maanantai 8. marraskuuta 2010

KRP: Tietoturvallisuuden hallinnan merkitys kasvaa

Keskusrikospoliisi julkaisi ensimmäisen otsikon raporttinsa vuodesta 2009 viime vuoden lopulla. Nyt 5.11.2010 julkaistiin päivitetty raportti. Jotain on vuodessa muuttunut, mutta paljon on pysynyt samana.

Yrityksiin kohdistuvan ja niitä hyödyntävän rikollisuuden tilannekuva sisältää tietoa suomalaisen viranomaisen näkökulmasta lähitulevaisuuden uhista sekä ohjeita uhkiin varautumisesta. Vuoden 2009 raportin yhteenveto löytyy jutustamme viime vuoden lokakuulta. Tänä vuonna keskeiset havainnot ovat: 

  • Ulkomaisten tilausperiaatteella toimivat rikollisryhmien lisääntyminen Suomessa 
  • Sähköiseen tietoon ja sen käsittelyyn kohdistuvat uhat 
  • Tietoturvallisuusriskit ja riskienarviointi organisaatioissa 
  • Tietojenkäsittely-ympäristön tekniset haavoittuvuudet 
  • Harmaan talouden vaikutukset 
  • Työssä koetun väkivallan lisääntyminen 

Selkein muutos viime vuoteen on tietoturvallisuuden selvästi korostunut merkitys. Viime vuonna vain yksi kohdista liittyi tietoturvaan. Tämä ei mielestäni johdu välttämättä suoraan toteutuneiden uhkien lisääntyneestä määrästä, vaan ihmisten heräämisestä tämän päivän toimintaympäristöön. KRP:n seurannan mukaan tosin myös uhkien määrä on kasvussa. Yhä useamman organisaation on pakko alkaa tunnustamaan, että toiminta ei todellakaan jatku ilman, että tietty tieto on koko ajan saatavilla. Se on myös useimmiten sähköisenä, eikä sen käsittely paperilla ole enää mahdollista ilman tietojenkäsittely-ympäristöä. Ikävä kyllä kyseinen ympäristö on juuri se asia, jonka yrityksen johto tuntee heikoiten.

Tätä tukee myös KRP:n raportti. ”Tällä hetkellä tietorikokset tekee erityisen helpoksi puutteellinen tietojenkäsittely-ympäristön hallinta.” (KRP, 5.11.2010). Eli suurin syy on se, että organisaatioiden tärkein ympäristö ei ole hallinnassa! Siihen kohdistuvia riskejä ei välttämättä edes tunneta. Vaikka IT-asiat ovat yleensä hankalia, suosittelen ehdottomasti asiaan tarttumista. Sen voi tehdä itse tai sen voi ulkoistaa – itse tekeminen edellyttää IT-tietämystä, mutta ulkoistus vaatii jatkuvaa sopimushallintaa ja sopimusjuridiikan tuntemista. Mitä ei hallitse, ei voi johtaa ja jos yksi tärkeimmistä tuotantotekijöistä ei ole johdettavissa, ollaan tuuliajolla. Hienoa on kuitenkin ollut käytännössä huomata, että organisaatiot ovat tähän vihdoin heräämässä ja rohkeita toimenpiteitä on aloitettu monessa paikassa.

Ei kommentteja:

Lähetä kommentti