Asiakirjojen tietoturvan kuusi vaihetta: paperisten ja sähköisten asiakirjojen suojaaminen

Nykyaikaisissa yrityksissä käsitellään paljon tietoa, mutta useinkaan ei välttämättä ole todellista käsitystä siitä, miten tiedot tuotetaan ja varastoidaan ja miten niihin pääsee käsiksi. Tästä voi aiheutua tietoturvariskejä. Seuraavassa tarkastellaan asiakirjojen tietoturvan kuutta vaihetta, jotka on otettava huomioon, kun kehitetään asiakirjojen tietoturvapolitiikkaa paperisten ja sähköisten asiakirjojen suojaamiseksi.

Organisaatioissa käsitellään joka päivä tuhansia eri muodossa olevia asiakirjoja, jotka ovat samalla vaarassa kadota, tulla varastetuksi tai vahingoittua. Yrityksen koosta riippumatta tehokas suojaus on ehdoton edellytys yrityksen tietoturvan varmistamiseksi.

IDC-tutkimuslaitos ennustaa, että maailmanlaajuisesti tuotetun tiedon määrä kasvaa käsittämättömään 163 zettatavuun (ZB) vuoteen 2025 mennessä. Se on kymmenekertainen määrä vuoteen 2017 verrattuna.

Yrityksen luoman ja käyttämän tiedon määrä, monimutkaisuus ja monimuotoisuus aiheuttavat haasteita hallinnalle ja valvonnalle. Tämän haasteen voittamiseksi yrityksen on ymmärrettävä ja kartoitettava omat asiakirjatyyppinsä - miten niitä käytetään, millaisessa vuorovaikutuksessa ne ovat liiketoimintaprosessien kanssa sekä miten ne tallennetaan, hallitaan, jaetaan ja säilytetään.

Asiakirjojen tietoturvan (tai sen puutteen) määritelmä on hyvin laaja. Sitä tulisi tarkastella asiakirjan elinkaaren näkökulmasta ja ottaa erityisesti huomioon tietoturvaloukkaukset, rakenteettomat tiedot, suojaamattomat tiedostot, inhimilliset erehdykset ja luvaton tietojen varastointipaikkaan pääsy.

Sharpin määrittelyn mukaan asiakirjojen tietoturva tarkoittaa sellaisten tietojen tietoturvaa, jotka on saatu paperisista asiakirjoista skannaamalla tai jotka ovat sähköisinä asiakirjoina jossakin yrityksen säilytyspaikassa, kuten Microsoft Office -tiedostoissa ja sähköposteissa.

Sharp jakaa asiakirjan elinkaaren kuuteen päävaiheeseen:

Vaihe 1: Hankinta

Hankinta on prosessin vaihe, jossa tiedot ”otetaan haltuun”. Kyseessä voi olla esimerkiksi paperiasiakirjojen skannaus, sähköpostilaatikon seuraaminen tai asiakirjojen luominen ja tallennus sovelluksesta käsin.

Skannaus on tavallisin tapa muuntaa paperiasiakirjat sähköiseen muotoon. Vaikka se on kätevää, prosessi ei ole jäljitettävissä ilman valvontaa. Tästä voi aiheutua tietoturvaan ja lainmukaisuuteen liittyviä haasteita.

Reititys on prosessi, jossa muodostetut asiakirjat toimitetaan oikeaan varastointipaikkaan. Ilman reititystä asiakirjat saattavat vahingossa päätyä väärään tai jopa suojattomaan säilytyspaikkaan.

Vaihe 2: Varastointi

Asiakirjojen turvallinen varastointi voi perustua paperiasiakirjoihin tai sähköisiin tiedostoihin. Monet yritykset eivät kuitenkaan kiinnitä tarpeeksi huomiota varastointitapaan, paikkaan eikä tarpeelliseen tietoturvaan.

Paperipohjaiset varastointijärjestelmät ovat edelleen hyvin yleisiä, mutta niistä puuttuu usein tietoturvan edellyttämä valvonta. Lisäksi on hyvin hankalaa esittää mitään paperisiin asiakirjoihin liittyviä auditointitietoja.

Sähköisen tallennusratkaisun toteutukseen liittyy usein odotus paperiasiakirjoja paremmasta ratkaisusta. Ilman asiantuntevaa suunnittelua ja hallintaa myös siihen kuitenkin liittyy haasteita. On esimerkiksi pohdittava, miten tällaiset järjestelmät on suojattava yrityksen verkossa, miten määritellään käyttöoikeudet sekä miten käyttöä seurataan tai rajoitetaan.

