Uutisissa kerrottiin hiljattain tilanteesta, jossa mahdolliseen asiakastietovuotoon liittyviä tietoja selvitettiin. Julkisuudessa pohdittiin, olivatko tiedot peräisin yrityksen omista järjestelmistä vai jonkin ulkopuolisen laitteen kautta. Varmuutta ei syntynyt heti.
Tilanne on inhimillinen.
Tietovuodon selvittäminen ei ole yksittäinen tekninen tarkistus vaan kokonaisuus, joka vaatii näkyvyyttä järjestelmiin, tietoihin ja vastuisiin. Ensin pitää ymmärtää missä tieto ylipäätään sijaitsee ja kuka hallitsee mitäkin.
Suurissa organisaatioissa tämä on usein rakenteellisesti kunnossa. Jokaisella järjestelmällä on nimetty omistaja ja pääkäyttäjä. Tiedetään mitä dataa käsitellään ja miten sitä valvotaan. Kun epäily syntyy, tarkistus alkaa suunnitelman mukaan.
Monessa pk-yrityksessä arki on toisenlainen.
Järjestelmiä on otettu käyttöön vuosien varrella tarpeen mukaan. Osa on hankittu IT-kumppanin kautta, osa markkinoinnin toimesta ja osa yksittäisen työntekijän aloitteesta. Asiakastietoa voi olla useammassa paikassa kuin kukaan muistaa.
Kun epäily herää, ensimmäinen haaste ei ole tekninen vaan tiedollinen. Mitä kaikkea meidän pitäisi tarkistaa.
Kuka vastaa?
Usein kuulee myös oletuksen, että ulkoistettu IT-kumppani vastaa kaikista järjestelmistä. Todellisuudessa vastuu kattaa tyypillisesti vain sovitun kokonaisuuden, kuten työasemat tai Microsoft 365 -ympäristön.
Markkinoinnin työkalut, erilliset pilvipalvelut tai toimialakohtaiset järjestelmät voivat jäädä tämän ulkopuolelle. Jos kokonaiskuvaa ei ole dokumentoitu, kriisitilanteessa joudutaan ensin selvittämään kartta, ennen kuin voidaan etsiä vuotoa.
Nopea reagointi edellyttää ajantasaista järjestelmäluetteloa ja ymmärrystä siitä, millaista tietoa missäkin käsitellään. Ilman tätä selvitys perustuu arvauksiin ja aikaa kuluu juuri silloin, kun sitä on vähiten.
Ennakointi säästää aikaa ja tuo varmuutta
Yhtä tärkeää on se että toimintamalli on mietitty etukäteen. Kun tilanne tulee eteen, ei ole hyvä hetki pohtia, miten asiasta viestitään tai milloin tehdään ilmoitus viranomaiselle. Selkeä suunnitelma ja harjoiteltu toimintatapa tuovat rauhaa tilanteeseen jossa paine on kova.
Moni pk-yritys ei ole koskaan käynyt läpi tietovuototilannetta edes harjoituksena. Silti lähes jokainen käsittelee henkilötietoja päivittäin. Yksinkertainen pöytäharjoitus kerran vuodessa paljastaa nopeasti puutteet järjestelmälistauksissa ja vastuunjaossa. Samalla johto saa realistisen kuvan siitä, miten organisaatio toimisi todellisessa tilanteessa.
Tietoturva ei ole vain tekninen suojauskerros. Se on kykyä vastata hallitusti kun jotain tapahtuu.
Tässä kohtaa moni kysyy mistä tällainen työ pitäisi aloittaa?
Käytännössä ensimmäinen askel on kartoitus. Mitä järjestelmiä käytetään ja mitä tietoa niissä käsitellään? Kun kokonaiskuva on olemassa, voidaan rakentaa selkeä vastuunjako ja varmistaa, että valvonta on riittävällä tasolla. Tämän jälkeen laaditaan toimintasuunnitelma mahdollisia poikkeamatilanteita varten ja harjoitellaan sen käyttöä.
Me autamme pk-yrityksiä juuri tässä. Teemme järjestelmäkartoituksia, joilla kokonaisuus saadaan näkyväksi. Autamme määrittämään vastuut ja rakentamaan tietoturvasta suunnitelmallisen osan johtamista.
Järjestämme koulutuksia ja harjoituksia, joissa testataan miten organisaatio toimisi tietovuotoepäilyn tilanteessa. Tarvittaessa huolehdimme myös teknisestä valvonnasta jotta poikkeamat havaitaan mahdollisimman varhain.
Kun uutinen seuraavan kerran kertoo mahdollisesta tietovuodosta, kysymys ei ole vain siitä mitä jollekin toiselle tapahtui vaan siitä pystyisittekö itse vastaamaan nopeasti ja varmasti jos epäily koskisi teitä?
Jos vastaus ei ole täysin selkeä, työ kannattaa aloittaa nyt eikä kriisin keskellä.
Täysin ilmainen tietoturvakatselmuksemme antaa sinulle selkeän kuvan siitä, missä mennään – ja mitä kannattaa parantaa. Lue lisää ja tilaa katselmus.