Mitä kaikkien maailmanlaajuisesti toimivien yritysten tulee tietää GDPR:sta
Joitakin ajatuksia tulevasta EU:n yleisestä tietosuoja-asetuksesta (GDPR).
Harri Mikkanen
Microsoft Surface liiketoimintajohtaja
Ensimmäisen kahden rivin toteamus näkyy arjessani siten, että vaikka koen olevani varsin valveutunut verkon käyttäjä, löydän itseni “läheltä piti” -tilanteiden parista harmillisen usein. Olen esimerkiksi törmännyt huijaussivustoihin, jotka matkivat äärimmäisen tarkasti rekisteröitymissivuja tapahtumiin. Näiden kautta saattaa huomaamattaan antaa itsestään tietoja vääriin käsiin.
Tilanne ole paranemaan päin, ja tämän hetken näkymää voisikin kuvata sanalla kuumottava. Miksikö? Koska jo pelkästään 2016 vuonna käyttäjiin kohdistuneet hyökkäykset kasvoivat 300 prosentilla!
Totean tähän väliin vain, että teknologia kehittyy. Laitteiden ja palveluiden tietoturvaa kehitetään jatkuvasti. Se ei kuitenkaan aina auta. Tietoturvan heikoin lenkki on nimittäin ihminen. Tämä on jokaisen meidän syytä tiedostaa, kun sähköpostiin paukahtaa viesti epämääräisine linkkeineen.
On myös hyvä pitää mielessä, että hakkerit suorastaan vaanivat meitä ihmisiä. He ovat tunnistaneet heikkouden – ihminen on se heikko kohta, josta murtautua sisään järjestelmiin. Mikä pelottavinta, hakkerit lymyävät jopa 200 päivää yrityksen verkossa ennen kuin heidät huomataan.
Miltä sinusta tuntuisi, jos murtovaras istuisi olohuoneessasi 200 päivää tonkien sinun tietojasi ja seuraten elämäsi kulkua?
Tietoturva ei ole vain IT:n asia, vaan myös hyvin suuresti liiketoiminnan ja liiketoimintajohdon asia. Onnistuakseen yrityksen johdolta vaaditaan sitoutumista ja tahtotilaa. Johdon on ymmärrettävä, kuinka tietoturvaa ylläpidetään ja mitä moderneja palveluita yrityksen tulee hankkia liiketoiminnan ja IT:n tueksi, sillä mikään johto tai kukaan johdon jäsen ei varmasti halua aiheuttaa yritykselle ylimääräistä 200 miljoonan kustannuserää olemalla laiska tietoturvailija. Siitä olen varma.
IT:n tulee mielestäni tarjota käyttäjille niin hyvät työkalut liiketoiminnan digitalisointiin ettei ns. varjo-IT:lle jää tilaa. Hyvä esimerkki tästä on yksinkertainen dokumenttien jako, jonka voit tehdä käyttämällä Office 365 -palvelun OneDrive for Business -pilvitallennustilaa. Käyttäjät voivat helposti jakaa tietoa sisäisesti ja ulkoisesti. Ja ennen kaikkea tietoturvallisesti siten, että jakaja ja yritys omistavat aina tiedon ja määräävät, mitä tiedolle voidaan tehdä. Mikäli tällaiseen ei löydy asiakkaan omista työkaluista vaihtoehtoa, on vaarana, että työntekijä löytää kuluttajapalvelun, jossa datan omistajuus ja hallinta eivät jaon jälkeen olekaan enää yrityksen eivätkä välttämättä jakajan käsissä.
*Määritelmä: varjo-IT tarkoittaa käyttäjien käyttämiä palveluita, jotka eivät vastaa yrityksen ohjeistusta tai IT:n sallimia palveluita. Varjo-IT:tä käytetään usein yrityksen tietojen jakamisessa tai kommunikoinnissa.*
Kieltojen tie on jo nähty. Nyt pitäisikin keskittyä liiketoiminnan digitalisointiin ja sitä kautta kasvun ja uusien liiketoimintojen löytämiseen. Tässä tietohallinto on yrityksen tärkein kasvun kumppani sekä mahdollistaja.
Ehdotan, että siirrymme käyttäjien syyttelystä tuottavuuden mahdollistamiseen. Tuottavuus syntyy moderneilla palveluilla. Olemme tietoisia varjo-it:n vaaroista, jotka olemme huomioineet muun muassa uusien Windows 10 -laitteiden kohdalla. Sovitaanko niin, että pidetään ”varjo-IT” kurissa ja käyttäjät sekä tuottavina että tyytyväisinä? Varmistetaan yhdessä, että hakkerit eivät pääse lymyilemään teidän olohuoneessa.
Microsoftin pilvipalvelut ovat lähtökohtaisesti GDPR-yhdenmukaisia 25.5.2017 mennessä eivätkä ne vain nosta yrityksen tietoturvatasoa, vaan myös antavat työkaluja yrityksille heidän sisäisten prosessien tueksi.
Mikäli aihe kiinnostaa, niin katso tästä tallenne aiemmin tällä viikolla Microsoftin ja KPMG:n järjestämästä liiketoimintajohdolle suunnatusta webinaarista.
Voit käydä myös tekemässä nopean GDPR-valmiustilatestin Microsoftin tietoturva-sivustolla.