Blogi
Written by
Telia Inmics-Nebula Toni Kirjalainen
Toni Kirjalainen
Senior Security Consultant

Askeleet kohti EU:n uutta tietosuoja-asetusta

Valmistaudu pitkäjänteiseen prosessiin

Toukokuussa 2018 voimaan astuvan EU:n uuden tietosuoja-asetuksen (GDPR) lähestyessä olen huomannut muutaman asiakkaan kiinnostuksen kallistuvan valmiiksi paketoidun tietoturvaratkaisun puoleen. Periaatteessa dokumentit voitaisiinkin generoida valmiina pakettina ja myydä sellaisenaan. Haasteena tässä on kuitenkin toiminnan lyhytnäköisyys. Itse asiantuntijana en suostuisi tekemään valmiiksi paketoitua tuotetta, sillä en usko sen kannattavuuteen. Yritys toki saisi kaiken vaadittavan dokumentaation, mutta todellisuudessa mikään ei muuttuisi.

Tietoturva ei ole tuote. Se on prosessi. Prosessi ei lopu missään vaiheessa, vaan vaatii jatkuvaa ylläpitoa. Se on implementoitava pysyväksi osaksi yrityksen toimintatapoja. Parhaimmallaan koko tietoturva muuttuu täysin läpinäkyväksi, jolloin sitä ei edes huomaa yrityksen normaalien toimien ohella. Tästä syystä myöskään GDPR ei ole myytävä hyllytuote.
 

Aloita prosessi kartoituksella

Prosessi vaatii aina ymmärrystä vallitsevasta tilanteesta. Tähän selkeä toimintamalli on ennen käyttöönottoa läpikäytävä projektivaihe, joka alkaa alkukartoituksella tai GAP-analyysilla, jatkuu suunnittelulla ja päättyy toteutukseen. Alla oleva kuva havainnollistaa tietoturvaprojektin vaiheita.
 

Kuva poistettu.

Alkukartoitus ja GAP-analyysi tarkoittavat pääosin samaa asiaa. Niiden ensisijaisena tarkoituksena on lisätä ymmärrystä yrityksen tietoturvan nykytilasta, sillä tavoitteiden saavuttamiseksi on ymmärrettävä lähtötilanne. Kartoitus- ja suunnitteluvaiheessa prosessi on vielä projekti, johon on kirjattu alku- ja loppupiste. Projektin päättyessä prosessi eli käytännön toteutus voi alkaa. Aika näyttää, kuinka tehokkaaksi prosessi muotoutuu. Tehokkuuteen vaikuttavia asioita ovat asenteet, johdon tuki, henkilökunnan sitouttaminen ja aika.

Lisää puhtia prosessille johdon tuen ja myönteisen asenteen kautta

Asenteella on suuri vaikutus siihen, miten tietoturva tai -suoja sulautuu yrityksen normaaliin toimintaan. Mikäli asenne on kielteinen, myös koko GDPR tuntuu luonnollisesti turhalta.

Johdon tuki mahdollistaa käytännössä koko projektin. Mikäli tukea ei ole, myöskään resursseja ei ole. Ilman resursseja projektit eivät toteudu.

Lopullisessa prosessissa avainasemassa on johdon lisäksi myös henkilökunnan valveutuneisuus. Teknologialla voidaan tukea ihmisten toimintaa, mutta ”rautaa rajalle” -mallilla eli pelkällä teknisellä suojauksella ei voida rakentaa toimivaa ympäristöä. Vaikka periaatteessa teknologialla voidaan luoda tietoturvaa tukeva ympäristö kokonaisuudessaan, ympäristöllä on aina käyttäjä. Tietoturvaan muodostuvat aukot riippuvat sen käyttäjien toiminnasta ja tavoista hyödyntää teknisiä työkaluja.

Valmistautuminen on aloitettava viimeistään nyt

Aika on jatkuvasti muuttuva määre. Vaikka aika ei sinänsä lopu koskaan, onnistuneessa projektissa on kuitenkin myös loppu. GDPR astuu voimaan 25.5.2018. Tähän mennessä kaiken tulisi jo olla valmiina ja käytössä. Vielä ei ole suoranaista kiirettä, mutta asetettu päivämäärä tulee yllättävän nopeasti. Lainatakseni entistä esimiestäni, keittiömestaria: ”Kiirettä ei ole olemassa, on vain huono valmistautuminen”. Tämä vertaus toimii myös GDPR-asetuksen osalta. Toimeen olisi hyvä ryhtyä nyt ei viikkoa ennen päivämäärää.

 

Lue lisää GDPR-konsultointipalveluistamme

 

Kirjoittajasta:

Toni Kirjalainen toimii tietoturvakonsulttina Nebulalla, jossa hän parantaa ja tehostaa asiakkaiden tietoturvaa ymmärrettävästi ja käytännönläheisesti. Hänellä on vankkaa kokemusta erityisesti pk-yritysten tietoturvan tehostamisesta.

Written by
Telia Inmics-Nebula Toni Kirjalainen
Toni Kirjalainen
Senior Security Consultant