Hei,
Kyberuhat kuulostavat kaukaisilta. “Ei koske meidän organisaatiota” oli vielä muutama vuosi sitten hyvinkin tuttu ajatusmalli. Uhkiin saatettiin varautua, vaikka siten, että kriittisiä järjestelmiä kehitettiin suljettujen ovien takana. Kaihtimet pidettiin myös kiinni, jottei naapuritalosta näkynyt sisään, mitä siellä tapahtuu. Kyberuhkien siirryttyä verkkoihin, tämä ei enää riitä vaan on tullut tarve ymmärtää asiaa paremmin. Pitää tunnistaa tapoja, miten uhkiin voi varautua.
Kyberuhat kohdistuvat organisaation toimintakykyyn. Palveluja halutaan häiritä, jotta yrityksen toimintamahdollisuudet heikkenisivät. Mutta ennen kaikkea hyökkääjien tavoitteena on joko varastaa tietoja tai tuhota niitä.
Organisaation kriittiset tiedot
Jos hyökkäystilanne osuu kohdalle, tilannetta helpottaa, että on jo tunnistettu yrityksen kriittisiä toimintoja ja tietoja. Näitä on valmiiksi suojattu ennalta ja siten varmistettu yrityksen toimintavarmuus esim. kahdentamalla tiedot.
Kriittiset eli organisaation strategian kannalta tärkeimmät tiedot ovat usein ns. Master Dataa eli yrityksen ydintietoja tai perustietoja kuten termi voidaan kääntää. Näitä ovat mm. asiakkaisiin ja tuotteisiin liittyvät tiedot. Ydintietoja käytetään organisaatiossa laajasti, ja niitä tarvitaan yrityksen strategisiin toimintoihin, joita ilman yritys ei toimi.
Kriittisten tietojen tunnistamiseksi on käytössä hyvä menetelmä – tietomallinnus. Kuten myös prosesseista on tunnistettu liiketoiminnan kannalta strategisesti kriittiset prosessit, niin sama tulee tehdä tiedoille eli ne tulee tunnistaa ja dokumentoida.
Henkilötiedot
Henkilötietojen käyttöä ohjaa tietosuojalaki. Laissa on ohjeistettu myös se, mitä tehdään, jos organisaatiota kohtaa tietomurto. Henkilötietoihin kuuluvat kaikki henkilöön yhdistettävissä olevat tiedot, eli myös tapahtumatason tiedot eikä vain henkilön perustiedot. Henkilötietojen hallintaa ei voi tehdä ilman, että tiedot on tunnistettu ja dokumentoitu.
Tietomallinnuksella tunnistetaan ja dokumentoidaan tiedot
Tieto on mielenkiintoinen käsite suomenkielessä, koska sillä voidaan tarkoittaa dataa, informaatiota tai tietämystä. Tietojen välillä on suhde siten, että datasta syntyy informaatiota, joka tulkitaan tietämykseksi. Jokaista näitä tasoa tulisi mallintaa, jotta orgaanisaation ymmärrys omasta tietopääomasta ja sen kriittisistä tiedoista kasvaa. Siispä tietomallinnus ei ole vain IT- järjestelmien kehitykseen sidottua tekemistä vaan sillä kuvataan myös liiketoiminnan käyttämä termistö ja kieli. Liiketoiminnan prosesseja tukemaan on olemassa teknisiä ratkaisuja eli järjestelmiä, jotta työ tulisi tehokkaammaksi. Järjestelmistä tietoa on koottu yhteen, jotta saadaan kokonaisvaltaista informaatiota organisaation toiminnasta. Data- informaatio- tietämys – toimintamalli kuitenkin kääntyy toisin päin, kun lähdetään mallintamaan organisaation tietoja.
