Blogi

Näin hyödynnät kokonaisarkkitehtuuria tietoturvatyössä

Julkaistu 30.05.2022 kirjoittaja Arter

Tutustu tarkemmin tietoturvaan osana kokonaisarkkitehtuuria alla olevan webinaaritallenteen avulla. Webinaaritallenteessa annetaan esimerkki, miten voit hyödyntää kokonaisarkkitehtuurin kuvausta tietoturvatyössä ja mitä asioita kuvauksen hyödyntämisessä on järkevää ottaa huomioon.

Tunnista kokonaisuudet – tietoturva ja kokonaisarkkitehtuuri

Molempien aiheiden parissa työskennellessä on alkuvaiheessa ensiarvoisen tärkeää tunnistaa, minkä kokonaisuuden kanssa työskennellään.

1️⃣ Tietoturva lähestyy tätä yleensä käytännönläheisemmällä tavalla. Siinä kuvaukset tehdään listaamalla niitä asioita, joiden tietoturvallisuutta on tärkeää suojata.

2️⃣ Kokonaisarkkitehtuurissa taas jo pelkän nykytilan kuvauksen laatimiseen liittyy huomattavasti enemmän metodiikkaa ja käsitteistöä.

Tietoturvatyö voi kuitenkin pienen opettelun ja priorisoinnin kautta saada jopa lisäarvoa omalle tontilleen kokonaisarkkitehtuurin kuvauksista. Tietoturva hyötyy kokonaisarkkitehtuurin kappaleiden välisestä vuorovaikutuksesta ja riippuvaisuuksien ymmärtämisestä.

Esimerkiksi tietoon liittyvät käsitteet ja hierarkinen jaottelu voivat olla tietoturvan kannalta hyvinkin hyödyllisiä tapoja kuvata tiedon elinkaarta ja suhdetta tietojärjestelmiin tai prosesseihin, joissa tieto tuotetaan tai sitä jatkojalostetaan.

Kuvaus toiminnasta voi olla yhteinen, mutta tarkastelukulmat eroavat

Kun ajatusta tietoturvan ja kokonaisarkkitehtuurin yhtäläisyyksistä lähtee viemään eteenpäin, on aluksi tärkeää määritellä mitkä käsitteet liittyvät mihinkin käyttäjäjoukkoon.

Osa käsitteistä on yhteisiä, sekä tietoturvaa että kokonaisarkkitehtuuria kiinnostavia. Tällaisia voivat olla esimerkiksi:

tietojärjestelmät,
prosessit ja
erilaiset teknologiset kappaleet, kuten tilat tai palvelimet.

Osa käsitteistä taas liittyy nimenomaan joko tietoturvaan tai kokonaisarkkitehtuuriin.

Nykytilan kuvaus on sama, mutta siitä tehdyt johtopäätökset riippuvat valitusta näkökulmasta

Kummassakin esitellyssä tapauksessa – riskien ja kyvykkyyksien näkökulmasta – keskellä oleva kuvaus nykytilasta on täysin sama, mutta siitä tehdyt johtopäätökset ja havainnot ovat täysin erilaisia valitusta näkökulmasta riippuen.

Kuvaus toiminnasta eri näkökulmista. KLIKKAA KUVA ISOMMAKSI.

Tietoturvan tarkastelu riskien kautta

Tässä jaottelussa on viisainta lähteä liikkelle siitä, mikä on keskeistä. Tietoturvassa keskiössä ovat usein riskit.

Työtä tehdään usein tietohallinnossa, ja toiveena saattaakin olla suurempi käyttäjäkunta ja laajempi ymmärrys läpi organisaation. Riskit muodostavat muulle organisaatiolle näkymän tietoturvaan ja sen hallintaan.

Riskien yläpuolelta voi kuvauksessa löytyä toimenpiteitä, hallintakeinoja ja niiden takaa tietoturvapolitiikkaa. Riskien alapuolelta taas löytyvät tällöin ne järjestelmät, prosessit ja palvelut, joihin riskit liittyvät.

Kokonaisarkkitehtuurin tarkastelu kyvykkyyksien kautta

Kokonaisarkkitehtuurissa taas järkevä tapa jäsentää kuvausta on usein kyvykkyyksien kautta.

Kyvykkyydet koostuvat useista erilaisista kappaleista arkkitehtuuria. Esimerkiksi digitalisoinnin kyvykkyyteen voi liittyä korkeammalla tasolla jokin kehitysprojekti tai strateginen linjaus, joka on johtanut sen nostoon kyvykkyydeksi. Digitalisoinnin kyvykkyyden alta voi tällöin löytyä erilaisia prosesseja, osaamisia, rooleja, järjestelmiä, tietoa, jotka mahdollistavat digitaalisuuteen keskittyvän toiminnan.

Katso tämän blogin yläosasta aiheen webinaaritallenne, jolta näet konkreettisesti, miltä kuvaus toiminnan eri näkökulmista ARC-ohjelmistoon vietynä voisi näyttää, ja mitä sen suunnittelussa tulisi ottaa huomioon. Voit myös tilata täältä ARC-ohjelmiston maksuttoman demon, jolla pääset itse kokeilemaan, miten ohjelmiston ominaisuudet helpottavat työtäsi.