Yksi tietosuojan haasteista on se, että samalla kun tiedot on suojattava ulkopuolisilta väärinkäytösten välttämiseksi, on varmistettava asiallisilla asioilla olevien käyttäjien pääsy kaikkiin tarpeellisiin tietoihin. Kansalaisten on myös voitava luottaa esimerkiksi itseään koskevien tietojen oikeellisuuteen. Tuntuisi perin turvattomalta, jos ei voisi olla varma siitä, osuiko rikosrekisteri oikealle henkilölle tai ovatko postiluukusta putkahtavat laskut todella omiani. 
Tietoturva on tärkeä osa kaikkea toimintaamme Tietosuojan pettämisestä johtuvia ajan ilmiöitä on viime vuosina uutisoitu näkyvästi ja yleinen tietoisuus riskeistä on lisääntynyt. Silti niin kauan kuin selkeät vaatimukset tietoturvasta puuttuvat, turvaa ei usein lisätä, ennen kuin jotain tapahtuu - esimerkiksi maksukorttitietoja tai potilastietoja joutuu vääriin käsiin, kuten viime aikoina on nähty käyneen.
Asiakkaat ovatkin monesti epävarmoja siitä, mitä tietoturvan suhteen olisi tehtävä ja mitä heiltä vaaditaan. Malleja on runsaasti, ehkä jo peräti liikaakin. Miten niitä voi vertailla? Minkälaisia eroja löytyy? Entä yhtäläisyyksiä? Kannattaako käyttää kansallisia malleja, jos ne eivät ole linjassa valmiitten kansainvälisten mallien kanssa?
"Yleisesti voi sanoa, ettei Inspectalla ole yhtään asiakasta, jota tietoturva-asiat eivät koskisi. Siksi ne ovat tärkeä osa kaikkea toimintaamme", sanoo Jyrki Lahnalahti, joka kertoo tietoturvayhteistyön viime aikoina tiivistyneen erityisesti julkishallinnon kanssa. Inspecta Sertifiointi on myös ainoa Suomen viranomaisten tietoturvallisuuden ISO/IEC 27001 -sertifiointiin akkreditoima sertifiointielin.
Julkishallinto varautuu vuoteen 2013
Valtionhallinnon tietojenkäsittelyn ja palvelujen jatkuvuuden kehittämiseksi on päätetty, että tietoturvatasot ja ICT-varautuminen tulevat lain velvoittamiksi kaikille valtiohallinnon organisaatioille ja niiden yksityisen sektorin kumppaneille vuoden 2013 loppuun mennessä. JulkIT:n kautta sama tulee koskemaan myös kuntasektoria.
Tämä edellyttää merkittäviä muutoksia organisaatioiden toimintatavoissa ja teknisissä ympäristöissä. Inspecta Sertifiointi on jo nyt yhteistyössä useiden organisaatioiden kanssa näiden asioiden tiimoilta.
Maaseutuvirasto, jonka kautta kulkee EU- ynnä muiden maataloustukien muodossa vuosittain n. 2 miljardia euroa, on viimeisimpiä yhteistyön aloittaneita tahoja. Viraston ylijohtaja Leena Tenhola kertoo olevansa yhteistyöhön todella tyytyväinen. Jo aiemmin mm. Väestörekisterikeskus ja Maa- ja metsätalousministeriön tietopalvelukeskus ovat nähneet sertifioitumisen hyödyt.
Riskien hallinta on yhteistä ja keskeistä
Turvallisuuden – ehkä erityisesti tietoturvallisuuden – parantamiseen voi saada kulumaan rajattomasti rahaa panostamalla aina uusinta uutta olevaan tekniikkaan. Mutta ovatko tehdyt päätökset oikeita ja suojaudutaanko todellisilta haavoittuvuuksilta tai heikkouksilta? Mihin resurssit oikein pitää kohdistaa, kun vaatimuksia, malleja ja standardejakin on niin paljon?
Oikea työkalu on systemaattinen ja toimiva riskien hallinta. Riskit ovat erilaisiin uhkakuviin liittyviä mahdollisia tapahtumia, joiden toteutuminen pyritään estämään. Riskianalyysi osana riskien hallintaa yhdistää tunnistettavat uhat ja
organisaation toisiinsa painottaen kyseisen organisaation kannalta oleellisia asioita. Näin tehtävät toimenpiteet tavoitteineen linjataan organisaation omaan ympäristöön ja toimintaan, jolloin resurssit voidaan käyttää oikeisiin asioihin.
Järjestelmällinen riskien hallinta on niin ISO/IEC 27001 -standardin kuin muidenkin tietoturvallisuutta koskevien mallien kovaa ydintä. Tähän ei kuitenkaan riitä uhkien pohdiskelu kahvitauolla. Toimintaa aidosti suojaavaa hallintaa saadaan aikaan vasta todennäköisyyksien ja vaikutusten löytämisen sekä loppuun asti vietyjen, riskien toteutumista ehkäisevien toimenpiteiden kautta. Hyviä vinkkejä riskien hallinnan kehittämiseen antavat mm. standardit ISO/IEC 27005 (tietoturvapainotus) ja ISO 31000 (yleistä riskien hallinnasta).
