07 marras “Tietoturva on riskienhallintaa ja kulttuurin muutosta – ei pelkkää teknologiamössöä”
Suomen Seutuverkot ry järjestää jäsenilleen Syysseminaari2018 -tapahtuman Seinäjoella 7.-8.11.2018. Suomen Seutuverkot ry edistää seutukuntien tasavertaista tietoyhteiskuntakehitystä ja on vaikuttamassa Suomen lainsäädännön kehittymiseen tietoverkkojen ja tietoverkkopalveluiden osalta. Hotelli Sorsanpesällä järjestettävään seminaariin oli esiintyjäksi kutsuttu Opsec Oy:n toimitusjohtaja Mika Lindberg, joka nosti seminaarin ensimmäisessä puheenvuorossa esille tietoturvallisuuden.
Lindberg on tehnyt pitkään töitä pk-yritysten tietoturvallisuuden parissa, joten puheenvuoron alussa hän muistutti pk-yrittäjän haluavan operaattorilta tietoverkon edullisuutta, toimivuutta ja turvallisuutta.
Tietosuoja-asetus ja NIS-direktiivi
Seminaariyleisön joukossa oli tietoverkkojen parissa työskenteleviä organisaatioita, joten Lindberg nosti puheenvuorossaan esille uusien asetusten ja direktiivien tuomia velvollisuuksia. Toukokuussa voimaan astuneet EU:n tietosuoja-asetus ja NIS-direktiivi velvoittavat organisaatioita raportoimaan tietoturvaloukkauksista viranomaisille. Tietosuoja-asetuksen ilmoitusvelvollisuus koskee kaikkia organisaatioita henkilötietojen osalta, mutta NIS-direktiivi velvoittaa huoltovarmuuskriittisillä aloilla toimivia ja keskeisiä digitaalisia palveluja tarjoavia organisaatioita ilmoittamaan kaikista tietoturvapoikkeamista viranomaisille. Yhteiskunnan kannalta tärkeillä toimialoilla täytyy pyrkiä ehkäisemään ja minimoimaan tietoturvapoikkeamien vaikutus palvelujen jatkuvuuteen.
Lindberg myös lisäsi, että organisaatiolla tulee olla kyvykkyys itse havaita tietoturvaan liittyviä poikkeamia, jotta organisaatio voi ylipäätään reagoida tietoturvaloukkauksiin ja täyttää lainsäädännön tuomat ilmoitusvelvollisuudet.
Tietoturva on muuttunut radikaalisti
Organisaatioiden tietoturva ei ole enää vain IT- ja tietoturva-asiantuntijoiden vastuulla vaan se kuuluu organisaatioissa kaikille. Tietoturvallisuutta ei voi myöskään jättää suurella rahalla ostettujen teknologiaratkaisujen varaan, kuten tähän asti on usein tehty.
Usein tietoturvallisuus on organisaatioissa koettu myös työtä haittaava osana, vaikka se tulisi nähdä työn mahdollistajana, tehostajana, kilpailutekijänä ja jopa lisäbisneksen paikkana.
“Onko tietoturva organisaatiossa liiketoiminnan haittatekijä vai mahdollistaja?”
Tietoturva on riskienhallintaa
Nykypäivänä organisaatioiden tietoturvallisuus koostuu riskienhallinnasta, jonka avulla pyritään välttämään odottamattomat ongelmat ja poikkeavuudet. Lindberg kertoi tietoturvan koostuvan kolmesta asiasta: saatavuudesta, eheydestä ja luottamuksellisuudesta. Jos joku näistä kolmesta asiasta menee rikki, organisaatiossa ilmenee tietoturvahäiriö.
Lindberg esitteli myös riskienhallinnan työvaiheita seminaariyleisölle. Hän nosti esille viisi asiaa, joista riskienhallinta koostuu:
1. Mitä pitää suojata? = kohteet
2. Mikä voi vaikuttaa kohteeseen ja miten laajasti? = uhat, todennäköisyys ja vaikutus
3. Mitkä ovat kohteen heikkoudet? = haavoittuvuudet
4. Miten suojaudutaan kustannustehokkaasti? = käsittely
5. Miten suojautuminen vaikutti? = seuranta ja tulokset
Tietoturvallisuus vaatii kulttuurin muutosta ja rehellisyyttä
– Kulttuuri vaikuttaa siihen, miten asiat hoituvat. Turvallisuuskulttuuri syntyy esimerkillä ja tekemällä sekä ohjeilla. Teknologia ohjaa toimintaa oikeaan suuntaan, mutta se ei yksin riitä luomaan tietoturvallista ympäristöä, Lindberg toteaa.
Lindberg painotti esityksensä lopussa, että organisaatioissa ei voi enää piiloutua tietoturva-asioilta ja toivoa, että kaikkia sujuu ilman ongelmia. Organisaatioissa täytyy pystyä arvioimaan omaa toimintaa rehellisesti. Tämä vaatii sitoutumista ja oman toiminnan tuntemista.
“Tietoturvallinen liiketoiminta tarvitsee ennen kaikkea asennemuutosta.”