Yrityksen IT-asiantuntija voi vaikuttaa koko yrityksen tietoturvaan monella eri tavalla. Tietoturvallisuuteen vaikuttaa esimerkiksi tietojärjestelmien suunnittelu ja hankinta, järjestelmien ylläpito. Lisäksi työntekijällä on aina olemassa asiantuntijavastuu.
Turvallisten tietojärjestelmien suunnittelu ja hankinta
Asiantuntija osallistuu tietojärjestelmien suunnitteluun ja hankintaan. Tarkoituksena on hankkia järjestelmä, joka vastaa tarpeeseen, on turvallinen ja täyttää GDPR Privacy-by-Design vaatimukset. Asiantuntija tietää, että tietojärjestelmää ei vain hankita ja oteta käyttöön.
Esimerkki
Yritykselle suunnitellaan uutta tietojärjestelmää. Asiantuntija muistuttaa, että tietoturvallisuus ja tietosuoja tulee ottaa huomioon. Asiantuntija osallistuu tietoturvavaatimusten kuvaukseen. Lisäksi hän haastaa mahdollisia järjestelmätoimittajia neuvotteluissa: ”Saisinko nähdä palvelun toimittamiseen liittyvät tietoturvakuvaukset sekä tietoturvapolitiikkanne?” Ensimmäinen myyjä ei tiedä näistä mitään. Tuote olisi kyllä ollut todella halpa! Toisen myyjän esittämä tietoturvakuvaus herättää luottamusta. Tästä maksaa mielellään vähän extraa.
Tietojärjestelmien turvallisuuden ylläpito
Järjestelmän ylläpitäjä valvoo järjestelmän turvallisuuden tilaa ja asentaa tarvittavat tietoturvapäivitykset ajallaan. Toiminta on riskilähtöistä. Asiantuntija tietää, mitä hoidetaan heti ja mitä myöhemmin.
Esimerkki
Yrityksen IT-asiantuntija on huomannut, että yrityksen toiminnan kannalta olennaisesta järjestelmästä on löydetty tietoturvahaavoittuvuus. Netin uutisten mukaan haavoittuvuutta hyödynnetään jo hyökkäyksissä. Asiantuntija tutustuu aiheeseen ja tekee alustavan korjauksen järjestelmään. Saatavilla oleva tietoturvapäivitys asennetaan vasta myöhemmin, koska järjestelmäpäivitys johtaa palvelinten uudelleenkäynnistykseen. Sitä ei tehdä keskellä päivää, jotta työt jatkuisivat normaalisti. Viimekertainen ”ihan vaan nopea päivitys ja bootti” johti tilanteeseen, jossa järjestelmä oli pois käytöstä kaksi päivää.
Asiantuntijavastuu
Asiantuntijan velvollisuutena on ottaa kantaa päivittäisiin asioihin. Asiantuntija tuo esiin riskit, kipupisteet ja kehittämiskohteet. ”Oon vaan töissä täällä” ei riitä!
Esimerkki
Yrityksen työntekijöillä on tarve jakaa tiedostoja toisilleen ja yhteistyökumppaneilleen. Erään työntekijän mukaan ilmainen pilvipalvelu toteuttaa tämän tarpeen hyvin. Ehdotus saa kannatusta yrityksessä. Asiantuntija kuitenkin huomauttaa ilmaisen pilvipalvelun lainsäädännöllisistä ja sopimusteknisistä ongelmista sekä jatkuvuuteen liittyvistä riskeistä. Lisäksi hän korostaa, että tiedostojen jakotoiminnot voidaan toteuttaa jo olemassa olevilla työkaluilla. Kehittämällä olemassa olevia järjestelmiä voidaan toteuttaa turvallinen ja tarpeet täyttävä ratkaisu. Ylimääräisiä järjestelmiä ei tarvita. Ja rahaa säästyy. Osa työntekijöistä pitää asiantuntijaa nipottavana ääliönä, osa todellisena ammattilaisena. Yritysjohto punnitsee hyödyt, riskit ja tekee päätöksen.
Jos olet asiantuntija, toimi kuin asiantuntija!
Vastaa