Tietoturvaa ja tietosuojaa – mikä on tärkeätä?

Julkaistu 19.12.2017
Lukuaika noin 2 min

Viime aikoina keskustelu tietosuoja-asetuksen (GDPR) ympärillä on käynyt varsin kuumana, ja jopa pientä hysteriaa on ollut havaittavissa. Monet pohtivat koulutusbudjettinsa kohdistamista, kouluttaako tietosuojaa vai tietoturvallisuutta. Tässä ”tietosuojahysteriassa” on kuitenkin hyvä palata takaisin perusasioiden äärelle.

Hyvin toteutettu tietoturvallisuus jo sinänsä palvelee tietosuoja-asetuksen vaatimuksia. Tietosuoja-asetuksen vaatimuksia ei voi täyttää, jos tietoturvallisuus ei ole kunnossa. Näkökulmaa tarvitaan siis kumpaankin seikkaan, eikä vain toiseen.

Niiden organisaatioiden osalta, joiden tietosuojat asiat ovat jo aiemmin olleet kunnossa, ei tietosuoja-asetus tuo kovinkaan paljon uutta. Toki monille, jotka ovat vältelleet asioiden kuntoon saattamista, on uusi asetus kiusallinen yllätys.

Kohu tietosuoja-asetuksen ympärillä keskittyy usein mahdollisiin sanktioihin. Se ei kuitenkaan johda parannuksiin. Vain parantamalla sopimuksia, järjestelmiä, prosesseja ja osaamista voi saada tuloksia aikaan. Jotta parannuksia saa aikaan, on oltava osaamista, tahtoa ja resursseja.

Tulee väkisinkin mieleen, ovatko organisaatiot vasta tietosuoja-asetuksen myötä heränneet tietoturvallisuusasioiden hoitamiseen. Tuo herääminen olisi siunaukseksi koko tietoturvallisuusajattelulle ja palvelee tietoturvatietoisuutta laajemminkin.

Liiketoimintasuhteessa olevat organisaatiot ovat viime aikoina alkaneet kiinnostua siitä, miten heidän kumppaninsa hoitavat tietoturvallisuusasioita. Tietoturvallisuutta koskevia vaatimuksia on jo sisällytetty moniin sopimuksiin ja toimittajilta vaaditaan yhä useammin jokin dokumentti tai sertifikaatti, jolla osoittaa toimivansa vastuullisesti myös tietoturvallisuusasioissa.

Tietoturvatietoisuudesta on vähitellen muotoutumassa ammatillinen osa-alue, joka jokaisen työntekijän on hallittava vähintäänkin omien tehtäviensä osalta. Enää ei voi ajatella, että tietotuvallisuus on vain asiantuntijoiden työtä, vaan se on ja tulee olemaan osa meidän jokaisen työstä.

Termi ”tietoturvatietoisuus” tarkoittaa sitä, että tulemme tietoiseksi ja ymmärrämme ympärillämme olevat tietoturvallisuuden riskit ja riskien mahdollisesti toteutuessa niistä aiheutuvat ongelmat. Tietoturvatietoisuutta voi parantaa ja kehittää hankkimalla koulutusta, seuraamalla asiaan liittyvää viestintää verkosta, kirjoista ja lehdistä. Kaikki lähtee tietoturvallisuuden merkityksen ymmärtämisestä ja siihen ei ole oikoteitä, meidän on tehtävä se itse.

Asiasanat:

GDPR