Vinkkejä tieto-omaisuuden hallintaan ja turvaamiseen

Kuinka varmistat omaisuutesi tehokkaan hallinnan ja turvallisuuden? Lue vinkkimme ja ota askel kohti luotettavaa varallisuuden hallintaa.

Omaisuuden tarkastelu ja omistajuuden selvittäminen

Organisaatioihin kerääntyy ajan myötä toimintoja, järjestelmiä ja palveluita, joiden omistajuus vaatisi tarkastelua. On tärkeää selvittää, mitkä toiminnot, järjestelmät ja palvelut kuuluvat organisaation omistajuuden alle. Tämä voi sisältää esimerkiksi tilapäisten pilvi-instanssien, itse koodattujen sovellusten tai virtuaalipalvelinten omistajuuden selvittämisen.

Kunkin kohteen, assetin osalta tulee löytää omistaja, joka vastaa kohteen tarkoituksenmukaisuudesta ja riskeistä. Tämä sitten delegoi varsinaisia tuotannollisia tehtäviä tahoille, joilla on aiheeseen liittyvä osaaminen ja profiilin. Tässä voi hyödyntää RACI-mallia. 

Kun omistaja on tunnistettu, tulee häntä tukea ottamaan vastuu haltuunsa. Hyvät riskienhallinnan ja governancen menetelmät ovat oiva lähtökohta, ja niitä voi ryydittää säännöllisellä raportoinnilla ja yhteisillä katselmoinneilla. Tällä tavalla omistajuus kirkastuu ja turhat rönsyt karsiutuvat pois - tai ne delegoidaan operatiivisille toimijoille. Annetaan johtajan johtaa.

Suojattavan omaisuuden kartoitus ja priorisointi

Suojattavan omaisuuden kartoitus on tärkeä osa omaisuuden hallintaa ja turvaamista. Tämä sisältää kaikki organisaation tietovarannot, infrastruktuurin, toiminnot ja ulkopuoliset palvelut. 

Dokumentoinnin avulla on tärkeää tunnistaa riippuvuudet ja vahvoja oikeuksia käyttävät palvelutunnukset (PAM; privileged access management). Näin voidaan varmistaa, että mahdolliset tietoturvahaavoittuvuudet, kuten Log4j:n tai xz utilsin kaltaiset, voidaan nopeasti tunnistaa ja paikantaa.

Esimerkiksi eräässä yli 70 hengen ohjelmistoyrityksessä toteutettiin 1-2 tunnin työpajoja liiketoimintayksiköittäin. Näissä kerättiin yhteensä 120 riviä suojattavaa kohdetta, joista merkittävä osa oli ns. hiljaista tietoa, eli organisaation tietohallinnolla tai johdolla ei ollut käsitystä mittakaavasta. Jokaiselle kohteelle määriteltiin omistajayksikkö, kriittisyysluokka, käyttötiheys ja tiedon/toiminnon käyttäjät.

Tämän tiedon avulla yrityksen johto ja tietoturvapäällikkö saavat paremman käsityksen uhkakuvista, suojaustarpeista sekä voivat asettaa prioriteetteja ja painopistealueita.

Infrastruktuurin inventaario ja automatisointi

Infrastruktuurin inventaario on tärkeä osa omaisuuden hallintaa. Tätä voidaan helpottaa erilaisilla inventaariosovelluksilla, ja katalogin luonti ja ylläpito voidaan automatisoida esimerkiksi Jiran muutoshallinnan yhteyteen.

Kun yhdistetään tieto-omaisuus ja tieto sen tuottamiseen liittyvistä palveluita sekä infrastruktuuritieto, saadaan entistä täydellisempi tilannekuva omaisuuden hallinnasta. Askeleen pidemmälle vietynä organisaatio voisi määritellä sen, mikä infrastruktuuri tuottaa mitäkin palvelua, tai kääntäen, mistä kaikesta infrastruktuurista palvelu on riippuvainen. Tämän merkitys korostuu, kun organisaatio käyttää integraatioalustoja, tai data lake on yhteinen piste usealle tietovirralle.

On kuitenkin tärkeää muistaa, että joku organisaatiossa vastaa tämän tiedon keräämisestä ja ylläpitämisestä. Aloittaminen voi olla vaikeaa, mutta se on ensimmäinen askel kohti parempaa omaisuuden hallintaa.