Tietosuoja on arjen tekoja

Tietosuoja muodostuu suunnitelmallisuudesta ja arjen valinnoista. Merkittävä määrä tietosuojatyötä tehdään ennen kuin yhtään henkilötietoa on kerätty. Kerroin aikaisemmassa blogipostauksessa tietosuojan suunnitelmallisuudesta. Tässä kuvataan, miten suunnitelma muuttuu arjen teoksi usealla eri tavalla:

Noudata ohjeita!

Noudata henkilötietojen käsittelyyn liittyvää suunnitelmaa ja ohjeita. Kerää vain niitä henkilötietoja, joita oikeasti tarvitaan. Älä kerää lisätietoja varmuuden vuoksi. Tallenna tiedot sovittuun paikkaan. Käsittele ja avaa vain niitä tietoja, joita työssäsi tarvitset. Poista tiedot, kun niitä ei enää tarvita. Jos olet epävarma, miten henkilötietoja tulee käsitellä, niin pyydä lisää ohjeita!

Käytä sovittuja järjestelmiä

Käsittele henkilötietoja niissä järjestelmissä, jotka on kyseistä tehtävää varten hankittu. Yksittäinen työntekijä ei saa käsitellä henkilötietoja esimerkiksi pilvipalveluissa tai muissa järjestelmissä, jos niiden käytöstä ei ole suunnitelmaa ja organisaatiossa tehtyä päätöstä.

Vältä turhia kopioita

Arjen tekeminen vaatii joskus, että henkilötiedoista tehdään listoja, joita käsitellään esim. taulukkolaskentaohjelmassa. Tallenna listaus sovittuun paikkaan. Vältä turhien kopioiden ottamista useaan paikkaan, esimerkiksi omalle koneelle, kotihakemistoon, yhteisille verkkolevyille tai sähköpostiin. Useampi kopio hankaloittaa henkilötietojen asianmukaista hallintaa ja altistaa tiedot myös erilaisille tietoturvariskeille.

Lähetä ja jaa tietoa turvallisesti

Henkilötiedon jakaminen muille tulee tehdä järkevästi ja turvallisesti. Älä lähetä tietoa perinteisellä sähköpostilla. Se muodostaa monia ongelmia. Perinteisessä sähköpostissa tieto liikkuu turvattomasti, tiedosta muodostuu turhia kopioita ja tieto saattaa päätyä väärälle vastaanottajalle. Jaa ennemmin linkki käyttöoikeuksilla rajattuun tiedostoon tai käytä turvasähköpostipalvelua.

Poista turhat tiedot

Henkilötiedot tulee lopulta poistaa, kun tiedolle ei ole enää tarvetta. Älä kuitenkaan poista tietoa heti, kun tieto on sinulle tarpeetonta. Noudata tässäkin organisaation ohjeita. Tiedoilla voi olla pitkiäkin säilytysaikoja. Varmista myös, hoitaako tietojärjestelmä tiedon poistamisen automaattisesti vai pitääkö sinun poistaa tietoa itse. Muista myös ne turhat kopiot! Paperinen materiaali toimitetaan tietosuojaroskikseen.

Auta rekisteröityä

Rekisteröidyllä on monia tietosuojaoikeuksia, mm. oikeus saada tietoa henkilötietojen käsittelystä ja tutustua omiin tietoihinsa. Jos rekisteröity pyytää tällaista, niin suhtaudu tilanteeseen asiakaspalveluhenkisesti. Noudata olemassa olevia ohjeita tai palaa asiaan, kun olet saanut organisaatiosta lisäohjeita.

Ilmoita havainnoista ja poikkeamista

Havaitsitko poikkeamia tai mahdollisia ongelmia henkilötietojen käsittelyyn, tietosuojaan tai tietoturvaan liittyen? Ilmoita tästä viipymättä eteenpäin. Nopean reagoinnin ansiosta isommilta ongelmilta on vielä mahdollista välttyä.

Suunnitelmallinen ja fiksu toiminta tekee henkilötietojen käsittelystä järkevää, vastuullista ja turvallista – arjen tietosuojaa parhaimmillaan!

Tietosuoja on suunnitelmallisuutta

Tietosuojakeskusteluissa korostuvat usein tietomurrot ja hallinnolliset sakot. Valitettavasti ne hämärtävät tietosuojaa kokonaisuutena ja ohjaavat ajattelemaan aihetta kapeasti, ulkoisten asioiden kautta.

