Kuinka valjastaa lokienhallinta liiketoiminnan käyttöön?

Keskitetty lokienhallinta, SIEM, tilannekuva ja Big Data on informaatioalan saralla se nelikko, joka kiinnostaa tällä hetkellä ennen kaikkea organisaatioiden tietohallintoyksiköitä. SIEM-ratkaisuilla (Security Information Event Management) tavoitellaan helpompaa ja nopeampaa tapaa selvittää sovellusten ja palveluiden teknisiä ongelma- ja vikatilanteita ja sitä ”parempaa tietoturvaa”. Ajantasaisen kokonaiskuvan saamiseksi ja ennustettavuuden parantamiseksi halutaan rakentaa tilannekuvanäkymiä yrityksen tietoteknisestä ympäristöstä ja teknisen tietoturvan tilasta. Kun tämä ketju on saatu toteutettua on aika ryhtyä hyödyntämään lokitietoja osana Big Dataa, jotta analysoinnista ja raportoinnista saataisiin kattavampaa.

Keskitetyn lokienhallinnan kehittäminen kannattaa aloittaa pienin askelin; käyttöönottaa keskitetty lokienhallintajärjestelmä vaiheittain ja laajentaa sitä kohti kattavampaa lokitiedon hyödyntämistä järjestelmän SIEM-toiminnallisuuksilla. Tämän jälkeen nälkä kasvaa syödessä ja päädytään tilannekuvaratkaisuun, joka edellyttää uusia ohjelmistohankintoja tai ainakin lisenssien hankkimista.  Osaaminen ja tietoisuus lokitiedon hyödynnettävyydestä lisääntyy pikkuhiljaa ja matka kohti Big Data -ratkaisun suunnittelua ja käyttöönottoa voi jatkua.

Kuuntele liiketoimintayksikön toiveita

Keskitetyn lokienhallintajärjestelmän hankinta käynnistetään hyvin usein yrityksen tietohallintoyksikön toimesta: sovellusten ja palveluiden ongelman selvitystä halutaan helpottaa esimerkiksi tietoturvan kehittämisen näkökulmasta, tietoturvapoikkeamat on tarve havainnoida ja halutaan työkalu niiden  selvittämiseen. Tavoitteet hankinnalle ja projektin käynnistämiselle asetetaan puhtaasti teknisen ympäristön hallintaan liittyviä hyötyjä tavoitellen. Nämäkin tavoitteet on hyvä huomioida, mutta entäpä jos teknisen näkökulman lisäksi mukaan tavoitteiden asettamiseen otettaisiinkin liiketoimintayksiköiden edustajat?

Yleinen käsitys on se, että liiketoiminnalla ei ole riittävästi ymmärrystä lokeista ja niiden hyödyntämisestä, joten heidän edustajansa jätetään helposti ulkopuolelle tavoitteiden asettamisessa. Näin siitä huolimatta, että nykyään pitäisi olla itsestään selvää se, että tietoteknisiä ratkaisuja ei rakenneta tietohallinnon tarpeisiin, vaan niitä kehitetään tukemaan liiketoimintaa. Tietohallinnon tehtävänä on kerätä liiketoiminnalta tarpeita ja auttaa heitä ymmärtämään teknisten ratkaisujen hyödynnettävyys liiketoiminnan pyörittämisessä.
Kokemuksesta voin sanoa, että liiketoiminnalta tulee yllättävänkin paljon tarpeita ja ideoita lokitietojen hyödyntämiselle. Ajatukset saattavat toisinaan olla lennokkaita, mutta teknisessä vastuussa olevien henkilöiden tehtävänä on arvioida, voidaanko kaikki toteuttaa ja jos voidaan niin miten ja millä kustannuksilla?

Hyödynnä liiketoiminnan ideoita

Liiketoiminnan näkökulmasta kiinnostavaa on varmasti se, miten yrityksen keskeiset prosessit ja toiminnot toimivat. Lokitietoja voidaan hyödyntää mm. prosessin läpimenoaikojen mittaamiseen ja mahdollisten viiveiden selvittämiseen. Edellytyksenä on kuitenkin se, että prosessit on kuvattu ja kontrollipisteet on määritelty. SIEM-järjestelmän avulla voidaan kerätä prosessin tukena käytettävistä järjestelmistä lokitietoja, yhdistellä niitä ja tuottaa kerätystä tiedosta erilaisia raportteja. Poikkeamista voidaan haluttaessa määritellä hälytyksiä.

