Suojaa kruununjalokiviä ja henkilötietoja tiedonluokittelulla

Kestävä liiketoiminta kunnioittaa ihmisten perusoikeuksia ja tietosuojaa. Silloin pidetään huolta siitä, etteivät luottamukselliset, ihmisten henkilötietoja sisältävät asiakirjat, sähköpostit ja muu viestintä vuoda tahattomasti tai tahallisesti organisaation ulkopuolelle.

Kaikille organisaatioille yhteisen tietosuojalainsäädännön mukaan rekisterinpitäjän, kuten yrityksen, pitää arvioida omaa toimintaansa ja sen pitää pystyä osoittamaan noudattavansa lakia ja huolehtia tietoturvasta.
Tässä blogikirjoituksessa kerron lyhyesti, miten pääset alkuun tietosuojaa tukevassa tiedonluokittelussa.

Tietojen huolellisen käsittelyn perustana on, että tieto on tunnistettu ja luokiteltu esimerkiksi sen arkaluontoisuuden perusteella. Lainsäädännön sääntelemien salassa pidettävien tietojen lisäksi organisaatioissa on niiden toiminnan kannalta kriittisiä tietoja, kuten liikesalaisuudet tai teollis- ja tekijänoikeudet. Valtionhallinnossa on lisäksi turvaluokiteltua tietoa.

Suurin osa organisaatioiden tiedosta on yleensä sisäistä tai jopa julkista tietoa, johon ei tarvitse kohdistaa mitään suojaamis- ja säilyttämistoimenpiteitä. Tietojen luokittelun avulla suojaus- ja muut toimenpiteet voidaan kohdistaa toiminnan kannalta kriittisimpiin ja arkaluontoisimpiin tietoihin. Näin toimenpiteet tehdään oleellisimpiin kohteisiin ja organisaatio hyötyy myös taloudellisesti. Ja kun luokiteltu tieto voidaan tunnistaa pilvipalvelussa, siihen voidaan liittää teknisiä kontrolleja. Kontrollien avulla voidaan estää luottamuksellisen tiedon jakaminen organisaation ulkopuolelle ja tahattomat tietovuodot.

Tiedonluokittelu on myös osa organisaation riskienhallintaa. Esimerkiksi uusia sovelluksia rakennettaessa tulisi ymmärtää, millaisia tietoja uusi sovellus käsittelee, mihin ja miten tieto tallennetaan, sekä miten tieto suojataan niin, että tietoon pääsevät käsiksi vain sen käyttöön oikeutetut henkilöt. Myös jo olemassa olevissa järjestelmissä käsiteltävä tieto tulisi tunnistaa ja luokitella tietoturvallisuuden osa-alueiden kuten luottamuksellisuuden, saatavuuden ja eheyden perusteella.

Päästäksesi alkuun tiedonluokittelussa, sinun tulee tunnistaa ja paikantaa tietovarannot, luokitella ja suojata tiedot ja sen jälkeen johtaa, kehittää ja automatisoida tehdäksesi toiminnasta jatkuvaa.

1. Tunnista ja paikanna tietovarannot

Luettele ensin organisaatiosi käyttämät tietojärjestelmät, millaista tietoa niissä on ja kuka tiedon omistaa. Selvitä samalla myös, ketkä tietoa käyttävät ja ketkä vastaavat tiedon hallinnoinnista. Usein organisaation ulkopuoliset tahot kuten sähköpostipalveluiden tai arkistointivälineiden hallinnoijat ja kolmannen osapuolen palveluntuottajat käsittelevät myös tietojärjestelmissä olevaa tietoa ja heidät olisi myös tunnistettava.

Tietovarantojen tunnistaminen ja luettelointi voi olla erityisesti suurissa organisaatioissa vaikeaa. Toisaalta, jos ei tunnisteta organisaatiossa olevia tietoja, ei voida määrittää tietoon liittyviä riskejä eikä riskinottohalun ja -kyvyn mukaista toimintatapaa riskiltä suojautumisessa.

Jos mahdollista, kuvaa vielä organisaation prosessit ja selvitä miten tiedot liikkuvat eri järjestelmien välillä. Ja lopuksi varmista, että kaikki tietovarannot on varmasti tunnistettu ja niiden sijainnit on määritelty.

