22.1.2018

Tietojärjestelmien ulkoistus on vaaratonta, kun osaa varautua

– Tietojärjestelmien ulkoistuksessa johtamisprosessin, siihen liittyvien menetelmien ja tarvittavien palveluiden pitää toimia keskenään, teknologiakonserni Insta Groupin toimitusjohtaja Henry Nieminen sanoo.

Kesällä 2017 Ruotsia kohtasi tietoturvaskandaali, kun salaista tietoa ajoneuvohallinnosta pääsi vuotamaan ulkomaille tietojärjestelmien ulkoistuksen yhteydessä. Heikoin lenkki ei tälläkään kertaa liittynyt bitteihin: ulkoistetun tietotyön tekijöillä oli pääsy arkaluonteiseen tietoon ilman asianmukaista turvallisuusselvitystä. Suomessa Supo tekee turvallisuusselvitykset esimerkiksi kaikista Trafin IT-työntekijöistä, mutta on muitakin varautumiskeinoja.

– Tietojärjestelmien riskien johtaminen noudattaa perinteisiä riskienhallintamenetelmiä ja prosesseja, joissa arvioidaan riskien vaikutukset, arvo ja todennäköisyydet. Näiden pohjalta tehdään myös tarvittavien toimenpiteiden priorisointi, jotta kriittisimmät asiat turvataan aukottomasti. Digitalisaation turvallisuuden johtaminen vaatii selkeää vastuuttamista ja säännöllistä johtotason seurantaa. Aivan kuten mikä tahansa liiketoiminnan kriittinen johtamisalue, Insta Group Oy:n toimitusjohtaja Henry Nieminen kertoo.

Harjoitus tekee riskienhallitsijan

Tilanteiden hallintaa voidaan harjoitella digitaalisilla virtuaalijärjestelmillä. Harjoituksia voidaan tehdä erikseen esimerkiksi johtamis- ja henkilökuntatasolla – ja tarvittaessa nämä voidaan kytkeä koulutukseen. Riskien hallitsemiseksi on myös syytä laatia johtamissuunnitelma. Turvallisuuden suhteen kannattaa olla tuntosarvet herkillä erityisesti silloin, kun organisaatio muuttuu tai tapahtuu yhteensulautuminen. Yleensä silloin vastuut jaetaan uudelleen, ja pahimmassa tapauksessa jotain jää kokonaan vastuuttamatta.

– Jos kotimainen yhtiö sulautuu kansainväliseen organisaatioon, on huomioitava sekä turvallisuustekijät että lainsäädännön asettamat rajoitteet. Esimerkiksi datadioditekniikkaa voi hyödyntää varmistamaan, etteivät tiedot siirry maantieteellisten alueiden välillä ilman lainsäädännöllisten vaikutusten huomiointia. Tällaisia juridisia eroavaisuuksia on esimerkiksi henkilötietojen käsittelyssä EU:n alueella ja sen ulkopuolella. Tai tulkitaanko IP-osoite henkilön identiteetin elementiksi vai ei, Nieminen luettelee.

Toukokuussa 2018 voimaan astuva EU:n tietosuoja-asetus velvoittaa yritykset huolehtimaan tietoturvasta. Sitä ennen yritysten on käytävä läpi omat tietojärjestelmänsä ja henkilötietojen käsittelyn käytännöt. Yritykset tarvitsevat apua, kun järjestelmät pitää perata lainalaisen tiedon osalta. Tällöin mahdollisesti poistetaan tietoa, jota ei uuden lain mukaan saada käyttää. Insta tarjoaa siinä erityisosaamistaan ja tukeaan, samoin kuin kaikkiin turvallisuuden ja riskienhallinnan prosesseihin ja tekniikkaan liittyvissä asioissa.