BLOGI
Tekoälyn yleistyminen vaatii entistäkin tarkempaa tietojen suojaamista. Telian Microsoft-asiantuntija Minna Sipinen muistuttaa blogissaan, että tiedon luokittelu auttaa myös työntekijöitä ymmärtämään, miten tietoa kuuluu käsitellä.
Joskus yksikin inhimillinen virhe on kohtalokas. Jos yrityksen arkaluontoista tietoa ei ole suojattu ulkopuolisilta, yksittäinen virhe voi johtaa tiedon karkaamiseen ulkopuolisille. Tietojen suojaamisen tarkoituksena on varmistaa, että arkaluontoiset tiedot pysyvät oikeiden ihmisten ulottuvilla.
Tekoälyn yleistyminen lisää entisestään tietojen suojaamisen tarvetta. Tekoäly hakee kaikkea tietoa, jonka se tunnistaa ns. sallituksi. Sillä ei itsellään ole ymmärrystä tiedon käyttöoikeuksista.
Esimerkkinä voi käyttää Microsoft Copilot -tekoälyavustajaa. Pyydettäessä se hakee kysytystä asiasta M365-ympäristöön tallennetun ns. julkisen tiedon. Se voi käyttää esimerkiksi kaikkea Teamsiin tai Sharepointiin talletettua luokittelematonta tietoa. Eli jos johtoryhmän muistio on tallennettu Teamsiin, joka on avoin koko organisaatiolle, Copilot voi hakea muistiosta tietoa kenelle tahansa yrityksen työntekijälle.
Salainen tieto pysyy salaisena, kun yrityksessä on huolehdittu siitä, miten ja millä kanavilla tietoa käsitellään. Jos johtoryhmän Teams-kanava on määritelty salaiseksi, sen tiedot ovat paitsi johtoryhmän ulkopuolisten henkilöiden myös Copilotin ulottumattomissa.
Tekoälyn yleistyessä on tärkeää muistuttaa työntekijöitä myös siitä, mitä tekoälysovelluksia on luvallista käyttää. Käyttäjien on ymmärrettävä, mitä tietoa voi laittaa esimerkiksi julkisiin tai ilmaisiin tekoälyä hyödyntäviin palveluihin. Tiedon asianmukainen suojaus ja luokittelu auttavat myös käyttäjää ymmärtämään, millainen tieto on kyseessä ja miten sitä pitää käsitellä.
Purview-tuoteperhe auttaa suojaamisessa
Tietojen suojaus vaatii koko organisaation strategista suunnittelua ja henkilöstön sitouttamista. Se on tärkeä liiketoiminnallinen päätös.
M365-ympäristössä tietojen suojausta on mahdollista lisätä luokittelun avulla. Telia voi auttaa ottamaan käyttöön Microsoft Purview -tuotteita, joilla tietojen suojauksia ja käyttöoikeuksia voi hallita. Ne auttavat varmistamaan, että tieto on oikeiden ihmisten saatavilla.
Jos esimerkiksi sähköpostiin liitetty tiedosto on luokiteltu Microsoft Purview Information Protection -työkalun avulla salaiseksi, se ei avaudu muille kuin oikean luokituksen saaneille vastaanottajille. Purview -tuotteet toimivat Microsoft-ympäristössä sekä työasemilla. Luokiteltu tieto säilyttää suojauksen, vaikka se tallennettaisiin työasemalle tai pilveen.
Luokitus estää myös tekoälytyökaluja löytämästä salaiseksi tarkoitettua tietoa.
Tärkeää on muistaa sekin, että kaikkea tietoa ei ole tarpeen salata. Yleensä yrityksen tiedoista noin 30 prosenttia vaatii suojausta.
Tietojen suojaukselle on tärkeää löytää sopiva taso. Liian tiukat suojauskäytännöt voivat hankaloittaa työntekoa ja hidastaa tiedon jakamista. Toisaalta liian löyhät käytännöt voivat altistaa tietovuodoille.
Mistä lähteä liikkeelle?
Jos yrityksen tietosuojaus on suunnittelematta, ensin on syytä kartoittaa lähtötilanne. Esimerkiksi Microsoft 365 -ympäristössä on mahdollista tehdä niin sanottu Health Check eli tietoturvakartoitus. Siinä käydään läpi lista asioita ja katsotaan, mitä mahdollisesti pitää korjata – vähän kuten autoa katsastettaessa.
Health Check antaa kattavan kuvan koko ympäristön tietoturvatilasta. Kun ympäristössä on tehty riittävät suojaukset, on tietojen suojaaminen myös selkeämpi aloittaa.
Telialta on mahdollista saada apua tietoturvakartoituksiin ja Managed 365 -ympäristön hallintaan ja kehitykseen sekä tietojen suojaamiseen. Myös Copilot for M365 -tekoälytyökalun käyttöönotto sekä M365 Back up -tietojen varmuuskopiointi kuuluvat Telian palveluvalikoimaan.
Minna Sipinen
Go to Market Manager, Telia
Minnan vinkit: Mieti näitä, kun yrityksessäsi luodaan pelisääntöjä tietojen käsittelyyn
- Mitä tietoa on tarpeen suojata?
- Kenellä on käyttöoikeudet tietoon ja missä tietoa on lupa käyttää?
- Miten arkaluontoista tietoa käsitellään?
- Miten tietosuojakäytännöistä viestitään ja miten niiden käyttöön koulutetaan?
- Miten suojausta kehitetään ja päivitetään?