Riskienhallinta

GDPR tuli ja meni, muuttuiko mikään? Yrityksillä yhä parannettavaa tietoturva-asioissa

Tommi Hirsimäki

Kirjoittaja on Fennian riskipäällikkö

GDPR tuli ja meni, muuttuiko mikään? Yrityksillä yhä parannettavaa tietoturva-asioissa

GDPR sai yritykset kiinnostumaan henkilötietojen säilyttämisestä ja tietoturva-asioista – hetkellisesti, kirjoittaa Fennian riskipäällikkö Tommi Hirsimäki.

Suuren mediahuomion saanut GDPR-asetus puhutti yrittäjien keskuudessa paljon ennen kuin se astui voimaan toukokuussa 2018.

Nyt, vajaa kaksi vuotta myöhemmin yritysten suhtautuminen henkilötietojen säilyttämiseen, tietoturva-asioihin ja tietoturvavakuuttamiseen on parantunut noista ajoista, mutta hitaasti.

Kun tiedotusvälineet jättivät aiheesta puhumisen vähemmälle, niin jätti moni yrityskin. Tietoisuus on lisääntynyt, mutta tahti voisi olla nopeampikin.

Viranomaisille ilmoitetaan noin tuhat tietomurtoa vuodessa, mutta tosiasiassa tietomurtojen määrä on huomattavasti suurempi. Monelle yrittäjälle on vielä epäselvää, miten henkilötiedot määritellään ja mitä tulee tehdä, jos tietomurto osuu omalle kohdalle.

Läheskään kaikki yrittäjät eivät tiedä, että henkilötietoihin kohdistuvasta tietomurroista täytyisi tehdä aina viranomaisilmoitus. Osa yrittäjistä tuudittautuu myös lintukotoajatteluun. On helppoa ajatella, että koska tietomurtoa ei ole sattunut omalle kohdalle, sitä ei tulekaan.

Yrittäjien on täytynyt opetella ottamaan muutenkin vastuuta tietoturva-asioista. Kun GDPR astui voimaan, tietoturvasakkoja vastaan pystyi varustautumaan vakuutuksen avulla.

Finanssivalvonta kuitenkin linjasi, että tällaiset vakuutukset ovat hyvien vakuutustapojen vastaisia. Nyt yrittäjä ei voi ostaa itselleen turvaa sakkojen varalle.

Yritysten tietoturva-asioissa riittää siis työsarkaa. Suurissa yrityksissä on usein tietoturvasta vastaava henkilö, ja tietoturvataito on siten melko hyvällä tolalla.

Pienyrittäjältä syvempi ymmärrys aiheesta voi vielä puuttua. On hyvä ymmärtää, että tietoturva on laaja kokonaisuus, johon liittyy paljon muitakin riskejä kuin GDPR-kysymykset.

Yrityksen kannalta yksi suurimmista uhista on kaikkien tietojärjestelmien pysähtyminen esimerkiksi tietomurron seurauksena, mistä aiheutuu koko liiketoiminnan keskeytyminen.

Oli oma tietoturvaosaaminen millä tasolla hyvänsä, osaamiseen kannattaa panostaa jatkossakin. On tärkeää, että yrityksessä tiedetään, miten toimia, jos tietomurto tapahtuu.

Lisäksi perustason tietoturvavakuutukset kannattaa päivittää ajan tasalle. On hyvä muistaa, että osaaminen lähtee henkilöstöstä. Moni tietomurto alkaa verkossa tapahtuvalla kalastelulla, joten työntekijöiden valveutuneisuuteen ja koulutukseen on syytä kiinnittää huomiota.

Yrittäjien on hyvä muistaa, että rikolliset eivät yleensä kiinnitä huomiota yrityksen kokoon, vaan he iskevät myös pienempiin yrityksiin, joiden tietoturvan taso on heikko.

Nykyään lähes kaikki yritykset tukeutuvat toiminnassaan IT-järjestelmiin, joten yrityksen toimialalla ei ole kovinkaan suurta merkitystä, kun rikolliset valitsevat kohdettaan ja liiketoiminta lamaantuu.

Tähänkin riskiin voi varautua tietoturvavakuutuksella, kunhan yrityksen tietoturvan perustaso on riittävä.

Yrityksen tietoturva kuntoon

Yrittäjän on pidettävä huolta tietoturvasta. Rikollinen voi keskeyttää yrityksen koko toiminnan.

Paljon pelätty tietosuoja-asetus lähestyy: Viisi askelta yrittäjälle

Tietosuoja-asetus astuu voimaan toukokuun lopussa. Nyt on aika ryhtyä töihin.

Kyberhyökkäys oli viimeinen niitti: Mainostoimisto teki ryhtiliikkeen – testaa riskit

Verkkohyökkäyksen kohteeksi voi joutua minkä kokoinen yritys tahansa.

Tiesitkö tämän tietosuoja-asetuksesta? 6 vinkkiä palkkatietojen käsittelyyn

Yritysten on mietittävä, kuinka arkaluontoisia henkilötietoja säilytetään jatkossa, kirjoittaa Taloushallintoliiton Janne Fredman.

Kukaan ei ole rikolliselta piilossa – Tee ainakin nämä toimenpiteet

Yrityksen tietoturva on iso riski, jos se hoidetaan leväperäisesti. Varmuuskopiointi pelastaa monelta tuskalta.

Mitä pitää tapahtua, että kaikki yrittäjät heräävät?

Tietoturva on ensisijaisesti toiminnan johtamista, ei pelkkää tekniikkaa, kirjoittaa Fennian riskipäällikkö Jani Salonen.

Lataa lisää