Tietosuoja muodostuu suunnitelmallisuudesta ja arjen valinnoista. Merkittävä määrä tietosuojatyötä tehdään ennen kuin yhtään henkilötietoa on kerätty.

Henkilötietojen tietoturvaloukkaukset ja tietomurrot pyritään välttämään hyvällä suunnittelulla ja toteutuksella. Hallinnolliset sakot johtuvat siitä, että suunnitelmallisuutta, tietosuojaperiaatteita ja rekisteröidyn oikeuksia ei ole noudatettu.

Suunnittelu luo pohjan tietosuojalle

Henkilötietojen käsittelyn suunnittelua voi toteuttaa esimerkiksi seuraavien kysymysten kautta:

  1. Mitä olemme tekemässä?
  2. Miksi tarvitsemme henkilötietoja?
  3. Millaisia henkilötietoja oikeasti tarvitsemme?
  4. Miten tietoja tullaan käsittelemään?
  5. Ketkä kaikki tietoja tulevat käsittelemään?
  6. Mille osapuolille tietoja tullaan luovuttamaan?
  7. Miten tietoa tullaan keräämään?
  8. Minne tarpeelliset tiedot tallennetaan?
  9. Kauanko tietoa on tarpeellista säilyttää?
  10. Miten tieto lopulta poistetaan eri paikoista?
  11. Miten ja missä henkilötietojen käsittelystä kerrotaan rekisteröidylle?
  12. Miten ohjeistan muita työntekijöitä, jotta suunnitelma muuttuu käytännön teoiksi?

Miten listaa hyödynnetään käytännössä? Kts. esim. tapahtumien tietosuoja.

Kaikki työntekijät eivät välttämättä joudu suunnittelemaan henkilötietojen käsittelyä työpaikalla, mutta jokaisella henkilötietoja käsittelevällä on merkittävä rooli tietosuojan toteutumisessa. Tästä lisää tämän blogipostauksen toisessa osiossa, joka julkaistaan myöhemmin.

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.

Toimitilaturvallisuus on muutakin kuin digiä!

Toimitilaturvallisuus muodostuu IT-asioiden lisäksi oikean maailman asioiden huomioimisesta sekä vieraanvaraisuudesta. Muistetaan viestiä toisillemme, kuka kukin on. Asiallinen kyseenalaistaminen nostaa turvallisuustasoa. Ei unohdeta perusasioita!

Puhtaan pöydän periaate

Puhtaan pöydän periaatteen idea on se, että työpöydällä ei säilytetä sellaista materiaalia, jota ei haluta muiden näkevän. Näitä ovat esimerkiksi muistiinpanot, sopimukset, salasanat jne. Pöydällä ei myöskään säilytetä helposti varastettavia tavaroita, kuten henkilökorttia, avaimia, USB-muisteja tai muita tallennusmedioita, puhelinta, rahoja jne. Laita paperit, laitteet ja läppäri lukittuun kaappiin viimeistään päivän päätteeksi.

Käytä henkilökorttia

Työntekijän henkilökortti auttaa hahmottamaan, kuka on työntekijä ja kuka vierailija. Kortti viestittää, että olet töissä täällä. Vaikka olemme samassa työpaikassa, emme välttämättä tunnista toisiamme, koska emme näe toisiamme niin usein. Uudet työntekijät eivät vielä tunne muita – muut ei tunne heitä.

Kokousta sopivassa paikassa ja sopivalla äänellä

Tiedosta mitä puhut ja missä. Valitse kokoustila käsiteltävien asioiden mukaan. Käytäväpalaverit on ihan OK arjen asioihin. Luottamuksellisemmissa asioissa on hyvä suosia suljettua tilaa. Huomioi, että tilojen äänieristys vaihtelee. Varmista, että kokousmateriaalit eivät näy ja kuulu ulkopuolisille.

Kts. lisävinkit VAHTI 2/2013 Toimitilojen tietoturvaohjeesta!

Huolehdi vieraistasi

Ilmoita muille tai merkitse intraan, että sinulle on tulossa vieraita ja toimit vieraiden isäntänä/emäntänä. Ota vieraat vastaan ja anna heille vierailijan henkilökortti. Saata vieraat kokoustilaan ja näytä samalla, missä on WC:t yms. Vierailun päätteeksi kerää vierailijakortit pois ja saata vierailijat ulko-ovelle asti.

Tällä toimintamallilla pyritään siihen, että muut työntekijät tunnistavat vierailijat eikä vierailijoiden ole tarvetta liikkua talossa yksinään. Se on myös vierailijalle mukavampi, kun hänestä pidetään huolta.

