Tietoturva-asiantuntija Jarmo Laakso: "Laadukas tietoturvakartoitus on tärkein vakuutuksesi"

Tietoturvakartoitus on monelle organisaatiolle tuttu käsite, mutta sen laatu vaihtelee valtavasti. Liian usein kartoituksesta saadaan tuloksena vain pintapuolinen lista yleisluontoisia havaintoja, joiden perusteella on vaikea tehdä konkreettisia päätöksiä. Todellinen hyöty syntyy vasta, kun kartoitus tehdään perusteellisesti ja oikein.

"Laadukas tietoturvakartoitus ei rajoitu pelkkään tekniseen tarkasteluun, vaan se käy systemaattisesti läpi organisaation henkilöstön osaamisen ja tietoturvatietoisuuden, sillä inhimilliset tekijät ovat yhä useamman tietoturvapoikkeaman taustalla", Laakso kuvaa.

"Samalla kartoitetaan käytössä olevat järjestelmät ja sovellukset sekä niiden keskinäiset riippuvuudet. Oleellista on, että koko tarkastelu tehdään lainsäädännön näkökulmasta riippumatta siitä, onko kyse GDPR:stä, NIS2-direktiivistä tai toimialakohtaisista vaatimuksista."

Laadukas kartoitus ei jätä arvailemaan

"Hyvän kartoituksen tunnistaa myös sen tuottamista raporteista", Laakso tiivistää.

Johto tarvitsee tiiviin yhteenvedon riskeistä ja niiden liiketoimintavaikutuksista, kun taas IT-osasto kaipaa yksityiskohtaista teknistä raporttia havainnoista ja korjausehdotuksista. Näiden lisäksi organisaatio saa käyttöönsä selkeän toimenpidelistan, joka priorisoi tehtävät kiireellisyyden mukaan.

"Laadukas kartoitus ei jätä organisaatiota arvailemaan, mitä korjaukset vaativat", Laakso sanoo.

Jokainen toimenpide-ehdotus sisältää arvion sekä tarvittavasta ajasta että kustannuksista. Näin johto voi budjetoida realistisesti ja aikatauluttaa korjaukset liiketoiminnan ehdoilla. IT-osasto puolestaan pystyy suunnittelemaan työkuormansa ja tarvittaessa kilpailuttamaan ulkopuolisia palveluntarjoajia vertailukelpoisin tiedoin.

Varautumisen kustannukset etukäteen ovat murto-osa verrattuna realisoituneen riskin aiheuttamiin kustannuksiin. Kun vertaa kartoituksen hintaa yhdenkin tietomurron aiheuttamiin selvityskuluihin, tuotannon seisokkeihin, mainevahinkoihin ja mahdollisiin sanktioihin, investoinnin kannattavuus on selvä. Kyse ei ole siitä, onko organisaatiolla varaa tietoturvakartoitukseen, vaan kyse on siitä, onko sillä varaa olla ilman sitä.

Sanktiot ovat todellisia

Lainsäädännön noudattamatta jättäminen tulee kalliiksi. Suomessakin on jo määrätty GDPR-sakkoja useille organisaatioille.

Laakso tietää, että eräs yritys sai seuraamusmaksun, koska se ei ollut kertonut rekisteröidyille heidän oikeuksistaan muuttoilmoituksen yhteydessä. Toinen puolestaan sai sanktion, koska se paikansi työntekijöitään ajotietojärjestelmän avulla ilman vaadittua tietosuojavaikutusten arviointia. Kolmas yritys sai seuraamusmaksun, koska se oli kerännyt rekrytoitavilta tarpeettomia henkilötietoja, kuten tietoja terveydentilasta, uskonnosta ja perhesuhteista.

GDPR-sakot voivat nousta jopa neljään prosenttiin yrityksen vuotuisesta liikevaihdosta. Lisäksi uusi NIS2-direktiivi tuo omat vaatimuksensa, ja sanktiot voivat muodostua seuraamusmaksuista tai vastuullisilta henkilöiltä voidaan jopa väliaikaisesti kieltää yrityksen johtotehtäviin osallistuminen.