Taloushallinto: Esimerkkinä voidaan käyttää mm. taloushallinnon prosesseja, joissa kiinnostavaa on se, kuka maksoi ja minkälaisia summia yrityksen tililtä? Tapahtuuko prosessin toteuttamisen aikana normaalista poikkeavia tapahtumia? Syntyikö ns. vaarallisia tai kiellettyjä työyhdistelmiä laskujen asiatarkastamisessa ja hyväksymisessä? Näistä voidaan tuottaa erilaisia liiketoimintaa kiinnostavia raportteja ja hälytyksiä. Kun järjestelmä havaitsee että maksusuorituksia on tehty normaalista poikkeaville tileille generoidaan hälytys. Näin voidaan mahdollisesti estää väärinkäyttötapaukset tai ne voidaan ainakin havaita.
Palveluiden käytön seuranta: Kiinnostavaa yrityksen tai organisaation kannalta saattaa olla myös asiakkaille tuotettujen palveluiden käytön seuranta ja niiden optimointi. Yhä useampi yritys ja organisaatio siirtää palveluitaan verkkoon asiakkaiden saataville. Mitkä niistä sitten palvelevat asiakkaita ja herättävät eniten kiinnostusta? Minkä verkkopalvelun kehittämiseen kannattaa panostaa?
Rekisterien väärinkäyttö: Toisaalta taas mm. sairaanhoitopiirien ja monien viranomaistahojen tietojärjestelmissä on oltava mahdollisuus seurata kuka on katsonut, kenen tietoja ja mistä syystä. Kyseisissä organisaatioissa on oltava mahdollisuus raportoida ja mahdollisesti tiettyjen kriteerien valossa myös hälyttää tilanteissa, joissa esimerkiksi jonkin tietyn julkisuuden henkilön tietoja katsotaan useita kertoja lyhyen ajan sisällä.

Entäpä sitten yritysten tai organisaatioiden tilaratkaisujen kehittäminen? Paljon mietitään ja keskustellaan, onko työympäristö viihtyisä ja tilaratkaisut tarpeita vastaavat. Nykypäivänä hyvin monissa yrityksissä ja organisaatioissa tehdään joko liikkuvaa tai etätyötä, jolloin ns. kiinteitä istumapaikkoja ei aina välttämättä kaikilla ole. Miten sitten saadaan faktatietoa siitä, mitkä tilat on aktiivisessa käytössä ja missä tiloissa harvemmin kukaan istuu? Keinoista mainittakoon muutama; kulunvalvontajärjestelmät tuottavat lokia ja koneet on kytketty tiettyihin verkkopistokkeisiin, jolloin jommasta kummasta näistä tiedoista tai molemmista yhdistelemällä, saadaan SIEM-järjestelmästä halutunlaista statistiikkaa.

Realismia vai pessimismiä

Ideoita syntyy, joista osa on toteuttamiskelpoisia ja osa taas esimerkiksi hyötyihin nähden liian kalliita toteutettavaksi. Lisäksi toteuttamisen kannalta on tärkeä muistaa, että lokienhallinnan kehittämisen keskeinen edellytys on hyvä ja hyödyllinen lokitieto. Raportteja ja hälytyksiä on vaikea rakentaa halutuista asioista, jos järjestelmät eivät tuota kunnollista ja tarpeita vastaavaa lokitietoa.
Lokitietojen hyödynnettävyyden kannalta esteeksi saattavat muodostua myös lakiin pohjautuvat rajoitukset. Mm. yksityisyyden suojaa koskevat lait rajoittavat lokeista kerättävän tiedon käyttöä. Monikansallisissa yrityksissä on samalla osattava huomioida usean eri maan variaatiot kyseisistä lakirajoitteista tai todettava, että toimitaan tiukimman maan lakivaatimusten mukaisesti.
Kaikesta huolimatta näkökulmaa kannattaa laajentaa ja suunnata rohkeasti avaamaan keskusteluja liiketoimintaihmisten kanssa.

"Mahdoton on mahdotonta vain ratkaisuun asti."
– Harry Emerson