Lähtölaskenta GDPR:ään on käynnissä!

EU-tietosuoja-asetuksen voimaan astumiseen on kymmenen päivää jäljellä. Ovatko suomalaiset yritykset valmiina ja mitä tämä tulee tarkoittamaan päivittäisessä elämässä?  

Asetukseen on suhtauduttu monella tapaa riippuen organisaatiosta, toimialasta, aikaisemmasta riskien hallinnasta ja yrityskulttuurista. Tietoturva on aina ja ensisijaisesti riskien hallintaa. Yrityksen ja liiketoiminnan jatkuvuus on tietoturvan ylivoimaisesti tärkein tehtävä. Toki sen tiedon eli ykkösvarallisuuden eheyden, luottamuksellisuuden ja käytettävyyden varmistamisen eteen kannattaa tehdä toimenpiteitä, jos jossakin näissä osa-alueista epäonnistutaan, niin tämän varallisuuserän arvo laskee pahimmillaan nollaksi tai päätökset mitkä perustuvat tähän aineistoon muuttuvat merkityksettömiksi.  

Sertifioimme vuonna 2014 Netoxilla ISO27001 tietoturvastandardin, tämä vaati tutkimustyötä organisaation laajuisesti. Muistan elävästi erään tapahtuman Wienin lentokentällä, kun olimme toisen hallituksen jäsenen kanssa matkalla ja meille tuli muutos erikoismatkatavaroiden kanssa. Koska sähköisessä tietojärjestelmässä oli vikatilanne, niin muutokset piti tehdä varajärjestelmän dokumentaatioon. Tässä vaiheessa ilmeni, että kirjaukset tehtäisiin manuaalisesti vanhanaikaisiin lentolippuihin, jotka muistuttivat etäisesti pankkishekkejä ja tätä kokonaisuutta hallinnoi ihmiset.

Mietin siinä odotellessa, onko vuonna 2014 kansainvälisellä lentokentällä henkilöitä, jotka kirjoittavat kaikki lentoliput käsin vai onko tuo lentoyhtiön oma riskienhallintakeino ja olisiko mahdollisesti edes olemassa tuon tietoturvallisempaa ja varmempaa tapaa toteuttaa liiketoiminnan jatkuvuutta kyseisen järjestelmän osalta. Oli miten oli, se oli luksusta ja monesta muusta syystä mahdoton toimintamalli 99,9% prosentille yrityksiä. Myöskin tietotekniikka ja automaatio saattavat syrjäyttää Ballografin hurjimmissa tulevaisuuden skenaarioissa, jolloin jatkuvuuden ja tietoturvan hallintakeinot kaipaavat ajan hengen mukaisia päivityksiä.

Organisaatiot koosta ja toiminnasta riippumatta ovat keränneet tietoa jo kymmeniä vuosia, harva operaatio toimii nykyään ilman dokumentaatiota. Tämä kehitys ei ole jäänyt huomaamatta myöskään EU:lta, ja tästä syystä nyt voimaan astuvalla asetuksella turvataan hyvin pitkälle talousalueen jatkuvuutta ja pyritään välttämään pahimpia imagotappiota. Suomalaiset yritykset ovat kyllä varmasti suurelta osin valmiita tietosuoja-asetukseen ja tämän tuomiin muutoksiin. Suomalainen asennekulttuuri yhdistettynä lakitasoisen vaatimuksen täyttämiseen, aiheuttaa lähes poikkeuksetta käyttäytymisen muuttumista ja valmistautumista.

Henkilötiedot, rekisteriselosteet, henkilötietojärjestelmät, rekisterinpitäjät, käsittelijät, olemassaolon perustelut, käsittelyn mandaatit, käsittelysopimukset, tiedon sijainnit, pääsyt jne. ovat lukuisien yritysjohtajien työpöydällä, aktiivisten asioiden pinossa. Tällä tarkoitan tulevan tietosuoja-asetuksen minimivaatimusten täyttämistä, en nykyaikaista riskienhallintaa ja liiketoiminnan jatkuvuuden varmistamista.  Mielelläni näkisin kyberajan riskienhallinnan tällä agendalla, pysyvien arvioitavien kohteiden kokonaisuudessa.

Niko Candelin: 010 421 1111 & nico.candelin(a)netox.fi