Tietoturvan pariin Toni eksyi vahingossa mennessään työharjoitteluun kaverin firmaan, joka myi tiedon salaamiseen käytettäviä tuotteita. ”Päädyin sitten myymään turvatuotteita, erilaisia laite- ja järjestelmäsalauksia.”

”Perustin myöhemmin kaverin kanssa tietoturvan konsulttifirman, kun huomasin, ettei Etelä-Savossa tällaista ole. Omaa firmaa vedin noin kymmenen vuotta, kunnes hyppäsin Telian leipiin. Telialla pääsin tutustumaan tämän päivän teknologioihin ja rakentamaan asiakkaille pilviteknologioihin perustuvia järjestelmiä ja ympäristöjä. Samalla pääsin näkemään, miten tehdään riskien hallintaa ja millaisia tietoturvaperiaatteita yrityksillä on.”

”Telialta siirryin sitten Palkeisiin. Ajaminen viikoittain Mikkelistä Helsinkiin vaihtui neljän minuutin työmatkaan kävellen. Tämä on ihan luksusta, nyt jää runsaasti aikaa perheelle, johon kuuluu vaimo sekä kolme poikaa, ja harrastuksille. ”

Mitä suojataan ja miksi?

Tietoturva saatetaan usein nähdä ikävänä asiana, joka hankaloittaa työn tekemistä. Tonin mielestä tietoturva ei ole estävä tekijä. Keskeistä on ymmärtää mitä suojataan ja miksi.

”Tietoturvan nimissä saatetaan kieltää tai estää paljon asioita. Aika harvoin tietoturva kuitenkin on estävä asia. Usein sanotaan ei siksi, ettei jakseta tutkia, voisiko asian tehdä jotenkin muuten, turvallisesti.”

”Henkilökohtaisena missionani on ollut pelastaa organisaatio kerrallaan tietoturvan polulle. Tietoturva koskettaa meitä jokaista. Digitaalistuvan maailman myötä selkeät rajat työn ja henkilökohtaisen elämän välillä ovat murentuneet.”  

Tietoturva- ja tietosuojanäkemystä tarvitaan heti alussa, palvelun tai järjestelmän suunnitteluvaiheessa. Alkupäässä on helpompi korjata ja ohjeistaa, kun käyttöönoton jälkeen. Tänä keväänä Toni Kirjalainen on päässyt mukaan uudistettavana olevan valtion henkilöstötutkimuksen, VMBaron, tietoturva-vaatimusten määrittelyyn.

”Määrittelyssä keskitytään mm. siihen, miten järjestelmä toimii meidän vaatimusten mukaan. Tunnistetaan esim. missä data on, minkälaista dataa kerätään, kuka sitä pääsee käsittelemään ja onko käyttöön tehtävä rajauksia.”

”Organisaatio itse vastaa siitä tiedosta, mitä he keräävät. Tärkeää on kuitenkin miettiä, minkälaisia ohjeistuksia käyttäjille tehdään, ettei tule esim. kysyttyä sellaisia asioita, jotka ovat tietosuojan ja GDPR-vaatimusten mukaan väärin.”

Palkeiden Tietoturva ja tietosuoja -ryhmään kuuluvat lisäksi tietosuojaan keskittyvä Sami Nikula ja jatkuvuussuunnitteluun sekä turvallisuusharjoitusten järjestämiseen perehtynyt Maarit Koivuniemi.