2. Luokittele ja suojaa tiedot

Ota seuraavaksi yhteyttä tietojärjestelmissä olevien tietojen omistajiin ja muihin tärkeisiin osapuoliin, kuten tiedon käyttäjiin ja tiedon hallinnoinnista ja tietosuojasta vastaaviin henkilöihin. Jos organisaatiossasi ei ole vielä tiedonluokittelumallia, määritä se tässä vaiheessa. Yrityksissä käytetään usein tiedonluokittelumallia, jonka päätietoluokat ovat julkinen, sisäinen, luottamuksellinen ja salainen.

Kun tiedonluokittelumallin sisällöstä on päästy yhteisymmärrykseen, määritä yhdessä tiedonomistajien ja muiden osapuolten kanssa

a) mihin tietoluokkaan tietovarannot kuuluvat,
b) miten niitä tulisi käsitellä ja
c) kenellä tulisi olla pääsy tietoihin.

Ota luokittelussa huomioon tiedon arkaluonteisuus ja kriittisyys liiketoiminnan kannalta. Esimerkiksi organisaation asiakasrekisteri on luottamuksellinen tietovaranto, joka on suojattava. Korosta organisaation tärkeimpiä tietovarantoja, ”kruununjalokiviä”, selvitä missä ne sijaitsevat, kenellä niihin on pääsy ja miten ne on suojattu tai miten ne pitäisi suojata.

Tämän jälkeen voit alkaa suunnitella tiedonluokittelutyökalujen, kuten Microsoftin Azure Information Protection -työkalun hyödyntämistä. Jos organisaatiossasi on jo aikaisemmin tehty tiedonluokittelua, Microsoftin tiedonluokittelun omaksuminen on nopeaa. Käytännössä organisaation tiedonluokittelumalliin tehdään tarkennuksia ja konfiguroidaan se järjestelmään, asennetaan tarvittaessa käyttäjien koneisiin tiedonluokittelupalkit, testataan, koulutetaan loppukäyttäjät, varmistetaan käyttäjätuki ja laajennetaan malli koko organisaation käyttöön.

3. Johda muutosta, kehitä ja automatisoi

Jotta tiedonluokittelu onnistuu, ihmisten on ymmärrettävä luokittelun merkitys. Microsoftin tiedonluokittelutyövälineiden avulla voit sitoa luokittelun osaksi ihmisten päivittäisiä työtehtäviä. Jos luokittelu on liian vaikeaa, se jää useimmilta helposti tekemättä. Selkeät ohjeet ja pelisäännöt vähentävät sähläystä ja virheitä. Ja kun ihmisten tiedonluokittelun taidot ovat kehittyneet riittävästi, voidaan ottaa käyttöön kehittynyttä automatiikkaa.

Microsoft on laajentanut perinteisen Azuressa hallittavan tiedonluokittelun Microsoft 365:een jonkin aikaa sitten. Mikäli käytät vielä tiedonluokittelua Azuressa, muistathan tehdä migraation M365:een maaliskuun 2021 loppuun mennessä.

Tämä kirjoitus on ensimmäinen tiedonhallintaa ja vaatimustenmukaisuutta käsittelevässä sarjassamme. Tulemme kevään aikana käsittelemään tarkemmin mm. henkilötietojen suojaukseen ja tiedon säilytykseen liittyviä kysymyksiä.

Kuinka pääsen alkuun tiedon suojauksessa? Tarvitsetko tukea?

Organisaatiot kokevat tietojen luokittelun ja suojaamisen haasteelliseksi ja monimutkaiseksi. Monimutkaista sen ei kuitenkaan tarvitse olla. Oikeilla työvälineillä ja oikeanlaisella suunnittelulla tietojen luokittelusta saadaan sujuvaa, tietoturvan tasoa nostettua ja tietojen suojaaminen on helpompaa.

Autamme organisaatiotasi varmistamaan, että ympäristöjen määritykset ja tietojen suojaaminen noudattavat niille asetettuja vaatimuksia, ja että osaatte hyödyntää ympäristöjen tarjoamia työvälineitä ja toiminnallisuuksia oikealla tavalla.


Vie osaamisesi uudelle tasolle!

Hanki perustiedot Microsoftin Compliance -tarjoomaan kuuluvista työkaluista osallistumalla kurssillemme: Microsoftin Compliance – katsaus organisaation tietosuojaan.