Tulostusversio

4/2013

Tietoturvan opastaja

Teksti: Päivi Männikkö

Tavoitteiden ja vastuunjaon pitää olla mahdollisimman selkeitä ja perusteltuja, sanoo Samlinkin turvallisuusjohtaja Jari Pirhonen.

Facebookia ei saa käyttää tietoturvasyistä, ei myöskään muistitikkuja. Etätöissä työsähköpostin käyttö on mahdotonta tai takkuilevaa – tietoturvan takia. Kuulostaako tutulta? Tietoturvayksiköillä ja niiden päälliköillä on usein työpaikoilla epäkiitollinen kieltäjän ja hankaloittajan maine.

Jari Pirhonen on toiminut pankkien maksujärjestelmäpalveluja ja sähköisiä asiointipalveluja tuottavan Samlinkin turvallisuusjohtajana yhdeksän vuotta. Hän on yhdessä johtamansa turvallisuusosaston kanssa pyrkinyt muovaamaan tietoturvan roolia rajoittajasta mahdollistajaksi.

”Heti kun tulin taloon, totesin, että turvallisuus ei ole vahti- vaan opaskoira. Me autamme ja haemme ratkaisuvaihtoehtoja.”

Pirhonen on luvannut olla tyrmäämättä työyhteisön ehdotuksia sanomalla ’ei’. Eikö se ole paljon luvattu?

”On. Minun pitäisi muistaa aina sanoa, että nykyisillä välineillä tai toimintamalleilla ei voida tehdä toisin: Me voimme sen muuttaa, mutta siitä saattaa sitten tulla työtä ja kustannuksia.”

Kiellot eivät silti ole täysin pannassa. Selvästi tietoturvaohjeiden vastainen toiminta on kiellettyä, vaikka sitä ei olisi teknisesti estettykään.

Jokaisen vastuulla

Samlink edustaa tietoturvan kannalta kriittistä infrastruktuuria, ja sen henkilöstön suhtautuminen tietoturvaan on selvitysten perusteella erittäin myönteinen. Hyvän asenteen pohjalta on periaatteessa helppoa toteuttaa näkemystä, jonka mukaan tietoturva on kaikkien työntekijöiden vastuulla. Käytännössä Pirhonen on kuitenkin huomannut, että turvallisuusjohtaja joutuu usein määrittämään niin yksittäisen työntekijän vastuuta kuin organisaation sisäistä vastuunjakoa.

Kun organisaatiossa on turvallisuusyksikkö, on erityisesti esimiehillä suuri kiusaus mieltää kaikki vähänkään turvallisuuteen liittyvät asiat kuuluviksi sen rooteliin. Asenne näkyi selvityksessäkin. Suhtautumista alettiin muuttaa esimerkiksi sillä, että koko henkilöstö kuulee tietoturva-asioista myös suoraan toimitusjohtajalta hänen pitämissään säännöllisissä katsauksissa.

Samlinkissä ei ole erillistä tietoturvastrategiadokumenttia, koska Pirhosen mukaan ”yrityksessä on vain yksi strategia”, josta tietoturvatavoitteet johdetaan. Hallituksen hyväksymä tietoturvapolitiikka Samlinkillä kyllä on.

Turvallisuusjohtaja osastoineen vastaa siitä, että tietoturvaprosessit, ja -ohjeet ovat riittävät ja vastaavat tavoitteita.

”Meidän tehtävänämme on katsoa kokonaisuutta ja neuvoa päätöksissä, jotka vaikuttavat koko organisaatioon.”

Palveluiden ja prosessien omistajat vastaavat omien prosessiensa tietoturvasta. Esimiehet vastaavat alaistensa toiminnasta ja heidän riittävästä ohjeistamisestaan. Jokaisen työntekijän vastuulla on noudattaa tietoturvallisia menettelytapoja päivittäisessä työssään.

”Pikavoitot” kannustavat jatkamaan

Standardeissa ja oppaissa neuvotaan organisoimaan tietoturva siten, että tiedoille määritellään omistajat, jotka vastaavat niiden turvallisuudesta jokaisessa vaiheessa. Samlinkissä tietoturva on kuitenkin organisoitu palveluiden ja prosessien omistajuuden kautta.

Pirhonen selittää poikkeavaa mallia yrityksen syntyhistorialla, josta johtuen toimintaa on rakennettu palveluiden omistajuuden pohjalta. Monipankkijärjestelmässä eri pankkien tietojen pitäminen erillään on joka tapauksessa toiminnan perusedellytys. Pankkitiedon omistavat luonnollisesti pankit itse.

”Kyllä meillekin on tärkeää tietää, mitä tietoa meillä on, ja missä se liikkuu, mutta meidän oli organisaation toimintaa mullistamatta vaikea nimetä tiedolle yhtä vastuullista omistajaa.”

Pirhonen korostaakin, ettei tietoturvaoppaiden neuvoja voi ottaa käyttöön sellaisenaan, vaan niitä pitää soveltaa oman organisaation toimintaan sopiviksi. Hänen mukaansa organisaation toimintaa seuraamalla huomaa nopeasti kipupisteet, menettelyjen hyödyt ja haasteet sekä sen, mitkä keinot on helppo ottaa käyttöön.

Hän kannustaa myös ”pikavoittojen” eli helppojen ja nopeasti tulosta tuottavien keinojen käyttöön.

”Silloin on helpompi lähteä myymään sitä seuraavaa ratkaisua, jonka tarve ei ehkä olekaan organisaatiolle yhtä itsestään selvä.”

Investointeihin tarvitaan kättä pidempää

Samlinkissä tietoturvan toteutumista seurataan mittareilla ja auditoinneilla. Vertailuanalyyseilla (benchmark) seurataan, mikä on yhtiön tietoturvan taso muihin finanssialan yrityksiin verrattuna.

Uusia investointeja harkittaessa vertailu muihin toimijoihin kiinnostaa aina yritysjohtoa, kuten toki myös arviot torjuttavasta riskistä ja kustannuksista. Kaikkia tietoturvaa parantavia toimia ei mitenkään voida toteuttaa, vaan on valittava ja perusteltava tärkeimmät toimet.

”On helppo maalailla jokin uhkakuva ja kertoa sen torjumisen hinta, mutta jotain kättä pidempääkin pitää saada”, Pirhonen sanoo.

Yhtiössä on hiljattain otettu käyttöön työkalu sen arvioimiseksi, missä ajassa tietoturvainvestointi maksaa itsensä takaisin. Ensin määritellään poikkeama, sen esiintymistiheys ja siitä aiheutuvat kustannukset sekä investoinnin hinta. Työkalu laskee takaisinmaksun todennäköisyyden ja siihen kuluvan ajan.

Pirhosen mukaan ongelmallisinta on keskustelu sellaisesta uhasta, joka on näkyvästi esillä mediassa, mutta joka ei ole koskaan toteutunut alalla. Tietoturvajohtajan tehtävänä on arvioida, kuinka realistista uhan toteutuminen on hänen organisaatiossaan.

”Usein ne asiat, jotka ovat pinnalla lehdissä, eivät ole niitä kaikkein tärkeimpiä tietoturvavastaavalle tai organisaatiolle.”

Lue myös

Tietoturva: Kohdennettu viesti menee paremmin perille »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.