Mitä tietoturva on?

21.05.2018

Tietoturva on osa yritysturvallisuutta

Tulevana perjantina 25.5., aletaan soveltamaan uutta EU:n tietosuoja-asetusta (General Data Protection Regulation, GDPR) joka korvaa henkilötietodirektiivin ja kansalliset tietosuojalait (Suomessa henkilötietolaki). Sen vuoksi onkin tärkeä pysähtyä miettimään tietoturvaa hieman laajemmin osana yritysturvallisuutta.

tietoturva

Organisaation turvallisuus ja tietoturva

Tietoturva on paljon muutakin kuin salasanoja ja virustorjuntaa. Kuten syksyllä saimme huomata, esimerkiksi Ruotsissa havaittiin, että jopa valtion hallinto voidaan saada tietovuodon vuoksi sekaisin. Tietoturvalla tarkoitetaan niitä hallinnollisia ja teknisiä toimia, joilla varmistetaan se, että:

  • tiedot ovat vain niiden käyttöön oikeutettujen saatavilla,
  • tietoja eivät voi muuttaa muut kuin siihen oikeutetut,
  • tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä.

Tietosuojalla puolestaan tarkoitetaan ihmisten oikeutta omiin henkilötietoihinsa. Toimenpiteet tietoturvallisuuden toteuttamiseksi voidaan jakaa alla olevan kuvan mukaisesti kahdeksaan toimenpidealueeseen.

organisaation turvallisuus ja tietoturva

  1. Hallinnollinen turvallisuus pitää sisällään kaiken tietoturvallisuuden johtamisen, suunnittelun, valvonnan ja varautumisen.
  2. Henkilöstöturvallisuus pitää sisällään henkilöstön koulutuksen ja ohjauksen tietoturvallisiin toimintatapoihin. Lisäksi henkilöstöturvallisuus tarkoittaa joillain aloilla turvallisuusselvityksiä ja luotettavuuden arviointia.
  3. Fyysinen turvallisuus tarkoittaa mm. toimitilojen suojausta eli kulunvalvontaa, aitaamista jne.
  4. Tietoliikenneturvallisuuteen kuuluvat esim. luotettavat tietoverkot, palomuurit, virustorjunnat sekä erilaiset salauskäytännöt.
  5. Laitteistoturvallisuus tarkoittaa sitä, että laitteistoihin ei pääse ulkopuoliset käsiksi, varaudutaan laitteistorikkoihin jne.
  6. Ohjelmistoturvallisuus tarkoittaa sitä, että huolehditaan päivitykset kuntoon, käytetään luotettavia ohjelmistoja ja käytetään niitä oikein.
  7. Tietoaineistoturvallisuus puolestaan pitää sisällään pohdintaa siitä, missä erilaisia tietoja on turvallista säilyttää, kenellä on oikeus päästä näkemään niitä, onhan varmuuskopioinnista huolehdittu jne.
  8. Käyttöturvallisuus tarkoittaa sitä, että laitteita ja ohjelmistoja on turvallista käyttää. Ei ole sähköiskujen vaaraa, ei kompastumisvaaraa eikä myöskään vaaraa, että hakkeri seuraa tekemisiä tietokoneen kameran välityksellä.

Riskien hallinta

Kaikkiin näihin edellä mainittuihin organisaation turvallisuuden toimenpidealueisiin kuuluu riskien hallinta. Jotta erilaisiin riskeihin osataan varautua, ne täytyy ensin tunnistaa. Kannattaa miettiä, mikä kaikki voi mennä pieleen ja mitä siitä seuraa. Mikäli luottamukselliset tiedot joutuisivat vääriin käsiin, mitä siitä seuraisi ja kenelle? Mitä jos me olisimmekin huomenna iltapäivälehtien lööpeissä; mitä siitä seuraisi?

tehokas riskinhallinta

Riskinhallinta on ennakoiva, suunnitelmallinen ja järjestelmällinen prosessi johon osallistuvat kaikki organisaation työntekijät, kukin oman roolinsa vaatimalla tavalla. Riskinhallinta täytyy ensin suunnitella huolella, sen jälkeen huolehditaan pitkäjänteisesti että käytännöt muuttuvat. Tämä vaihe on se pitkä ja puuduttava vaihe, mutta kun tätä jaksetaan tarpeeksi kauan ja sinnikkäästi toteuttaa, organisaatioon muodostuu lopulta tietoturvallinen toimintakulttuuri. Riskinhallintaa tulee seurata säännöllisesti, sitouttaa koko organisaatio toimimaan suunnitelmien mukaisesti ja huolehtia kommunikoinnin ja raportoinnin sujuvuudesta. Jokaiselle riskille on myös hyvä nimetä omistaja, jonka vastuulla ko. riskin hallinta on.

On myös hyvä suunnitella, mitä sitten tehdään, jos riski toteutuu. Yrityksen on pystyttävä palautumaan normaaliin toimintaan mahdollisimman nopeasti. Kannattaa tehdä kattava toipumissuunnitelma, jossa on ohjeet toimenpiteistä mm. tärkeimpien tietojen pelastamiseksi sekä ohjeet varajärjestelmän käyttöön siirtymisestä. Miten toimitaan tulipalon yhteydessä? Mitä tehdään jos hakkeri iskee? Miten saadaan toiminta jatkumaan kaikesta huolimatta?

