Pk-Digin viides teemailta tietosuojasta ja uudesta Eu:n tietosuojalaista 9.5.2017 Kurikassa.

Kurikkaan oli kokoontunut joukko yrittäjiä kuulemaan OPSEC:n toimitusjohtajan Jari Ala-Varvin mielenkiintoista ja ajatuksia herättävää asiaa pk-yrittäjän tietoturvasta sekä siitä, miten uusi tietosuojalaki vaikuttaa pienyrittäjiin.

kurikka1

Tietoturva Jari Ala-Varvi Opsec

 

Yrityksen tietoturvakulttuuri

Kun yritys on hankkimassa ensimmäistä tietojärjestelmäänsä, ei kannata mennä hinta edellä ja tämän hetkinen tilanne mielessä. Järjestelmää suunnitellessa on hyvä varautua tulevaisuuteen ja toiminnan kasvamiseen sekä uusien ominaisuuksien hankkimiseen. Edullinen, tämän hetkiseen tilanteeseen sopiva järjestelmä, voi olla huomattavasti kalliimpi, kuin hieman hintavampi, mutta helposti laajennettavissa oleva.

Yrittäjän on Jarin  mukaan hyvä varustautua häiriötilanteisiin omien tietojensa ja tiedostojensa suhteen. Mitä varajärjestelmiä on käytössä esimerkiksi tulipalon tai koneen rikkoutumisen varalle? Tärkein kysymys yrittäjälle on ” Mitä jos?” ja varautua siihen. Yritykselle elintärkeä tieto kannattaa tallentaa varmuusjärjestelmään, joka on erillään perusjärjestelmistä ja josta se on palautettavissa virheen tai tuhon sattuessa. Ajantasainen virustorjunta on tärkeä askel tietojen suojaamiseen, vaikka hakkereita ei hän pitänytkään yksityisyrittäjän suurimpana uhkana.

Jari painotti yritykselle turvallisuusajattelukulttuurin kehittämistä. Kun järjestelmää hankitaan, niin kannattaa istua rauhassa pöydän ääreen ja pohtia mitä tärkeää suojattavaa tietoa meillä on? Mitä uhkia siihen voi liittyä? Onko jotain erityisesti omaan toimialaan liittyviä uhkia? Seuraavaksi kannattaa pohtia miten se on tarkoituksenmukaisinta suojata. Jos uhat ovat muutaman kympin hintaisia, järjestelmään ei kannatta uhrata tuhansia euroja, vaan vähempikin riittää.

Yrittäjän on hyvä kuvata myös se, että kuka pääsee tiedon ääreen. Kaikkien ei ole tarpeen saada tai päästä kaikkeen tietoon vaan tarpeellisuusperiaatetta noudattamalla riksiä voidaan rajata jo merkitsevästi. Jos tiedonsaaja ei tarvitse itse tietoa, hän voi epähuomiossa käsitellä sitä turvattomasti. Tietoa voidaan salata palomuurien avulla, joihin voidaan lisätä maantieteellisiä rajoituksia, aikarajoituksia sekä sisältörajoituksia. Tietoa voidaan myös salata salausjärjestelmillä. Turvalliset tavat tiedonkäsittelyyn ja työntekijöiden kouluttaminen on tärkeä osa yrityksen tietoturvallisuutta.

Jarin  ohjeet tietokatastrofin varalle ovat seuraavat: Serverin pistoke heti seinästä pois ja yhteys tietoturvallisuudesta vastaavalle yritykselle. Asioita voidaan usein palauttaa jos siihen reagoidaan heti eikä odotella.

Perustietoturvaa ajatellen kenenkään ei kannata käyttää avoimia WLAN-yhteyksiä mihinkään tärkeään asian tekemiseen, jos yhteyttä verkkoon ei muuten suojata asiallisesti.

Jos yrityksellä on verkkokauppa, on hyvä varautua järjestelmän kaatumiseen siten, että on sovittuna etukäteen paikka mihin kauppa varmuuskopioidaan jatkuvasti, silloin kauppa saadaan pystyyn muutamassa tunnissa ja tulonmenetys ei ole suuri.

Yrityksille on myös tarjolla haavoittuvuusanalyysejä joiden avulla voidaan tutkia yrityksen järjestelmien heikkouksia ja osa yrityksistä toimittaa myös korjausraportit.

Tietosuoja-asetus

Jari Ala-Varvin mukaan uuden tietosuoja-asetuksen tarkoitus ei ole estää tietojen käsittelyä, vaan tehdä se läpinäkyväksi ja antaa ihmisille yksityisyyttä takaisin. Uusi asetus tulee voimaan koko EU:n alueella ja se tulee helpottamaan yrittäjien toimintaa Euroopassa.

Henkilötietoa on tieto, joka on jollain tavalla liitettävissä tunnettavaan henkilöön joko suoraan tai yhdistämällä toiseen rekisteriin.

Rekisterinpitäjä on se taho joka käsittelee ja säilöö henkilötietoa. Rekisterinpitäjä vastaa aina tiedosta ja sen turvallisesta käsittelystä. Jos jotain tapahtuu, hän on aina vastuussa.

Suomessa yrittäjien velvoitteissa ei tapahdu dramaattisia muutoksia nykyiseen, meidän lainsäädäntömme on jo nyt hyvin kattava. Rekisterinpitäjän on suunniteltava ennalta varautumistoimenpiteet ja jatkossa rekisterinpitäjän on ilmoitettava tietomurrosta 72 tunnin kuluessa viranomaisille ja asianomaisille rekisterijärjestelmässä oleville henkilöille. Poikkeuksena nykyiseen on se, että tietosuojan tulee olla automaattisesti tiukin mahdollinen ja rekisteröitävä itse antaa luvan tiettyjen heikennysten tekoon halutessaan. Rekisteröidylle on myös kerrottava tarkasti mitä hänen tiedoillaan tullaan tekemään. Hänellä on oikeus päästä kaikkiin tallennettuihin tietoihinsa ja oikeus oikaista väärä tieto sekä tulla halutessaan unohdetuksi, jolloin yrityksen on poistettava kaikki henkilöä koskeva tieto kaikista järjestelmistään.

Jari neuvookin, että yritysten kannattaa nyt tarkasti miettiä mitä tietoa kerätään ja onko kaikki tieto tarpeellista? Tietoa tiedonkeräämisen ilosta ei kannata tehdä, vaan kaiken on liityttävä kiinteästi prosesseihin. Onko kerätyllä tiedolla elinkaari, jonka jälkeen sitä ei enää tarvita?  Yrittäjän kannattaa hankkiutua eroon kaikesta turhasta henkilötiedosta, myös omia työntekijöitä koskevista.

 

Kategoria(t): Yleinen. Lisää kestolinkki kirjanmerkkeihisi.