Oletko koskaan ollut huolissasi tietojesi tai tiedostojesi häviämisestä tai joutumisesta vääriin käsiin? Vastaus on todennäköisesti kyllä, etkä ole yksin: informaatioajassa tietoturvallisuus ja tietoihin liittyvät riskit koskettavat jokaista henkilöä ja organisaatiota.
”Tietoa syntyy ja kertyy yhä vain enemmän, ja suurin osa tiedosta on
 |
| Jyrki Lahnalahti |
näkymättömässä muodossa esimerkiksi palvelimen tiedostokansioissa. Ennen vanhaan arkiston oven saattoi lukita ja säilyttää ainoan avaimen varmassa paikassa. Nykyajan varkaudet ovat huomaamattomia, mutta voivat aiheuttaa mittaamattoman suuria vahinkoja. Tämä koskee kaikenlaisia ja -kokoisia organisaatioita”, sanoo Jyrki Lahnalahti, Inspectan tietoturvallisuuden hallintajärjestelmien sertifioinnin tuotepäällikkö.
”Tärkeintä on, että tietoa hallitaan hyvin. Jokaisen organisaation kannattaisi miettiä omien tietojensa arvoa ja niihin liittyviä riskejä jo toiminnan jatkuvuuden varmistamiseksi. Voitko olla varma, että tieto on käytettävissä aina tarvittaessa? Entä voitko luottaa, ettei kukaan ole käpälöinyt tai vääristellyt tietojasi?”, Lahnalahti jatkaa.
Järjestelmällistä yhteistyötä tietoturvallisuuden jatkuvaan kehittämiseen
Hyvä tapa varmistua tietoturvallisuuden hyvästä hallinnasta on hallintajärjestelmän arviointi ja sertifiointi. Erityisesti tätä varten on kehitetty kansainvälinen standardi, ISO/IEC 27001, joka on perinteisesti kiinnostanut etupäässä IT-alan yrityksiä. Kiinnostus tietojen riskienhallintaa sekä sertifiointia kohtaan on kuitenkin kasvanut huomattavasti myös muiden alojen yrityksissä, kun monet organisaatiot ovat heränneet alati kasvavaan tarpeeseen parantaa tietoturvaansa. Lisäksi uusi valtionhallintoa koskeva asetus velvoittaa monia toimijoita; vuoteen 2013 mennessä kaikkien valtionhallinnon organisaatioiden ja niiden yksityisten kumppaneiden on täytettävä tietyt tietoturvallisuuteen liittyvät vaatimukset. Tämä on luontevaa, sillä viranomaiset käsittelevät paljon esimerkiksi luottamuksellisia henkilötietoja.
Tietotulvassa kokonaiskuva on arvokas
Mitä sertifioinnilla sitten käytännössä tarkoitetaan? ”Sertifiointi on hienolta kalskahtava sana, mutta itse arviointi on käytännönläheistä. Kyse on ennen kaikkea pitkäjänteisestä yhteistyöstä, jonka avulla toimintaa voidaan kehittää. 
Sertifioinnin jälkeen tietoturva-asioiden jatkuva hallinta ja kehittäminen varmistetaan vuosittaisella yhteistyöllä”, kuvailee Jyrki Lahnalahti.
”Erilaisia tietovarastoja ja käytäntöjä on niin paljon, ettei sertifioinnissa mennä yksityiskohtiin, vaan keskitytään kokonaiskuvaan. Organisaation on tärkeää tietää, mitä ja missä tärkeitä tietoja on, mikä on luottamuksellista ja miten tietoja suojataan riittävästi. Tietojen luokittelu niiden kriittisyyden tai luottamuksellisuuden perusteella on yhä tärkeämpää, sillä luonnollisestikaan kaikkia tietoja ei tarvitse suojata samalla lailla. Tällainen suojaustarpeen pilkkominen osiin on myös tehokkaampaa niin toiminnan kuin kustannusten kannalta”, Jyrki sanoo. ”Käytännössä sertifiointi toteutetaan perehtymällä dokumentointiin sekä haastattelemalla henkilöstöä. Näin voidaan osoittaa, käsitteleekö organisaatio omia ja asiakkaiden tietoja järjestelmällisesti ja hyvien käytäntöjen mukaisesti.”
