Skip to content

Muista asiakkaana vaatia sertifioitua tietoturvaa

Näin kansainvälisen tietosuojapäivän kunniaksi ajattelin muistuttaa kaikkia muutamin sanoin tietosuojasta ja sen edellytyksistä.

Tietosuoja on jokaisen kansalaisen perusoikeus – konkreettisesti sillä tarkoitetaan henkilön yksityisyydensuojaa rekisteröityjen henkilötietojen käsittelyn ja käytön näkökulmasta. Avainsanaksi alleviivaisin ”rekisteröityjen”, joka nykypäivänä lähes poikkeuksetta tarkoittaa tietojärjestelmiin tallennettuja tietoja.

Tietosuoja toteutetaan aina tietoturvan avulla, jonka kautta suojataan tietojärjestelmissä säilytettävät ja käytettävät tiedot sekä varmennetaan niiden eheys ja luotettavuus. Tietosuojaa ei siis ole olemassa ilman riittävää tietoturvaa!

Tietoturva taasen katsotaan yleisen CIA-mallin mukaan koostuvan kolmesta osa-alueesta:

  1. Luottamuksellisuus (Confidentiality)
  2. Eheys (Integrity)
  3. Saavutettavuus (Availability)
    • Luottamuksellisuudella tarkoitetaan sen todentamista, että tietoon pääsevät, ja ovat päässeet, käsiksi vain ne henkilöt, joilla on siihen oikeus.
    • Eheydellä tarkoitetaan sitä, että tieto on laadultaan ehyttä ja luotettavaa.
    • Saavutettavuudella tarkoitetaan sitä, että tieto on saavutettavissa (käytettävissä) niin normaali- kuin poikkeustilanteissa.

Toisin sanoen, tietosuojan tärkeimmät edellytykset ovat suoraan johdettavissa tietoturvan määritelmästä. Tietosuoja toteutuu, kun tiedot ovat saavutettavissa, luotettavia ja niitä käsitellään luottamuksellisella tavalla. On tärkeää ymmärtää, että nämä tietoturvan edellytykset eivät kosketa pelkästään tietojärjestelmien suojauksia, vaan myös kaikkia niitä toiminnallisia prosesseja, jotka käyttävät joko suoraan tai välillisesti ko. tietojärjestelmiä.

Kun asiakkaana kysyt toimittajalta: ”Kuinka olette huomioineet tietosuojan toteutumisen toimittamassanne ympäristössä ja/tai palvelussa?”, on hyvin tärkeää kiinnittää huomiota sekä ympäristön että prosessien tietoturvaan. Esimerkiksi, kuinka luottamuksellisuus on huomioitu jatkuvien palveluiden poikkeustikettien käsittelyssä tai julkaisun- ja versionhallinnan jälkikäteisessä todentamisessa?

Tietoturvaa, ja siten myös tietosuojaa, on hyvin vaikeaa kuvata tyhjentävästi. Siksi yhä tärkeämmiksi nousevat alalla vakiintuneet ja laadukkaat tietoturvasertifikaatit, oleellisimpana ISO 27001 -sertifikaatti, joka validoi niin ympäristöt, työvälineet kuin myös kaikki prosessit ja käytännöt niiden ympärillä.

Seuraavan kerran, kun mietit palvelun hankkimista, älä tyydy selityksiin tai kalliisiin auditointeihin, vaan vaadi sertifioitua tietoturvaa! Vuonna 2022 luotettava tietosuoja ja tietoturvalliset robotit kuuluvat kaikille – Digialta niitä luonnollisesti löytyy.

 

Tutustu robotiikka- ja tekoälyratkaisuihimme >

 

Tilaa blogikirjoitukset sähköpostiisi