Tietoriskit laajemmin

Tietoriskejä on pitkään aliarvioitu, eikä niiden hallinta ole vielä aina kunnossa. Yritys voi huolehtia tietoriskeistä pitkälti itse, mutta esimerkiksi tietoverkkojen suojaus vaatii monesti asiantuntija-apua. Olennaista on tiedostaa yrityksen keskeiset tiedot, kehittää toimintaa lähtökohdiltaan turvalliseksi ja soveltaa monipuolisia turvajärjestelyjä. Tekninen suojaus on tässä vain yksi elementti.

Tieto on tärkeä tuotantotekijä

Jokaisessa yrityksessä on sen toiminnalle kriittisiä tietoja, esimerkiksi asiakastiedot, tuotannonohjauksen tiedot, tuoteideat, markkinointisuunnitelmat. Tietoa on paljon monessa eri muodossa: henkilökohtainen osaaminen ja kokemustieto; asiakirjat, sopimukset, ohjeet, suunnitelmat ja muut paperidokumentit sekä asiakas-, tilaus- ja palkkatiedot yms. tietojärjestelmien sisältämä tieto.

Monessa pk-yrityksessä tieto on suurin pääoma. Silti tietojen hallintaan ja suojaamiseen ei aina kiinnitetä riittävästi huomiota.

Yrityksen toiminnan kannalta on tärkeätä, että

• Tiedot oikeita, luotettavia ja ajan tasalla
• Tiedot ovat aina oikeutettujen henkilöiden saatavilla
• Tiedot eivät joudu ulkopuolisille, asiaankuulumattomille henkilöille.
• Tietoja käsitellään tietosuojan huomioiden

Tietoriskien luonne muuttuu

Tietoriskien luonne muuttuu jatkuvasti. Yritysten elämä on kaikilla toimialoilla yhä enemmän tietojen käsittelyä – dokumentteja ja tietämystä siirretään ja käsitellään koko ajan, yhä monipuolisemmilla tavoilla ja yhä monimutkaisemmissa verkostoissa. 

• Yritysverkostoissa tieto liikkuu uudella tavalla
• Työsuhteet lyhenevät — väheneekö henkilöstön sitoutuminen?
• Erilaiset virukset, madot, muut haittaohjelmat ja tiedostojenjako-ohjelmat aiheuttavat ongelmia
• Maahanmuuttajien tai uuden vientimaan tavat voivat poiketa siitä, mihin yrityksessä on totuttu
• Tiedonsiirtotavat monipuolistuvat ja nopeutuvat
• Missä puhut matkapuhelimeesi?
• Ovatko kannettavasi tiedot suojattuja?
• Internetissä koko maailma on naapurinasi
• Verkossa tapahtuva kaupankäynti uudistaa kauppaa ja maksuliikennettä, sekä asettaa haasteita tietoturvalle
• Roskaposti kuormittaa tietojärjestelmiä

25.5.2018 lähtien organisaatioiden on otettava huomioon myös EU:n tietosuoja-asetus GDPR tietoriskien arvioinnissa. Sen vaikutus hyviin käytäntöihin, henkilötietojen asianmukaiseen käsittelyyn ja riittävään tietoturvaan on merkittävä ja yllättävän laaja. Lisätietoa aiheesta www.tietosuoja-asetus.org

Hallinta vaatii monipuolisia keinoja 

Tietoriskien hallinnan perusta on tunnistaa tietoihin liittyvät keskeiset riskit. Tunnistamisen helpottamiseksi on alla hyvä listaus erilaisista tietoriskeistä ja mietittävistä asioista. Sen avulla voidaan selvittää keskeiset tietoriskien alueet. Niiden parissa ryhdytään tarkempaan tunnistamis- ja hallintatyöhön. 

Riskejä hallittaessa on otettava lähtökohdaksi toiminnan kehittäminen – toimintatavat, osaaminen, johtaminen – ja vasta sen jälkeen tulevat tekniset suojauskeinot.

Johtaminen

• Johdon tietoisuus tietoriskien merkityksestä
• Tärkeimpien tietojen tunnistaminen
• Suurimpien riskien tunteminen
• Tietoturvapolitiikka ja asianmukaiset käytännöt
• Tietoturvallisuus osana laatujärjestelmää
• Hankittu käyttöön riittävä osaaminen
• Tietoturvatoiminnan kehittäminen

Johdon tietoisuus tietoriskeistä on tietoriskien hallinnan kivijalka. Johtamisen käytännön välineitä ovat hallittu tietoturvatyö, osaamisen hyödyntäminen ja riskienhallinnan muiden peruslähtökohtien luominen.

Toimitilat

• Alttius onnettomuuksille
• Yrityksen tilojen erottaminen kiinteistössä
• Kulunvalvonta
• Vartiointi ja rikostorjunta
• Tilojen erottaminen toisistaan ja kulkuoikeudet
• Arkisto ja dokumenttien käsittely
• Tulostimet, skannerit, kopiokoneet, faksit yms.
• Asiakastilat
• Vierailijat, ulkopuoliset toimijat (siivoojat, konsultit yms.)

Onnettomuudet ja varkaudet ovat keskeisiä riskejä. Tilojen kulunvalvonta, erottaminen yms. ovat perustoimia tietoriskienkin hallitsemiseksi.

