Mitä peliä pelaat ja kenen säännöillä?

Milla Koivuluoma
Kirjoittaja: Milla Koivuluoma 15.5.2018 7:26

Aihe: tietohallinto, Tietoturva, Tietosuoja

Talouden hyvä nousuvire siivittää hienosti yritysten kasvua ja kehitystä koko Suomessa. Kasvun myötä on hyvä kiinnittää huomiota myös tietohallinnon prosesseihin, sillä etenkin pienten ja keskisuurten yritysten isoimpia haasteita kasvun etenemisessä on oman toiminnan suojaus nimenomaisesti tietoturvan näkökulmasta. Tietoturvauhat vaanivat yrityksiä, jotka eivät ole huolehtineet IT:stään suositusten ja uhka-arvioiden mukaan. Tämä on huolestuttavaa, koska laajoja tietoturvauhkia tulee ilmi viikoittain. Haavoittuvuuksien ja muiden uhkien hallinta pysähtyy helposti siihen, että tietohallintoa tai sen enempää ICT-prosessejakaan ei ole mietitty, koska oma tietotaito on bisneksessä ja tietohallinnon resurssit puuttuvat. Liiketoiminnan eteenpäinviemisessä ei ole ennätetty miettiä tietoturvan roolia, eikä ole ehkä tarvinnutkaan.

Digitaalinen maailma vaatii avaamaan portteja ulkomaailmaan enenevässä määrin: enää ei riitä se, että tietoturva luodaan eristämällä organisaatio muusta maailmasta.

"Vanha ajatusmalli, että sitä turvallisempi IT-ympäristö, mitä eristäytyneempi se on, on käytännössä erittäin haastava toteuttaa ja yritysten resurssit eivät tähän riitä. On tehtävä kompromisseja."

Pilviratkaisujen käyttö tuo mukanaan helppouden, mutta myös vastuun: missä yritys säilyttää tärkeintä materiaaliaan - onko se pilvessä vai jossakin muussa, jopa suojaamattomassa paikassa? Jos koko liiketoiminnan elinehto on järjestelmässä, johon sisäänpääsy on yhden salasanan takana, niin miten toimitaan silloin, kun kirjautussivu on kaapattu ja hakkeroitu auki? Jatkuvuuden turvaaminen on tuossa tilanteessa enemmän kuin vaikeaa.

Tietotekniikassa tai muussakaan erikoisosaamista vaativassa tehtävässä kaikkea ei ole järkeä, eikä kustannustehokastakaan rakentaa omin voimin, kun apua on tarjolla. Tietohallinnon läpileikkausprojektit on tarkoitettu nimenomaisesti tilannekuvan hahmottamiseen ja ulkopuolisen näkemyksen saamiseen. Niiden tarkoituksena on antaa ymmärrys kohdealueen tilasta ja samalla luoda myös suuntaviivat jatkokehitykseen. Kohteena voivat olla tietohallinnon prosessit, tekninen infrastruktuuri, sovellusympäristö, tietoturvallisuus tai joku muu organisaation keskeinen haastealue.

Oikeuksien hallintaa labyrintissä

Tietosuoja-asetuksen myötä tietoturva-asiat vaativat entistä enemmän ymmärrystä kuin aikaisemmin ja tason nostoa seuraavalle askelmalle. Käytännössä niin tietosuojan, kuin kokonaisvaltaisen tietoturvan tasonnosto lähtee liikkeelle hyvinkin pienistä asioista ja tietoturvaa ei saisikaan nähdä mörkönä, joka on vain haitta liiketoiminnalle. Molempien perusvaatimus on, että toimintaympäristö on tunnettava ja jos tehdään kompromisseja, on ymmärrettävä niiden riskit. Pystytkö esimerkiksi listaamaan mitä järjestelmiä yritykselläsi on käytössä ja missä ne sijaitsevat?

Tietohallinto-labyrintti-1

Tietosuoja-asetuksenkin vaatima tietoturvan perustason nosto tarkoittaa yksinkertaisimmillaankin sitä, että selvitetään, kenellä on pääsyoikeuksia sekä se millaiseen tietoon ja mihin järjestelmiin ne ovat. Erityistä huomiota tulisi antaa admin-tason tunnuksille. Tilanne voi olla, että on rakennettu legacyä legacyn päälle, eli oikeuksien hallinta on labyrintti, jonka hallintaa ei ole kenelläkään. Tunnuksia on jaettu huolettomasti niin kumppaneille kuin omalle henkilöstöllekin. Voi olla jopa niin, että samoilla tunnuksilla hallitaan käynnissä olevia prosesseja, jolloin salasanan vaihtokin on lähes mahdotonta. Pidemmällä tähtäimellä tällainen toiminta on liiketoimintariski, jonka toteutumista kukaan ei haluaisi omalle kohdalleen. Tietoturvan tilannekuva on näissä tapauksissa enemmän kuin paikallaan ja, jos näille asioille saadaan GDPR:n siivittämänä huomiota, se on vain hyvä.

Tunnista kenttäsi, sovi pelisäännöt

Tietosuojan myötä on korostunut tarve panostaa hieman tekniseenkin tietoturvaan. Haluan kuitenkin korostaa, ettei tietosuoja ole yksinään IT:n asia, mutta IT:n tehtävä on toimia mahdollistajana. Miten tiedot siirtyvät järjestelmästä toiseen, kuinka sensitiivistä materiaalia jaetaan ulkoisille kumppaneille ja ennen kaikkea sekin, onko ympäristö ajantasalla.

Policy-tietohallinto

Jotta kuitenkin päästään pisteeseen, että voidaan alkaa kehittämään ja parantamaan toimintaa, on tehtävä dokumentointia ja päätöksiä.

"Tunnistetaan pelikenttä, sovitaan pelisäännöt, määritellään mitä peliä halutaan pelata ja kuka toimii tuomarina."

Tärkeää on myös pystyä reagoimaan ulkoisiin ärsykkeisiin ja päivittää sääntöjä ja kenttää tarvittaessa.

Milla Koivuluoma
Tietohallintopäällikkö
MPY Palvelut 

Milla Koivuluoma toimii MPY:llä tietohallintopäällikkönä pienille ja keskisuurille yrityksille. Hän on tiedonhallinnan asiantuntija, jonka erikoisosaamista on holistinen tietohallinnon kehittäminen ja sen johtaminen.