Vaihe 3: Hallinta

Hallinta liittyy lupiin, käyttäjien rooleihin, versionhallintaan ja jäljitettävyyteen. Lupien avulla hallitaan käyttäjien oikeuksia päästä käsiksi asiakirjoihin, joten ne ovat olennaisia tietoturvallisen asiakirjaympäristön ylläpidossa.

Vaikka lupa on käsitteenä helppo ymmärtää, ilman asianmukaisia järjestelmiä niiden käyttöönotto ja hallinta voi olla vaikeaa. Jotta lupakäytäntö olisi tehokas, yrityksessä on ensin ymmärrettävä, miten käyttäjien toiminta liittyy heidän tarvitsemiinsa tietoihin ja niihin prosesseihin, joissa he ovat mukana.

Jäljitettävyyttä varten jokainen asiakirjaan kohdistuva toiminta ja tapahtuma kirjataan, esimerkiksi asiakirjan luoja, muokkaaja, tarkastelija sekä uuden version laatija. Jäljityksen avulla kaikkiin asiakirjoihin kohdistuva toiminta voidaan todentaa. Se on tietoturvan kannalta avainasemassa erityisesti tietoturvarikkomuksen sattuessa.

.

Vaihe 4: Säilytys

Asiakirjojen ja tietojen säilyttäminen on myös tärkeä osa tietoturvallisen asiakirjaympäristön ylläpitoa. Perinteisiin tai sähköisiin arkistoihin varastoituja asiakirjoja on kuitenkin ylläpidettävä jatkuvasti, koska käytettävissä oleva tila on rajallinen.

Joitakin asiakirjoja on (lain mukaan) säilytettävä tietty aika. Tähän liittyviä haasteita ovat esimerkiksi kirjanpito sen varmistamiseksi, että ainoastaan säilytysajan ylittäneet asiakirjat poistetaan, että säilytyspolitiikan kohteena olevien asiakirjojen kaikki versiot ovat tiedossa sekä päätöksenteko siitä, voivatko käyttäjät hallita omia kirjastojaan vai pitäisikö prosessia hallita keskitetysti.

Seuraavaksi yritysten on laadittava menettelytavat kaiken paperilla olevan tiedon, sähköisten tiedostojen ja sähköisten kirjastojen tuhoamiseksi fyysisesti ja sähköisesti, kun ne ovat vanhentuneet tai vaadittu säilytysaika on päättynyt.

Vaihe 5: Jakaminen

Jakamisvaiheessa määritellään tavat, joilla sähköinen asiakirja voidaan jakaa muille käyttäjille tai liikekumppaneille.

Asiakirjojen jakaminen toteutetaan usein jaettujen kansioiden tai levyjen avulla. Jos tätä ei hallita asianmukaisesti, luvattomat käyttäjät tai käyttäjäryhmät saattavat löytää asiakirjat, päästä niihin käsiksi ja käyttää niitä.

Asiakirjojen käyttö mobiililaitteilla voi myös kuulua tähän vaiheeseen. Se aiheuttaa paljon mutkikkaampia käytön suojaamiseen liittyviä kysymyksiä.

Vaihe 6: Integrointi

Integraatioprosessissa tietoja vaihdetaan muiden liiketoimintasovellusten kanssa (esim. kirjanpito- tai toiminnanohjausjärjestelmä). Jokainen edeltävä vaihe on kriittisen tärkeä integraation onnistumisen kannalta, jotta data on yhdenmukaista ja luotettavaa.

Ratkaisu

Asiakirjojen tietoturva on tietoturvan tärkeimpiä osa-alueita kaikissa yrityksissä. Asiakirjojen tietoturvapolitiikan laatiminen voi kuitenkin olla aikaa vievä ja monimutkainen prosessi. Mutta Sharp voi auttaa.

Todistetusti toimivalla lähestymistavallaan asiakirjojen tietoturvaan Sharp auttaa yrityksiä rakentamaan ainutlaatuisia ja mittojen mukaan suunniteltuja järjestelmiä ja prosesseja jokaiseen asiakirjan elinkaaren vaiheeseen. Samalla Sharp auttaa näitä organisaatioita täyttämään uusimmat tietoturvamääräykset, kuten EU:n yleisen tietoturva-asetuksen määräykset.

Lataa Sharpin ilmainen Document Security White Paper ja lue lisää siitä, miten Sharp voi auttaa.