Tietoturva on enemmän hallinnollinen kuin tekninen asia. Tietoturva nähdään selvästi tekniseksi asiaksi, sillä virustorjunta, palomuuri, salattu langaton verkko ja vahvoilla salasanoilla suojatut tietokoneet hallitaan valtaosassa yrityksiä. Ne ovatkin käytössä liki 90 prosentissa yrityksistä.
Teksti ja kuvat: Fordione
Sen sijaan toimintatavoissa on vielä runsaasti parantamisen varaa. Henkilöstön koulutus, tietoturvakäytännöt ja erityisesti yhteistyökumppaneiden tietoturvasta varmistuminen ovat selvästi heikommin hoidettuja. Tietomurron sattuessa menetetään tärkeän datan lisäksi usein myös asiakkaiden ja yhteistyökumppaneiden luottamus. Tähän yhdelläkään yrityksellä ei ole varaa.
Harva Pk-yrittäjä listaa tietoturvauhat ja tietojärjestelmien toimimattomuuden tärkeimpien liiketoimintaa uhkaavien tekijöiden joukkoon. Silti jopa 6000 suomalaista Pk-yritystä tietää joutuneensa tietomurron kohteeksi. On oletettavaa, että näiden lisäksi joukkoon mahtuu myös sellaisia yrityksiä, jotka eivät ole havainneet murtoa. Riippumatta siitä, tuottaako organisaatio itse IT-palveluita tai ostaako se niitä ulkoistettuna palveluina, vastuu on aina organisaatiolla itsellään. Se miten organisaatio on varautunut siihen, että sen käyttämät tai tarjoamat palvelut eivät ole käytettävissä itselle tai asiakkaalle, on myös avainasemassa. Tietoturvassa on luottamuksellisuuden ohessa kyse myös luottamuksesta.
Ihminen, joka on kaiken keskiössä voi omilla toimillaan osaltaan vaikuttaa tietoturvan ja tietosuojan toteutumiseen. Työntekijä ei usein edes tiedä, mitkä tiedot ovat tärkeitä, mitä tapahtuu, jos tärkeät tiedot katoavat tai mitä merkitystä on niiden vuotamisesta kilpailijalle. Jos tietoturvallisuus organisaatiossa mielletään pelkästään tekniikaksi ja ihmisen vaikutus tietoturvallisuuteen jätetään huomiotta, ei myöskään tunnisteta isoa osaa tietoturvariskeistä.
Tietoturva syntyy ihmisten teoista
Yrityksissä on tärkeää ymmärtää mistä heidän tietoturvansa syntyy ja miten riskit saadaan vältettyä. Hyvin oleellinen asia on se, lähteekö tietoturva jo ylimmän johdon toimintatavoista ja kiinnitetäänkö siihen huomiota, miten ja missä ihmiset käyttävät arkaluontoista tai liiketoiminnalle muuten kriittistä tietoa. Tietoturvaa voidaan usein parantaa yksinkertaisilla keinoilla. Omasta työhuoneestaan poistuttaessa käännetään paperit väärin päin ja lukitaan työasema. Arkaluontoista tietoa ei kuljeteta pois työpaikalta muistitikulla tai printattuna eikä arkaluontoista työsähköpostia lähetetä henkilökohtaiseen sähköpostiin. Kun työpaikalta lähdetään, huoneenkin ovi lukitaan. Lisäksi hyvin yleinen riski syntyy puhuttaessa julkisissa paikoissa työhön liittyvistä asioista.
Kun tietosuoja murtuu, murtuu myös asiakkaiden luottamus
Suomesta ei juuri löydy yrityksiä, jotka eivät olisi suojanneet ympäristöään palomuurilla. Sen sijaan yrityksiä jotka tietävät tarkalleen minkälaista liikennettä palomuurin lävitse kulkee, on varsin vähän. Tämä saattaa vaikuttaa harmittomalta pikku yksityiskohdalta, mutta pahimmillaan tällainen tietämättömyys voi johtaa tietomurtoon jolla voi olla kauaskantoisia seurauksia. Hyökkäykset eivät aina edes kohdistu suoraan siihen yritykseen jossa alkuperäinen hyökkäys tapahtuu, vaan niissä hyödynnetään taitavasti haavoittuvan yrityksen ja lopullisen kohdeyrityksen välistä luottamusta. Tietomurrot vievät rikollisten käsiin niin arkaluontoisia liikesalaisuuksia kuin yksityishenkilöidenkin tietoja. Vahingot voivat olla suuria ja peruuttamattomia. Lisäksi se vaikuttaa yrityksen maineeseen ja asiakkaiden luottamukseen.
