Tietoturva on ihmisiä varten ja ihmiset sitä hallitsevat, mutta teknologian tulee olla kunnossa. Vanhat päivittämättömät järjestelmät ovatkin usein yrityksen tietoturvan isoimpia uhkia, sanoo kyberturvallisuuden asiantuntija Tero Mellin OP-ryhmästä. Valorolla tietoturva läpileikkaa kaiken.
Tietoturva on aidosti vaikea, laaja ja kompleksinen alue jopa sen osaajille. OP:n kyberturvallisuuden kehittämisestä vastaava johtaja Tero Mellin on uransa aikana nähnyt, miten yleinen suhtautuminen tietoturvaan on muuttunut aikojen varrella. Ensin ihmiset näkivät sen vieraana asiana tai jopa välttämättömänä pahana. Nykyään se on huomion keskiössä – niin ihmisille kuin organisaatioillekin erittäin tärkeää.
”Me tietoturva-asiantuntijat olemme viimeisten vuosien aikana oppineet puhumaan tietoturvasta myös liiketoiminnan kannalta, ja toisaalta yritysten johto on alkanut ymmärtää, miten tietoturvaa rakennetaan.”
Kuulostaa hyvältä. Onhan jokainen meistä jo tietoinen tietojen luottamuksellisuuden, oikeellisuuden ja yksityisyyden tärkeydestä. Mellin myös uskoo, että tulevaisuudessa tietoturva jatkaa arkipäiväistymistä samalla tavalla kuin esimerkiksi toinen uusi teknologinen ilmiö, tekoäly.
Vaikka jokainen ymmärtää tietoturvan päälle, valitettavasti käytännössä monen yrityksen tietoturva jää usein muiden hommien jalkoihin. Se löytyy sitku-kategoriasta ja muistetaan vasta, kun tiedot onkin kähvelletty tai koneet haittaohjelmaa täynnä.
Säröjä voi jäädä huomaamatta – yrityksen tietoturva murtuu
Tero Mellinin mukaan useilla pk-yrityksillä – ja jopa isoilla organisaatioilla – tietoturvan heikot kohdat johtuvat usein niin sanotusta teknologiavelasta.
”Käytössä on vanhoja tietojärjestelmiä ja toimintaympäristöjä, jotka eivät sovi yhteen modernien tietoturvaratkaisujen kanssa. Myös järjestelmien uusimiseen liittyy riskejä, kun ohjelmien riippuvuuksia puretaan ja tiedot saattavat prosessissa kadota.”
Lisäksi järjestelmiin helposti jää käyttöön oletussalasanoja ja -käyttäjätunnuksia, jotka aiheuttavat tietoturvaan säröjä. Niitä ei myöskään huomata. Tietomurron huomaamiseen kuluu keskimäärin kuukausia, joskus jopa vuosia (IBM:n tutkimuksen mukaan keskimäärin 280 päivää, ja suomalaistutkimus huomasi, että haavoittuvuuksia hyödynnetään huomaamatta koko ajan).
Valoro auttaa tekemään asiakirjojen käsittelystä tietoturvallista
Tietoturvaan liittyvät riskit kannattaa kartoittaa ja hoitaa kuntoon siis hyvissä ajoin ennen niiden realisoitumista. Fiksut yritykset eivät jää asian kanssa yksin vaan hankkivat kumppaniksi tiedonhallinnan ammattilaisen, joka osaa kehittää tiedostojen ja asiakirjojen säilyttämiseen, siirtämiseen ja käsittelyyn liittyvistä prosesseista tietoturvallisia.
Yksi näistä ammattilaisista on suomalainen Valoro.
”Kaikki käyttämämme yhteydet ja muun muassa sähköpostit ovat suojattuja, mitään tietoja ei pidetä avoimessa verkossa ja jokainen asiakkuus on kuin oma saareke, jotta tiedot eivät voi levitä”, luettelee Valoron toimitusjohtaja Kimmo Kakko.
Valoron asiantuntijat toimivat toki myös asiakkaiden järjestelmissä, mutta Kakon mukaan tällöinkin yhteys kulkee suojattua yhteyttä pitkin ja kaikesta jää jälki.
”Tietoturva läpileikkaa meillä kaiken, mikään ei ole sattumanvaraista”, sanoo Kimmo Kakko.
