Vastuullisuus on luottamuksen avain myös tietoturvassa

Tietoturva puhututtaa aktiivisesti organisaatioita niin kansainvälisesti, kuin Suomessakin. Tietoturvariskit eivät ole enää perinteisesti IT-riskejä, vaan niiden vaikutus liiketoiminnan jatkumiseen tunnistetaan nyt jo ylimmän johdon agendalla. Organisaatioiden asiakkaat, sidosryhmät, sijoittajat ja ympäröivä yhteiskunta, odottavat niiltä yhä enenevissä määrin vastuunkantoa asianmukaisesta tietoturvan varmistamisesta, minkä vuoksi tietoturvan merkitys osana organisaation vastuullisuuden mittareita kasvaa jatkuvasti. 

Organisaatioiden vastuu tietoturvasta kasvaa jatkuvasti digitalisaation myötä. Ympäristönäkökulmasta katsottuna tätä digitaalista kehitystä edellytetään erimerkiksi yhteiskunnallisesti merkittävien ympäristötavoitteiden saavuttamiseksi ja julkisten palvelujen toiminnan tehostamiseksi entisestään. Mitä pidemmälle elinympäristömme infrastruktuurin digitalisaatio kehittyy, sitä mukaa kehittyvät myös siihen liittyvä hyökkäyspinta-ala ja kyberuhat. Kolikolla on siis aina se kuuluisa kääntöpuoli. Kaikkien palvelujen kehittäminen tulisi tehdä tietoturvallisesti, jotta asetettuihin kehityksen tavoitteisiin päästäisiin turvallisesti.

Tietoturva on myös osa organisaatioiden suurempaa yhteiskunnallista vastuuta yksilöiden oikeuksien varmistamisessa. Henkilötietojen ja digitaalisen identiteetin hallinnan merkitys korostuu myös yksityishenkilöiden hyödyntämien palvelujen yhä digitalisoituessa. Yksityishenkilöt luottavat tietonsa organisaatioiden käsiin, olettaen niitä käsiteltävän vastuullisesti. Henkilötietojen mahdollisen vuotamisen vaikutukset liiketoimintaan ja sen jatkuvuuteen tunnetaankin organisaatioissa jo melko hyvin, mutta näiden lisäksi organisaatioiden tulee pystyä varmistamaan myös yksityishenkilön oikeudet omiin tietoihinsa. 

Organisaatioiden toimintaympäristö on jatkuvassa muutoksessa, minkä vuoksi myös tietoturvaan liittyä regulaatio kehittyy jatkuvasti, niin kansainvälisellä kuin kansallisellakin tasolla. Regulaatio edellyttää organisaatioilta usein teknisiä toimenpiteitä, turvallisten prosessien laatimista ja niiden riittävää dokumentointia. Kehittyvä regulaatio kasvattaa siis organisaatioiden velvoitteita minimitietoturvatason varmistamisesta, mikä voi tarkoittaa monille pienemmille organisaatioille merkittäviäkin toimenpiteitä, mikäli tietoturvaa ei ole varmistettu ajoissa. Organisaatioiden tulee olla valmiita vastaamaan jatkuvasti muuttuviin vaatimuksiin kehittämällä tietoturvaansa, siihen liittyviä prosesseja, kontrolleja ja dokumentaatiota ketterästi.

Jokaisen organisaation ei kuitenkaan ole tarkoituksenmukaista lähteä laatimaan maailmanluokan tietoturvakoneistoa pelkästään näihin vaatimuksiin vastatakseen, vaan ensin on tärkeää tunnistaa omaan toimintaan kohdistuvat tietoturvariskit. Tähän liittyvät olennaisesti organisaation toimiala, sen standardit ja laatuvaatimukset, maantieteellinen toimialue ja sen regulaatio, sekä asiakkaiden, sidosryhmien ja yhteistyökumppanien odotukset organisaation toiminnalle. Näiden asettamien odotusten ja vaatimusten myötä muodostuu pohja vaadittavalle tietoturvan tasolle, jonka mukaisesti toimintaa voi lähteä kehittämään järkevästi eteenpäin. 

Uusi vastuullisuusraportointidirektiivi tulee ulottamaan vastuullisuusraportointiin liittyvät vaatimukset yhä useampaan organisaatioon. Sen mukaan organisaatioiden tulee raportoida vastuullisuuden mittareistaan osana säännönmukaista raportointia. Tietoturvaa ei kannata sivuuttaa osana tätä, sillä siihen liittyvät taloudelliset riskit nähdään nykyään entistä merkittävämpinä uhkina liiketoiminnan jatkuvuudelle, minkä vuoksi sijoittajat, asiakkaat ja yhteistyökumppanit osaavatkin jo edellyttää organisaatioilta todisteita asianmukaisesta tietoturvan varmistamisesta. Läpinäkyvyys ja oikeanlainen raportointi tietoturvasta luo luottamusta organisaation toimintaan ja siihen, että se tunnistaa ja kantaa vastuunsa sen asiakkaille ja ympäröivälle yhteiskunnalle kauaskantoisesti. 

Jasmiina Rousu
Tietoturvapalvelut
Puh. +358 40 662 6281
etunimi.sukunimi@kpmg.fi