Eväitä onnistuneeseen ATK-ulkoistukseen

Tieto- ja viestintätekniikan palveluiden ulkoistaminen ei ole taikatemppu, jolla tietojen omistajan vastuun voisi poistaa. Ulkoistuksen valmistelu ja palvelun laadun seuranta vaativat vähintään yhtä paljon huolellisuutta kuin itse tuotettujen palveluiden tapauksessa. Oleellista on ymmärtää, että tilaavan organisaation turvallisuuskulttuuri ja -käytännöt eivät siirry automaattisesti ulkoistuskumppanille.

Tarpeiden ja vaatimusten määritteleminen

Tietoturvallisuuden hallinta alkaa tietojenkäsittelyn tarpeiden määrittelemisellä. Tietojen omistajan on pohdittava, minkälaista tietojen käsittelyä hän tarvitsee päästäkseen tavoitteisiinsa ja minkälaisten ulkoisten rajoitteiden vaikutuspiirissä hän toimii.

Niin kuin kaiken inhimillisen toiminnan johtamiseen, myös tietojenkäsittelyyn kuuluu riskien hallinta. Aloituspiste riskien hallinnan prosessissa on riskien tunnistaminen ja arviointi. Valtiovarainministeriö on julkaissut ohjeen riskienhallintaan (Valtiovarainministeriön julkaisuja 22/2017), jota saa soveltaa myös muualla kuin valtionhallinnossa. ISACA-yhdistyksen Risk IT -viitekehys on esimerkki kansainvälisesti tunnustetusta tietoriskien hallinnan mallista.

Riskien arvioinnin myötä tietojen omistaja voi laatia vaatimuksia tietoturvallisuuden hallinnalle. Eräs vaatimus voi olla, että yrityksen asiakasrekisteri on suojattava tahattomalta ja tahalliselta paljastumiselta sivullisille ja että sen on oltava koko ajan yrityksen saatavissa. Viranomaisten turvaluokitellun tiedon käsittelyyn on runsaasti yksityiskohtaisia vaatimuksia. Niistä voi lukea lisää Viestintäviraston NCSA-toiminnon sivulta.

Vaatimuksia kannattaa määritellä myös sen varalle, että kaikesta varatumisesta huolimatta tietoturvaa loukataan. Useissa Viestintäviraston tietoturvajulkaisuissa on neuvoja ja vinkkejä hyvistä tietoturvavaatimuksista. Linkkejä niihin on tämän artikkelin Lisätietoja-kappaleessa.

Tietojenkäsittelyn toteuttajan ja toteutustavan valinta

Kun tarpeet ja vaatimukset on määritely, voidaan ryhtyä vertailemaan tapoja, joilla tietojenkäsittely voitaisiin toteuttaa. Ratkaisuun vaikuttavat ainakin ratkaisuvaihtoehtojen tekniset mahdollisuudet, hinta ja läpinäkyvyys riskien suhteen. VAHTI-ohje ICT-toiminnan varautuminen häiriö- ja erityistilanteisiin (2/2009) opastaa oikeiden kysymysten kysymiseen riskienhallinnan näkökulmasta.

Mikäli ratkaisun osaksi tai toteuttajaksi otetaan ulkoisia kumppaneita, korostuu asioista sopimisen tärkeys. Asiaa käsitellään VAHTI-ohjeessa Valtion ICT-hankintojen tietoturvaohje (3/2011). Tietojen omistajan vastuuta tietojen riittävästä suojaamisesta ei voi kuitenkaan ulkoistaa. Omistaja vastaa aina, että suojaamisen vähimmäisvaatimukset ovat riittävät ja että palveluntarjoaja oikeasti toteuttaa ne.

Tietoturvan poikkeustilanteiden huomioimisen helpottamiseksi sopimuksissa on Huoltovarmuuskeskuksen johdolla kehitetty SOPIVA-suosituksia ja -mallisopimuslauseita. Tietoturvapoikkeamien käsittelystä sopimista käsitellään myös useissa Viestintäviraston tietoturvajulkaisuissa; katso Lisätietoja-kappale.

Tietoturvallisuuden toteutumiseen vaikuttavat keskeisesti paitsi tekniset ratkaisut, myös organisaation toiminnan käytännöt sekä toimintaan osallistuvat ihmiset. Tietojenkäsittelyn toteuttajaa ja toteutustapaa valittaessa on syytä miettiä myös henkilöstöstä kumpuavia riskejä. Niitä käsitellään VAHTI-ohjeessa Tärkein tekijä on ihminen - henkilöstöturvallisuus osana tietoturvallisuutta (2/2008).

Käyttö ja valvonta

Tietojärjestelmien käyttöön tulee antaa käyttäjille ohjeet. Ohjeiden tulee käsitellä sitä, mikä on tietojärjestelmien hyväksyttyä ja mikä kiellettyä käyttöä.

Käytön oikeellisuutta kannattaa myös valvoa. Keskeinen väline käytön valvonnassa ovat lokitiedot. Niiden käyttöä käsittelee muun muassa VAHTI-ohje 3/2009.

Tuotteen ja palvelun toteuttamisesta tehdyistä sopimuksista huolimatta vastuu tietojen riittävästä suojaamisesta säilyy kuitenkin aina tietojen omistajalla. Siksi varsinkin ulkoistettujen tietojenkäsittelypalveluiden käytännön toteutus ja käyttötavat kannattaa auditoida säännöllisesti. Auditointeja ja muita jatkuvuudenhallinnan käytäntöjä käsitellään muun muassa VAHTI-ohjeessa 2/2016. Valvontavastuu ei ulkoistuksissa oikeastaan eroa organisaation itse tuottamien palveluiden valvontavastuusta.

Lisätietoja

Viestintäviraston julkaisuja:

Muita julkaisuja:

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Loki , NCSA , Pilvipalvelu , Riskienhallinta , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248