Lessons from the Vastaamo Case: Eliminate Extraneous Elements and Focus on Essentials

Teknologia 23 -tapahtuman TIVIA Stagen kolmannen päivän eli torstain 9.11.2023 kahdeksannen esityksen piti OT Cyber Security Manager ja tohtoriopiskelija Arttu Pispa Deloittelta. Kolmannen päivän ohjelma oli kokonaan Tietoturva ry:n järjestämää ja päivän esityksillä oli 20–70 seuraajaa paikan päällä.

Toimitusketjujen integraatio on Pispan mukaan olennainen ja kasvava osa-alue. Automatisoinnilla pyritään lisäämään tehokkuutta. Automatisointi kohdistuu hallinnolliseen työhön eli esimerkiksi tilausten lisäämiseen järjestelmään sillä perusteella, että tilataan automaattisesti varaston vähennyttyä. Toisaalta automatisoinnilla haetaan parempaa ennustettavuutta esimerkiksi tiedolla siitä, paljonko asiakkaalla on tuotetta varastoissaan, minkä perusteella on varauduttava toimituksiin. Ei-ydintoimintoja voidaan myös ulkoistaa.

Toimitusketjujen integraatiolla tarkoitetaan automaattista liittymää toiseen organisaatioon, jolloin mukaan tulee eri ohjelmistotoimittajia, unohtamatta palveluntarjoajien pääsyä järjestelmään. Integraatiot aiheuttavat tietoturvahaasteita: Mitä kaikkea integraation läpi pääsee tekemään? Mitä tietoja integraatioiden kautta näytetään ulos? Voiko toisen tekemisiin luottaa? Miten organisaation ulkopuoliset sitoutetaan toimimaan niin kuin organisaatio haluaa?

TIVIAn jäsenenä olet osaavassa seurassa

Henkilöjäsenenä pidät oman ammattitaitosi ajan tasalla, luot kontakteja ja kehität alaa sekä hyödyt eduista.

Miten tietoturvahaasteista selvitään? Pispan mukaan kaikkien pitää tehdä yhteistyötä yhteisen hyvän eteen. Integraatioita on valvottava: Mitä on tulossa sisään, mitä on menossa ulos? Kuka tulee ja koska? Yhteydet oudoista maista ja kummalliseen aikaan saattavat paljastaa väärinkäytökset. Integraatioita ja integraatioarkkitehtuuria on myös suunniteltava: Uusien pysyvien integraatioiden yhteydessä on pysähdyttävä miettimään, miksi se tehdään ja mitä tietoa liikutellaan. Ja integraatio on toteutettava tukemaan käyttötarkoitusta. Kolmansia osapuolia on hallittava: Varmistettava, että ulkopuoliset tekevät sitä, mitä on tarkoitus tehdä. Luottamusta silti tarvitaan, sillä ei ole järkeä ulkoistaa ja sen jälkeen seistä selän takana seuraamassa, mitä he tekevät. Riittääkö luottamus, vai pitäisikö vaatia noudattamaan joitain yleisesti hyväksyttyjä tietoturvavaatimuksia tai käymään jokin koulutus? Tarjolla on paljon alan sertifiointeja.

Teksti: Reino Myllymäki
Kuva: TIVIA ry 


Jaa tämä kirjoitus
Arkistoi