Samalla Euroopan Unionin yleinen tietosuoja-asetus, eli GDPR, yhtenäistää EU:n yhteistä henkilötietolainsäädäntöä. Finnish Data Center Forum ry:n hallituksen jäsenen Jukka-Pekka Partasen mukaan uusi tietosuoja-asetus on periaatteessa hyvä asia.

– Asetus tuo toki jonkun verran työtä yrityksille, mutta se yhtenäistää käytäntöjä, Partanen muotoilee.

Partasen mukaan tietoturva rakentuu viidestä eri ulottuvuudesta:

  1. Fyysinen turvallisuus. Tällä tarkoitetaan, esimerkiksi sitä, että konesaliin pääsy on rajattua.
  2. Henkilöstön turvallisuus. Henkilöstöä kouluttamalla ja ohjeistamalla voidaan parantaa henkilötyöturvallisuuden tasoa.
  3. Hallinnollinen turvallisuus. Esimerkiksi yritysten käyttämillä prosesseilla ja sovituilla menetelmillä voidaan vaikuttaa tietoturvaan.
  4. Tietoliikenneturva. Tietoliikenneturva liittyy esimerkiksi siihen, ettei kukaan pystyisi kuuntelemaan sitä liikennettä, mitä verkossa liikkuu.
  5. Tietoturva. Rajatut käyttäjät ja käyttöoikeudet, esimerkiksi ainoastaan valitut henkilöt pääsevät tallennettuun dataan käsiksi.

Fyysisellä turvallisuudella viitataan konesaleihin ja näistä löytyy muun muassa VAHTI-luokituksessa erilaisia suojaustasoja yhdestä neljään. Suojausten kriteerit liittyvät sellaisiin asioihin kuin, että käytetäänkö murtosuojattuja ovia ja minkälaisia seinärakenteita on käytetty. Partasen mukaan henkilöstöön liittyvät näkökulmat ovat tietoturvan kaikista heikoin lenkki ja henkilöstön koulutukseen panostamalla voidaan minimoida tietoturvaan liittyvät riskit.

Hallinnolliseen turvaan liittyy Partasen mukaan ne käytännöt, sertifikaatit ja prosessit, joita yritys toiminnassaan käyttää. Käytännössä voidaan puhua esimerkiksi siitä, miten yrityksessä toimitaan puhelimien ja puhelimissa olevan tiedon suhteen. Tietoliikenneturva voi myös olla valtiollinen kysymys. Perustietoturva liittyy siihen, että ainoastaan asianomaisilla henkilöillä on pääsy tallennettuun dataan ja miten sitä tietoa voidaan käsitellä.

– Osa datakapasiteetin ulkoistavista yrityksistä auditoi itse palveluntarjoajan tarjoamat tilat ja osa ostaa tilojen auditoinnin ulkopuoliselta toimijalta. Suurin osa luottaa kuitenkin siihen, että ISO 27001 –sertifikaatti takaa sen, että perustietoturva, hallintajärjestelmät ja tuotetut palvelut ovat tietoturvallisesti hallinnoituja ja toteutettuja, kertoo Partanen.

Tietoturvassa on meneillään useita eri kehityssuuntia. Kun suuretkin yritykset saattoivat ennen pitää omia konesalejaan siivouskomeroissaan tai asiakastietojaan mapeissa yrityksen käytävillä, on nyt nähtävissä yhä voimistuva ulkoistamisen trendi.

Partasen mukaan monikaan yritys ei koe, että tietoturva ja konesalit olisivat niiden ydinosaamista. Digitaalinenkin toimija keskittyy itse tuotteeseen ja ostaa tiedonsäilytyksen ammattimaiselta toimijalta.

Nyt käsillä oleva tietoturva-asetus tulee Partasen mukaan työllistämään toisia yrityksiä enemmän kuin toisia. Osalla yrityksistä asiat ovat jo pitkälti kunnossa ja asetuksen käytännön seuraamukset rajoittuvat lähinnä vastuuhenkilön nimeämiseen ja vastuihin.