Yritykset varautuneet huonosti vakavaan uhkaan
Tietoturva-aukon avaa usein varomaton työntekijä. Kyberrikolliset ujuttavat haittaohjelmia yrityksiin muun muassa liitetiedostojen ja sähköpostilinkkien avulla. Kohde saattaa saada sähköpostin työkaveriltaan tai muulta luotettavalta henkilöltä. Siinä vastaanottajaa kehotetaan avaamaan liitetiedosto tai vierailemaan linkin kautta jollakin verkkosivustolla. Viesti on kuitenkin väärennetty lähettäjän tietoja myöten ja liitetiedosto tai verkkosivusto lataa koneelle haittaohjelman.
Yritysten ja organisaatioiden tulee tiedostaa oma vastuunsa tietoturvariskien minimoimisessa. Tämä ei ole sellainen asia, josta viranomaisten pitäisi huolehtia yritysten tai organisaatioiden puolesta. Hyvin hoidettu tietosuoja ja tietoturva ovat todellinen kilpailuetu ja tuo luottamusta asiakkaiden keskuudessa.
EU:n tietosuoja-asetus
Tietoturvan ja tietosuojan merkitys korostuu yhä enemmän yritysten ja organisaatioiden liiketoiminnassa, eikä sen merkitystä ei voi vähätellä millään liiketoiminnan osa-alueella. Europarlamentin kansalaisvapauksien valiokunta on hyväksynyt EU:n tietosuoja-asetuksen sisällön ja Euroopan parlamentti ja neuvosto hyväksyvät muodollisesti lopulliset tekstit lähikuukausien aikana. Siirtymäaikaa annetaan kaksi vuotta, joten uusia tietosuojasääntöjä aletaan soveltaa vuonna 2018. Lisäksi se on poikkeuksellisesti asetus eikä direktiivi jolloin se on suoraan sovellettavaa lainsäädäntöä Suomessa.
"Voimaan astuessaan se asettaa tietosuojaan tiukentuneita vaatimuksia ja pahimmillaan kovat sanktiot yrityksille, jotka jättävät nämä vaatimukset huomioimatta. Laiminlyönnit synnyttävät myös merkittävän maineriskin joka voi vahingoittaa yrityksen brändiä ja liiketoimintaa. Jatkossa ei esimerkiksi enää tule riittämään, että noudatetaan lakia, vaan yritysten ja yhteisöjen on kyettävä osoittamaan, että säännökset on huomioitu toiminnan suunnittelussa."
Lisäksi asetus vaatii entistäkin tarkemmin huolehtimaan henkilötiedoista ja dokumentoimaan tiedon elinkaarta.
Miten varautua asetukseen?
Ensimmäiseksi kannattaisi ottaa selvää mitä tietoja yrityksen henkilörekistereihin on kerätty ja millaisilla prosesseilla ja järjestelmillä niitä käsitellään. Hallinnollinen työ yrityksissä toki lisääntyy, sillä rekisterien pitäjiltä ja tietojen käsittelijöiltä vaadittanee erilaisia tietosuojakysymyksiin liittyviä dokumentteja ja prosessikuvauksia.
Yrityksen toimintamallien läpikäynti ja sopeuttaminen asetuksen vaatimuksia vastaaviksi on iso ja aikaa vievä prosessi, johon asetukselle määritelty kahden vuoden siirtymäkausi ei välttämättä riitä. Yritysten onkin nyt hyvä miettiä, miten ne tulevat jatkossa tietosuojaa toteuttamaan, sillä sen tärkeys korostuu vahvasti asetuksen voimaantulon jälkeen.
