Mietityttääkö tietoturvapolitiikka? Tiedätkö kunnolla, tiedä mitä se on? Et varmasti ole ainoa, jolle asia ei ole aivan selvä. Etenkin EU:n tietosuoja-asetuksen voimaantulon myötä tietosuoja- ja tietoturva-asioihin on kiinnitetty huomiota entistä enemmän ja näkyvämmin. Palvelujen sähköistyminen on tuonut mukanaan paljon hyvää ja helpottanut ihmisten elämää, mutta toisaalta se on myös lisännyt tietoturvallisuusuhkien määrää, minkä vuoksi onkin tärkeää, että tietoturvallisuuteen liittyvät asiat ovat kunnossa.

Mitä tarkoittaa tietoturvapolitiikka?

Tietoturvapolitiikalla tarkoitetaan yrityksen tai organisaation sisäisiä määräyksiä tietoturvan toteutumiseksi. Kaikkien tulee noudattaa tietoturvapolitiikan säädöksiä ja ohjeita. Se on siis eräänlainen strategia, jonka avulla pyritään turvaamaan palvelujen ja järjestelmien toimivuus kaikissa olosuhteissa. Sillä pyritään myös turvaamaan salassa pidettävien tietojen pysyminen eheinä ja ainoastaan niiden henkilöiden nähtävillä, joilla on oikeus tarkastella tietoja. Tietoturvapolitiikka pitää sisällään tietoturvaan ja tietosuojaan liittyviä asioita.

Mikä on tietoturvapolitiikan tarkoitus?

Tietoturvapolitiikalla halutaan taata erilaisten ICT-palveluiden, prosessien ja rekisterien moitteeton toiminta turvallisuuden näkökulmasta kaikissa tilanteissa sekä varmistaa tietojen luottamuksellisuus. Yrityksen tai organisaation tehtävänä on saattaa tietoturvapolitiikka työntekijöiden tietoon, jotta sitä voidaan noudattaa. Käytännössä työntekijöille sen noudattaminen tarkoittaa tietoturva- ja tietosuoja-asioiden asianmukaista hoitoa toiminnalle asetettujen vaatimuksien mukaisesti. Yrityksen kannalta tietoturvapolitiikka on pitkälti toimintalähtöisesti painottuvaa, organisaation toiminnalle asetettujen vaatimusten toteutumisen tukemista.

Tietoturvapolitiikkaan ja tietoturvaan yleensäkin liittyy paljon erilaisia termejä ja käsitteitä. Monille nämä käsitteet voivat olla vieraita tai vaikuttaa hankalasti ymmärrettäviltä. Tietoturvapolitiikan asianmukaisen noudattamisen kannalta onkin tärkeää, että ymmärtää, mitä eri käsitteet tarkoittavat sekä tiedostaa, mitä eri asioilla tarkoitetaan käytännön tasolla. Seuraavaksi onkin siis syytä avata tietoturva-asioihin liittyviä yleisimpiä termejä sekä paneutua esimerkiksi siihen, mitä eroa on tietoturvalla ja tietosuojalla.

Yleisimpiä termejä ja käsitteitä

Luottamuksellisuus, eheys ja käytettävyys ovat tietoturva-asioissa keskeisiä termejä. Käytettävyydellä tarkoitetaan sitä, että olemassa oleva tieto on käytettävissä ja saatavilla aina silloin, kun tietojen käyttämiseen oikeutetut henkilöt niin haluavat. Eheys tarkoittaa taas sitä, että talletetut tiedot pysyvät muuttumattomina siinä muodossa kuin ne on alun perin tallennettu. Luottamuksellisuudella puolestaan tarkoitetaan sitä, että salassa pidettäviä tietoja ei pääse tarkastelemaan kukaan sivullinen.

Tietosuoja pitää sisällään tietojen kohteen yksityisyyden, oikeusturvan, oikeuksien, vapauksien ja etujen varmistamisen. Se ottaa huomioon vaatimukset henkilötietojen käsittelystä, josta on säädetty henkilötietolaissa. Tietoturvalla taas tarkoitetaan yksinkertaistettuna niitä toimenpiteitä, joiden avulla tietojen kohteen tietosuojaa toteutetaan. Tietoturvaa toteutetaan hallinnollisin ja teknisin keinoin, joilla pyritään muun muassa suojaamaan luottamuksellista tietoa ja säilyttämään sen laatu koskemattomana, eli pitämään tieto eheänä. Yritysten tai organisaatioiden tietoturvapolitiikassa määritellään tietoturvatoimenpiteitä.

