Tietoturva on tietojen suojaamista
Jokaisella yrityksellä on hallussaan tietoja, jotka ovat heille tärkeitä turvattavia kohteita. Toimenpiteitä ja menettelyitä, joilla nämä asiat suojataan, kutsutaan yhteisellä nimellä tietoturvaksi. [1] Syitä tietojen turvaamiseen on monia. Esimerkiksi taloudellisesta näkökulmasta tärkeäksi muodostuu liikesalaisuuksien suojaaminen. Juridiset vaatimukset saattavat puolestaan määrätä erilaisten aineistojen, kuten henkilötietojen käsittelemisestä.
Hallinnolliset toimenpiteet vs tekniset toimenpiteet
Yrityksen toimialasta ja koosta riippuen, tietoturvaa voidaan toteuttaa eri tavoilla. Varsinais-Suomen Yrittäjä –lehden haastattelema yliopettaja Esko Vainikka kuitenkin huomauttaa, että tietoturvasta vain 20 prosenttia on teknistä suojaamista, kuten palomuurilaitteistojen ja virustorjuntaohjelmistojen käyttöä. Loput 80 prosenttia ovat puolestaan hallinnollisia toimenpiteitä, jotka sisältävät esimerkiksi kouluttamista ja päivittäisten toimintatapojen ohjeistamista. [2]
Tietoturvallisuuden tavoitteet
Perinteisessä jaottelussa tietoturva koostuu kolmesta tavoitteesta: tiedon luottamuksellisuudesta, eheydestä ja saatavuudesta. Nykyisin tätä kolmen kohdan määrittelyä ei kuitenkaan pidetä tarpeeksi kattavana. Esimerkiksi luottamuksellisuus ja eheys voivat kadota jo tiedon siirtovaiheessa, mikäli joku on päässyt valtuudetta muokkaamaan siirrettävää informaatiota. Vastaanottaja luulee käsittelevänsä asianmukaista tietoa, olematta kuitenkaan täysin varma siitä. Tästä johtuen kiistämättömyys ja todentaminen on lisätty mukaan tavoitteisiin. [3]
Luottamuksellisuus, eheys ja saatavuus
Turvaamalla suojattavan kohteen luottamuksellisuus pyritään estämään tiedon näkyminen ulkopuolisille tahoille.
Eheyden tarkoituksena on puolestaan varmistaa, että informaatiota ei päästä muokkaamaan ilman asianmukaisia valtuutuksia.
Teknisillä toimenpiteillä, kuten salauksilla, voidaan esimerkiksi edistää tiedon luottamuksellisuutta ja eheyttä. Ulkopuoliset tahot eivät pysty lukemaan tai muokkaamaan kyseistä tietoa. Mikäli suojattava kohde on salattu, tallennettu fyysiselle ulkoiselle medialle ja toimitettu turvattuun tilaan, voidaan puhua jo hyvästä luottamuksellisuudesta ja eheydestä.
Tiedon saatavuus on kuitenkin huono, koska käyttäjä joutuu ensin hakemaan tallennusmedian ja avaamaan salatun tiedoston. Luottamuksellisuuden, eheyden ja saatavuuden varmistaminen on yksittäin helppoa, mutta kaikkien kolmen yhtäaikainen toteuttaminen vaatii suunnittelua. [4]
Todentaminen ja kiistämättömyys
Käyttövaltuuksien todistaminen
Käyttäjän todentaminen on olennainen osa tiedon luottamuksellisuutta. Todentamisella tarkoitetaan sitä toimenpidettä, jolla esimerkiksi työntekijä todistaa IT-järjestelmälle olevansa valtuutettu ylläpitohenkilö.
Tyypillinen todennus tapahtuu esimerkiksi oikealla tunnuksen ja salasanan yhdistelmällä. Vahvemmissa järjestelmissä voidaan käyttää useaa yhtäaikaista menetelmää, kuten sormenjäljen tunnistusta, sähköistä avainkorttia ja vaihtuvaa koodia. Kun käyttäjä on tunnistettu, voidaan hänelle luovuttaa asianmukaiset käyttöoikeudet. [5]
Tiedon kiistämättömyys
Väärinkäytön vähentämiseksi ja estämiseksi on järjestelmän käyttöä ja siellä tapahtuvia muutoksia seurattava. Tiedot voidaan tallentaa esimerkiksi erilliselle lokipalvelimelle. Näin on mahdollista myöhemmin kiistämättömästi todistaa käyttäjien tapahtumat tiettyinä kellonaikoina. [6]
Tietoja tallennettaessa on kuitenkin huomioitava myös luottamuksellisuus ja eheys. Mikäli lokipalvelimella tapahtuu tietomurto, eivät tiedot ole enää luotettavia. Tietojen kiistämättömyys on hävinnyt, koska luottamuksellisuutta ja eheyttä ei voida varmistaa.
Tietosuoja
Yleisen tietoturvan lisäksi yritysten on pystyttävä tarjoamaan työntekijöilleen ja muille sidosryhmille lain velvoittama yksityisyyden suoja. Tämä tietosuojana tunnettu termi tarkoittaa ihmisestä kerättävien henkilökohtaisten tietojen tallennusta ja käsittelyä koskevia asioita. Termiä ei pidä sekoittaa tietoturvaan, jonka tarkoituksena on kokonaisvaltaisempi tietojen suojeleminen. [7]
Nykyaikaiset Internetissä toimivat palvelut mahdollistavat esimerkiksi henkilön sijainnin näyttämisen kartalla matkapuhelimen avustuksella. Tällaisen palvelun tarjoaminen muille, ilman asianomaisen lupaa, olisi yksityisyyden loukkaamista. Yritysmaailmaan sopivampi esimerkki on työntekijöiden henkilötietojen paljastuminen ulkopuolisille henkilöille.
Lue seuraavaksi tietoturvan osa-alueista tai palaa sisällysluetteloon.
Lähteet
1 (Hakala ym. 2006, 4.)
2 (Harju 2010, 23.)
3 (Raggad 2010, 20–23.)
4 (Järvinen 2002, 22–24.)
5 (Raggad 2010, 22–23.)
6 (Järvinen 2002, 27–28.)
7 (Järvinen 2002, 21.)