Tietosuoja – Kuka vastaa ja mistä?

Kirjoittanut Panu Palmu 11/2020

Tietosuoja_salasanat_etevat-1

 

Vastaamon tietomurto herätti monia kysymyksiä. Olisi mielenkiintoista nähdä Vastaamon GDPR:n riskianalyysi. Pyrin tässä blogissa avaamaan kenen vastuulla tietomurrot ovat? Paljonko organisaation pitäisi käyttää aikaa ja rahaa tietoturvaan / tietosuojaan? Onko eroa, onko tietojärjestelmä itse tehty vai ulkoa ostettu?


Kuka oikeasti vastaa tietosuojasta ja tietoturvasta?

Yrityksen tietosuojavaltuutettu tai IT-ulkoistuskumppani ei ole lakiteknisesti vastuussa tietosuojaloukkauksista ja tietomurroista. Vastuussa on aina organisaation hallitus ja johto. Laskun maksaa luonnollisesti omistajat. Tämä pätee myös esimerkiksi Finanssivalvonnan toimiluvan alaisiin yrityksiin.

 

”Vastuussa on aina organisaation hallitus ja johto.”

 

IT-osaston (sisäinen tai ulkoinen) syytä tietomurrot harvoin ovat, jos johto ei ole ollut mukana panostamassa tietoturvaan. Päättäjät usein luulevat, että kaikki tietoturvaan liittyvä on kunnossa kun ”IT on ulkoistettu”. Merkittävimmän tietoturvariskin kuitenkin muodostaa usein yrityksen oma henkilökunta. Tyypillisesti IT-osasto ehdottaa toimenpidettä tietoturvan kohottamiseksi. Päättäjä miettii asiaa talouden näkökulmasta (välttämättä miettimättä tietoturvaa) ja toteaa, että emme nyt panosta tähän.

 

Kuinka paljon tietoturvaan pitäisi panostaa?

On lähes mahdoton saavuttaa 100% tietoturvaa. Tärkeää on kuitenkin tehdä parhaansa asian eteen ja suhteuttaa tekeminen käytössä oleviin resursseihin. Tietoturvaa voi verrata vaikka kodin fyysiseen turvaan. Kotona pidetään huolta, että ikkunat ja ovet lukitaan. Kodin suojaksi voi hankkia varashälyttimen ja vaikka liikkeentunnistimella toimivat pihavalot.

IT-maailman tietoturva on huomattavasti monimutkaisempaa, koska järjestelmiä ja mahdollisia riskitekijöitä on luonnollisesti monin verroin. Tämä on realiteetti ja sen kanssa ei ole mahdollista oikoa mutkia. Riskit ovat myös merkittävästi suurempia.

Kuinka paljon tietoturvaan tulisi käyttää rahaa, ja mihin se kannattaisi käyttää?

Budjetäärisesti rahaa pitäisi käyttää 100-500+ € per työntekijä vuodessa. Mihin tämä raha tulisi käyttää?

          • Tietoturvakoulutukseen
          • IT-järjestelmiin ja niiden kehitysprojekteihin
          • GDPR:ään
          • IT-ympäristön kehitysprojekteja pitäisi olla joka vuosi, kehittäen yhtä tai kahta osa-aluetta.

 

Miksi tietoturva on heikoissa kantimissa suurimmassa osaa PK-sektoria?

Olemme organisaationa paljon tekemisissä päättäjien kanssa liittyen IT-asioihin. Kuulen todella usein seuraavanlaisia kommentteja:

”Meillä on jo turvasähköposti, emme tarvitse tietoturvakoulutusta (tai jotain muuta palvelua)”
”Meillä on GDPR tehty (…Itse…)”
”Emme tarvitse apua tietoturva-asioiden kanssa”
”Meillä on näppärää porukkaa, he kyllä tietävät tietoturva-asiat”

Yritykset eivät halua käyttää rahaa tietoturvaan. Se on tullut täysin selväksi. Päättäjät eivät myöskään halua käyttää aikaa asiaan tai opetella vaikeita uusia asioita. Tämä johtaa aiheen välttelyyn ja asioiden eteenpäin lykkäämiseen. Meidän tehtävä on olla tietotekniikan osaajia, ei vuosituhannen myyntitykkejä. Tietoturvan myyminen on erittäin haastavaa. Toivoisinkin päättäjiä, jotka lukevat tätä blogia, olemaan rehellisiä ja olemaan avoimempia keskustelemaan tietoturvasta.

