Tiedon turvallisuusjohtaja Jari Pirhonen: Turvallisuus vaatii sopimista
Vastuuta palvelun turvallisuudesta ei voi siirtää palveluntarjoajalle. Onko sinulla selkeä käsitys siitä, miten turvallisuus hankkimissasi palveluissa hoidetaan? Turvallisuus voidaan käsittää eri tavoin, siksi turvallisuusvaatimuksista on ehdottomasti sovittava kirjallisesti.
Ostajan on avattava käsite turvallisuus ja määriteltävä, mitä se heille tarkoittaa. Palveluntarjoajan on taas pystyttävä selkeästi kertomaan, miten turvallisuus on palvelussa toteutettu. Usein sopimusneuvotteluissa yhteisen ymmärryksen löytäminen vie aikansa. Kokemus on opettanut, että ei kannata olettaa molempien osapuolien ymmärtävän turvallisuustermistön ja -ratkaisut samoin.
Turvallisuutta ei voi määritellä yksikäsitteisesti päällä/pois mekanismilla, vaan turvallisuustasoa täytyy skaalata tarpeiden, halutun riskitason ja kustannusten mukaan. Laatu maksaa tässäkin.
Sitä saa mitä tilaa
Hämmästyttävän usein palvelua hankittaessa sovitaan palvelun tavoitteet, palvelutaso, mittarit ja sanktiot hyvinkin tarkasti, mutta turvallisuus kuitataan muutamalla yleistason vaatimuksella.
Löytyy toki myös toinen äärilaita. On organisaatioita, jotka esittävät hyvinkin pitkiä ja yksityiskohtaisia turvallisuusvaatimuksia – jopa siinä määrin, että palveluntarjoajan on luotava sitä varten erillisiä toimintaympäristöjä ja prosesseja. Onnistuu toki, mutta näkyy myös kustannuksissa.
Tähän olisi hyvä löytää kultainen keskitie. Palveluntarjoaja velvoitetaan selkeästi huolehtimaan turvallisuustavoitteista siten, että toteutuma on arvioitavissa ja epäonnistumiset sanktioitavissa. Määritellään palveluntarjoajalle selkeät turvallisuustavoitteet, mutta mahdollistetaan toteutus palveluntarjoajan valitsemien toimintamallien ja tekniikoiden voimin.
Palveluja hankkiessaan moni organisaatio on oppinut kantapään kautta, että myös omaa osaamista on kehitettävä. Itse tekeminen on kovin erilaista kuin yhteistyö palveluntarjoajan kanssa ja toiminnan ohjaaminen ennakoivasti. Osto-osaaminen, sopimustekniikka ja palveluiden johtaminen nousevat arvoonsa.
Turvallisuussopimus
Turvallisuusvaatimukset ja -tavoitteet voidaan sisällyttää sopimusrakenteeseen monin tavoin. Tärkeimpien kumppaneiden kanssa suosittelen solmittavaksi turvallisuuden puitesopimuksen. Vähintäänkin kumppaneiden kanssa turvallisuudesta tulisi sopia erillisellä turvallisuusliitteellä. Ainoastaan hyvin rajatuissa palveluissa riittää turvallisuusvaatimusten sisällyttäminen palvelusopimuksen sisään.
Kannattaa harkita joustavaa sopimusmallia, jossa turvallisuussopimus sisältää sekä aina velvoittavat yleisen tason turvallisuusvaatimukset sekä palvelutasoiset vaatimukset, joiden toteuttaminen sovitaan palvelun riskitason mukaan.
Kattavassa turvallisuussopimuksessa kannattaa sopia ainakin seuraavista:
Noudatettavat standardit ja toimialan erityisvaatimukset | Turvallisuus sovelluksissa ja sovelluskehityksessä |
Alihankkijoiden sitouttaminen turvallisuusvaatimuksiin | Jatkuvuussuunnittelu |
Käytettävät turvallisuusratkaisut, palvelutaso ja sanktiot | Poikkeamien seuranta, käsittely ja raportointi |
Vaitiolositoumukset ja turvallisuusselvitykset | Turvallisuusyhteistyö |
Henkilökunnan turvallisuusosaaminen | Turvallisuustilanteen seuranta ja raportointi sekä turvallisuusratkaisujen kehittäminen |
Tietojen luottamuksellisuuden, eheyden ja tietosuojan varmistaminen tietojen koko elinkaaren ajan | Turvallisuustarkastukset ja arvioinnit |
EU tietosuoja-asetus on tuonut lisäryhtiä sopimusten laadintaan tilanteissa, joissa käsitellään henkilötietoja. On kuitenkin tärkeää muistaa, että yrityksessä on paljon arvokasta ja luottamuksellista tietoa, joka ei ole henkilötietoa – ethän unohda niitä?
