Uudessa blogisarjassamme kerrotaan, miten datan tietoturvasta tulisi huolehtia ja miksi. Miten tunnistat mahdolliset haasteet ja suojaat tärkeintä eli organisaatiosi dataa?
Organisaatioissa käsitellään koko ajan enemmän erilaista dataa ja tietoa, ja myös niiden merkitys liiketoiminnalle kasvaa. Tästä syystä tietoturvaloukkaukset ovat usein yrityksille kohtalokkaita.
Kriittisten yritys- ja asiakastietojen joutuminen ulkopuolisten käsiin voi aiheuttaa valtavia rahallisia vahinkoja, joihin voi kuulua GDPR:n (General Data Protection Regulation) ja muun tietosuojalainsäädännön tuomat sanktiot. Vielä vakavampia seurauksia voi kuitenkin aiheutua haitasta yrityksen maineelle ja uskottavuudelle luotettavana toimijana.
Tietojen suojaaminen onkin otettava vakavasti datan käsittelyn jokaisessa vaiheessa. Tietovarkauden riskiä voi kuitenkin vähentää näiden viiden vinkin avulla.
Jotta datasta voi jalostaa tietoa, data on ensiksi puhdistettava. Tehtävään löytyy niin manuaalisia kuin automaattisiakin työkaluja. Ne eivät kuitenkaan poista vanhaa ”roskaa sisään, roskaa ulos” -riskiä. Työkalujen väärä konfigurointi voi myös johtaa epäjohdonmukaisiin tuloksiin, heikentää tietokannan laatua tai jopa luoda tietoturvariskejä. Siksi datan puhdistamisessa kannattaa hyödyntää laadukasta ETL-palvelua tai -työkaluja (extract, transform, load) tietojen oikeellisuuden takaamiseksi. On myös tärkeää, että vaikka käytössä onkin tiedon puhdistamisen työkaluja, organisaatiossa on myös henkilöitä, joilla on hyvä ymmärrys puhdistusprosessista.
Yritykset käyttävät nykyään pääsääntöisesti pilvipohjaisia tietovarastoja nopeuttaakseen ja helpottaakseen toimintaansa. Suurten pilvitarjoajien palvelut ovat useimmiten turvallisempia kuin organisaatioiden omissa tiloissa olevat (on-premise) tietovarastot. Haasteena on kuitenkin se, että pienetkin virheet tietojen ja niiden käytön hallinnassa voivat avata pääsyn arkaluonteiseen tietoon lähes kenelle tahansa.
Saadakseen parempaa turvaa ja joustavuutta, monet yritykset käyttävätkin hybridimallia, jossa hyödynnetään sekä pilvipohjaisia, että omissa tiloissa olevia tietovarastoja. Yrityksen kannalta kriittiset tiedot voidaan tallentaa omiin, paikan päällä oleviin tietokantoihin, mutta haasteena on se, että yritykset tarvitsevat kyberturvallisuuden asiantuntijoita omien tietovarastojen toteuttamiseen, mikä nostaa niiden kustannuksia. Yritysten ei siis pidä ottaa turvallisuusriskejä itsestäänselvyytenä ja tallentaa vain kaikkea dataa pilveen asiaa sen enempää miettimättä. Kriittisimmistä tiedoista on esimerkiksi hyvä säilyttää itsellä sellaista versiota, josta ei ole yhteyttä verkkoon, kiristysohjelmilla (ransomware) tehtävien hyökkäysten varalta.
On erittäin tärkeää käyttää hyvin suojattuja tietokantoja, jotta voidaan varmistaa riittävä tietoturva kaikilla yrityksen tasoilla. Tehokkaita keinoja tähän ovat tietojen salakirjoitus, datan segmentointi ja osittaminen sekä luotettujen palvelimen käyttö. Lisänä voidaan käyttää tietokantoihin integroituja tietoturvatyökaluja valvomaan automaattisesti tietojen jakamista ja ilmoittamaan yrityksille, jos tiedot ovat vaarantuneet.
Hallitsemalla sitä, mitä tietoja käyttäjät voivat tarkastella ja muokata, yritykset voivat paitsi turvata tietoja myös varmistaa niiden eheyden. Kulunvalvonnan hallinta ei kuitenkaan ole yksinkertaista, etenkään suuremmissa yrityksissä, joissa voi olla tuhansia työntekijöitä. Siirtyminen pilvipohjaisiin palveluihin on onneksi yksinkertaistanut identiteetin ja käyttöoikeuksien hallintaa eli IAM-prosesseja. On tärkeää huolehtia käyttäjähallinnasta hyvin ja hyödyntää moderneja työkaluja sekä pilvipalvelujen omia mahdollisuuksia. Asianmukaisten ISO-standardien noudattaminen on hyvä lähtökohta varmistaa, että organisaatio noudattaa parhaita IAM-käytäntöjä.
Mikään tietoturvamenetelmä ei ole täydellinen. Tietoturvaa, erityisesti pilvipohjaisissa palveluissa, on siksi sovellettava useissa kerroksissa. Tämä alkaa sen ymmärtämisestä, mitä omat tiedot ovat, ja onko ne luokiteltu oikein - onko kyseessä esimerkiksi arkaluonteinen tieto, joka tarvitsee lisäsuojaa? Tämän jälkeen järjestelmä ja sen tiedot voidaan suojata kaikilla oleellisilla turvakeinoilla.
Digia auttaa asiakkaitaan hyödyntämään dataa uusien toimintatapojen, palvelujen ja liiketoiminnan kehittämiseksi. Seuraavassa Datan tietoturvaa -blogissa kerromme, miten pitävää tietoturvaa voidaan rakentaa. Juttu on luettavissa kokonaisuudessaan myös Analyytikko-lehden elo-syyskuun numerosta (3/2022).