Digitalisaatio järjestöissä

4.6.2014 15:20

Missä jäsentietonne majailevat? 6 asiaa yhdistyksen tietoturvasta, jotka eivät ole käyneet mielessäsi

Suomen yhdistyskentässä toimiessa ja yhdistysaktiivien kanssa ajatuksia vaihtaessa on ollut hienoa huomata, että tietoturva on pinnalla ja jäsentietojen turvallinen säilyttäminen koetaan tärkeänä asiana. Monessa yhdistyksessä tietoturva käsitetään kuitenkin hyvin suppeasti ja ainoa asia, josta esimerkiksi jäsentietojen suhteen kannetaan huolta, on se, että tiedot varastetaan tai ne päätyvät muuten vääriin käsiin.

Tästä huolehtiminen on toki erittäin tärkeää, mutta lopulta kyseinen uhka on melko epätodennäköinen. Vain siihen keskittyminen jättää varjoonsa muut tietoturvallisuuteen oleellisesti liittyvät osa-alueet ja voi tehdä yhdistyksen arkipäiväisestä toiminnasta hankalaa aivan turhaan.

2014-05-22_153926

Suomalaisissa yhdistyksessä jäsentietojen säilytykseen on karkeasti ottaen kolme eri tapaa: tiedot ovat joko paperinivaskana pöytälaatikossa, tallennettuna omalla tietokoneella (Excel-taulukko, rekisteriohjelma) tai jossakin tarkoitukseen sopivassa nettipalvelussa.

Näille kaikille löytyy äänekkäät kannattajansa ja riippumatta valitusta metodista perusteluina toimivat useimmiten ”tämä on turvallisinta”, ”tämä on helpointa” ja ”näin on aina ennenkin tehty”. Näitä näkemyksiä kannattaa ehdottomasti haastaa, vaikket itse olisikaan päättämässä yhdistyksesi tiedonsäilytystavoista.

Seuraavassa on esitelty 6 tietoturvaan oleellisesti liittyvää osa-aluetta, jotka eivät välttämättä ole käyneet mielessäsi. Pohdi lukiessasi, toteutuvatko nämä 6 asiaa oman yhdistyksesi tietojen säilytyksen suhteen:

1. Tieto on saatavilla ja käytettävissä

Tietoa tulisi säilyttää niin, että se on käytettävissä siihen oikeutetuilla henkilöillä ja he tietävät kuinka tietoon pääsee käsiksi.

Jos jäsentiedot ovat esimerkiksi paperisena sihteerin pöytälaatikossa tai tietokoneella, muiden kyseisiin tietoihin oikeutettujen yhdistysaktiivien on hankala päästä näkemään tai muokkaamaan niitä. Vaikka yhdistyksessä olisikin vain yksi vastuuhenkilö, on hänen mahdoton päästä tietoihin käsiksi mistään muualta, jos paperit tai oma tietokone on jäänyt kotiin tai toimistolle. Tietoja ei voi myöskään piilottaa esimerkiksi nettipalveluihin salasanan taakse, jos kaikille jäsentietoihin oikeutetuille ei ole selvää, kuinka he pääsevät näkemään ja muokkaamaan tietoja.

2. Tieto ei pääse hukkumaan tai muuttumaan

Tiedon säilytys on hoidettu niin, että se ei pääse hukkumaan, tuhoutumaan tai muuttumaan.

Vaalittujen jäsentietojen hävittäminen olisi tietysti mille tahansa yhdistykselle erittäin epämiellyttävä juttu, mutta tällaisen tapahtuman mahdollisuutta ei usein tulla edes miettineiksi. Paperit hukkuvat ja sekoittuvat tuon tuostakin, ja niinkin yksinkertainen tapahtuma kuin kahvikupin kaatuminen paperinivaskalle voi tuhota ison osan arvokkaista tiedoista silmänräpäyksessä. Tietokoneen tai kovalevyn mennessä rikki siellä sijaitsevan tiedon palauttaminen on todella aikaa vievää ja haastavaa – usein jopa mahdotonta.

