Integraatioiden avulla tiedonsiirto lukuistenkin eri järjestelmien välillä automatisoidusti ja reaaliaikaisesti on mahdollista. Tällöin paitsi tietosuojan on oltava kunnossa, mutta myös tietoturvaan tulee varautua. Tietoturvan kehittäminen on jatkuva prosessi, sillä pienetkin muutokset toimintaympäristössä aikaansaavat uusia haavoittuvuusmahdollisuuksia. Tässä artikkelissa keskitymme tarkastelemaan tietoturvan merkitystä integraatiohankkeissa.
1. Luottamuksellisuus
Kun tietoturva on kunnossa, pääsevät vain oikeutetut käsiksi heille tarkoitettuihin tietoihin. Esimerkiksi monitasotietoturvalla (Multilevel Security, MLS tai Content-based Information Security, CBIS) tarkoitetaan karkeasti ottaen oikeuksien määrittämistä siten, että henkilöllä on näkymä vain niihin tietoihin, joihin hänen oikeutensa riittävät. Siten vältytään tilanteilta, jossa työntekijöillä on oikeudet ”varmuuden vuoksi” liian laajalti.
Monitasotietoturvaan apuväline on esimerkiksi Microsoftin Rights Management Services (RMS) Windows Server -käyttöjärjestelmälle.
2. Käytettävyys
Käytettävyydellä tarkoitetaan tiedon saatavuutta oikeassa muodossa oikeaan aikaan. Tiedon tulee olla sellaisten henkilöiden käytettävissä, jotka sitä tarvitsevat ja joille se myös on tarkoitettu.
3. Eheys
Eheys eli rakenteen oikeellisuus tarkoittaa käytännössä sitä, että tietoa ei pääse kuka tahansa muokkaamaan ilman asianmukaista valtuutusta. Tieto ei siis muutu matkan varrella, vaan säilyy samassa muodossa.
4. Kiistämättömyys
Tiedon kiistämättömyys eli tapahtuman todentaminen jälkikäteen on keino esimerkiksi seurata järjestelmän käyttöä. Lokipalvelimelta on mahdollista todentaa käyttäjien tekemiä muutoksia.
5. Tunnistaminen
Tunnistamisella tarkoitetaan oikeiden käyttäjien tunnistamista ja oikean toimintatavan noudattamista, jotta tietoturva tulee jatkuvasti huomioiduksi ja jotta varmistutaan, että käyttäjät ovat varmasti niitä, joita sanovatkin olevansa. Integraatiohankkeissa tällainen tunnistamistoiminta tapahtuu heti alkuauditoinnin yhteydessä.
Mitä tahansa projektia suunniteltaessa tulee tietoturva huomioida jo hyvin alkumetreillä sekä tarkastella hanketta vielä erikseen nimenomaan tietoturvan kautta. Lisäksi integraation arkkitehtuuri on hyvä suunnitella jo projektin alkumetreillä niin, että se on mahdollisimman turvallinen.
Tietoturvavaatimusten määrittely on oleellinen osa integraatiohanketta. Vaatimusten määrittelyyn liittyvät mm. käyttäjän tunnistus ja oikeuksien hallinta, tapahtumien jäljitettävyys, tietojen salaaminen sekä varmuuskopiointi ja palauttaminen. Vaatimukset on hyvä kirjoittaa yleiskäyttöiseen muotoon tehokasta uudelleenkäyttöä varten, jotta parhaat ratkaisut jalkautetaan myös muuhun toimintaan.
Testausta ei myöskään pidä unohtaa, sillä jatkuvalla tuotosten testauksella pystytään paitsi kehittämään itse integraatiota, mutta myös havaitsemaan riskejä. Vaikka projektin alkuvaiheessa olisikin panostettu työkalujen valintaan sekä toteutettu huolellinen auditointi, voi testaus silti paljastaa riskejä. Siksi jatkuva tietoturvan huomiointi läpi integraatiohankkeen on tärkeää.
Tietoturvaa uhkaavat hyökkäysmenetelmät kehittyvät huimaa vauhtia, mutta toisaalta myös järjestelmät kasvavat ja muotoutuvat muuttuviin vaatimuksiin. Uuden laitteen tai järjestelmään tehtävän muutoksen myötä ei kuitenkaan pidä tuudittautua paikoilleen, sillä pienikin muutos voi sisältää aukkoja ja haavoittuvuuksia. Siksi jatkuvuus ja kehittäminen ovat tietoturvan säilyttämiselle kaiken A ja O.
Jatkuvuuden hallintaan ja ajantasaiseen seurantaan on olemassa käteviä työkaluja, kuten erilaisia analysointiohjelmia ja turvallisuusskannereita. Lisäksi esimerkiksi The Open Web – Application Security Project (OWASP) on avoin yhteisö, jonka tavoitteena on kehittää menetelmiä web-sovellusten tietoturvan parantamiseen.
Säännöllisesti toteutettavan auditoinnin ansiosta tietoturvan kehittämiskohteet on mahdollista havaita jo ennen kuin haavoittuvuuksia ehditään hyväksikäyttää. Tietoturva-auditoinnissa voidaan arvioida joko organisaation kokonaistietoturvan tilannekuva tai vain pala siitä. Tarve auditoinnille kasvaa sitä mukaa, mitä suuremmalle joukolle sovellus on avoin – toisaalta taas esimerkiksi julkishallinnon järjestelmille jo pelkästään lait ja säännöt edellyttävät auditointia.
Alfamella me hyödynnämme mm. valvontajärjestelmä Nagiosta lähes jokaisessa integraatioprojektissa. Se tukee valmiiden lisäosien kautta esimerkiksi verkkolaitteiden, palvelinten komponenttien, levytilan ja tietokantojen valvomista. Lisäksi Nagios tarjoaa rajapinnan, jonka avulla voidaan valvoa yrityksen räätälöityjä järjestelmiä. Valvonnan kautta on mahdollista havaita tietoturvarikkeitä mahdollisimman aikaisin ja pyrkiä minimoimaan vahingot, jopa automaattisesti. Tämä luonnollisesti edellyttää, että jo järjestelmän määrittelyvaiheessa ja erityisesti järjestelmän tietoturvaan liittyvissä vaatimuksissa on varauduttu riskeihin.
Jos haluat kuulla lisää esimerkiksi siitä, miten varaudumme tietoturvariskeihin ja miten huolehdimme tietoturvan jatkuvuudesta, otathan rohkeasti yhteyttä. Tutustu myös oppaaseemme: Opas integraatioiden ostamiseen, josta saat syvällisemmin tietoa integraatioista ja esimerkiksi siitä, millainen integraatio kannattaa valita.