Tietoturva ja GDPR osaksi strategiaa ja liiketoimintaprosesseja

Tietoturva ja GDPR osaksi strategiaa ja liiketoimintaprosesseja

Toukokuussa voimaan tuleva GDPR muuttaa radikaalisti tietosuojan kehitystä kaikkialla EU:ssa. GDPR koskee ensisijaisesti asiakkaiden yksityisyyden suojaa ja henkilötietojensa suojaamista mutta linkittyy vahvasti koko organisaation tietosuojaan.

Tietomurrosta tulee ilmoittaa viranomaisille 72 tunnissa ja sakkoja tietosuoja-asetuksen laiminlyönnistä voi saada jopa 20 miljoonaa euroa tai neljä prosenttia tuloista riippuen. Tulevaisuudessa kyber-rikollisuuden uhka GDPR:ään liittyen voi ilmentyä myös kiristyksen muodossa. Taitava kyber-rikollisuus voi vahingoittaa merkittävästi organisaatiota keräämällä kaikki löytyvät henkilökohtaiset tunnistetiedot ja odottaa sopivaa hetkeä uhaten ilmoittaa tiedoistaan viranomaiselle. Kun organisaatio on vastaanottanut ”todisteita”, joudutaan eettiseen ja tietotekniseen turvallisuuteen liittyvään kriisiin. Eettisesti organisaation on ilmoitettava asiasta sekä viranomaiselle että asianomaisille tahoille. Jos tällainen tapahtuma ilmenee hetkellä jolloin yritys on haavoittuvassa asemassa, kiusaus päästä tilanteesta eroon maksamalla kiristäjälle eikä raportoida rikkomuksesta viranomaiselle, voi olla joissain tilanteissa vastustamaton. Tämän tyyppiset uhat vaikuttavat kaukaiselta ja jopa demonisoinnilta täällä meille pohjolan lintukodossa asuville. Tutkimustulokset kuitenkin puhuvat puolestaan ja vaikka prosentuaalisesti tilannetta ei voida verrata suoraan Suomen tilanteeseen, tulee näihinkin skenaarioihin suhtautua vakavasti jopa Suomessa.

Tosiasia on, että kyber-rikollisuudesta johtuvat kulut tulevat moninkertaustumaan lähivuosina. 91% kyber-rikollisuudesta tapahtuu sähköpostin kautta ja 97% ihmisistä ei kykene tunnistamaan tietojenkalasteluun lähetettyä sähköpostia. 23% sähköpostin käyttäjistä klikkaa epäluotettavaa sisältöä. Kyber-rikollisus on kasvanut räjähdysmäisesti, jopa 300% vuodesta 2015 (Craig McDonald, Surviving the Rise of Cybercrime).

Kun GDPR astuu voimaan realisoituu myös kyber-rikollisuuden liiketoimintasuunnitelmat, joten on aika ottaa pää pois pensaasta ja varmistaa oman organisaation tietoturvan riittävä taso. Tietoturva ja GDPR ei tulisi olla ainoastaan IT:n mittareissa, vaan otettava osaksi koko organisaation strategiaa. Johdolta on löydyttävä rohkeutta ja voimaa uudistaa käytänteitä sekä hallittava tehokkaammin laadukkaammilla prosesseilla asiakkaiden kanssa tapahtuvaa liiketoimintaa ja työntekijöiden hallintaa minimoimalla tietoturvaan ja henkilötietosuoja-asetukseen liittyviä riskejä.

• Tunnista henkilötiedot joita tarvitset liiketoiminnassa sekä työntekijöiden hallinnassa
• Poista henkilötiedot joita ei tarvita – vähemmän henkilötietoja = vähemmän riskiä
• Varmista, että henkilötietojen käsittelyssä, valvonnassa, lähettämisessä tai tallentamisessa on saatu käsiteltävän henkilön suostumus
• Dokumentoi prosessit miten henkilötietoja käsitellään, valvotaan, tallennetaan tai lähetetään (näkyvyyden varmistaminen)
• Hallitse IT-järjestelmien suojaus ja käytä teknologiaa mikä havaitsee haitallisen toiminnan
• Huolehdi järjestelmiesi päivityksistä ja ajantasaisuudesta
• Suojaa langaton verkko ja käytä vahvoja salasanoja
• Suosi tietoturvan hallintajärjestelmä standardeja esim. ISO/IEC. Standardit toimii parhaiten yhtenä tärkeänä rakennuspalikkana kohti tietosuoja-asetuksen vaatimustenmukaisuutta
• Käytä tervettä järkeä ja ole varovainen, kun napsautat linkkejä tai lataat ohjelmia
• Kouluta organisaatiosi säännöllisesti käsittelemään henkilötietoja GDPR:n vaatimusten mukaisesti

Jos haluat hallita GDPR:ää, on luotava laadukkaat ja toimivat prosessit aina kun henkilötietoja säilytetään tai käsitellään, kuten asiakasrekistereitä, tietokantoja, CRM-järjestelmiä, ERP-alustoja jne. Sähköposti on se osa-alue mikä usein unohdetaan tietosuojan noudattamista koskevassa keskustelussa. Todellisuudessa lähes kaikki sähköpostipalvelimet ja arkistot sisältävät henkilökohtaisia tietoja. Huolimaton napsautus voi heikentää jopa kaikkein turvallisinta turvallisuus- tai hallintorakennetta. Hyvin ja oikein toimiva henkilöstö on olennainen osa tehokasta GDPR-vaatimustenmukaisuusstrategiaa. Jokaisen verkkotunnuksia käyttävän on oltava valppaana sähköpostisidonnaisten hyökkäysten osalta ja jokaisella on tärkeä rooli ilmoittaessaan tietosuojavastaavalle kaikista epäillyistä tietosuojamurroista. Koulutuksen ja tietoisuuden lisäämisellä pärjää pitkälle suojellakseen organisaatiota monimuotoista tietoverkkorikollisuutta vastaan.

Lue myös edellinen blogi aiheesta: GDPR on luottamusta

Sovelto Oyj:n GDPR tarjooma >