Tietoturva, GDPR ja tietosuoja. Nämä kaikki sanat ovat usein esillä sekä tiedotusvälineissä että yritysmaailmassa. Mutta mitä se on? Ja miten voit organisaationa varmistaa, että esimerkiksi GDPR:ää koskeva lähestymistapasi muuttuu riskitekijän sijasta kilpailueduksi?
Aloitetaan kuvaamalla, mistä näissä termeissä on kyse. Yleiskielessä yleistä termiä "vaatimustenmukaisuus" käytetään tyypillisesti paljon, kun kuvataan tietoja tai turvallisuussääntöjä ja -toimenpiteitä. Säännöt, joiden tiedämme olevan olemassa syystä, mutta joissain tapauksissa emme todellakaan tiedä miksi. Vaatimustenmukaisuus on itse asiassa aika hyvä termi tässä mielessä, ja se voidaan myös muotoilla esimerkiksi seuraavasti: "täysin voimassa olevien sääntöjen mukaisesti".
Viime vuonna sääntöjen noudattaminen oli kaikkien huulilla täydessä laajuudessa. Aivan kuten vuosituhannen vaihteen tietoturvan ympärillä käydyt kiistat, monet epäilivät, aiheuttaisiko yleinen tietosuoja-asetus (GDPR) raskaan taakan liiketoiminnalle ja saisiko se asiat romahtamaan 25. toukokuuta 2018 jälkeen, jolloin säännöt tulivat voimaan.
Kuten vuosituhannen vaihteen kysymyksen kohdalla, liike-elämä ei ole hajonnut, mutta meidän on tietysti oltava tietoisia siitä, että uusi todellisuus tuo mukanaan yrityksille lisääntyneitä riskejä, jotka liittyvät esimerkiksi puutteelliseen tietoturvaan. Toisaalta useiden alojen tiukemmat säännöt ja lisääntynyt keskittyminen sääntöjen noudattamiseen ovat edistäneet mahdollisuuksia luoda muita kilpailuetuja.
Kilpailuetu
Mutta miten sääntöjen noudattaminen voi olla kilpailuetu? Se voi olla esimerkiksi silloin, kun organisaatiosi valitsee toimittajia ja kumppaneita, jotka noudattavat uusia tai tarkistettuja sääntökokonaisuuksia tai toimivat jopa pakollista korkeammalla turvallisuustasolla. Tämä pätee erityisesti silloin, kun ostat pilvipohjaista / SaaS-palvelua solutions , joka täyttää uuden tietotekniikkatodellisuuden lainsäädännön vaatimukset.
Se tarkoittaa esimerkiksi sitä, että jos SaaS-palveluntarjoaja on pelinsä huipulla, voit nopeasti aloittaa toiminnan markkinoilla, joilla kansainvälisten sääntöjen paikallisten tulkintojen noudattaminen voi olla monimutkaista, kuten GDPR:n tapauksessa. Nämä voivat vaihdella paljonkin eri maiden välillä. On myös tosiasia, että useimmat yritykset tekevät mieluummin yhteistyötä sellaisten toimittajien ja kumppaneiden kanssa, joilla on tietoturva kunnossa. Toisin sanoen, jos pystyt dokumentoimaan korkean tietoturvatason toimittajiesi ja kumppaneidesi, erityisesti tärkeimpien kumppaneidesi, kanssa, voit hyödyntää tätä seikkaa myyntitilanteissa.
Valitse oikea toimittaja
Kun valitset pilviohjelmistojen toimittajan, on erittäin tärkeää tehdä yhteistyötä sellaisen tahon kanssa, jolla on tarvittavat resurssit tietojen suojaamiseen. On selvää, että on luokkia ja liiketoiminta-alueita, jotka ovat kriittisempiä kuin toiset, kun otetaan huomioon käsiteltävät tietotyypit. On kuitenkin erittäin tärkeää, että liiketoimintasi on täysin turvattu kaikilla aloilla, joilla käytät ulkoisia järjestelmiä tietojen käsittelyyn.
Sen vuoksi on erittäin suositeltavaa, että teet yksittäisiä tietojenkäsittelijäsopimuksia, jotka ovat niiden sääntöjen ja tulkintojen mukaisia, joita sovelletaan niissä maissa, joissa toimit. Useat standardit ja sertifioinnit voivat olla apuna, jos haluat varmistaa, että valitsemasi toimittaja noudattaa nykyisiä sääntöjä, lainsäädäntöä ja hyviä tietotekniikkakäytäntöjä. Erinomaiset SaaS-toimittajat tarjoavat sinulle kuitenkin mahdollisuuden tehdä etukäteen täysin kattavan tietojenkäsittelysopimuksen (DPA). Muista, että.
Jotkut toimittajat menevät jopa pidemmälle ja sertifioivat itsensä ISAE 3402 Type II -sertifioiduksi. Tämä voi tapahtua suorana vastauksena asiakkaiden ja liikekumppaneiden vaatimuksiin, mutta syynä voi olla myös se, että yritys haluaa lähettää markkinoille signaalin korkeasta uskottavuudesta. Tämä erityinen sertifiointi on kansainvälinen standardi IT-palvelujen tarjoajille, joilta edellytetään korkeaa turvallisuus- ja valvontatasoa. Tämä on erityisen tärkeää arkaluonteisilla aloilla, kuten pankki- ja rahoitusalalla, televiestinnässä tai julkisella sektorilla. Sertifikaatti varmistaa, että toimittaja täyttää vastuunsa "pilvi"-infrastruktuurin turvaamisesta parametrien mukaan - myös tietoturvan osalta.
Lopuksi suosittelemme, että tutkitte perusteellisesti mahdollisten toimittajien lähestymistavan tietoturvaan mahdollisimman varhaisessa vaiheessa tutkimusvaihetta. Näin voit mahdollisesti säästää aikaa ja resursseja myöhemmin ostoprosessin aikana. Tämä on banaali neuvo, mutta siitä huolimatta se on ehkä tärkein.
