Tiedon luokittelu tiedon suojaamisen ja liiketoiminnan näkökulmasta

Abstract

Tiedon luokittelu on tärkeä osa yritysten ja organisaatioiden datan hallintaa ja kokonaistietoturvaa. Nykypäivänä yritysten tarjoamat palvelut ovat sähköisiä, ja verkossa kulkee suuri määrä erilaista dataa, josta osa on palveluiden käyttäjien arkaluontoista ja luottamuksellista tietoa. Datamäärien kasvaessa yrityksiltä vaaditaan yhä useammin strategisen tason suunnittelua ja koko organisaation sitoutumista datan huolelliseen hallintaan. Tehokas ja täsmällinen tiedon luokittelu auttaa mm. kohdentamaan tietoturvaresursseja, vähentää manuaalista datan hallintatyötä, ja voi jopa nopeuttaa projektien toteuttamista poistamalla vääränlaisien pääsyoikeuksien aiheuttamaa viivettä. Vaikka tiedon luokittelu tarjoaa lukuisia etuja tiedon suojaamiselle ja liiketoiminnalle, on se syystä tai toisesta aliarvostettua yritysmaailmassa, eikä sen etuja osata hyödyntää, ja tästä syystä suuri osa kaikesta datasta täysin luokittelematonta dataa. Tätä tutkimusta varten haastateltiin viiden yrityksen tietoturvajohtajaa tiedon luokittelusta, ja haastattelujen avulla selvitetään, miten suomalaiset yritykset suhtautuvat tiedon luokitteluun, ja miten tärkeänä tiedon suojaamisen ja liiketoiminnan osana tiedon luokittelu nähdään, sekä millaisia etuja yritykset kokevat saavansa tiedon luokittelulla. Lisäksi haetaan mahdollisia selityksiä sille, millaista arvostusta tiedon luokittelu nauttii osana datan hallintaa ja tiedon suojaamista, sekä selityksiä mahdolliselle aliarvostukselle ja matalalle tiedon luokittelun hyödyntämiselle. Työn ensimmäisessä osassa käydään läpi aihealueeseen liittyvää edeltävää kirjallisuutta ja toinen osa käsittää tutkimuksen empiirisen osan. Tässä työssä tiedon luokittelulla tarkoitetaan yrityksen omistaman datan ja tiedon luokittelemista soveltamalla jotakin tunnettua, tai itse kehitettyä tiedon luokittelun mallia tai kaavaa. Tiedon luokittelun perimmäisenä tavoitteena on taata riittävä suojaus yrityksen omistamalle datalle ja tiedolle riippuen sen arvosta yritykselle.

Information classification is important part of data management and information security of companies and organizations. Today companies offer their services through the internet and there is vast amount of data travelling through internet every day, and part of all data includes also sensitive and confidential information about service users. Growing data volumes causes growing requirement for strategic level data management planning and commitment for organizations to follow the data management strategy in every part of organization. Effective and accurate information classification helps organizations and companies to target security resources more precisely, reduces manual data management and can even help companies to be faster with large projects removing delays caused by bad data access in project teams. Despite many advantages that information classification gives, it is underrated in business field, and companies are utilizing it in the best level, and it causes that big part the whole data in the world is still unclassified dark data. For this study five information security directors were interviewed about information classification, and findings are done about how companies think about information classification and how important part of information security and business information classification is seen and what kind of benefits companies feel to get from information classification. Answers are also sought for how high companies valuate information classification as part of data management and information security and possible explanation for possible underappreciation and low utilization. In the first part previous literature attached to the topic is gone through. The second part comprises the empirical part of the study. In this study information classification refers to actions that companies do to classify data and information that they own. Information classification can be done by using some known classification model or schema or by creating own model. The most important objective of information classification is to ensure that information receives an appropriate level of protection in accordance with its importance to the organization.