Ylimääräisiä henkilöitä ovella tai toimitiloissa?

Onko toimitilojemme ovella tai toimitiloissa henkilö, jota et tunnista? Kysy rohkeasti millä asialla henkilö täällä liikkuu. Tuntemattomia ei tule päästää sisälle. Jos henkilö on sellaisessa tilassa, johon vierailla ei ole asiaa, niin saata hänet takaisin isännän/emännän luo. Jos vierailulle ei löydy pätevää syytä, niin saata vieras ulos asti.

IT-laitteet ilman omistajaa

Havaitsitko toimitiloissa ylimääräisiä IT-laitteita? Mainitse niistä IT-asiantuntijalle. Jos löydät tiloista USB-muistitikun, niin älä kytke sitä suoraan tietokoneeseen. Haittaohjelmia levitetään edelleen USB-muistien avulla. Toimita myös ilman omistajaa olevat kannettavat tietokoneet ja puhelimet IT-asiantuntijalle.

Muista myös muut turvallisuusasiat

Turvallisuus ei ole pelkkää digiä ja kyberiä. Yhtä tärkeää on tietää, missä on lähin poistumistie, ensiaputarvikkeet ja palosammuttimet – ja osata käyttää näitä tarvittaessa!

Toimitilaturvallisuus on yksi osa kokonaisuutta – huolehdi perusasioista!

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.

Kyberturvallisuuden uutislähteitä

Tässä on poimintoja erilaisista kyberturvallisuuden uutislähteistä, joita hyödynnän työssäni. Lista on muodostettu tietoturvapäällikön tehtävän näkökulmasta, mutta listasta on hyötyä myös muille työntekijöille ja alasta kiinnostuneille.

Kyberturvallisuuden ympärillä tapahtuu jatkuvasti, joten alaa on hyvä seurata aktiivisesti. Tietoa ja muuta materiaalia on onneksi erittäin kattavasti saatavilla.

Päivittäin seurattavat

1) Kyberturvallisuuskeskuksen tiedotteet

Nämä on keskeisiä tietolähteitä päivittäisessä tietoturvatyössä:

  • Tietoturva-aiheinen uutiskooste – Tilaa sivuston loppupuolelta mukava paketti tietoturvauutisia, jotka on koottu eri nettisivustoilta.
  • Haavoittuvuustiedotteet – missä ohjelmistoissa on havaittu haavoittuvuuksia.
  • Varoitukset – asiat, joista on syytä varoittaa erikseen.

Yllä olevia voi tilata itselleen esimerkiksi sähköpostilla tai RSS-syötteinä.

2) Sosiaalinen media

Twitteristä tietoa tulee paljon ja nopeasti. Erityisen hyvä silloin, kun haluaa seurata jonkin tilanteen etenemistä päivän aikana.

LinkedInistä saa myös tietoa, mutta tieto saattaa tulla pitkälläkin viiveellä.

3) Työkaverit

Yleensä, jos jokin kyberturvallisuusasia on tarpeeksi tärkeä ja kiireellinen, niin kyllä kollegatkin kertovat sen sinulle 🙂

Viikkotasolla seurattavat

Pari lähdettä, joita kannattaa seurata viikkotasolla:

Kuukausitasolla seurattavat

Kyberturvallisuuskeskuksen Kybersää kokoaa menneen kuukauden tapahtumat selkeään pakettiin.

CERT-EU Cyber Security Brief. Kuten Kybersää, mutta hieman eri sisältöä englanniksi.

DVV:n digiturvatilaisuudet on webinaareja eri kohderyhmille:

  • Digiturvakatsaus asiantuntijoille
  • Digiturvakatsaus johdolle
  • Digiturvavartti henkilöstölle

Tietoturvayritykset julkaisevat omia kuukausi- ja kvartaaliraporttejaan. Tässä esimerkiksi WithSecuren (ent. F-Secure) Monthly Threat Highlights Report.

Lisää löytyy netistä hakusanoilla: Tietoturvafirman nimi + report

Vuosiraportit

Vuositason raportteja löytyy jos jonkinlaista. Näistä saa hyvää yleiskatsausta mitä on tapahtunut ja arvioita tulevasta. Esimerkiksi:

Puuttuuko listalta jotain olennaista? Laita kommenttia tai viestiä.

Miksi sähköposti on huono väline tiedon jakamiseen?

Sähköposti on perinteinen tiedonjakotapa. Työelämässä sähköpostilla on selkeitä etuja, mutta myös monia haittoja.

