ja sisäisesti huolehditaan sovelluskerroksesta. Pitää tietää myös, mihin backupit otetaan talteen ja kuka niitä hallinnoi.
Miten tieto on suojattu? Minkälainen fyysinen suojaus datalla on? Minkälaiset tietotekniset ratkaisut suojaavat tietoa levossa ja liikkeessä?
Ketkä tietoon pääsevät käsiksi? Ketkä organisaation sisällä ja organisaation ulkopuolella pääsevät näkemään, muokkaamaan, luomaan tai tuhoamaan tietoa? Mistä maasta käsin henkilöt/organisaatiot käsittelevät tietoa? Minkälaisia sopimuksia sisäisten ja ulkoisten toimijoiden kanssa on olemassa (NDAt, työsopimuksien salassapitovelvoitteet, oikeus tehdä tietoturva-/tietosuoja auditointi)?
Kuinka kauan tietoa tallennetaan? Tiedon tyypistä (henkilötieto, taloustieto, tekninen tieto jne) riippuen organisaatiolla on oikeuksia ja velvollisuuksia tiedon tallentamiseen liittyen. Laitteen nimeä voidaan tallentaa vaikka ikuisesti, tai ehkä ei ollenkaan, mutta toisaalta henkilötietojen ja taloustiedon tallentamiseen on tarkkoja määräyksiä laissa.
Miten tallennetut tiedot tuhotaan? Tietoturvan ja tietosuojan kannalta oleellista on tietää tiedon lopullisesti häviävän, kun se päätetään tuhota. Miten fyysiset laitteet tyhjennetään tiedoista? Miten palveluna ostettuihin pilviohjelmistoihin tallennetut tiedot poistetaan? Miten toiselle osapuolelle talteen annetut backupit tuhotaan?
Ongelmia tiedon keräämisessä, jakamisessa, ajantasaisuudessa ja riippuvuussuhteissa?
Tiedon kerääminen ja jakaminen
Mitä suuremmasta organisaatiosta on kyse, sitä todennäköisempää on, ettei tiedon kerääminen ja ylläpitäminen onnistu yhdeltä tai kahdelta ihmiseltä vain kyselemällä muilta organisaation työntekijöiltä tietoja ja päivittämällä niitä omiin tiedostoihin. Lisäksi suurelle osalle tietoa löytyy kuluttajia myös muualta organisaatiosta, jolloin omalla koneella tai levyjaolla olevat taulukot tai dokumentit eivät ole optimaalinen tapa jakaa tietoa.
Viime kuussa IT-/HR-/Facility-osastolta tai jostain muualta kovalla työllä kerätty tieto onkin jo vanhaa siinä vaiheessa kun tietoturva- tai tietosuojavastaava saa dokumentit päivitettyä, hyväksytettyä, ja julkistettua.
Näkökulmat ja riippuvuussuhteet
Organisaatio tuottaa palvelua ulkoisille asiakkaille yhdistelemällä omia palveluitaan ja tuotteitaan ulkoa ostettuihin palveluihin ja tuotteisiin. Lisäksi organisaatio tuottaa palvelua sisäisille toiminnoilleen ja työntekijöilleen myös yhdistelemällä sisäisiä ja ulkoisia palveluita sekä tuotteita. Jokaista palvelua ja organisaatioyksikköä kiinnostaa lisäksi nähdä palvelutieto omasta näkökulmastaan. IT-osasto omien palveluidensa, HR omien palveluidensa, ja tietosuoja-/tietoturvavastaavien taas omien tarpeidensa kautta.
Rankasti yksinkertaistava esimerkki: jotta Justin yrityksenä voi toimittaa konsultointipalveluita asiakkaille, tarvitaan liuta sisäisiä palveluntarjoajia, jotka tuottavat sisäisiä palveluita ulosmyytävän palvelun mahdollistamiseksi. Näitä sisäisiä palveluita tuotetaan ulkoa ostettavien palveluiden ja/tai tuotteiden avulla. Lisäksi sisäiset palvelut tukevat toisiaan (esimerkiksi HR tarvitsee IT-palveluita ja toisinpäin).
