Valitettavan usein tänä päivänä budjettien ja määrärahojen kiristyessä tietoturva mielletään toissijaiseksi kehityskohteeksi. Monesti mennään vahvasti liiketoiminta edellä, ja liiketoiminta myös määrittää, mihin käytettävissä olevat varat sijoitetaan. Tietoturva tulisi kuitenkin nähdä yhä enemmän eräänlaisena vakuutuksena: vakuutuksena siitä, että yritys huolehtii toimintansa jatkuvuudesta ja sen tärkeimmästä voimavarasta, eli tiedosta. Jos voisit ostaa vakuutuksen esimerkiksi sille, että talosi ei pala, ostaisitko? Miksi siis tietoturvan tärkeyttä edelleen vähätellään?

Elintärkeän tiedon suojaaminen

Yhä enenevissä määrin yritysten osaamispääoma sijoittuu yrityksessä työskenteleviin ihmisiin ja omistettuun tietoon. Tietoturva toimii tällöin ikään kuin varmuustekijänä, kun ihmisten tuottamasta tiedosta huolehditaan ja sitä suojataan asianmukaisesti. Jokaisella yrityksellä on jotain salattavaa - eihän liiketoiminnan ylläpitämisessä muutoin olisi mitään mieltä. Vähintäänkin sähköpostit, henkilötietorekisterit, tuotekehitystiedot tai vaikkapa tarjoukset asiakkaille ovat salattavaa tietoa, jota halutaan suojata.

Täysin suojattua ja varmaa tietoturvaa ei kuitenkaan ole olemassakaan niin kauan, kun ihmiset tuottavat tietoa. Erilaisiin uhkiin ja riskeihin pystytään kuitenkin varautumaan nykypäivänä erittäin hyvin. Tähän juuri vakuutusta tarvitaan: vakuutusta sille, että toiminta jatkuu riskien uhatessakin. Loppupeleissä tietoturvan parantaminen ei tarkoita hirvittävän suuria rahallisia resursseja, tai että suojautuminen olisi hyvin monimutkaista tai tekisi toiminnasta vaikeaa. Tietoturvan parantaminen lähtee liikkeelle pikemminkin siitä, että kohotetaan tietoturvan perustasoa. Kun tiedetään, mitä etsitään ja mihin täytyy panostaa, tietoturvan tason kohentaminen ei vaadi taikatemppuja ja hyvin usein pienilläkin resursseilla päästään jo hyvään alkuun, kun tiedetään, mitä etsitään.

Perusasioista liikkeelle tietoturvallisuuden kohentamisessa – myös suuryrityksissä puutteita

Tietoturvan perustaso on siis se, mitä alussa tavoitellaan. Lähtökohtaisesti kartoituksen aikana tarkastellaan kaikkia eri osa-alueita, missä tieto liikkuu ja tarkistetaan, kuka tietoa käsittelee ja miten. Tietoturvassa on otettava huomioon monia muuttujia, joita ei osata välttämättä edes ajatella, vaikka olisi toiminut tietoturva-alalla pitkäänkin. Lähtökohdat riippuvat aina tietoturvasta vastaavan henkilön omasta taustasta, ja millaisissa rooleissa ja tehtävissä hän on toiminut. Tietoturvaan on otettava kokonaisvaltainen näkemys, ja yleensä tämä tapahtuu parhaiten ulkopuolisen asiantuntijan kanssa, joka on tehnyt tällaisia kartoituksia aiemminkin. Ensimmäisenä siis tarkastellaan, missä ydinliiketoiminnan kannalta arvokas data sijaitsee ja kuinka se on luokiteltu ja suojattu, eli mihin tulisi panostaa? Ensin perusasiat katsotaan kuntoon, ja sitten vasta siirrytään arvokkaaseen tietoon.

Usein suuryrityksissä on jotkut perusasiat hyvin hallussa, mutta paljon on voinut jäädä myös huomaamatta. Peruskartoitus on siis hyvä suorittaa siitäkin huolimatta, että tietoturvan kuvitellaan olevan kunnossa. Sellaisia asiantuntijoita, jotka ”elävät ja hengittävät” näitä asioita päivittäin, pysyvät ajan hermolla, tekevät kartoituksia ja luovat käytäntöjä toisille organisaatioille, on hyvä hyödyntää niin paljon kuin mahdollista. Heidän tietotaitonsa siirtyy asiakkaalta asiakkaalle, he oppivat mitä on tehty oikein ja mitä väärin, mitä ei ole ymmärretty huomioida, tai kuinka vältetään tietoturvan sudenkuopat. Asiantuntijoilla on monenlaista kokemusta eri organisaatioista ja niiden tietoturvaan liittyvistä asioista, joten heidän osaamistaan on syytä myös hyödyntää täysimääräisesti.

Tietoturva-asiat voivat hyvin hoidettuina toimia jopa myyntivalttina

Tietoturvasta tulisi mielestämme myös viestiä huomattavasti enemmän yritysten toiminnan ulkopuolelle eri sidosryhmille. Suhteellisen paljon esimerkiksi uutisissa tulee esiin tapauksia, joissa tietoturva on pettänyt ja elintärkeitäkin tietoja on päätynyt vääriin käsiin. Tämä voi johtaa pahimmillaan jopa asiakkuuksien tai yhteistyökumppanuuksien menetyksiin ja liiketoiminnan kariutumiseen. Kuitenkin, jos yritys on huolehtinut tietoturvaan liittyvistä prosesseista ja käytännöistä hyvin, siitä tulisi ehdottomasti viestiä ulospäin, sillä tietoturvallisuus voi toimia myös erottautumistekijänä ja jopa myyntivalttina.

Ei näitä asioita kuitenkaan ainoastaan mainesyistä tehdä. Myös lain vaatimukset tietoturvaa koskien lisääntyvät koko ajan, ja samalla rikkomuksista koituvat sanktiot suurenevat. Esimerkiksi, näillä näkymin vuonna 2018 voimaanastuva EU:n tietosuoja-asetus vaatii ja määrittelee raamit esimerkiksi sille, miten mitä tahansa yksilöitäviä tietoja sisältäviä rekistereitä tulisi ylläpitää, suojata ja dokumentoida. Pahimmillaan asetuksen määräysten rikkomisesta voi koitua uhkasakkoja. Vakuutuksesta tulee taas entistä arvokkaampi.

Lisätietoa aiheesta

Lue aiheesta lisää pikaoppaastamme "Tietoturvan vaikutus liiketoimintaan".  Voit ladata oppaan täysin maksutta luettavaksesi! 

Voit myös ottaa suoraan yhteyttä XCuren asiantuntijoihin, mikäli haluat lisätietoja tietoturva-asioista. Autamme mielellämme kaikissa kysymyksissäsi!