Tmp-digi

Tietoturva ja riskienhallinta

Digitaalisista palveluista on tullut elämässämme entistä merkittävämpi osa-alue, ja riskienhallinnan tärkeys korostuu toiminnassamme digitaalisessa ympäristössä. Tietoverkkorikolliset etsivät erityisesti tietoa, jonka he pystyvät muuttamaan rahaksi tai käyttämään muiden rikosten toteuttamiseen. Verkkorikolliset voivat olla omia taitojaan kokeilevia nuoria tai jopa organisaation omia työntekijöitä. Verkkorikolliset hyödyntävät surutta käyttäjien tekemiä inhimillisiä virheitä ja käyttävät myös hyväkseen ihmisen hyväntahtoisuutta ja avuliaisuutta. Salasanan selvittäminen kysymällä on huomattavasti helpompaa kuin sen tekninen hakkerointi.  

Digitaalisen toimintaympäristön riskien havainnoimiseksi on hyvä erottaa toisistaan kolme termiä:  

  • Uhka 
  • Haavoittuvuus 
  • Riski 

Riskin toteutuminen vaatii aina, että uhka ja haavoittuvuus toteutuvat samanaikaisesti. Haavoittuvuus voi olla se, että organisaation työntekijät eivät käytä näytönsuojia työskennellessään julkisella paikalla, organisaatiolla ei ole mekanismia verkkolaskujen alkuperäisyyden varmistamiseksi tai se voi olla päivittämätön ohjelmistoversio laitteessa. Ilman näytönsuojaa työskenteleminen julkisella paikalla muodostaa uhkan, että ulkopuolinen henkilö näkee näytön tiedot. Näin riskinä on, että salassa pidettävää tai luottamuksellista tietoa päätyy vääriin käsiin. Toteutuneella riskillä on aina seuraus, joka voi ilmetä poikkeamana tai häiriönä, joka voi aiheuttaa toiminnan keskeytymisen, mainehaitan tai rahallisen menetyksen organisaatiolle. Inhimillisten virheiden lisäksi uhkia ovat myös tahalliset teot ja luonnononnettomuudet, kuten salamaniskutUhka muodostuu riskiksi hyödyntäen kohteen haavoittuvuutta eli heikkoutta. Suuri osa uhkista voidaan tunnistaa ja torjua kriittisellä ajattelulla sekä kiireettömyydellä ja suunnitelmallisella ennakoinnilla. 

Digiturvallisuus on kaikkien yhteinen asia, ja jokainen vastaa siitä oman roolinsa ja vastuualueensa mukaisesti. Organisaation johdolla on kokonaisvastuu kaikesta toiminnasta, asiantuntijat toteuttavat johdon tavoitetilaa ja henkilöstö noudattaa organisaation ohjeita ja linjauksia. Jokaisella organisaatiolla on sen toiminnan kannalta kriittisiä toimintoja, joita ilman se ei pystyisi toimimaan. Nämä suojattavat asiat voivat olla esimerkiksi tiloja, henkilöitä, laitteita, prosesseja, tietojärjestelmiä tai tietoja. Suojaustoimenpiteiden suunnittelussa hyödynnetään riskiarviota. Toimenpiteillä pyritään turvaamaan kohteiden tieto- ja kyberturvallisuus sekä tietosuoja kaikissa tilanteissa. Kriittisille toiminnoille ja kohteille tulee laatia jatkuvuus- ja toipumissuunnitelmat, joiden tehtävänä on kuvata, miten toiminnan jatkuvuus turvataan häiriötilanteissa.  

Tietosuoja

Tietosuoja on yksi perusoikeuksista, joka turvaa rekisteröidyn oikeuksien ja vapauksien toteutumisen henkilötietojen käsittelyssä. Tietosuojan tarkoituksena on määritellä, milloin ja millä edellytyksillä henkilötietoja voidaan käsitellä. Henkilötietojen käsittelyn on aina perustuttava lakiin.  

Jos uhkat, haavoittuvuudet ja riskit kohdistuvat henkilötietoihin eli tietoihin, joiden pohjalta henkilö voidaan yksilöidä, täytyy asiasta ilmoittaa tietosuojavastaavalle. Työntekijän vastuulla on vastuuhenkilöiden informoiminen niistä tekijöistä, jotka voivat estää suunniteltujen toimenpiteiden toteutumisen. Joissain tilanteissa työntekijä pystyy myös jatkamaan toimintaansa itsenäisesti. Jos esimerkiksi internetyhteydet katkeavat työnantajan tiloissa, työntekijä voi jatkaa työskentelyä jakamalla matkapuhelimen internetyhteyden työasemalle. Lisäksi työskentelyä voi jatkaa etäpisteessä, jos työntekijän tehtävät sen sallivat. Lisäksi tulee muistaa, että salassa pidettävien tietojen käsittely on tietoturvallisuuden keskeisimpiä osa-alueita. Tämä edellyttää tietojen luottamuksellisuuden saatavuuden ja eheyden vamistamista.


en_USEnglish