Viranomaisten sääntely on pakottanut yhtiöt arvioimaan nykyisen tilanteensa. Samalla on selvinnyt, että yritysten tietoturva ei sittenkään ole kovin hyvällä tasolla.

- Hassua on, että vaikka olemme aina keskittyneet käyttöoikeuksien hallintaan, melkein kaikissa yhtiöissä se on retuperällä. Sääntelyn vaikutukset tulevat esiin, kun yritykset huomaavat tämän, van Zanten sanoo.

Työntekijöillä liikaa käyttöoikeuksia

Nyt työntekijöillä on paljon enemmän käyttöoikeuksia kuin he tarvitsisivat työnsä tekemiseen, ja järjestelmissä kummittelee väkeä, joka ei enää työskentele yhtiössä.

- Se on ymmärrettävää, mutta ei niin silti saisi käydä. Kaikki sääntely tähtää siihen, että ihmiset tietävät, mitä tehdä, van Zanten toteaa.

Yhtiöt oppivat tulemaan toimeen sääntelyn kanssa niin, että ne voivat keskittyä taas liiketoimintaansa. Myös sääntelijät oppivat.

- Vaatimusten taso ei laske, mutta terve järki on tulossa mukaan. Uusi sääntelyviranomainen on aluksi ankara ja näpäyttää pienestäkin asiasta. Pikku hiljaa se alkaa ymmärtää, mikä on hyväksyttävää ja mikä ei. Se raja pitää löytää, van Zanten sanoo.

Ulkoista ja opi

Monelle yritykselle selviää vasta ulkoistushalukkuuden myötä, etteivät ne itse asiassa tiedä, mitä niillä on ja mitä ne ovat ulkoistamassa.

- Tilanne on sama Suomessa. Tietoturvaa ei mietitä kovin tarkasti ulkoistussopimuksissa. Myös täällä on ulkoistusten yhteydessä havahduttu miettimään palvelun laadun merkitystä ja mittaamista esimerkiksi auditointien avulla, sanoo KPMG:n tietoturva-asiantuntija Mika Laaksonen.

Van Zantenin mukaan osa yhtiöistä arvioi uudelleen ulkoistusstrategiansa, kun niille selviää, että ulkoistuskumppani ulkoistaakin omia palvelujaan asiakkaan tietämättä edelleen Intiaan.

Tilanne on hankala varsinkin isoille organisaatioille. Ulkoistamista opetellaan vielä, ja tietoturva tulee jälkijunassa.

Ongelmia on siinä, ettei vastuuta voi ulkoistaa ja siinä, että tietoturvavaatimukset varmasti täyttyvät. Siksi auditoidaan, ja se taas on kulu ulkoistuspartnerille.

Usein pulmat johtuvat siitä, ettei tietoturvaväkeä ole otettu sopimusneuvotteluihin mukaan alusta lähtien. Sitä ei saa, mitä ei tilaa.

- Joskus sopimus odottaa enää allekirjoitusta pöydällä kun huomataan, että siihen sisältyy tietoturva-asiaa, van Zanten huokaa.