Nettipalveluiden suhteen kannattaa tutkia palveluntarjoajan luotettavuutta ja palvelulupausta: mitä tietojen säilytyksen suhteen luvataan? Onko heillä asiakaspalvelua?

3. Tieto on ajantasaista

Tiedon tulee olla luotettavaa ja ajantasaista, jotta se palvelee tarkoitustaan ja siitä on hyötyä tiedon tarvitsijalle.

Onko vanhentuneista jäsentiedoista mitään hyötyä? Ihmisen numero ja osoite (ja jopa sukunimikin) vaihtuvat nykypäivänä tiuhaan tahtiin ja yhdistyksen jäsentietolistaus laahaa perässä. Tietoa tulisi olla mahdollisimman helppo päivittää ja mieluiten vielä juuri silloin, kun tähän olisi aikaa. Jäsenistöltä olisi hyvä kysyä tietojen paikkansapitävyyttä tasaisin väliajoin ja kannustaa heitä kertomaan itse muutoksista heti kun ne tapahtuvat. Joissakin nettipalveluissa jäsenet pääsevät jopa itse päivittämään suoraan omia tietojaan, mikäli jäsenrekisterin ylläpitäjä näin haluaa. Tämä ei silti saa oikeuttaa heitä näkemään kenenkään muun tietoja.

Yksi hyvä tapa yhdistyksissä on määritellä yhdessä osa jäsentiedoista jäsenten kesken julkisiksi (esimerkiksi yhteystietolistaus) ja esittää nämä vain jäsenille tarkoitetuilla jäsensivuilla.

4. Tieto on luottamuksellista

Tietoa pääsevät katsomaan ja muokkaamaan vain ne henkilöt, joille se on tarkoitettu ja joille on myönnetty siihen oikeus.

Yhdistyksen jäsentietojen tulee olla luottamuksellisia ja hyvässä turvassa. Jos luottamuksellisia tietoja säilytetään esimerkiksi omalla tietokoneella, täytyy käyttäjällä olla hyvä käsitys internet-tietoturvasta ja siitä kuinka kone suojataan ulkopuolisten tiedonkalastelulta. Ja mikäli omaa konetta ei suojata edes salasanalla, niin sen hukkuessa tai unohtuessa hetkeksikin ilman valvontaa, kuka tahansa voi tehdä tiedoilla mitä tahansa.  Tärkeiden tietojen säilytykseen tarkoitetuissa nettipalveluissa edellytetään lähes poikkeuksetta salasanaa ja tietoturvasta huolehtiminen kuuluu usein palveluntarjoajan vastuulle. Salasanan pitää tietysti olla tässäkin tapauksessa hyvä, sillä muutoin muusta tietoturvan hoitamisesta ei ole mainittavaa hyötyä.

5. Tietoon pääsee käsiksi vain valvotusti

Tietoihin ei tulisi päästä kiinni ilman toimivaa pääsynvalvontaa, jossa varmistetaan, että käyttäjä on tietoihin oikeutettu.

Pääsynvalvontaa voisi yksinkertaisesti kuvailla näin: arvotavarat on säilötty arkkuun, johon on avain vain sellaisella henkilöllä, jolle on myönnetty oikeus päästä kyseisiin helyihin käsiksi. Tämä asia liittyy siis vahvasti edellä kohdassa 4 mainittuihin salasanoihin. Tosinsanoen jäsenrekisterin tulisi olla suojattuna avaimen tai salasanan takana, joka on vain yhdistyksen sihteerillä, puheenjohtajalla tai muilla tietoihin oikeutetuilla yhdistysaktiiveilla. Fyysinen avain voi tietenkin hukkua helposti, mutta myös salasana voi unohtua. Uuden salasanan saamiseksi tulisikin olla tältä varalta tehokkaat ja turvalliset keinot.

