Mikko Juvonen et al. määrittelevät tietoturvallisuuden kirjassaan Yrityksen riskienhallinta, seuraavasti: ”Tietoturvallisuudella tarkoitettaan laitteiden, ohjelmien, tietojen ja tietoverkkojen muodostaman tietojenkäsittelyratkaisun sekä sen avulla tuotettujen palvelujen asianmukaista suojaamista sekä normaaleissa oloissa että myös toiminnan tai olosuhteiden kannalta poikkeavissa oloissa toimittaessa hallinnollisilla, toiminnallisilla, teknisillä ja rakenteellisilla turvatoimilla ja toimenpiteillä.”

Tietotekniikasta on tullut merkittävä toimintojen väline alalla kuin alalla. Tietotekniikkaa upotetaan nykyään lähes mihin tahansa, jopa vaatteisiin.

Mitä laajemmalla alueella ja mitä yleisemmässä käytössä tietotekniikkaa on, sitä tärkeämpää on varmistaa sen toimivuuden lisäksi myös ylläpito sekä IT osaamisen saatavuus ja varajärjestelyt.

Monesti tietotekniikan kokonaisuudet ovat laajoja ja usein hajautettuja. IT toimintoja on ulkoistettu ja toimintavastuuta on siirretty itseltä muille toimijoille, jolloin heikentynyt valvontamahdollisuus on vain osittain organisaatiolla itsellään.

Yrityksen tietojenkäsittelyratkaisut ovat useiden tekijöiden monimutkainen summa. Näitä tekijöitä ovat mm:

 

 tieto- ja tietoliikennetekniikat

immateriaaliaineistot

osaaminen

infrastruktuuri

logistiikkaverkostot

jne.

 

Liiketoiminnan kannalta yrityksen tietojenkäsittelyratkaisut on turvattava niin, ettei synny rahoitusriskejä, imagoriskejä, liiketoimintariskejä, omaisuusriskejä eikä henkilöriskejä.

 

Tietoturvallisuus rakentuu

 

• käytettävyydestä,
• eheydestä ja
• luotettavuudesta.

  

Käytettävyydellä tarkoitetaan sitä, että tietojenkäsittelyratkaisun resurssit ovat tarvittaessa niiden käyttämiseen oikeutettujen käytettävissä.

Eheydellä tarkoitetaan sitä, että tiedot ja tietojärjestelmät ovat aitoja, oikeita, ajantasaisia kattavia ja käyttökelpoisia.

Luotettavuudella tarkoitetaan sitä, että tiedot ovat vain niihin oikeutettujen saatavilla.

Tieto on usein oleellinen osa toiminnan kannattavuutta. Tietoa pitää olla saatavilla silloin kun sitä tarvitaan. Tämän takaaminen on oleellinen osa tietoriskien hallintaa. Jos et tiedä vaikkapa varaston määriä, asiakkaan yhteystietoja, tuotannon kuormitusta tai muuta vastaavaa tietoa, yritystoimintasi vaikeutuu oleellisesti, ellei jopa keskeydy kokonaan.

Oman etusi mukaista ei yleensä ole sekään, että mainittuja tietoja päätyy ulkopuolisten käsiin tai, että nämä pääsevät muokkaamaan niitä.

Lopulliset tietoturvallisuusvaatimukset saadaan aikaan arvioimalla yrityksen tietojenkäsittelypalveluiden ja toiminnan käytettävyys-, eheys- ja luotettavuusongelmien vaikutuksia liiketoimintaan eri näkökulmista. Näistä muodostetaan sitten yhteinen näkemys tietoturvallisuusvaatimuksiksi.