Yrityksen tietoturva on järjestelmien ja ihmisten tarkkaa yhteispeliä
Tietoturva on oleellinen osa riskienhallintaa. Sanasta riskienhallinta tulee monille mieleen tulipalot, muut onnettomuudet, varkaudet, tietovuodot – ja inhimilliset erehdykset.
Vanha sanonta ”ihminen on tietoturvan heikoin lenkki” ei Tero Mellinin mielestä ole totta.
”Ihminen on tietoturvan keskiössä eikä pelkästään sen vaaratekijä. Kun teknologia oikealla tavalla auttaa, ihminen osaa löytää arkipäiväiset keinot huolehtia tietoturvasta.”
Toisin sanoen jokaisen on otettava tietoturvasta vastuuta, mutta on inhimillistä tehdä virheitä, jolloin teknologian on autettava. Valorollakin tietoturva on koko toimintaan sisäänrakennettua, teknologian ja ihmisten yhteispeliä.
”Järjestelmät hoitavat osansa, ja työntekijöillä on tarkat ohjeet sekä koulutukset. Virhemahdollisuudet minimoidaan erilaisilla varmistuksilla ja varmistuksen varmistuksilla.”
Onko myös paperiarkisto tietoturvallinen?
Valorolla huolehditaan myös yritysten kellareissa tai toimiston perällä lojuvista fyysisistä arkistoista. Niiden tietoturva nimittäin helposti unohtuu.
”Meidän arkistohotelli – mukaan lukien sen kaikki tietohaut sekä muut palvelut – tuo asiakkaalle mielenrauhaa, sillä se täyttää korkeat laatu- ja tietoturvakriteerit”, Kakko sanoo.
Tietoturva horjuu helposti, jos mapit sijaitsevat vain yrityksen omassa varastossa ja joku huolehtii niistä oman työnsä ohella: Lainassa olevat asiakirjat saattavat unohtua sille tielleen ja hakeminen indeksoimattomista hyllyistä voi olla hidasta ja hankalaa. Lisäksi kutsumattomat vieraat saattavat eksyä tutkimaan asiakirjoja ja mapit saattava altistua varastossa olosuhteille tai sattumuksille, jotka ajan mittaan vahingoittavat niitä.
”Arkistohotellimme tietosuoja on hyvin harkittua. Esimerkiksi arkistoon pääsy ja aineiston käsittely on sallittua vain siihen koulutetuilla henkilöillä. Lisäksi meillä on tehty tarkat riskienhallinnan suunnitelmat, jotta asiakkaiden paperiarkistot ovat turvassa – mitä tahansa ympärillä tapahtuu.”
Pilvessä sijaitsevat tiedot haastavat tietoturvan
Millaista on tietoturvan tulevaisuus? Yrityksen tietoturva kuvataan usein neliportaisesti:
- Hallinta ja johtaminen, eli organisaation prosessit ovat hallittuja ja rakenteet kunnossa
- Suojaus, eli tekniset kontrollit, järjestelmät, suojauksen tavat ovat kunnossa
- Havainnointi, eli poikkeamat tietoturvassa huomataan hyvin ja nopeasti
- Reagointi, eli jos tietoturva pettää, vauriot saadaan minimoitua ja tilanteesta toivutaan
Kyberturvallisuusasiantuntija Tero Mellinin mukaan ensimmäinen ja toinen kohta ovat nykyään hyvin hoidossa, kolmannen ja neljännen suhteen tapahtuu tällä hetkellä eniten kehitystä.
”Esimerkiksi uusi teknologia ja pilvessä sijaitsevat järjestelmät tekevät ympäristöistä monimutkaisia. Kontrolleja on vaikeampi luoda, kun keskinäisiä riippuvuuksia on paljon ja analysoitavaa dataa jatkuvasti enemmän kuin aikaisemmin. Tämä on tietoturvalle suuri haaste.”
Data-analysoinnin kehittämisen rinnalla toinen nouseva tietoturvaratkaisujen trendi on kehittää ihmisten käyttäytymiseen perustuvaa havainnointia.
”Ohjelma tietää, miten henkilö yleensä käyttäytyy työskennellessään tietokoneellaan ja huomaa, jos tapahtuukin jotain normaalista poikkeavaa.”
Myös Valoron toimitusjohtaja Kimmo Kakko seuraa tarkasti tietoturvaratkaisujen kehitystä.
”Tietoturva ei ole koskaan valmis, ja meille sen jatkuva kehittäminen on ykkösasia.”
Tutustu myös asiakirjahallinnan sanastoon!