Asetus tähtää hyötyihin harmonisoimalla erimaiden kirjavat tietosuojalainsäädännöt poistaen näin omalta osaltaan kaupanesteitä. Merkittävä hyötyä saavutetaan myös eri jäsenmaiden tietosuojaviranomaisten lisätessä keskinäistä yhteistyötään. Asetuksen perimmäinen tarkoitus onkin helpottaa ja tehostaa EU:n sisäistä kaupankäyntiä luomalla kaikille yhteiset pelisäännöt.
Teksti ja kuvat: Fordione
Koulutus: Miten yrityksissä tulisi toteuttaa tietoturvaa jotta yritykseen syntyisi tietoturvakulttuuri?
Koulutuksen sisältö:
Tietoturva on erittäin laaja käsite. Tärkeintä on kuitenkin sisällyttää tietoturvalliset toimintatavat päivittäisiin prosesseihin. Näin varmistetaan se, että tietoturva huomioidaan joka päivä sekä työntekijöiden että yritysjohdon tasolla. Tietoturvallisuudesta huolehtimalla voimme varmistaa, ettei tärkeitä tietoja joudu vääriin käsiin eikä niitä muuteta tai tuhota. Hyvin hoidettu tietosuoja on todellinen kilpailuetu ja tuo luottamusta asiakkaiden keskuudessa.
Koulutus käsittää tietoturvallisuuden eri osa-alueista seuraavat hallinnollisen tietoturvaan liittyvät osiot:
Yleisen tietoturvan
tietoturvapolitiikka
hallintomallit
teknologia
toteutus
Tietosuojan
EU:n tietosuoja-asetus
rekisteri- ja tietosuojaseloste
Kyberturvallisuuden
IoT (Internet of Things) markkinat kasvavat ennen näkemättömällä vauhdilla, on syytä tiedostaa teollisen internetin, esineiden internet, mitä nimitystä tästä halutaankaan käyttää, uhat ja mahdollisuudet.
Koulutuksen tavoitteena on saavuttaa tietämys siitä, miten yksittäinen ihminen voi toteuttaa tietoturvaa luontevana osana päivittäisessä työssään ja arjen askareissa.
Koulutuksen puhujana toimii Fordione Oy:n perustajaosakas Matti Timonen. Hänellä on yli kahdenkymmenenvuoden kokemus tietohallinnon ja tietoturvallisuuden johtamisesta niin logistiikka kuin IT-alalta. Matti Timonen on suosittu luennoitsija ja kouluttaja. Hänen erikoialaansa ovat hallinnollinen tietoturva ja tietoturvaan liittyvät prosessit.
Paikka ja aika:19.5.2016, klo 9.00-12.30, Ostrobotnia, Museokatu 10, Helsinki
(Ilmoittautuminen ja aamupala klo 9.00-9.30, luento klo 9.30-12.30)
Hinta:
Jäsenhinta 165 € + alv 24%
Normaalihinta 265 € + alv 24%
Hintaan sisältyy luento, luentomateriaali ja aamupala.
Lisätietoja: Teemu Mikkonen,teemu.mikkonen@smal.fi, 09 4133 3530
Ilmoittautuminen alla olevan linkin kautta:
Ilmoittaudu tästä
Peruutukset:
Jos osallistuminen peruutetaan viimeisen peruutuspäivän (12.5.) jälkeen, on veloitus puolet kurssin hinnasta. Mikäli osallistuminen peruutetaan 16.5. klo 15.00 jälkeen, tai jää kokonaan peruuttamatta, veloitetaan koko kurssimaksu. Perutun henkilön tilalle voi lähettää toisen henkilön.
Kurssi toteutetaan, mikäli osanottajia on riittävästi.
Smalser Oy ilmoittaa peruuntumisesta osanottajille viimeistään 5 päivää ennen kurssia. Peruutuksen sattuessa Smalser Oy ei vastaa ilmoittautuneiden mahdollisista kuluista.
Kun ilmoittautuminen nettisivun kautta on päättynyt, ota yhteyttä sähköpostitse.