Tieto, sen hallinta ja hyödyntäminen on yhä suuremmassa määrin yrityksen kilpailuvaltti. Arvokas tieto on turvattava, koskipa se rahan liikkeitä, tuotantojärjestelyjä, keksintöjä tai muita yrityksen menestystekijöitä. Tietoturvasta kuitenkin puhutaan tätä nykyä niin paljon, että moni kaksijalkainen tietoturvariski kääntää sivua tai ryhtyy muihin puuhiin, kun viesti koskee turvallisuutta ja tietoa. Mitä tehdä?

”Tietoturvapolitiikka on saanut yrityksissä kiitettävästi jalansijaa. Sen siirto käytäntöön onkin sitten paljon vaikeampaa”, myöntää tietoturvapäällikkö Tuomas Kaijanen Fujitsusta.

”Lähtökohta on, että kaikille it-ympäristöä käyttäville pitäisi järjestää jonkinasteinen tietoturvakoulutus, ja sitä olisi myös pidettävä yllä. Tiedotus on hyvä asia, mutta käytännössä viestejä ei oikein jakseta lukea. Etenkin teknisellä alalla mennään viesteissäkin usein liikaa bittitasolle. Muut eivät jaksa paneutua asiaan tai eivät yksinkertaisesti ymmärrä sisältöä.”

Soneran oikeudenkäyntien myötä yrityksissä on herätty todenteolla miettimään tietosuojaan ja tietoturvaan liittyviä asioita. Edesvastuuseen voi joutua laajemminkin kuin yrityksen sisällä.

Ulkoistettu kuri

Tietoturvakurin luominen on haaste, joka pahimmassa tapauksessa halutaan ulkoistaa. Kaijanen muistuttaa, ettei se onnistu, ellei oma organisaatio ole siinä takana.

”Jos oma organisaatio ei onnistu jalkauttamaan asioita, osaamista saatetaan hakea meiltä. Tilanne on hyvä, jos jo sopimuksentekovaiheessa määritellään tarkasti ja todenmukaisesti, mitä asiakas haluaa. Meidän pitää puolestamme sitoutua tuottamaan, mitä lupaamme.”

Kaikki kuitenkin riippuu siitä, mitä asiakas haluaa. ”Jos loppukäyttäjään halutaan vaikuttaa, on tärkeää tehdä ohjeistukset yhdessä, tiedottaa ohjeet loppukäyttäjälle selkeästi ja rakentaa ympäristö sellaiseksi, että mahdollisuudet tehdä virheitä vähenevät. Välttämättä se ei vaikuta mitenkään työntekoon. Käytännössä ehkä joitakin oikeuksia otetaan pois.”

”Teknisessä tietoturvassa voidaan mennä hyvinkin pitkälle. Ympäristön kokonaissuunnitteluun ja sen haavoittumattomuuden parantamiseen on tarjolla ratkaisuja, mutta ensin pitäisi tunnistaa, mitkä ovat oikeasti suojeltavia kohteita. Myönteistä on, että ainakin puheiden tasolla tietoturvaan ollaan valmiita sijoittamaan”, Tuomas Kaijanen painottaa.

Tunnollinen riski

Heikoin kohta tietoturvassa on kuitenkin aina ihminen. Ajattelemattomuus, huolimattomuus, turhamaisuus ja joskus tunnollisuuskin ovat ominaisuuksia, jotka voivat muodostaa tietoturvariskin.

”Tekniset asiat ovat helposti hallittavissa ihmisen käyttäytymiseen verrattuna”, Kaijanen sanoo. Toimintoja pyritäänkin koko ajan kehittämään sellaisiksi, että ne ohjaavat käyttäjää toimimaan tietoturvallisesti.

”Suunnitellessa pitäisi aina pyrkiä ajattelemaan, mikä purisi minuun. Todella hyvä tekninen asiantuntija on kuitenkin saattanut menettää kosketuksen siihen, miten loppukäyttäjä toimii.”

Kaijanen painottaa, että jokaisella käyttäjällä pitää olla olemassa nimetty taho, jolta voi kysyä tietoturvasta ja joka ottaa vastuun. Käyttäjän omalle vastuulle jää, kysyykö hän.

Inhimillisillä heikkouksilla suhteettomat seuraukset