Tulostusversio

2/2009

Tietoturva: Lex Nokia nostaa tietoturvan tapetille

Teksti: Kirsi Castrén

Tietojärjestelmien turvallisuuden varmistaminen on ollut Suomessa jo pitkään ammattilaisten työtä. Lakimuutoksen myötä auditoijien neuvontatehtävät saattavat lisääntyä.

Lex Nokiaksi kutsuttu sähköisen viestinnän tietosuojalain muutos vaatii varmistamaan tietoturvan tason ennen kuin organisaatio saa etsiä mahdollista tietovuotoa. Kari Pohjola, auditoijia edustavan ISACA Finlandin eli Tietojärjestelmien tarkastus ja valvonta ry:n puheenjohtaja ei kuitenkaan usko lailla olevan suuria akuutteja vaikutuksia moneenkaan organisaatioon.

"Tietoturvan varmistaminen on ollut suomalaisten organisaatioiden tietoturvavastaavien ja -tarkastajien agendalla pitkään jo muutenkin."

Lain saaman julkisuuden myötä tietoturvakysymykset saattavat nousta entistä enemmän esille myös organisaatioissa, joiden toimintaa laki ei suoranaisesti kosketa. Lex Nokia saattaa lisätä neuvontatehtävien osuutta auditoijien työstä, arvelee tietoturvapalvelujen palveluvastaava Mika Laaksonen konsulttiyritys KPMG:stä. 

Tietoturva syynätään lattiasta kattoon

Tietoturvan ja -suojan auditointia on kahdenlaista: teknistä ja hallinnollista.

"Teknisessä auditoinnissa tarkastus ulottuu tietojärjestelmän kovaan ytimeen, toisinaan aina koodiriveihin asti. Hallinnollisessa auditoinnissa tarkastellaan sitä, miten toimintatavat on määritelty, kuvattu ja toteutettu", Laaksonen kuvailee.

Monesti tietojärjestelmiä kootaan ajan mittaan pala palalta organisaation kulloinkin esiin tulevien tarpeiden mukaan, ilman yhtenäistä kokonaissuunnitelmaa. Auditoija joutuu tällöin aloittamaan työnsä alkeista.

Laaksonen kertoo joutuneensa joskus toteamaan, että jopa tietojärjestelmän tarkastettavuus on vaikeaa.

"Esimerkiksi eräs osa auditointia voi olla sen varmistaminen, että käyttöoikeudet on määritelty oikein, eli tietojen luku- ja muokkausoikeudet ovat niillä, jotka niitä työssään tarvitsevat. Kuitenkin jo se, keillä nämä oikeudet ovat, saattaa olla yllättävän vaikeasti todennettavissa".

Elinkaaren hallinta hankalaa

Varsinaisen tietoturvan tarkastuksen ohella auditoijat antavat tietosuojaan liittyvää neuvontaa. Tehtävää riittää, sillä erilaisten henkilötietoja sisältävien rekisterien määrä lisääntyy kaiken aikaa.

"Tiedon elinkaaren hallinta on haastavaa, koska samoissa järjestelmissä voi olla tietoja, joilla on hyvin erilainen elinkaari. Joitakin tietoja vaaditaan säilytettävän tietty määrä vuosia, toisia taas ei saa tallentaa lainkaan tai jos saa, ei pitempään kuin on tarpeen", Laaksonen toteaa ja lisää:

"Sen määritteleminen, mikä on tarpeellinen tiedon säilytysaika, on toisinaan varsin haasteellinen tehtävä."

Auditoija tarkastaa, että tietojärjestelmä on rakennettu siten, että talletetut tiedot säilyvät, vaikka järjestelmä tuhoutuisi. Myös varmistusjärjestelmät on auditoitava kaikilta osin.

"Jos auditoija haluaa tehdä työnsä hyvin hän – sen lisäksi että tiedustelee asiakkaalta, miten jokin asia on toteutettu – varmistaa, että näin todella on: katsoo järjestelmäasetuksia, pyytää dokumentaatiota jne.", Laaksonen havainnollistaa. 

