Mitä tietoturva tarkoittaa? Sisältö vaihtelee siitä riippuen, keneltä kysyy. Jos kysyy kadunmieheltä, se yleensä tarkoittaa virustorjuntaa. Joku lisää tähän palomuurin. Ammattilaiset laskevat joskus leikkiä kysymällä, onko meidän tietoturva kunnossa, ja vastaten: ”Toki! Meillä on virustorjunta ja palomuuri.” Parikymmentä vuotta sitten tietoturva yhdistettiin yleensä salaamiseen. Tuolloin liike-elämän luottamus suljettujen ratkaisujen ylivertaisuuteen oli hyvin voimissaan. Yritysten liikesalaisuuksien suojaksi saatettiin myydä tuotteita, jotka olivat esimerkiksi ”Yhdysvalloista vientikelpoista sotilaslaatua”. Vastavetona syntyi ns. Snake Oil FAQ[1]: se pyrki listaamaan merkkejä ja signaaleja, joilla saattoi havaita, että joku yrittää mahdollisesti vedättää ja kaupata roskaa.
Käärmeöljy, snake oil, on muinaisesta Villistä Lännestä periytyvä termi ja tarkoittaa yleensä kaikkiin vaivoihin tehoavaa lääkettä, jonka teho on kyseenalainen tai tuote on jopa silkkaa huijausta. Nykyään käärmeöljykauppa käy tietokoneaikaa ja voi hyvin. Kuluttajille on pitkään myyty tietoturvaa muutamalla eurolla kuussa. Yrityskin voi jättää tietoturvan ammattilaisille ja ostaa sen muodin mukaisesti pilvestä SaaS-palveluna edulliseen kuukausihintaan. Vai voiko?
Tietoturva on äärimmilleen kiteytettynä tieto-omaisuuteen liittyvän vahinkoriskienhallinnan johtamista ja toteuttamista yli organisaation ja sen kaiken toiminnan. Toiminta on yleensä vastuutettu tietohallintojohtajan alaisuuteen, mutta tietoturva ei voi olla yksin tietohallinnon asia. Yleisesti käytössä olevat viitemallit tietoturvan hallintajärjestelmistä sisältävät esimerkiksi organisaation henkilöstöhallinnon asioita. Tietoturvassa on suurelta osin kyse ihmisistä ja ihmisten johtamisesta sekä prosesseista ja niiden vikasietoisuudesta, ja vasta viimeiseksi tulee teknologia.
Julkishallinnossa on vaadittua noudattaa hyvää tiedonhallintatapaa[2]. Samat periaatteet koskevat myös muita organisaatioita, kun käsitellään henkilötietoja. Tässä on aikanaan ymmärretty hyvin jako ihmisiin, prosesseihin ja teknologiaan: lainsäätäjää ei nimittäin kiinnosta teknologia, jota käytetään. Lähtökohtana on tieto-omaisuuden suojaaminen pilaantumiselta: laatu säilyy, kun tieto on ehjää eikä muutu hallitsemattomasti tai luvatta, on käytettävissä silloin kun tarvitaan ja on vain niiden käsiteltävissä joilla on sellaiseen oikeus. Missään ei puhuta tietokoneista.
En tarkoita sanoa, ettei olisi tietoturvapalveluita joita voisi hyvillä mielin ostaa. Sen sijaan tietoturvan ostamista operaattorilta avaimet käteen neljä euroa kuussa per tietokone… Sitä kannattaa miettiä samasta näkökulmasta kuin tieteellisesti mullistavaa ihme-eliksiiriä. Tietoturva ja sen taso ovat kuitenkin kiinni tavallisista ihmisistä. Siksi tietoturvaa ei voi jättää vain ammattilaisille; ammattilaisen tehtävä on huolehtia, että tietoturva voi olla tavallisen ihmisen asia. Näkökulmaa voi ottaa tutustumalla vaikkapa juuri Snake Oil FAQ’iin, minkä jälkeen voi lukea erään ammattilaisen, Phil Zimmermannin käärmeöljyesseen[3] salaustuotteista ja salaamisesta vuodelta 1991. Snake Oil FAQ’n paljastavien merkkien kohta ”Trust us, we know what we’re doing” tuo minulle kovasti mieleen: ”Jätä tietoturva ammattilaisten huoleksi.”
Haluatko tietää lisää Bisnesteknologiamallista ja sen soveltamisesta käytännössä? Ota yhteyttä.