Hyvinä puolina on nopeus, toimivuus ja yksinkertaisuus. Tietoja saadaan liikkumaan hyvin helposti ja nopeasti paikasta toiseen. Sähköposti toimii erilaisilla laitteilla. Sähköpostijärjestelmä sisältää tietoa vuosien ajalta, jolloin vanhakin tieto on edelleen löydettävissä sähköpostin hakutoiminnolla.

Sähköpostin haittoja

Sähköpostin yhtenä suurimpana ongelmana on pidetty sitä, että sähköpostiliikenne kulkee yrityksestä toiseen salaamattomana. Kolmannen osapuolen on mahdollista salakuunnella viestiliikennettä. Onneksi viestit ja liitetiedostot voidaan nykyään kohtalaisen helposti suojata eri keinoin – tosin käytettävyyden kustannuksella.

Tieto voidaan lähettää vahingossa väärälle vastaanottajalle. Jälkikäteen on haastavaa selvittää, onko vastapuoli hyötynyt tiedosta jotenkin. Vastaanottajalle voidaan toki lähettää pyyntö väärän sähköpostin poistamisesta, mutta tämän varmentaminen voi olla käytännössä hankalaa.

Tieto monistuu useaan paikkaan. Kun lähetät tietoa ja liitteitä, niin ne päätyvät vastaanottajan sähköpostiin sekä sinun sähköpostisi Lähetetyt-kansioon. Tieto on siis kahdessa paikassa. Jos vastaanottajia on useita, niin kopioitakin on useita eri paikoissa. Tiedon tulostaminen tai tallentaminen työasemalle lisää kopioiden määrää entisestään.

Liitteen muokkaaminen muodostaa liitteestä uuden version. Tästä päädytään helposti versio-ongelmaan. Ei välttämättä ole täysin selvää, mikä on tuorein versio ja onko kaikilla tuorein versio käytettävissä.

Viestin edelleen lähettäminen (forward-toiminto) mahdollistaa ison viestiketjun siirtämisen sellaisenaan uudelle vastaanottajalle. Tässä voi helposti käydä niin, että uusi vastaanottaja saa vahingossa tietoa, joka ei ole hänelle tarkoitettu. Edelleen lähettäminen konkretisoi myös monistumiseen ja versio-ongelmiin liittyvät asiat.

Sähköpostiviestin lähettäjätietoon ja viestin sisältöön ei voi täysin luottaa. Lähettäjätieto on mahdollista väärentää, jolloin sähköposti näyttäisi tulevan luotettavalta taholta. Lisäksi käyttäjätunnusten kaappaukset ovat johtaneet siihen, että verkkorikolliset voivat viestiä toisen henkilön nimissä hänen oikealla käyttäjätunnuksellaan. Samalla verkkorikollisilla on pääsy samaisen työntekijän viestihistoriaan, pahimmillaan useiden vuosien ajalta.

Henkilötietojen käsittelyn ja tietosuojavelvoitteiden noudattamisen kannalta sähköposti on haastava väline. Rekisteröidyn oikeuksien toteuttaminen on ongelmallista, jos henkilötietolistoja kerääntyy eri sähköposteihin. Samalla henkilötiedot altistuvat erilaisille tietoturvariskeille, jotka voivat aiheutua esimerkiksi tiedon edelleen lähettämisestä tai sähköpostin käyttäjätunnuksen kaappaamisesta.

Asiakkaat ja yhteistyökumppanit eivät välttämättä pidä siitä, että jotakin asiaa käsitellään sähköpostin välityksellä. Heille voi olla tärkeää, että esimerkiksi kahdenkeskisistä asioista ei viestitä laisinkaan tavallisella sähköpostilla. On hyvä ensin sopia, miten tietoa vaihdetaan, jotta vältytään ylimääräiseltä mainehaitalta.

Onko sähköpostille vaihtoehtoja?

Tietoa voi jakaa sähköpostin sijasta fiksummin digitaalisten työtilojen, tiedostonjakopalveluiden tai verkkolevyjen kautta. Hyödyt:

  • Pääsyä tietoon on mahdollista rajoittaa käyttöoikeuksilla, eikä tietoa tule jaettua niin helposti väärille vastaanottajille.
  • Jaossa oleva tieto on mahdollista poistaa, jos tiedosto on jaettu väärin tai jos tiedostojakoa ei enää tarvita.
  • Versio-ongelmia ei pääse muodostumaan, kun muokkaukset tehdään aina
    jaossa olevaan tiedostoon.

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.