Mitä tietoturva oikeastaan tarkoittaa?

Yrityksen tietoturva on tänä päivänä oleellinen osa liiketoimintaa. EU-tasoinen henkilötietosuoja-asetus (GDPR) on jo useimmille tuttu asia.  Yrityksen liiketoimintatiedon turvaaminen kokonaisuutena on kuitenkin paljon laajempi asia. Lähtökohta tälle asialle on se, että kaikesta yrityksen järjestelmissä olevasta tiedosta vastaa aina ensisijaisesti yritys itse. Tietoturvan hallitseminen muodostuu jatkuvasti haasteellisemmaksi, koska yritysten tietojärjestelmät kehittyvät ja monipuolistuvat kiihtyvällä vauhdilla. Ecora Consulting Partners Oy:n toimitusjohtaja Tuula Pitkänen kertoo, mitä tietoturva oikeastaan tarkoittaa ja kuinka tietoturva-asiat vaikuttavat yrityksen liiketoimintaan.

Hyvä tietoturva tuloksellisen liiketoiminnan perustana

EEU laajuinen henkilötietosuoja-asetus astui voimaan toukokuussa 2018. Asetusta täydentävä Suomen kansallinen laki astui voimaan 1.1.2019. Asetuksessa määritellään hyvin tarkkaan, kuinka henkilötietoja on käsiteltävä ja kuinka niitä on suojattava. Asetus on pakottanut kaikkia yrityksiä arvioimaan nykyisiä henkilötietojen käsittelyprosesseja sekä päättämään mahdollisista toimenpiteistä niihin liittyen. Aihe oli paljon esillä viime vuoden alkupuolella, mutta asetuksen astuttua voimaan, keskustelu asiasta julkisuudessa on hiipunut. Vuoden 2019 alusta voimaan tulleessa Suomen kansallisessa laissa on määritelty se valvova viranomainen, joka valvoo asetuksen noudattamista ja voi määrätä mm. siihen liittyviä sanktioita. Suomessa tämä viranomainen on Tietosuojavaltuutettu. Tämä tarkoittaa sitä, että tietosuojavaltuutettu voi virallisesti nyt valvoa asetuksen noudattamista yrityksissä. Yrityksen velvoitteet GDPR asetuksen johdosta on siis syytä viimeistään tässä vaiheessa olla kunnossa tai ainakin yrityksellä on oltava suunnitelma niiden kuntoon saattamiseen vaadittavista toimenpiteistä.

Yrityksen liiketoiminnan kannalta on myös paljon muuta, jopa merkittävästi tärkeämpää tietoa, jonka tietoturvasta on syytä olla tarkkana. Tänä päivänä lähes kaikki liiketoimintaan liittyvä tieto on digitaalisessa muodossa. Siitä syystä voimme puhua laajasti liiketoiminnan datasta ja sen tietoturvasta. Liiketoimintadata on koko ajan tärkeämpi tekijä yrityksen menestymiselle, sitä voidaan pitää jopa liiketoimintakriittisenä asiana. Yrityksen datan turvallisuuteen ja sen luotettavuuteen vaikuttavat useat eri asiat, kuten ihmiset, johtaminen, prosessit ja käytössä oleva teknologia. Hyvin usein heikoin lenkki tietoturvan kannalta on kuitenkin ihminen.

Liiketoimintadata on hyvin yrityskohtainen asia, eikä sen tietoturvaa säätele mikään laki eikä asetus samalla tavoin kuin henkilötietojen tietosuojaa. Yritys vastaa itse siitä, kuinka turvassa sen liiketoimintadata on. Liiketoimintadatan tietoturva ja luotettavuus ovat kuitenkin yrityksen liiketoiminnan kannalta todennäköisesti paljon kriittisempiä kuin esim. GDPR asetuksessa määritelty henkilötietodata. Tällaista liiketoiminnan kannalta tärkeää tietoa ovat esim. yrityksen käyttämät alihankkijatiedot, tehdyt ja saadut sekä työn alla olevat tarjoukset, yrityksen hallussa olevat omaisuus ja kalusto, rekrytointiin liittyvät tiedot, laatuasiakirjat jne. Näiden tietojen tietoturvasta olisi siis syytä olla huolissaan. Hyvin pienikin tietoturvaan liittyvä asia voi väärinkäsityksen tai virheellisen toiminnan takia aiheuttaa yritykselle merkittäviä hankaluuksia ja taloudellisia menetyksiä. Tietoturvaloukkaukset voivat olla myös tahallisia ja jopa rikollisia.