Jos tietojen suojaukset on hyvin toteutettu, pitää monen järjestelmän pettää ennen kuin jotain ikävää tapahtuu.

Auditointi ei kuitenkaan parhaimmillaankaan voi koskaan taata, että järjestelmän tietoturva on aukoton.

"Voimme korkeintaan osoittaa, että emme löytäneet tietoturvasta puutteita käyttämillämme menetelmillä."

Auditoija ei päätä hankinnoista

Kun tietohallintoratkaisuja ulkoistetaan, auditoija voi pyrkiä varmistamaan, että asiakas osaa vaatia oikeita asioita tarjouspyynnössään. Tarkastaja voi osallistua tarjousten arviointiin, arvioida sopimuksia ja myöhemmin todentaa, että asiakas saa sopimuksessa luvatut asiat.

Kun organisaatiossa on päätetty lujittaa tietoturvaa ja tilattu auditointi, odotetaan joskus auditoijan sanovan viimeisen sanan myös tietojärjestelmähankinnoista.

Kari Pohjola ISACAsta tähdentää kuitenkin, ettei tietoturvaratkaisuista päätä auditoija vaan kohteen vastuuhenkilö.

"Tarkastaja koettaa suosituksillaan ohjata organisaation johtoa ja vastuuhenkilöitä ottamaan huomioon erilaisia näkökohtia päätöksenteossa."

Tarkasta tarkastajan tausta

Entä, jos auditointi pettää eikä tuokaan parempaa tietoturvaa?

"Jos on ostettu auditointipalvelua, joka sitten osoittautuukin kelvottomaksi, toimeksiantosopimuksen ehdot ratkaisevat, ja kyseeseen voi tulla vahingonkorvausvelvollisuus", Pohjola sanoo.

ISACAn tarjoaman tietojärjestelmätarkastuksen CISA-sertifikaatin saanutta tarkastajaa sitovat sertifioinnin myötä alan eettiset säännöt, esimerkiksi velvoite ammatilliseen huolellisuuteen, objektiivisuuteen ja riippumattomuuteen. 

”Tarkastajan on myös pidättäydyttävä tehtävistä, joita ei hallitse, eli tarkastaja ei saa ryhtyä tekemään auditointeja, jotka eivät kuulu omaan osaamisalueeseen", Pohjola huomauttaa.

Kansainvälisesti tunnustettu CISA (Certified Information Systems Auditor) on toistaiseksi ainoa tietojärjestelmätarkastuksen osaamisalueen hallintaan liittyvä henkilösertifiointi. Suomessa on tällä hetkellä 202 CISA-sertifioitua auditoijaa.  

Myös KPMG:n Mika Laaksonen neuvoo auditointia harkitsevia hankkimaan tietoa palveluja tarjoavien yritysten sertifikaateista ja työhistoriasta.

"Tärkeää olisi selvittää yrityksen referenssit etenkin niiden henkilöiden osalta, jotka auditointiin tosiasiallisesti osallistuvat."

Kulttuurierot kummastuttavat

Maailmanlaajuisesti toimivissa yrityksissä ovat auditoijienkin toimeksiannot globaaleja. Tietoturvan todentamisen perusprosessit eivät Mika Laaksosen kokemuksen mukaan juuri poikkea toisistaan eri maissa, tarkastettavat asiat kylläkin.

Eri maiden lainsäädännössä on huomattavia eroja esimerkiksi työntekijöiden oikeuksien suhteen.

"Jos oltaisiin todentamassa esimerkiksi sitä, noudattaako työnantaja työntekijän sähköpostin käyttöön liittyviä säännöksiä, olisi auditointi esimerkiksi EU:ssa tai Kiinassa varsin erilaista", Laaksonen pohtii.

Aasian maissa ei välttämättä ole mitään rajoituksia esimerkiksi sen suhteen, miten työnantaja saa valvoa työntekijöiden sähköpostia. Myös Yhdysvalloissa työnantajan oikeudet ovat laajemmat kuin EU:ssa, tosin vaihdellen huomattavasti osavaltioiden välillä.

Lue myös

Tietoturva: Auditointikin on tietoturvakoulutusta »
Tietoturva: Liikkuva tieto turvaan »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.