Ainesosat onnistuneeseen tietoturvaprosessiin – kaiken keskiössä johtaminen

Tietoturva ja -suoja mielletään monessa yrityksessä liiketoimintaa hidastaviksi ja haittaaviksi tekijöiksi. Tietoturva koetaan lähinnä kuluja aiheuttavana IT-ratkaisuna, kun taas tietosuoja liutana turhia sääntöjä. Tämä asenne korostuu etenkin uuden EU:n tietosuoja-asetuksen puitteissa. Tietoturva kantaakin olallaan historian painolastia aikakaudesta, jolloin yritykset lähtivät suojaamaan maailmaa ”rautaa rajalle” -mallilla. Rauta on kieltämättä kallista, sillä se vaatii jatkuvaa päivitystä ja osaamista. Kun suojaus on pettänyt, se on ollut kalliin raudan syy ei johtamisen tai prosessin. Rautaakin tarvitaan, mutta johdonmukaisen hallinnan ja johtamisen tuella rauta voisi pelkän kulun sijasta olla myös investointi tulevaisuuteen.  

Johtamisen tehostamisen myötä tietoturvan ”rautaratkaisu” voidaan kohdentaa paremmin siten, että hankinnoista tulee investointeja. Oikeilla investoinneilla ei suojata pelkästään bittejä vaan myös yrityksen liiketoimintaa ja mainetta. Tulevan tietosuoja-asetuksen tarkoituksena ei ole ainoastaan asettaa uusia sääntöjä yrityksille, vaan pohjimmaisena pyrkimyksenä on lisätä yrityksen luotettavuutta ja uskottavuutta asiakkaiden silmissä. Luovuttaisitko tietoja palveluntarjoajalle, jonka käsissä tietosi saattavat vuotaa ulkopuolisille?

 

Tietoturva on prosessi, ei valmiiksi paketoitu tuote

Lyhyesti esitettynä sekä tietoturva että tietosuoja ovat tekemistä vaille valmiita. Haasteena tässä on se, että kumpikaan ei sinänsä ole valmiiksi paketoitu tuote. Tietoturvaa tai tietosuojaa ei voi ostaa vilkkuvilla valoilla ja hienoilla kuorilla. Molemmat perustuvat ymmärrykseen siitä, mitä yrityksen tulee olla ja mitä tavoitteiden saavuttaminen vaatii. Alla oleva kuvio havainnollistaa tietoturvan- ja suojan neljää peruspilaria, joiden varaan tietoturvan malli rakennetaan.

Tietoturvaprosessin vaiheet

Ensimmäisessä vaiheessa kartoitetaan mitä tietoa yrityksellä on suojattavana. Yleensä suojattava tieto on asiakasrekistereitä, tuotekehitystietoa, sisäisiä hinnastoja ja sopimuksia sekä tietoa, jota yritys käyttää liiketoimintansa pyörittämiseen.

Seuraavaksi pitäisi ymmärtää miksi jotain suojataan. Yritystiedon suojaamista ohjaa riskiajattelu. Mikäli tieto menetetään, siitä seuraa taloudellisia seuraamuksia. Myös erilaiset lait ja asetukset putoavat miksi-kysymyksen alle. Tästä esimerkkinä toimii uusi EU:n tietosuoja-asetus eli GDPR.

 

Teknologia astuu kuvaan viimeisessä vaiheessa

Kun mitä ja miksi on selvitetty, voidaan siirtyä kohtaan miten. Tämä on tietoturvan ja -suojan tekninen osio. Teknologialla voidaan korjata osa ihmisten tekemistä virheistä. Mitä paremmin ymmärretään kohdat mitä ja miksi, sitä tarkemmin voidaan investoida teknologiaan ja sijoittaa tekniset ratkaisut oikeisiin kohtiin, jolloin ne tukevat ihmisten toimintaa mahdollisimman tehokkaasti.

Koska teknologialla ei voida automaattisesti paikata kaikkia ihmisten toiminnasta aiheutuvia virheitä, kuvaan tulee tietoturvan ja -suojan varsinainen ja syvin olemus: johtaminen. Johtamisellakaan ei saada kaikkea korjattua, mutta sen avulla voidaan jossain määrin pyrkiä hallitsemaan riskejä ja ennaltaehkäisemään mahdollisia virheitä.

 

Johtamisen merkitys läsnä prosessin alusta loppuun

Jotta kolmio pysyisi kasassa, toimia on suoritettava kaikilla osa-alueilla. Johtaminen pitää kasassa kolmion muita osa-alueita. Toimet tukevat toisiaan ja kokonaisuus tukee koko yrityksen liiketoimintaa. Toimiva kokonaisuus heijastuu myös yrityksen ulkoisille sidosryhmille, kuten yhteistyökumppaneille ja asiakkaille, luoden yrityksestä kuvaa luotettavana palveluiden ja tuotteiden tarjoajana. 

Tietoturva ja -suoja eivät ole vain rasite, vaan aidosti hyödyllistä toimintaa. Prosessin onnistumisen yhteydessä arvoa on vaikea mitata, mutta huomiotta jättäminen voi kostautua tuntuvina sakkoina tai johtaa jopa liiketoiminnan päättymiseen. EU:n uudessa tietosuoja-asetuksessa sanktiot voivat olla jopa 20 miljoonaa euroa tai 4 % kansainvälisestä liikevaihdosta, määräytyen sen mukaan kumpi sanktioista on suurempi. Uuden maailmaa mullistavan keksinnön kehitystietojen päätyminen kilpailijalle voi koitua vastikään liiketoimintansa aloittaneen yrityksen kohtaloksi, ja totaalinen maineen menettäminen saattaa kaataa suurenkin toimijan.

 

Tutustu tietoturvakonsultointipalveluihimme

 

KIRJOITTAJASTA:

Toni Kirjalainen toimii tietoturvakonsulttina Nebulalla, jossa hän parantaa ja tehostaa asiakkaiden tietoturvaa ymmärrettävästi ja käytännönläheisesti. Hänellä on vankkaa kokemusta erityisesti pk-yritysten tietoturvan tehostamisesta.

Blogi

Ajankohtaista

Advantage17 veti täyden yleisön – tässä seminaarin parhaat palat!

Nebula järjesti Wanhassa Satamassa 10.10. Advantage17-tapahtuman, joka kokosi yhteen yli 200 pk-yrittäjää ja IT-alan ammattilaista. Tapahtuma oli...
Lue lisää

GOOGLE TEKEE SIVUSTOJEN TIETOTURVAPUUTTEET NÄKYVIKSI LOKAKUUSTA ALKAEN

Alkuvuonna 2017 maailman suosituin nettiselain Google Chrome alkoi korostaa SSL-sertifikaattien merkitystä sivustoilla, joilla käytetään salasanaa ja...
Lue lisää

Kuinka rakennetaan paras työpaikka parhaille osaajille? – Nebulan missio pähkinänkuoressa

Vuonna 1997 perustettu Nebula on 20 vuotta kestäneen toimintansa jälkeen edelleen vahvan kasvun pyörteissä ja etsii nyt uusia osaajia kasvavaan...
Lue lisää