Tietoturvalla käsitetään kaiken liiketoiminnan kannalta arvokkaan tiedon luottamuksellisuuden, eheyden sekä saatavuuden turvaamista. Tietoturvavaatimukset voivat olla lakiin ja säädöksiin perustuvia, sopimuksenvaraisia, eettisiä tai liiketoiminnan riskeihin liittyviä.
Kaikki informaatio digitalisoituu asteittain, ja siksi perinteinen tietoturva liittyy entistä enemmän kyberturvallisuuteen. Nykyaikaisen johtamiskäsityksen mukaisesti kyberturvallisuuden varmistaminen tulisi juurruttaa osaksi organisaatiokulttuuria, eikä sälyttää pelkästään erikoistuneiden tietoturvatiimien tehtäväksi.
ISO/IEC 27000-sarja tarjoaa tietoturvan johtamiseen parhaita käytäntöjä ja suosituksia, ja ISO/IEC 27001 linjaa, millaisella hallintajärjestelmällä tietoturvaa voidaan johtaa. Standardissa esitellään yli kymmenen osa-aluetta, joista vähintään seuraavat viisi tulisi ottaa huomioon:
Useimmat ihmiset tekevät organisaatioissa päivittäin tietoturvaa koskevia päätöksiä. Ymmärrys tietoturvaa koskevista säännöistä ei ole riittävä, vaan hyvien päätösten varmistamiseksi ihmisiä tulee rohkaista ja vastuuttaa toimimaan turvallisesti. Yksi keino tietoturvaymmärryksen kasvattamiseksi on pohtia seuraavia kysymyksiä:
Ihmisten ottaminen mukaan turvallisten käytäntöjen luomiseen johtaa usein parempiin tuloksiin kuin erilliset yrityksen tietoturvakäytäntöjä koskevat koulutusohjelmat. Palkitsemisjärjestelmän kytkeminen tällaisten käytäntöjen kehittämiseen voi lisäksi edistää jatkuvaa oppimista ja innovointia.
Tietojen luokittelu tarkoittaa liiketoiminnan, henkilön tai lain kannalta herkkäluonteisten tietovarantojen tunnistamista. Luokittelun avulla mahdollistetaan organisaation tietoturvaan liittyvien investointien priorisointi ja oikea painottaminen.
Tietojen luokittelun tulisi olla koko organisaation omaksuma rutiini, joten sen pitäisi olla yksinkertaista ja intuitiivista. Käytännössä tämä tarkoittaa sitä, että informaatioluokkien määrän tulisi olla mahdollisimman alhainen (esimerkiksi avoin, luottamuksellinen, salainen) ja sidottu yksinkertaisiin sääntöihin. Lain ja säännösten määrittelemien keskeisten vaatimusten sitominen luokitteluun ja sopivan tuen saatavuus helpottaa oikeiden luokittelujen noudattamista organisaatiossa. Tämän lisäksi käytännönläheinen koulutus varmistaa kaikkien motivaation ja kyvyn luokitella oman roolin osalta merkityksellinen informaatio.
Riskien arviointi ja tavoitteiden määrittely tulee sisällyttää heti projektin tai kehittämisen alkuvaiheeseen. Säännöllinen, alkuvaiheessa asetettuihin tavoitteisiin perustuva arviointi projektin tai kehittämisen aikana vähentää yllätyksiä ja lisätyötä.
Auditointipolut ja muutosten hallinnan prosessit ovat ratkaisevia etenkin silloin, jos muutos epäonnistuu ja joudutaan palaamaan edelliseen versioon. Jotta prosessit eivät estä ketterää ja lean-pohjaista yhteistyötä, niihin liittyvät käytännöt on hyvä suunnitella yhdessä. Näin myös motivaatio niiden noudattamiseen on todennäköisesti vahvempi. Tehokas muutoksenhallinta on myös äärimmäisen tärkeää liiketoiminnan jatkuvuuden kannalta.