Lainsäädäntö tietoturvapolitiikan takana

Tietoturvatoiminnan ohjaus tapahtuu määräyksillä, säädöksillä, ohjeilla ja suosituksilla. Tietoturvapoliittisia päätöksiä tehdään sekä organisaatioissa että niiden ulkopuolella. Toimintaa säännellään useilla erilaisilla laeilla alkaen Suomen perustuslaista, jossa yksilölle taataan tiettyjä oikeuksia. Muita tietoturvaan vaikuttavia lakeja ovat esimerkiksi henkilötietolaki, laki yksityisyyden suojasta, laki viranomaisten toiminnan julkisuudesta ja laki sähköisestä tunnistamisesta sekä sähköisistä allekirjoituksista. Kun puhutaan edellä mainittujen lakien rikkomisesta, tulee kyseeseen rikoslaki.

Erilaisten lakien noudattamisen lisäksi myös omassa organisaatiossa tulee noudattaa tehtyjä määräyksiä ja ohjeita. Organisaatiossa tehdyt omat sisäiset päätökset ja tietoturvapolitiikka eivät saa olla ristiriidassa keskenään, sillä silloin vaarana on, että tietoturvan taso kärsii tai tietosuoja vaarantuu. Jokaiselle on tärkeää ymmärtää, että esimerkiksi oman työpaikan tietoturvapolitiikka ei ole vain yrityksen johtajan keksimä asia, vaan se on lailla säänneltyä toimintaa.

Minkälaisia uhkia tietoturvallisuuteen liittyy?

Mikäli tietoturvallisuuteen kohdistuu uhkia, siitä aiheutuu riskejä tietoliikenteen, tietojärjestelmien tai tietojen eheydelle, käytettävyydelle ja luotettavuudelle. Organisaation henkilöstö on merkittävimmässä asemassa tietoturvallisuuden suhteen, sillä hyvin usein tietoturvauhat johtuvat joko henkilöiden tietämyksen tai motivaation puutteesta. Muita syitä tietoturvan vaarantumiselle voivat olla tietomurrot, virukset tai haittaohjelmat, virheellisesti toimivat laitteet/ohjelmistot, tietoisesti tehdyt tietojen väärinkäytöt ja palvelunestohyökkäykset. Aina kyseessä ei kuitenkaan ole organisaation sisäinen uhka tai suora hyökkäys ulkopuolelta.

Yksi merkittävä uhkatekijä tietoturvallisuudelle ovat myös ulkopuoliset palveluntuottajat. Palveluntuottajien kanssa tulee aina muistaa tehdä kattavat sopimukset, joissa otetaan huomioon tietosuojaan, tietoturvaan ja uhkiin varautumiseen liittyvät tärkeät asiat, sekä myös sanktiot mahdollisten rikkomusten varalle. Tietotekniikkaan, -suojaan ja -turvaan liittyvistä riskeistä ja niihin varautumisesta tulee huolehtia, olipa kyseessä sitten organisaatio, tietojärjestelmä, projekti tai prosessi. Riskien minimoiseksi tulee tehdä tarvittavia hallinnollisia ja teknisiä toimenpiteitä.

Tietoturvapolitiikan sisältö ja laatiminen

Tietoturvallisuudessa toiminnan kannalta tärkeitä turvattavia asioita ovat henkilöiden lisäksi tilat, tietoliikenne, palvelut, laitteet, tietojärjestelmät, tietoaineistot ja tiedot kaikissa muodoissaan. Edellä mainitut kohteet turvaamalla pyritään varmistamaan sisäisten tietoverkkojen ja operatiivisten järjestelmien moitteeton toiminta sekä palveluiden tuottamisen jatkuvuus normaaliolojen lisäksi myös poikkeusoloissa. Näihin tavoitteisiin pääsemiseksi on tärkeää kiinnittää huolella huomiota tietoturvapolitiikan laatimiseen sekä siitä tiedottamiseen, sen tunnetuksi tekemiseen ja toteutumisen valvomiseen.

Tietoturvapolitiikan sisältö on organisaatiokohtainen ja voi pitää sisällään erilaisia toimenpiteitä. On kuitenkin olemassa yleisiä ohjeita siihen, mitä tietoturvapolitiikassa tulee ottaa huomioon. Näitä ovat keskeiset käsitteet ja niiden määrittely, tietoturvaperiaatteet, tietoturvaan liittyvät vastuut sekä käytännöt, jotka tukevat turvallisuuden toteutumista. Lisäksi tietoturvaan liittyvä koulutus ja tiedotus, turvallisuuden toteutumisen valvominen, toiminta häiriö- ja poikkeustilanteissa sekä tietoturvapolitiikan ajantasaistaminen ovat tärkeä osa tietoturvapolitiikkaa.

Leave a Reply

Your email address will not be published. Required fields are marked *