Tietoturva on muutakin kuin palomuureja ja salasanoja

Tietoturvalla ymmärretään usein vain asioita, joilla estetään ulkopuolisia pääsemästä johonkin tietoon käsiksi. Se yhdistetään palomuureihin, salasanoihin, virustorjuntaan jne. Nämä ovat asioita, jotka liittyvät usein vain tiedon käsittelyssä tarvittaviin teknisiin laitteistoihin tai järjestelmiin. Oleellisia osia tietoturvan toteutumisessa ovat myös asiat, jotka vaikuttavat tiedon luotettavuuteen, eheyteen, saatavuuteen ja ajantasaisuuteen. Yrityksellä pitäisi olla aina reaaliaikainen tieto mm. siitä, kenellä on tietoihin pääsy, kuka voi päivittää tietoa, miten ja missä muodossa tieto liikkuu yrityksen sisällä ja yrityksestä ulos. Tärkeintä olisi kuitenkin tietää mitä tietoa, minkälaisessa muodossa ja mitä tarkoitusta varten yrityksen käyttämät järjestelmät sisältävät.

Tiedon luotettavuuden ja oikeellisuuden varmistaminen pitäisi olla jatkuva prosessi, joka on aina vastuutettu selkeästi jollekin tai joillekin henkilöille. On muistettava, että kaikesta yrityksen tietojärjestelmissä olevasta tiedoista ja myös ulos annettavista tiedoista vastaa aina yritys itse. Tämän asian merkitys on kasvanut koko ajan, mm. koska lähes kaikki viranomaisraportointi tehdään tänä päivänä jo sähköisesti.

Yrityksessä työskentelevien henkilöiden käytössä olevien laitteistojen kirjo on hyvin laaja. Kännykät ovat arkipäivää, erilaiset padit ja muut päätelaitteet korvaavat koko ajan perinteisiä pöytäkoneita. Näiden laitteiden teknisen tietoturvan varmistaminen on usein haastavaa, koska niiden elinkaaret ovat lyhyitä ja niitä vaihdetaan usein. Usein esim. kännyköiden tietosuoja jää kokonaan huomioimatta, vaikka niillä saatetaan käsitellä päivittäin enemmän dataa kuin perinteisillä päätelaitteilla.
Tietoturva on siis laaja kokonaisuus, jonka hallitseminen yrityksen omana työnä voi olla alue, joka jää usein liian kevyelle hoidolle. Ikävä kyllä tämän asian merkitys tulee usein konkreettisesti näkyviin vasta silloin, kun jotain ikävää tapahtuu!

Miten voimme varmistaa yrityksemme tietoturvan tason?

Ecora Consulting Partners Oy on yritys, jonka ovat perustaneet pitkän linjan rakennusalan IT-asiantuntijat, Tuula Pitkänen ja Juha Aspinen. Tavoitteenamme on auttaa rakennusalan yrityksiä parantamaan omaa liiketoimintaansa tiedolla johtamisen avulla. Jotta tiedolla johtaminen olisi mahdollista, on tiedon perustan oltava kunnossa. Riittävä tietoturva on tämä perusta. Tarjoamme rakennusalan yrityksille selkeää ja käytännönläheistä apua tähän asiaan Tiedot haltuun -projektin puitteissa. Projektin aluksi tarjoamme kartoitusapua, jolla saadaan selkeä kuva yrityksen tämän hetken tietoturvan tasosta. Kartoituksessa käydään läpi mm. GDPR asetuksen vaatimukset, mutta lisäksi kartoitetaan ja tehdään kuvaus kaikesta yrityksen liiketoimintaan liittyvän datan tietoturvasta. Kartoituksen osana käydään läpi kaikki edellä mainitut tietoturvaan vaikuttavat osatekijät. Pyrimme yhdessä yrityksen vastuuhenkilöiden kanssa löytämään ne keskeisimmät kehitystarpeet, joilla tietoturvan taso yrityksessänne saadaan riittävälle tasolle. Konkreettisena tuloksena yritys saa tarvittavista toimenpiteistä selkeän suunnitelman, jonka avulla toimenpiteitä voidaan lähteä toteuttamaan. Autamme tarvittaessa myös näiden asioiden käytännön toteutuksessa.