Asiaa hieman avattuna, mutta edelleen rankasti yksinkertaistaen yhden palvelun osalta. Kuviosta on jätetty pois esimerkiksi sisäisten IT-palveluiden riippuvuudet toisistaan sekä funktioiden palveluiden väliset riippuvuudet.
Jokaista ulkoista ja sisäistä palvelua tuotetaan jollain kombinaatiolla sisäisiä ja ulkoisia organisaatioita, ihmisiä, laitteita, ohjelmistoja ja palveluita. Niitä kaikkia pitää pystyä arvioimaan tietoturvan ja tietosuojan kannalta.
Tiedon ajantasaisuus
Kun tieto on kerran kerätty, sillä on paha tapa hapantua nopeasti, jos sitä ei päivitetä yhteisesti sovittujen prosessien ja tietomallien mukaisesti yhteisesti sovittuihin paikkoihin, johon tarvittavilla tahoilla on pääsy.
Ratkaisu vaatii toimivia palvelutiedonhallinnan tietomalleja ja prosesseja
Nykymaailmassa kaikki yllä oleva tieto on osa organisaation palvelutiedonhallintaa, johon nykyaikaiset palvelunhallinta- ja palveluportfolionhallintajärjestelmät tarjoavat monenlaisia toiminnallisuuksia. Esimerkkinä voisi mainita, kuinka tarkastella samaa tietoa eri näkökulmista ja mahdollistaa oikeiden ihmisten pääsyn oikeaan tietoon oikeaan aikaan. Toiminnallisuuksien käyttämiseksi ja tiedonhallinnan hallitsemiseksi (pun intended) tarvitaan kuitenkin yhdessä sovittuja tietomalleja sekä tiedonhallinnan prosesseja. Esimerkiksi…
Mitä tietoa ylläpidetään missäkin järjestelmässä? Pidetäänkö esimerkiksi ostettujen palveluiden sopimustekstit ja tiedot yhteyshenkilöistä sopimustenhallintajärjestelmässä ja palvelun ja sen komponenttien tekniset tiedot palvelunhallinnanjärjestelmässä?
Kuka ylläpitää mitäkin tietoa? Onko esimerkiksi palvelun ostanut taho velvollinen lataamaan sopimukset sopimustenhallinnan järjestelmään vai onko se hankinnan tehtävä?
Miten tiedon ajantasaisuus varmistetaan? Pidetäänkö tiedon auditoimiseksi säännöllisiä pistokokeita? Onko valitussa järjestelmässä/järjestelmissä tiedon auditointiin työkaluja?
Kuka saa tai kenen täytyy nähdä mikäkin tieto? Onko palvelimilla ajettavien teknisten komponenttien versiotiedot salassa pidettävää tietoa mahdollisten haavoittuvuustietojen vuoksi vai kuuluuko “kaikkien” nähdä tämä tieto ongelmien ratkaisun nopeuttamiseksi? Kuuluuko palvelupäällikön nähdä koko sopimusteksti vai vain tietyt osat? Entä jos palvelupäällikkö onkin ulkoisen toimijan palveluksessa?
Mitä tietoa kopioidaan järjestelmien välillä ja minkä tietojen osalta tyydytään viittaamaan järjestelmästä toiseen? Tuodaanko esimerkiksi työasemien teknisiä tietoja ja asennettuja sovelluksia palvelunhallinnan järjestelmään vai riittääkö, että tiedot ovat saatavilla esimerkiksi Intunessa?
Näiden asioiden parissa voi Justinilla kouluttautua muun muassa alla olevilla kursseilla, joita toteutetaan julkisina sekä organisaatiokohtaisina.
Lisäksi Justinin asiantuntijapalvelut auttavat hankkeiden ja projektien viemisessä maaliin.
Tutustu Justinin asiantuntijapalveluihin
Kurssien oppien ja työkalujen avulla on mahdollista suunnitella organisaation palvelutiedonhallinnan prosessit ja tietomallit siten, että koko organisaation voimin ylläpidetty CMDB tuottaa palveluista ajantasaista tietoa myös tietoturva- ja tietosuojavastaaville.
Julkaistu 19.10.2021