Fyysinen ja digitaalinen turvallisuus edellyttää kykyä todentaa pääsyoikeus sekä estää luvaton pääsy tiloihin, tietoihin tai järjestelmiin. Fyysisen ja digitaalisen pääsynvalvonnan tulee olla linjassa paitsi keskenään myös tietojen luokittelun ja lakisääteisten vaatimusten kanssa. Esimerkiksi pääsyä erittäin luottamuksellisiin tietojärjestelmiin on toisarvoista rajoittaa, jos niiden parissa työskentelevien tiimien työtilaan on vapaa pääsy kenellä tahansa. Käytännön ohjeita pääsynvalvontaan liittyen tarjoaa esimerkiksi ITIL sekä OWASP Access Control Cheat Sheet.
Yhteistyökulttuurin näkökulmasta on hyvä myös tiedostaa läpinäkyvyyden merkitys ja arvioida jakamisen tuottama arvo suhteessa laajempien pääsyoikeuksien synnyttämiin riskeihin.
Innovatiiviset, skaalautuvat ja käyttäjäystävälliset palvelut edellyttävät yleensä yhteistyötä toimittajien kanssa. On tavallista, että organisaatiot jakavat osia liiketoimintaa koskevista tiedoistaan kolmansien osapuolien, kuten esimerkiksi pilvi- ja it-toimittajien, konsulttien, sponsoreiden, kilpailijoiden tai uusyritysten säilytettäväksi tai käyttöön. Luottamuksen rakentaminen ja säilyttäminen sekä liiketoiminnan jatkuvuuden takaaminen edellyttävät, että myös kumppanit noudattavat yhtenäisiä tietoturvaperiaatteita.
Oikein ja huolellisesti toteutettu yhteistyö kolmansien osapuolten kanssa ei ole välttämätöntä ainoastaan säädöstenmukaisuuden kannalta, vaan se on myös keino ottaa hallittuja riskejä, jotka voivat johtaa nopeampaan markkinoille pääsyyn uuden kumppanin kanssa.
Tietosuojan tarkoituksena on määrittää, milloin ja millä periaatteilla henkilöön liittyvää tietoa saa käsitellä. Kaikki tieto, joka perustuu tunnistettuun tai tunnistettavaan luonnolliseen henkilöön on henkilötietoa.
Rekisterinpitäjä on henkilö, yritys, viranomainen tai yhteisö, joka määrittää tarkoituksen ja tavat, joilla henkilötietoja käsitellään. Henkilötietojen käsittelijä on kolmas osapuoli, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta.
Tietosuojaan liittyvät säädökset ovat olleet olemassa jo melko kauan (esim. EU-direktiivi 95/46/EC lokakuu 1995), ja lisähuomiota asiaan toi uusi EU:n tietosuoja-asetus (2016/679, tunnetaan myös nimellä EU GDPR), jonka soveltaminen tuli pakolliseksi kaikissa EU-maissa 25. toukokuuta 2018.
Asetus on laaja (yhteensä 99 artiklaa), ja riippuen yrityksen liiketoiminnan luonteesta ja siitä, kuinka paljon toimintaan liittyy henkilötietojen käsittelyä, voi yritys tarvita ohjeistusta ja tulkinta-apua voidakseen taata henkilötietojen käsittelyn asetuksen mukaisesti.
Syy siihen, miksi tämä EU-asetus on saanut paljon huomiota, on se, että tietosuojavalvontaviranomainen (eng. Data Protection Authority, DPA) voi langettaa seuraamussakon, joka voi olla korkeimmillaan 20 miljoonaa euroa tai 4% yrityksen globaalista liikevaihdosta. Käytännössä korkein sakko on sellainen summa, että se aiheuttaa ison riskin koko yrityksen liiketoiminnalle ja sen vuoksi yrityksen kannattaa investoida rahaa, jotta se voi taata asetuksenmukaisen toiminnan.