Tietoturvaviranomainenkin hyötyy sertifioinnista
Inspectan asiakas ja Suomen tietoturvaviranomainen, Viestintävirasto, sai lokakuussa ISO/IEC 27001-standardin mukaisen tietoturvallisuuden hallintajärjestelmän sertifikaatin. Vaikka alan asiantuntemusta löytyykin runsaasti omasta takaa, kokee Viestintävirasto saaneensa sertifioinnista selvää lisäarvoa. Turvallisuuspäällikkö Jani Arnell kertoo olevansa tyytyväinen yhteistyöhön Inspectan kanssa.
”Hallintajärjestelmä kokonaisuudessaan tarjoaa tietoturvaan kehittämisen näkökulman, ja sen avulla voidaan vastata muuttuvan toimintaympäristön vaatimuksiin. Kehittämisprosessi on systemaattinen ja ulkopuolinen asiantuntemus auttaa varmistamaan, että oma osaaminen on riittävällä tasolla. Arvioijien ja auditoijien pätevyys on toki avainasemassa, jotta hallintajärjestelmän vaatimuspakkaa osataan soveltaa kohdeorganisaatioon. Meidän kohdallamme tässä onnistuttiin hyvin. Seuranta- ja uudelleenarviointien osalta odotuksena on, että sertifikaatti jatkossakin ohjaa kehittämään ja toimii sisäisenäkin kasvun paikkana. Siinä on hyvä varmistaa, tehdäänkö oikeita asioita”, Arnell kuvailee.
Koko organisaation sitoutuminen ykkösasiana
Viranomaisena Viestintävirastoa ohjaavat paitsi aiemmin mainittu valtioneuvoston asetus, myös julkisuuslaki sekä kansainvälisen tietoaineiston käsittelystä annetut normit ja ohjeet. Arnellin mukaan tietoturvan parantaminen lähtee kuitenkin aina omasta halusta ja johdon sitoutumisesta. ”Oman ohjeistuksen, tietoturvapolitiikan ja riskienhallintaprosessien pitää olla kunnossa ja koko organisaation pitää sisäistää ne. Sen jälkeen on teknisen infran ja teknisen kontrollin vuoro”. Virastojen kansainvälinen yhteistyö lisääntyy kaiken aikaa, ja Arnell näkeekin sertifioinnin hyväksi meriitiksi erityisesti tästä näkökulmasta. ”Sertifioinnin kautta voimme osoittaa, että asiat tehdään meillä oikein. Tämä on ikään kuin lähtökohta kansainväliselle yhteistyölle. Lisäksi se on merkityksellistä myös imagon, toiminnan laadun ja jatkuvuuden kannalta”, Jani Arnell toteaa.
Käytä tunti oman ja organisaatiosi tietoturvan parantamiseen!
Ensimmäiset askeleet tietoihin kohdistuvien riskien pienentämiseksi voit ottaa helposti. Kokoa sopiva tiimi ja mieti edes tunti seuraavia kysymyksiä. Vinkit antoi Jyrki Lahnalahti.
|
Yksityishenkilönä tee ainakin tämä
|
Organisaationa tee ainakin tämä
|
|
1. Mieti, mikä tieto on sinulle korvaamattoman arvokasta?
2. Missä säilytät tätä tietoa? Onko se vain yhdessä paikassa? Kuka siihen pääsee käsiksi?
3. Suunnittele, miten voisit parantaa arvokkaan tietosi säilymistä.
Esimerkki: Osta ulkoinen kiintolevy ja kopioi (älä siirrä) sinne digikuvasi.
|
1. Mieti, mitä arvokasta tietoa organisaatiolla on?
2. Mitä uhkia/riskejä tietoihin liittyy kolmelta näkökannalta katsottuna?
Ovatko mm. asiakastiedot, henkilötiedot, strategiat, tuotekehitystiedot ja asiakkaiden tiedot kuinka luottamuksellisia?
Ovatko tarvittavat ja ajantasaiset tiedot oikeiden henkilöiden/järjestelmien käytettävissä? Onko toimintanne näin mahdollisimman tehokasta ja kilpailukykyistä?
Käsitelläänkö mm. talous-, hinta-, henkilö- ja sopimustietoja ja tilauksia oikein? Onko käsittely tarkkaa ja yhdenmukaista?
3. Suunnittele, miten voisit poistaa tai vähentää löytämiäsi riskejä.
Esimerkki: kopioi kaikki lopulliset sopimusversiot yhteen paikkaan. Tällöin sopimukset ovat helposti varmistettavissa eivätkä lopulliset versiot sekaannu luonnoksiin.
|
Ota yhtettä:
Jyrki Lahnalahti, p. 0400 57 1892.
Sähköpostiosoitteemme ovat muotoa etunimi.sukunimi@inspecta.com.
Teksti: Hanna Harjula