Muista tehdä ilmoitus viranomaisille, jos epäilette tai olette joutuneet tietoturvaloukkauksen uhriksi. Lue lisää: www.tietoturvaloukkaus.fi

Tietojärjestelmien suojaus

• Vastuut järjestelmistä
• Paperin käsittely
• Käyttötunnukset ja -oikeudet
• Etätyö (puhelimet, tabletit, tietokoneet, yhteydet yms.)
• Toiminnan seuranta (häiriöt, käyttö, levytila)
• Arkistot ja dokumenttien käsittely
• Muutosten hallinta
• Käytöstä poisto
• Ohjelmistohankinnat ja asennukset
• Varmistukset ja palauttaminen
• Salasanat
• Intranet, Extranet ja WWW
• Pilvipalvelut
• Virukset, haittaohjelmat, roskaposti yms.
• Sähkön- ja energiansyötön häiriöt

Sähköisten tietojärjestelmien suojaus on keskeisiä tietoriskien hallinnan haasteita. Mutta paperilla toimivien järjestelmien hallinta on aivan yhtä tärkeää.

Matkapuhelin voi olla yksi suurimmista tietoriskeistä kadotettuna tai varastettuna!

Suhteet sidosryhmiin

• Yhteistyökumppanien luokittelu
• Yhteiset pelisäännöt
• Alihankkijoiden aiheuttamat riskit
• Eri osapuolten katselmointi
• Sopimukset
• Järjestelmien käyttöoikeudet
• Neuvottelutilojen yms. tietoturvallisuus
• Yhteistyön tietojen suojaus muilta asiakkailta
• Taustaselvitykset

Liikesuhteiden tietoriskit korostuvat verkottumisen ja alihankinnan myötä. Eri osapuolten valmiudet yhteistoimintaan on selvitettävä, ja kouluttamalla ja katselmoimalla varmistuttava, ettei yhteistoimintaan jää heikkoja lenkkejä. Luottamuksen on toimittava yhtä hyvin jokaiseen suuntaan!

Henkilöstön toiminta

• Koulutus tietoriskien hallintaan
• Tietosuojaperiaatteet
• Tietoturvaperiaatteet
• Selkeät toimintaohjeet
• Rekrytointi ja taustaselvitykset
• Salassapitositoumukset
• Toimet työsuhteen päättyessä
• Käyttöoikeuksien hallinta
• Varautuminen häiriöihin ja onnettomuuksiin
• Suojaratkaisut henkilöstön välineissä (virustentorjuntaohjelmat yms.)

Henkilöstön käytännön toimissa tietoriskit joko hallintaan tai ne toteutuvat. Osaaminen ja suunnitellut toimintatavat luovat pohjan onnistumiselle. Henkilöstön käyttöön on luotava laadukkaat välineet riskien hallitsemiseksi, esimerkiksi automaattisesti toimivat ja päivittyvät virustentorjuntaohjelmistot.

Kehittäminen ja toiminnan jatkuvuus

• Yhteistyökumppanien luokittelu
• Yhteiset pelisäännöt
• Alihankkijoiden aiheuttamat riskit
• Eri osapuolten katselmointi
• Sopimukset
• Järjestelmien käyttöoikeudet
• Neuvottelutilojen yms. tietoturvallisuus
• Yhteistyön tietojen suojaus muilta asiakkailta
• Taustaselvitykset

Muista huolehtia varmuuskopioiden ajantasaisuudesta ja niihin liittyvistä riittävistä rutiineista. Ne voivat pelastaa yrityksen toiminnan jatkumisen!

Lähde: PK-RH Riskienhallinta -materiaali

Pro Riskienhallinta

Pro Riskienhallinta -palvelun avulla pystytte tunnistamaan erilaisia tietoriskejä, arvioimaan niiden vakavuutta, todennäköisyyttä ja seurauksia sekä miettimään asianmukaisia hallintatoimenpiteitä.

Voitte arvioida mm. seuraavia tuoteriskejä:

• Yleinen tietoriskien arviointi edellä olevan listauksen mukaisesti
• Tietoriskien hallinnan johtaminen ja organisointi
• Henkilöstön tietoisuus ja toimintatavat tietoriskien hallinnassa
• Toimintaympäristön, työ- ja palvelutilojen tietoturvallisuus
• Tietojärjestelmien suojaus
• Tietoriskit liike- ja sidosryhmäsuhteissa

Pro Tietosuoja

Olemme kehittäneet avuksenne myös Pro Tietosuoja -palvelun, joka on tietosuojasta vastaavan henkilön, yrityksen ja yhdistyksen tukipilari tietosuoja-asioissa.

Tutustu tarkemmin palveluun osoitteessa www.tietosuojajarjestelma.fi

Pro Tietosuoja -palvelun ominaisuudet:

• käyttäjätunnusten ja -oikeuksien hallinta
• asetuksen edellyttämän organisaation dokumentaation tekeminen
• asetuksen edellyttämä riskien arviointi
• organisaation henkilöstön koulutus ja tarvittava dokumentaatio siitä
• organisaation koulutusten hallinnointi koulutusrekisterin avulla
• poikkeamailmoituksen tekeminen (tietoturvaloukkaukset)

Lisätietoa tietosuoja-asetukseen liittyvistä aiheista:

www.tietosuoja-asetus.org

www.tietoturva.pro

www.tietosuojaloukkaus.fi

www.tietoturvaloukkaus.fi

www.protietosuojavastaava.fi

www.poikkeamailmoitus.fi