Vahvan ja samalla helposti muistettavan salasanan keksiminen ei välttämättä ole kaikista yksinkertaisin temppu ja tästä voisikin kirjoittaa tulevaisuudessa oman blogikirjoituksensa.

6. Tieto on kiistämätöntä

Tiedon tulisi olla jäljitettävissä ja sitä muokannut ei voi kiistää osallisuuttaan.

Tiedon muokkaamisesta tulisi jäädä selkeä merkintä, jossa mainitaan ainakin se mitä on muokattu, koska muokkaus on tapahtunut ja kuka muokkauksen on tehnyt. Tämä seikka on erityisen tärkeä silloin, kun esimerkiksi jäsentietoihin on pääsy useammalla kuin yhdellä henkilöllä. Paperisen tai esimerkiksi Excel-taulukossa pyöritettävän jäsenluettelon suhteen muokkaushistorian pitäminen on todella haastavaa ja aikavievää. Jos muokkaushistoriaa pyritään kirjoittamaan itse, on suuri mahdollisuus siihen, että asioita unohdetaan, jätetään tarkoituksellisesti pois tai ongelmatilanteen sattuessa tietoja muutetaan jälkikäteen.

Jäsentietojen ylläpitoon tarkoitetut palvelut pitävät usein automaattisesti muokkaushistoriaa ja pystyvät yhdessä pääsynvalvonnan kanssa estämään käyttäjää muokkaamasta tietoja mieleisekseen.

---------------------------------

Yllä esitellyistä hyvistä tietoturvakäytännöistä on yhdistykselle hyötyä, vaikka mitään pahaa ei tapahtuisi tai mitään uhkaa ei koettaisi todennäköiseksi. Yhdistys luo jäsenistön keskuudessa valtavasti uskottavuutta, jos sillä on selkeästi harkitut ja jäsenistölle viestitetyt toimintatavat siihen, kuinka jäsentietoja käsitellään ja säilytetään. Tämä luo varmasti mainetta asiallisesta sekä turvallisesta yhdistystoiminnasta.

Muista vielä tämä: tietoturvauhkia on loputtomasti ja niiltä voidaan pyrkiä suojautumaan mitä erilaisimmilla järjestelmillä ja ohjelmilla – suurin tietoturvariski on kuitenkin aina käyttäjä itse. Mikäli suosit salasanana ”salasana1”-tyylistä rimpsua ja säilytät tätäkin lompakossasi, mikään järjestelmä ei pelasta sinua.

---------------------------------

Näin Yhdistysavain Rekisteri auttaa tietoturvaanne

  • Tieto on aina saatavissa netistä - mutta vain siihen oikeutetuille henkilöille
  • Päivittäinen varmuuskopiointi kahteen eri tilaan takaa turvallisuuden
  • Selkeän muokkaushistorian avulla tietojen muutoksista pysytään kärryillä
  • Tarkistuspyyntöjen avulla jäseniä voidaan aktivoida päivittämään omat tietonsa

Yhdistysavain Rekisteri on kuin ahkera tiedottaja ja kokenut taloudenhoitaja yhdessä - viestitte tehokkaasti kirjein, sähköpostein sekä tekstarein ja pysytte kärryillä jäsenmaksuista. Liittykää yli 5000 suomalaisen edelläkävijäyhdistyksen joukkoon!

Lue lisää Yhdistysavaimesta | Katso yhdistysten kommentteja

Ota Yhdistysavain käyttöön ilmaiseksi »

---------------------------------

Missä yhdistyksenne tärkeitä tietoja säilytetään? Onko paras paikka puheenjohtajan pöytälaatikko, Excel-taulukko sihteerin kovalevyllä vai netissä salasanojen takana? Kerro oma mielipiteesi kommentteihin!

Kuva: www.StockMonkeys.com