Ads 468x60px

maanantai 26. elokuuta 2013

Tietoturvan rooli kasvavassa ja kansainvälistyvässä yrityksessä

Onneksi yhä enenevässä määrin ymmärretään, että tieto on usean yrityksen kaikkein arvokkainta pääomaa sen sijainnista riippumatta. Silti saamme nauttia jokapäiväisten uutisten annista: tietomurrot, eri laitteiden ja sovellusten haavoittuvuudet, palvelunestohyökkäykset, yrityssalaisuuksien kalastelu... Tietoturvan pettäessä suorat tai kerrannaisvaikutukset (esim. mainevauriot) voivat olla yrityksen liiketoiminnan kannalta merkittäviä, jopa kohtalokkaita. Tietoturvan ei silti tulisi estää järkevää ja kannattavaa liiketoimintaa, pikemminkin luoda sille riittävät hygieeniset puitteet turvalliseen liiketoimintaan ja sen kehittämiseen. Tässä kirjoituksessa tuon esiin muutaman seikan kasvua tavoittelevien ja kansainvälistyvien yritysten huomioitavaksi.

Mikäli yritys tavoittelee kasvua ulkomailta, sen tulee proaktiivisesti huomioida tietoturva ja siihen liittyvä riskienhallinta. Paikallisia yhteistyökumppaneita valittaessa tulee tarvittavan liiketoimintaosaamisen lisäksi kiinnittää erityistä huomiota tietoturva- ja tietosuojaperiaatteisiin. Monelta harmilta vältytään, kun varmistutaan huolellisesti sopimusvaiheessa siitä, että osapuolet ymmärtävät ja huomioivat myös tietoturvaan ja tietosuojaan liittyvät vastuut, operatiiviset riskit sekä mahdolliset seuraamukset ja niihin liittyvän vastuunjaon ja pelisäännöt. Tämä vaatii emoyritykseltä riittävää suunnittelua, valveutuneisuutta ja ymmärrystä tietoturvan suhteen, jotta tietoturvan noudattaminen ja siihen liittyvät periaatteet voidaan onnistuneesti jalkauttaa myös yhteistyökumppaneiden keskuuteen. Yhteistyökumppaneiden arvioinnissa erään käteenkäyvän laatukriteerin tarjoavat erilaiset maailmanlaajuisesti tunnetut tietoturvasertifioinnit, kuten finanssialan PCI DSS-maksukorttiturvastandardi tai tietoturvan johtamisjärjestelmästandardi ISO27001, joka on IT-palveluntarjoajien sertifiointisalkun perustavaraa. Lisäksi taloushallintopalveluiden tarjoajia velvoittavat kansainväliset tilintarkastusstandardit kuten mm. ISAE3402. Näiden esimerkkien lisäksi on olemassa runsaasti maa- tai toimialakohtaisia sertifiointeja. Ymmärrettävä on, että mikään sertifiointi sinänsä ei voi taata täydellistä ja rikkumatonta tietoturvaa, mutta sertifioinnit antavat vahvan osoituksen siitä, että tietoturva ja siihen liittyvät riskit on yrityksessä huomioitu riittävällä tavalla.

Tietovuoto voi merkitä yritykselle niin kilpailuedun menettämistä kuin sanktioita, joilla voi olla jopa kohtalokkaita seurauksia. Esimerkiksi hollantilainen tietoturvayritys, varmenteiden myöntäjä (Certificate Authority) DigiNotar joutui lopettamaan liiketoimintansa tietovuodon seurauksena vuonna 2011. Euroopan unionin tuleva tietosuoja-asetus nostaa tietovuodot valokeilaan antaessaan tietosuojaa valvoville viranomaisille suoran sakotusoikeuden. Uuden asetuksen mukaan tietosuojasäännösten rikkomisesta voidaan langettaa sakko, joka voi olla nousta jopa kahteen prosenttiin rikkomuksen tehneen yrityksen globaalista liikevaihdosta. Suurten sanktioiden todennäköisyyttä ei pienennä se fakta, että useissa suomalaisissa yrityksissä tietoturvasta ja tietosuojasta ei ole välttämättä huolehdittu riittävällä tasolla. Olemme kaikki kuulleet sanonnan ”There ain’t no such thing as bad publicity”. Tietovuotoja ja tietoturvaloukkauksia voidaan myös hyödyntää yrityksen markkinoinnissa. Yleisöä kiinnostava ”tietoturvailmiö” (kuten esim. poikkeavasti muotoiltu www-sivu tai ”vahingossa” vuotanut tuotevideo) voi tuoda suurtakin julkisuutta ja toimia täten erinomaisena ja edullisenakin markkinointiviestinnän muotona. On kuitenkin huomattava, että tällainen toiminta edellyttää hyvin tarkkaa harkintaa, ajoitusta, kohdekulttuurien tuntemusta sekä viestinnällistä valmiutta vastata median tiedusteluihin asiaa koskien, unohtamatta hyvin suunniteltua ja johdettua prosessia tietoturvan ja tietovuotojen hallintaan.

Liiketoiminnan kasvu on itseoikeutetusti kasvuyrityksen ykkösprioriteetti. Hyvin hoidettu tietoturvallisuus luo kasvulle perustan ja edellytykset ja minimoi ikävien sattumien riskiä. Huolehdithan, että tietoturvaan liittyvät roolit ja vastuut on selkeästi määritelty yrityksesi sisällä sekä yhteistyökumppaniesi välillä. Muista myös, että tietoturvavaatimusten toteutuminen käytännössä pitää varmistaa, unohtamatta sitä, että työnantajayrityksellä on valvontavastuu tietoturvamääräysten noudattamisesta.

Menestyksekästä ja tietoturvallista liiketoimintasyksyä!

1 kommentti:

mikk0j kirjoitti...

Kiehtova artikkeli. Tuossa organisaatioiden toimiessa ulkomailla korostuu muutama, aivan erityinen seikka. Nostan esille yhden: Luotettavien kumppanien löytäminen. Tämä ei ole aivan yksiselitteinen juttu. Kumppaneita tarvitaan se kuuluisa 360-astetta ympäri organisaation.

Moni orastavaa liiketoimintaa ulkoimailla rakentava organisaatio on pyrkinyt ratkaisemaan em. ongelmia tekemällä hankintakanavan kotimaassa valmiiksi. Hankaluudeksi tässäkin tapauksessa nousee luottamus.

"Koto-Suomessa" ja sen sisällä asiat ovat yksinkertaisia, mutta heti kun toimimme ulkomaille - aiheutuu tästä riskejä koko toimijaketjuun. Miten voimme arvottaa toimijaketjun luotettavuutta - ja vastaavasti miten toimijaketju voi arvioida toiseen suuntaan heidän asiakkaiden toimintaa kohti uskottavaa kumppanuutta? Törmäsin yhteen tapaukseen tässä kesällä jossa em. mallia käytettiin välineenä "uudentyyppiseen" joskin hyvin perinteisellä kaavalla toteutettuun petokseen.

Löytyy https://mikk0j.wordpress.com/2013/07/29/unfolding-double-twins-deception-scheme/

Lähetä kommentti