Tietoturva kuuluu kaikille - Annukka Talvitie, Opsec Oy

Tietoturva kuuluu kaikille

Toimitusjohtajamme Mika Lindberg puhui viime viikolla Suomen Seutuverkkojen seminaarissa siitä, kuinka tietoturva koostuu riskienhallinnasta ja kulttuurista sekä teknologiasta. Olemme myös usein toimistolla puhuneet siitä, miten iso osallisuus ihmisen toiminnalla on organisaation tietoturvallisuudessa.

Tietoturvaan liittyvillä teknisillä ratkaisuilla voidaan ohjata ihmisen toimintaa oikeaan suuntaan. Tavallaan teknologia toimiikin taustalla ilman ihmistä, mutta ihminen on se, joka hankkii sen teknologian ja seuraa sen ajantasaisuutta ja toimivuutta. Organisaatioissa tämä tarkoittaa, että on oltava henkilöitä, jotka vastaavat teknologian hyödyntämisestä, mutta myös ohjeistavat ja kouluttavat henkilöstöä käyttämään hankittuja teknisiä ratkaisuja ja toimimaan tietoturvan kannalta oikealla tavalla.

Ihminen on kuitenkin siinä mielessä ”hauska laji”, että se saattaa myös kyseenalaistaa ja ohittaa tekniikan ohjailut. Ihminen ei myöskään aina tiedä, tunnista tai ymmärrä tietoturvan kannalta tärkeitä toimintamalleja. Sen vuoksi isolla rahalla hankitut tekniset ratkaisut eivät yksin riitä luomaan tietoturvallista ympäristöä. Ihmisen pitää osata ja haluta käyttää teknologian tuomia mahdollisuuksia ja ymmärtää tietoturvallisuuden merkitys.

Ihminen on avainasemassa, kun puhutaan organisaation tietoturvasta

Lindberg puhui viime viikon seminaarissa, että tietoturva koostuu tietojen saatavuudesta, eheydestä ja luottamuksellisuudesta. Jotta nämä kolme asiaa saataisiin toimimaan, täytyy organisaatiossa tarkastella kaikkea toimintaa rehellisesti ja kriittisesti. Täytyy pystyä luettelemaan liiketoimintaan liittyviä uhkia ja hallitsemaan riskejä, jotta voidaan välttää tietoturvaan liittyviä häiriöitä.

Yksi riskitekijä voi esimerkiksi olla, että oma henkilökunta on jäänyt ohjeistamatta ja kouluttamatta tietoturvan osalta. Toisinaan taas henkilökunta saattaa olla koulutettu, mutta työntekijät eivät silti toimi tietoturvan kannalta oikealla tavalla. Syy tähän ei ole laiska tai tietämätön henkilökunta vaan yrityksen turvallisuuskulttuuri. Henkilökunta ei tiedä tai ymmärrä tietoturvallisen toiminnan tärkeyttä eikä tietoturvaan ole käytettävissä resursseja.

Tietoturva siis lähtee organisaation turvallisuuskulttuurin luomisesta eli ihmisistä. Johtajat ovat tässä avaintekijöitä, koska he voivat ohjata resursseja ja vaikuttaa asioihin omalla esimerkillään. Tietoturvallinen toiminta täytyy saada osaksi organisaation toimintakulttuuria ja arvoja, jotta tietoturvahäiriöiden riskiä voitaisiin pienentää.

Tietoturva organisaation ja työntekijän turvana

Organisaation näkökulmasta tiedot ovat tärkeitä, koska ilman tietojen saatavuutta, eheyttä ja luottamuksellisuutta liiketoimintaa ei voi yksinkertaisesti pyörittää. Organisaation tiedot ovat elinehto liiketoiminnalle.

Tietoturvaa tulisi kuitenkin miettiä myös työntekijän näkökulmasta. Työntekijän tietojen turvaamiseen liittyvä toiminta suojaa organisaatiota, mutta myös työntekijää itseään. Toisaalta myös organisaatio on velvollinen suojaamaan omia tietojaan ja työntekijöitään.

Miltä työntekijää sitten suojataan? Kukaan työntekijä ei halua joutua tekemisiin organisaation tietoturvahäiriöiden kanssa, koska usein niihin saattaa liittyä esimerkiksi henkilötiedot, työn kuormitustekijät, vihaiset asiakkaat, organisaation toiminnan keskeytykset, viranomaiset ja raha. Puhumattakaan syyllisyyden, häpeän ja pelon tunteista – stressistä tai jopa työpaikkojen menetyksistä.

Tietoturvallisuuteen liittyy paljon liiketoiminnan kannalta tärkeitä asioita, mutta siihen liittyy hyvin vahvasti myös ihmisen turvallisuuden tunne.

“Turvallisuus tarkoittaa vaarojen ja uhkien (riskin) poissaoloa, kuin myös psykologista kokemusta niiden poissaolosta.” – Wikipedia

Annukka Talvitie
IT-joukkueen pelaaja #10
markkinointi ja viestintä


Tilaa Opsec Oy:n uutiskirje  – saat uusimmat blogitekstit sähköpostiisi.