Tietomallinnusta voi ajatella portaina, joista ensimmäisenä askeleena on käsitteiden kuvaaminen. Käsite on liiketoiminnan käyttämä termi esim. asiakas tai tuote. Käsitteet tunnistetaan liiketoimintaprosesseista. Käsitteiden välistä mallia kutsutaan käsitemalliksi. Käsitemalli syntyy kuvaamalla käsitteiden välillä olevat luonnolliset yhteydet. Esim käsitteelle asiakas voidaan kuvata yhteys tuotteeseen seuraavasti: “asiakas ostaa tuotteen”. Joten kuvaamalla käsitemallit kriittisille liiketoimintaprosesseille, saadaan ymmärrys, mitkä liiketoiminnan käyttämistä tiedoista ovat kriittisiä. Näin saadaan kokonaiskuva liiketoiminnan ymmärtämässä muodossa.
Loogisen tason kuva tietosisällöstä saadaan aikaan, kun tarkennetaan käsitetason kuvausta. Kuvataan myös käsitteen sisältämät tiedot esim. asiakas käsitteelle tietoja ovat mm. asiakkaan nimi ja yhteystiedot. Käsitteiden välisiä suhteita tarkennetaan myös lähemmäs teknisten vaatimusten tarpeita. Näin saadaan looginen tietomallikuva organisaation tiedoista ja näiden välisistä suhteista. Looginen taso ei ole vielä sidoksissa tekniseen tietokantaratkaisuun. Loogista tietomallia käytetään mm. koko organisaation keskitetyssä tietovarastossa (EDW) ja API-rajapintojen yhteydessä. Rajapinnat ja näihin liittyvät palvelut ovat usein myös hyökkäysten kohteena, joten tarkentamalla tietomallia loogiselle tasolle, voidaan kasvattaa ymmärrystä, mitä tietoja tulee varmistaa koko organisaation tasolla.
Fyysisellä tasolla tietomallit tukevat järjestelmätason tietojen kuvausta. Yksittäisen järjestelmän käyttämät nimet tiedoille poikkeavat usein liiketoiminnan termistöstä esim. asiakas-käsite voisi olla Asiakastaulu ja loogisen tason asiakkaan nimi olisi asiakas.nimi. Järjestelmän tiedoilla on oma nimeämisensä, koska liiketoiminnan käyttämä kieli ei ole riittävän teknistä. Teknisellä tasolla varautuminen uhkiin hoidetaan järjestelmätason suojauksina. Kriittisten tietojen osalta tulee tietää, missä järjestelmissä näitä on.
Kuva 1. Tietomallien eri tasot, tieto ja toiminta
Jotta ymmärretään yhteys liiketoimintaprosessien ja järjestelmien välillä, tulee rakentaa tasojen välille silta. Silta rakennetaan “mäppäämällä” eri tasoisten tietomallien termit toisiinsa. Koska näillä ei ole suoraa 1:1 – suhdetta toisiinsa, on tulkittava termien välisten kuvausten yhteydet. Aina tämä ei ole helppoa, koska järjestelmät voivat olla ns. “black boxeja” kuten valmis ERP-ratkaisut tai palvelut, jotka ostetaan ulkoa. Näissä ratkaisuissa ei saada tarkkoja kuvauksia tiedoista organisaation käyttöön. Tällöin riittää loogisen tason ymmärrys suhteessa liiketoiminnan käsitteisiin.
Yhteenveto
Varautuminen kyberuhkiin voidaan siis edelleen tehdä sulkemalla kaihtimet ympärille, tai sitten aidosti tunnistamalla liiketoiminnan jatkuvuuden kannalta kriittiset tiedot. Miten sinä lähtisit varautumaan?
Ystävällisin terveisin,
Minna Oksanen
Ps. Liiketoiminnan kanssa kommunikointiin suosittelemme Tiedon Mallinnus-kurssia elokuussa:
Tietojen mallintaminen – Data Modeling
Kyseessä ei ole pelkkä tietokannan suunnittelu -kurssi, vaan kattaa käsitteiden mallintamisen liiketoimintaihmisten kanssa, arkkitehtuurityyppisen mallinnuksen sekä laajat, yritystasoiset tietomallinnukset. Myös laajat mallinnukset voi laatia nopeasti ja tehokkaasti – oikeilla menetelmillä ja organisoinnilla. Kurssilla saat myös ensikosketuksen suosittuun Ellie-mallinustyökaluun!
Lisätiedot ja ilmoittautuminen tästä.