Tietoturvan huomioiminen hallintamallissa

Elämme maailmassa, jossa tietosuojasta ja -turvasta huolehtiminen on osa kaikkea toimintaamme. Meidän on varauduttava siihen, että tietojamme yritetään kalastaa ja että rikolliset yrittävät erilaisilla keinoilla hyötyä pienimmistäkin aukoista tietoturvassamme. Esimerkiksi Kyberturvallisuuskeskus (2024) varoitti huhtikuussa 2024 etäyhteyksien käytön suojauksessa yleisesti käytössä olevan GlobalProtect-tuotteen kriittisestä haavoittuvuudesta.

On siis tärkeää ottaa uhat vakavasti ja huomioida ne kaikessa toiminnassa, myös hallintamalleja laadittaessa. Ulla Harjamäki kehitti opinnäytetyössään suunnitelman Microsoft Power Platformin hallintamallille, joka ottaa erityisesti huomioon pilviteknologian mukanaan tuomat riskit (Harjamäki 2024, 24; Rashid & Chaturvedi 2019, 425).

Microsoft Power Platform -hallintamalli

Microsoft Power Platform on osa Microsoft 365 pilvipalvelua. Sen avulla voidaan luoda sovelluksia ilman koodausta, automatisoida työnkulkuja sekä luoda keskustelubotteja. (Kirill 2020.) Tietojärjestelmien hallintamalleissa on tärkeää, että ne vastaavat kuka, mitä ja miten -kysymyksiin. Oleellista on kuvata eri tietojärjestelmään liittyvien tahojen toimintaa ja vastuita strategisen tason, koordinaatiotason ja tuotantotason kannalta. (Kääriäinen ym. 2018, 45). Hallintamallin tulisi olla toimintamalli, josta selviää visio, vastuut, prosessi sekä käytännöt. Siitä tulisi käydä selville myös, miten yhteistyötä tehdään. (Gassen 2022, 240.)

Säkkisen (2020) mukaan tavoitteiden asettaminen on lähtökohta Microsoft Power Platformin hallintamallin rakentamiselle. Siinä tulee määritellä käyttökohteet, liiketoiminnan tavoitteet sekä kehityskäytännöt. Power Platformin käyttöönotto muokkaa organisaation työtapoja, joten hallintamallissa on tärkeää seurata Microsoftin tiekarttaa. Ohjelmiston elinkaaren seurannan mahdollistaminen ja hallitun kehityksen ohjaaminen on hallintamallin tarkoitus (Kääriäinen ym. 2018a, 10).

Kuva 1. Hallintamalli ohjaa tekemistä. (Kuva: Microsoft Designer Image Creator / kirjoittajat)

Tietoturvan ja -suojan huomioiminen

Pilvipalveluissa on otettava huomioon tietoturva, joka koostuu palveluntarjoajan sekä asiakkaan tietoturvakäytännöistä (Viestintävirasto 2024, 21). Palveluntarjoaja on tyypillisesti vastuussa tarjoamansa palvelun tietosuojasta (Vuorisalo 2018, 80). Hallintamallia suunniteltaessa on syytä miettiä riskejä ja sitä, miten niihin varaudutaan.

Tiedon pitää olla saatavilla, eikä se saa muuttua. Tietoturvan pitää olla osana toimintamalleja ja prosesseja (SFS 2020). Merkitystä on sillä, minkälaisia tietoja käsitellään. Tietosuoja on huomioitava henkilötietoja käsiteltäessä. Niitä kerättäessä syntyy henkilörekisteri (Rousku 2014, 159). Rekisterinpitäjälle on erinäisiä vaatimuksia EU:n yleisessä tietosuoja-asetuksessa, ja niiden huomioon ottaminen hallintamallia suunniteltaessa on välttämätöntä. Henkilötietojen käsittelyn tulee olla rajoitettua, ja tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta tulee huolehtia (Kääriäinen ym. 2018b, 27).

Kirjoittajat

Ulla Harjamäki on valmistumassa LAB-ammattikorkeakoulun liiketoiminnan digitaaliset ratkaisut YAMK -koulutusohjelmasta. 

Sariseelia Sore työskentelee LAB-ammattikorkeakoulussa lehtorina ja koordinaattorina liiketoiminnan digitaaliset ratkaisut YAMK -koulutuksessa.

Lähteet

Gassen, R. 2022. Digitaalinen työympäristö. Näin taivutat teknologian yrityksen tarpeisiin. E-kirja. Helsinki: Alma Talent.

Harjamäki, U. 2024. Microsoft Power Platform hallintamalli. YAMK-opinnäytetyö. LAB-ammattikorkeakoulu, liiketalouden ala. Viitattu 14.5.2024. Saatavissa https://urn.fi/URN:NBN:fi:amk-2024051411844

Kirill, P. 2020. Microsoft: Power Platform is for real developers, too. InfoWorld. Viitattu 8.5.2024. Saatavissa https://www.proquest.com/docview/2406394427?accountid=202350&parentSessionId=VXxyUjPW07lLsrR%2BCOdGGsU5BIRFtRA%2F8mW5aIn3xlQ%3D

Kyberturvallisuuskeskus. 2024. Kriittinen haavoittuvuus Palo Alton Global Protect -tuotteessa. Tiedote 12.4.2024. Viitattu 14.5.2024. Saatavissa https://www.kyberturvallisuuskeskus.fi/fi/haavoittuvuus_12/2024

Kääriäinen, J., Parviainen, P., Ohtonen, T., Uusihanni, M., Jänkälä, S & Kukkola, K. 2018a. Hallintamallit yhdessä tekemiseen – Yrityspalveluiden sähköisten järjestelmien käyttö ja kehittäminen. Valtioneuvoston selvitys- ja tutkimustoiminnan julkaisusarja 12/2018. Helsinki: Valtioneuvoston kanslia.

Kääriäinen, J., Aihkisalo, T., Halén, M., Holmström, H, Jurmu, P., Matinmikko, T., Seppälä, T., Tihinen, M. & Tittonen, J. 2018b. Ohjelmistorobotiikka ja tekoäly – soveltamisen askelmerkkejä. Valtioneuvoston selvitys ja tutkimustoiminnan julkaisusarja 65/2018. Helsinki: Valtioneuvoston kanslia.

Rashid, A. & Charurvedi, A. Cloud Computing Characteristics and Services: A Briew Review. International Journal of Computer Sciences and Engineering, Vol 7 (2). Viitattu 15.8.2023. Saatavissa DOI: 10.26438/ijcse/v7i2.421426

Rousku, K. 2014. Kyberturvaopas. Tietoturvaa kotona ja työpaikalla. E-kirja. Helsinki: Talentum Media Oy. Ellibs.

SFS. 2020. Tietoturva nousee toimintakulttuurista. Artikkeli 7.12.2020. SFS Suomen standardit. Viitattu 3.5.2024. Saatavissa https://sfs.fi/tietoturva-nousee-toimintakulttuurista/

Viestintävirasto. 2024. Pilvipalveluiden turvallisuus. Mitä organisaatioiden tulisi huomioida pilvipalveluja hyödyntäessä. Viitattu 3.5.2024. Saatavissa https://www.kyberturvallisuuskeskus.fi/sites/default/files/media/file/Pilvipalveluiden_tietoturva_organisaatioille.pdf

Vuorisalo, L. 2018. Luottamus SaaS-palveluissa. Pro gradu -tutkielma. LUT School of Business and Management. Viitattu 3.5.2024. Saatavissa https://urn.fi/URN:NBN:fi-fe2018092436436