Riskien tunnistamiseksi ja hallitsemiseksi voidaan muodostaa ”läjä dokumentteja”. Toisaalta tarvittavat suunnitelmat voivat olla pienessä yrityksessä yksien kansien sisällä. Riskien tunnistamiseen, analysointiin, kustannuslaskentaan yms. löytyy lukuisia erilaisia työkaluja ja työtapoja. En mene niihin nyt tarkemmin; kukin valitsee omalle organisaatiolleen parhaan toimintatavan. Pääasia kuitenkin on, että jos ei aloittanut näiden asioiden pohtimista jo eilen tai vuosia sitten, aloittaa jostakin nyt. Tänään.

Kuten jo alussa mainitsin, EU:n uusi tietosuoja-asetusta aletaan soveltaa perjantaina 25.5. ja se pakottaa organisaatiot kiinnittämään tietoturvaan ja sitä kautta riskien hallintaan entistä enemmän huomiota.

Lähdemateriaali:

Sovelto Oy, Jukka Vuolan koulutusmateriaali

Outi Arontie

Kirjoittaja Outi Arontie aloitti Verkkoasemalla kesäkuussa 2017 ja toimii web-palveluiden kehittäjänä ja tietosuojavastaavana.

Tilaa blogit
Kommentit

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

Sinua saattaa kiinnostaa myös

Google ja tietoturva – Google Marketing Live 2019

Tässä blogissani keskityn Google Marketing Live 2019 -tilaisuudessa käsiteltyyn tietoturva-asiaan, joka on ollut puheenaiheena digimarkkinointia koskevissa uudistuksissa jo pitkään. Vaikka tietoturva mainittiin yhtenä tämän vuoden tärkeimmistä teemoista, oli sen osuus jälleen lanseerauspuheenvuoroissa hyvin rajallinen. Tästä huolimatta, aiheelle lohkaistu osuus tuntuu kasvavan vuosi vuodelta. Googlen ajatus on, että me kaikki, niin… Lue lisää

GDPR tulee - muistilista

Verkkosivujen teknisestä tuotannosta testaukseen ja julkaisuun

Tämä blogisarja on saanut innoituksensa Verkkoaseman tuoreesta verkkosivu-oppaasta B2B-yrityksille. Blogisarjassa käyn läpi verkkosivu-uudistuksen seitsemän vaihetta: Verkkosivun ydinviestin luominen Verkkosivun konseptointi Verkkosivun rakenteen ja navigaation suunnittelu  Sisällöntuotanto verkkosivuille Informaatioarkkitehtuuri vs. visuaalinen suunnittelu Teknisen tuotannon ja testauksen kautta verkkosivujen julkaisuun (tämä blogi) Verkkosivujen markkinointi ja kehittäminen  Blogisarjan tarkoitus on opastaa sinut vaihe vaiheelta… Lue lisää

GDPR tulee - muistilista

EU:n tietosuoja-asetus astuu voimaan!

Tänään 25.5 loppuu kahden vuoden siirtymäaika, jonka kuluessa hyvin monien, ellei käytännössä kaikkien, EU:ssa toimivien organisaatioiden on täytettävä EU:n tietosuoja-asetuksen organisaatioille asettamat vaatimukset. Asetuksen velvoitteet koskevat hyvin monia organisaatioita, sillä asetuksessa määriteltyjä henkilötietoja kerätään automaattisesti tai tarkoituksellisesti lähestulkoon kaikissa verkkopalveluissa. Luin taannoin Jari Saarelaisen kirjoittaman artikkelin Tietoviikon verkkolehdessä ja tajusin miten kouriintuntuvasti… Lue lisää

Facebookin uudet tietoasetukset

Facebookin uudet tietoasetukset

Toukokuun 25. päivänä aletaan soveltaa EU:n uutta tietosuoja-asetusta. Tuttavallisemmin puhumme GDPR:stä. Yhtenä asetuksen tavoitteena on parantaa yksilön oikeuksia ja suojata ihmisten yksityiselämää. GDPR koskee myös Euroopan ulkopuolisia yrityksiä, jotka toimivat Euroopassa. Yksi iso toimija, jonka kyseenalaisesta asiakkaiden henkilökohtaisten tietojen käsittelystä on ollut viime aikoina paljon puhetta, on Facebook. Koska uuden tietosuoja-asetuksen… Lue lisää

Analytiikka asiakaskokemus asiakastiedot CRM digitaalinen markkinointi digitalisaatio DO2018 ensivaikutelma hakukonemainonta hakukoneoptimointi henkilöstö henksublogi Internet Intranet Intrexx Laskeutumissivu liidit marketing it markkinoinnin automaatio markkinointi markkinointistrategia markkinointiteknologia myynti northern glow ohjelmistosuunnittelu Ohjelmistot palvelut salesvation sisällöntuotanto sisältömarkkinointi Sosiaalinen media Sähköinen liiketoiminta Testaus Tietoturva tulevaisuus työkalut verkkokauppa verkkosivu-uudistus Verkkosivut videotuotanto Yrittäjyys

Kaikki blogit