Datasäkerhetschef Toni Kirjalainen: Datasäkerhet redan i planeringsskedet
fre apr. 22 15:45:00 2022
Toni råkade komma i kontakt med datasäkerhet av en slump när han arbetstränade i en kompis firma, som sålde produkter för att kryptera data. ”Jag började sedan sälja säkerhetsprodukter, olika slags enhets- och systemkrypteringar.”
”Jag startade senare en konsultfirma för datasäkerhet med en kompis, när jag upptäckte att det inte fanns någon sådan i Södra Savolax. Jag drev egen firma i cirka tio år tills jag hoppade över till Telia. På Telia fick jag bekanta mig med dagens teknologier och bygga system och miljöer baserade på molnteknik till kunderna. Samtidigt fick jag se hur man utför riskhantering och vilka slags datasäkerhetsprinciper företagen har.”
”Från Telia gick jag sedan över till Palkeet. Veckopendlandet från S:t Michel till Helsingfors byttes ut mot fyra minuters promenad till jobbet. Det här är lyx, nu har jag rikligt med tid över för familjen, som består av min fru och tre söner, samt för fritidsintressen.”
Vad skyddas och varför?
Datasäkerhet kan ofta ses som en besvärlig sak som försvårar arbetandet. Toni anser att datasäkerhet inte är en hämmande faktor. Det viktiga är att förstå vad man skyddar och varför.
”Man kan förbjuda eller hindra många saker i datasäkerhetens namn. Datasäkerhet är dock ganska sällan något hämmande. Ofta säger man nej, eftersom man inte orkar undersöka om man kunde göra saken på ett annat, säkert sätt.”
”Mitt personliga uppdrag har varit att rädda en organisation i taget till datasäkerhetens stig. Datasäkerhet berör var och en av oss. Den allt mer digitaliserade världen har lett till att tydliga gränser mellan arbete och privatliv har vittrat sönder.”
Visionen om datasäkerhet och dataskydd behövs direkt i början, i planeringsskedet av tjänsten eller systemet. Det är lättare att korrigera och ge anvisningar i början än efter ibruktagandet. I vår har Toni Kirjalainen fått vara med och definiera datasäkerhetskraven för statens personalundersökning, VMBaro, som ska förnyas.
”I definierandet koncentrerar vi oss bland annat på hur systemet fungerar enligt våra krav. Vi identifierar till exempel var datan är, hurdan data man samlar in, vem kan behandla den och om man behöver begränsa användandet.”
”Organisationen ansvarar själv för den information som de samlar in. Det är dock viktigt att fundera på hurdana anvisningar man gör för användarna, så att man exempelvis inte frågar saker som är fel enligt dataskyddet och GDPR-kraven.”
I gruppen Datasäkerhet och dataskydd inom Palkeet ingår också Sami Nikula, som koncentrerar sig på dataskydd och kontinuitetsplanering samt Maarit Koivuniemi, som är insatt i organisering av säkerhetsövningar.