 

Itsekehitetyt järjestelmät vs. valmisohjelmistot

Onko organisaatiolla käytössä toiminnanohjausjärjestelmä, kaupankäyntiohjelmisto tai muu ydinjärjestelmä? Valmisohjelmistot (Bloomberg, MS Nav jne.) ovat sinänsä hyviä, koska niihin on rakennettu toimintoja tukemaan tietoturvaa jo pidemmän aikaa. Itse kehitettyjen ohjelmistojen riski on, että resurssit on suunnattu tuottavuutta parantaviin toimintoihin eikä perustoimintoihin ja tietoturvaan. Tällöin järjestelmän ympäristön suojaaminen on entistäkin tärkeämpää..

 

GDPR:n realiteetti

Jos olette tehneet GDPR-projektin (ja siihen liittyvät dokumentit) itse ja sivuja on 2-6, olette todennäköisesti pahasti alisuorittaneet. Etevä on maksanut omasta GDPR-dokumentoinnistaan yli 10 000 € (alv. 0) ja sivuja on useita kymmeniä. Tämän lisäksi meillä on sisäinen videoitu tietosuojakoulutus henkilökunnalle.

Mikä on EU-tietosuoja-asetus ja miksi GDPR on tärkeää? Tiedätkö GDPR vaatimukset ja termit? Tietosuojalain idea on suojata henkilötietoja. Tämä tapahtuu suunnitelmallisella tietoturvan parantamisella, joka alkaa tietosuojapolitiikasta ja päättyy käytännön tietoturvaratkaisuihin. Jos GDPR on tehty huolella, on moni tietosuojaan ja tietoturvaan liittyvä asia jo hyvällä mallilla!

Lue lisää:

Tilaa tietoturvakartoitus

Topics: gdpr, tietosuoja, tietoturvauhka, tietoturvakoulutus

Haluatko kuulla uusista blogijulkaisuista ensimmäisenä? Tilaa ilmoitukset!

Jaa somessa

 
Miten Vastaamon tietomurto tapahtui? Muista tietojen suojaaminen

Vastaamon tietomurto on poikkeuksellinen ja erittäin vakava. Tietomurtoja ja tiedon julkistamisia tapahtuu jatkuvasti, mutta tässä tapauksessa vuodon...

Lue lisää
Etevän tietoturva-asiantuntija: Ihminen on tietoturvan heikoin lenkki!

Miksi? Ihmiset eivät tiedä tarpeeksi eivätkä ole tarpeeksi valppaita. Tietoturva aiheena on laaja ja vaikeaselkoinen. Ihmiset tuntuvat myös olevan aika...

Lue lisää
Microsoft Exchange -palvelin tietomurtojen massiivinen aalto sulkee sähköposteja

Koskettaa tämä teitä tai ei, niin suosittelen lukemaan. Kyseessä on yksi suurimmista ja eniten vahinkoa aiheuttaneista tietomurtojen aalloista...

Lue lisää
logo-rgb_valk

Etevän sydämessä sykkii sujuva IT-tuki ja erityisosaamista löytyy luovan alan toimistojen, sekä finanssialan yritysten IT-ympäristöjen ja tietoturvaratkaisujen tuottamisessa.

Y-tunnus 1981812-8

Myynti

Eteva_icon_valk_tyhja  09 - 42 550 338
Avoinna arkisin 08:00 - 16:00 

Eteva_mail_icon_valk_tyhjamyynti@etevat.fi Sovi tapaaminen

IT-tuki

Eteva_icon_valk_tyhja09 - 427 20 929
Avoinna arkisin 08:00 - 16:00 

Eteva_mail_icon_valk_tyhjaapu@etevat.fiLataa tukiohjelmisto
Dell Authorized partner_valk
Microsoft_silv_part_valk
hp-business-partner_valk
F-Secure_horizontal_Silver_RGB_white
CSP_Partner_Silver_logo-white
apple-certified-support-professional_white2
© Etevä tietopalveluyhtiö