Digitalisaatio haastaa kumppanuusverkostot
Toiminnan jatkuvasti etenevä digitalisointi tuo lisähaasteita. Kumppaneiden määrä lisääntyy, ympäristö monimutkaistuu ja tietojärjestelmiä integroidaan enemmän. Totaalinen kontrolli on mahdotonta, joten on syytä keskittyä arvokkaaseen omaisuuteen ja olennaisiin toimintamalleihin – myös turvallisuusvaatimuksissa. Liian tiukat turvallisuusvaatimukset palveluntarjoajalle voivat tuhota ketteryyden muutoshankkeissa.
Palveluiden toteuttamista ajatellaan usein ketjuna. Asiakas, kumppani, kumppanin alihankkija, alihankkijan alihankkija, jne. Nykyään legomalli tai verkosto kuvaa tilannetta paremmin. Näkyvyys toimijan turvallisuustilanteeseen hämärtyy sitä enemmän mitä kauemmas ulkokehälle päin verkostossa etenee. Oleellista on tunnistaa verkostonsa tärkeimmät toimijat. Se, että yritys tarkastaisi säännöllisesti kaikkien palveluntarjoajiensa ja alihankkijoidensa toiminnan, on useimmille utopiaa. Digitalisaation myötä luottamuksen rakentaminen sekä toimijoiden omaehtoiset turvallisuustarkastukset ja sertifioinnit nousevat arvoonsa.
Yhteistyö tärkeimpien kumppaneiden kanssa on jatkuvaa ja aikaa vievää. Muista sisällyttää turvallisuuden ohjaus osaksi kumppanin kanssa sovittavaa yhteistyömallia.
Mikä on palveluntarjoajasi turvallisuuslupaus?
Palveluntarjoajaa valittaessa on selvitettävä ehdokkaiden turvallisuuskyvykkyys. Itse suosin lähestymistä aluksi hyvinkin yleisen tason kysymyksillä:
- Miten osoitatte palvelunne ja toimintanne turvallisuuden?
- Mitkä ovat turvallisuustoimintanne periaatteet ja hallintamalli?
- Millainen on turvallisuuslupauksenne?
- Millaisia palveluunne liittyviä auditointiraportteja tai sertifikaatteja on saatavilla?
Vastaukset antavat hyvän kuvan palveluntarjoajan turvallisuuskyvykkyydestä. Mikäli vastaukset ja dokumentaatio löytyvät kuin apteekin hyllyltä, voi luottavaisin mielin lähteä jatkokeskusteluihin. Jos vastauksia ei saa kuin nyhtämällä, odotettavissa on kivuliaat sopimusneuvottelut.
Sopimusneuvotteluissa on hyvä pitää mielessään vanha totuus: sopimuksia laaditaan hyvässä, luottamuksen ilmapiirissä, mutta niitä tulkitaan täyden erimielisyyden vallitessa. Tämän vuoksi kannattaa heti alkuvaiheessa keskustella, sopia ja dokumentoida turvallisuusvaatimukset siten, että kummallakin osapuolella on sama käsitys asioista. Näin yhteistyö tälläkin saralla lähtee liikkeelle oikealla asenteella.
Jari Pirhonen
Turvallisuusjohtaja
Tieto
Twitter: @japi999
Tieto hyödyntää datakeskeisen maailman mahdollisuudet ja tuottaa niiden avulla arvoa yksilöille, organisaatioille ja yhteiskunnalle. Tavoitteemme on olla asiakkaillemme paras kumppani liiketoiminnan uudistamisessa. Ohjelmisto- ja palveluosaamisemme lisäksi hyödynnämme vahvasti yhdessä innovoinnin ja ekosysteemien mahdollisuudet. www.tieto.fi