Kannattaako yrityksen nimetä tietosuojapäällikkö (eng. Data Protection Officer, DPO) vai ei riippuu siitä, minkälaista tietoa yritys hallinnoi ja/tai käyttää ja missä määrin. Jos henkilötietojen käsittely ei ole yrityksen ydintoimintaa eikä sitä tehdä laajamittaisesti, tietosuojapäällikköä ei välttämättä tarvitse nimittää erikseen. Siinäkin tapauksessa, että tietosuojapäällikkö tarvitaan, roolia voi hoitaa joku yrityksen työntekijöistä osa-aikaisesti. Vaihtoehtoisesti roolin voi ulkoistaa palvelutoimittajalle.
Olipa yrityksellä nimitetty tietosuojapäällikkö (eng. Data Protection Officer, DPO) tai ei, yritys on velvollinen ilmoittamaan kirjallisesti sille osoitetulle tietosuojaviranomaiselle (DPA) 72 tunnin sisällä mahdolliset tietovuodot, joissa henkilötietoja (joista yritys on vastuussa) on voinut joutua luvattomien vastaanottajien käsiin tai niitä on voitu käsitellä ja muuttaa niin, että ne uhkaavat yksilön oikeuksia tai vapautta. Voidakseen reagoida tietovuotoihin tai mihinkä tahansa prosesseihin tai teknologiaan liittyviin uhkiin henkilötietojen osalta, täytyy yrityksellä olla joku nimetty henkilö, joka voi ottaa vastuun tarvittaessa.
Lean-periaatteen mukaisesti tulisi uuden prosessin, tuotteen, palvelun tai tietojärjestelmän kehittämisessä huomioida henkilötietojen käsittelyyn liittyvä tietosuoja jo kehittämisen alussa. Sama koskee tarjous- ja hankintaprosesseja, jotta varmistetaan, että mahdollinen toimittaja ja sopimus ovat EU GDPR -asetuksen mukaisia. Tällaista suunnittelusta alkaen huomioitua tietosuoja-ajattelua kutsutaan englanniksi käsitteellä data protection by desing.
Data protection by default -lähestymistavassa varmistetaan, että henkilötietoihin liittyvän datan osalta rekisteröityjen määrä pidetään minimissä (esimerkiksi erittelemällä joka hetki, mitä tietorekistereitä pitää olla listattuna), tietojen käsittelyyn oikeutettujen henkilöiden määrä on minimoitu (esimerkiksi pääkäyttäjät jakavat käyttöoikeuksia erikseen jokaiselle käyttäjälle) ja dataa säilytetään vain minimiaika.
Yritykset, jotka toimivat EU:ssa hyötyvät tietosuojan soveltamisesta automaattisesti, sillä niille on halvempaa ja helpompaa toimia kaupallisesti EU-alueella, missä kaikkia koskevat samat tietosuojasäädökset. EU:n ulkopuolella toimivien yritysten täytyy myös noudattaa samoja sääntöjä silloin, kun ne tarjoavat tuotteita ja palveluja EU:n alueella asuville yksilöille. GDPR on teknologiariippumaton ja koskee kaikkea henkilötietojen käsittelyä huolimatta siitä, tehdäänkö käsittely manuaalisesti vai automaattisesti.
Liiketoimintaprosessien ja henkilötietoja käsittelevien tietojärjestelmien konsolidointi ja yhtenäistäminen on hyvä mahdollisuus paitsi säästää kustannuksia myös samalla yhdistää tietoja niin, että liiketoiminnan on helpompi käyttää niitä tai jopa luoda uusia palveluja yhdistettyyn tietoon perustuen. Samalla tietosuojan käsittely suoraviivaistuu.
Käsittelemällä henkilötietoja luotettavasti, uskottavasti ja sopivalla läpinäkyvyydellä, yritys voi myös saavuttaa kilpailuetua suhteessa kilpailijoihin.
