Whistleblowing-ratkaisun turvallisuus on tärkeää
Miten voimme varmistaa henkilöiden ja tietojen asianmukaisen suojauksen whistleblowing-palvelussa? Se on yksi yrityksien suurimmista huolenaiheista heidän suunnitellessaan whistleblowing-järjestelmäänsä. Siksi olemmekin omistaneet kokonaisen luvun turvallisuudelle WhistleB:n uudessa perusoppaassa, jonka avulla yritykset voivat toteuttaa ilmoitusratkaisun, joka lisää asiakkaiden ja työntekijöiden tyytyväisyyttä.
Tämä artikkeli on neljäs kesän blogikirjoitustemme sarjassa, jossa julkaisemme otteita uudesta käsikirjasta. Käsikirjassa käsitellään resursseja, tapauksien vastaanottamista, oikeudellisia näkökulmia, kulttuuria sekä tämän artikkelin aihetta, whistleblowing-järjestelmän tietosuojaa.
Whistleblowing-järjestelmien turvallisuus – ota tämä huomioon valitessasi palveluntarjoajaa
Whistleblowing-järjestelmien turvallisuus on tärkeää, koska luotettavuus on kaikkein tärkein asia arkaluonteisia tietoja käsiteltäessä. Luottamuksen aikaansaaminen edellyttää, että suojaat sekä ilmoittajaa että syytettyjä ja myös arkaluonteisia tietoja. Tämä voidaan toteuttaa turvallisen whistleblowing-järjestelmän avulla.
Whistleblowing-järjestelmän turvallisuus suojaa nimetöntä ilmoittajaa
Monen vuoden asiakaskokemuksien perusteella tiedämme, että ilmoittajan nimettömyys takaa yrityksen kannalta kriittisten tietojen saamisen, minkä myötä whistleblowing-ratkaisu tuottaa parempaa arvoa. Yksinkertaisesti sanottuna: kun ilmoittajat voivat pysytellä nimettöminä, he luottavat järjestelmään enemmän ja todennäköisesti ilmoittavat hyödyllisempiä tietoja.
Jos ilmoituksen tekijä haluaa pysytellä nimettömänä, hänen on voitava luottaa siihen, että whistleblowing-ratkaisu turvaa hänen nimettömyytensä aina ilmoittamisesta vuoropuheluun, mahdolliseen tapauksen seurantaan, tutkintaan ja päättämiseen saakka. Turvalliset, teknologiapohjaiset ratkaisut voivat mahdollistaa kattavan nimettömyyden. Mitä whistleblowing-ratkaisulta sitten tarvitaan, jotta se voi varmistaa ilmoittajan nimettömyyden?
- Ulkoinen, yrityksen omasta IT-ympäristöstä erillinen whistleblowing-ratkaisu on tehokas vaihtoehto, ja se voi myös olla kaikkein tehokkain tapa saada järjestelmä käyttöön. Whistleblowing-järjestelmän tulisi varmistaa, että ilmoittaja voi pysytellä nimettömänä eikä häntä jäljitetä yrityksen palomuurien kautta. Siksi whistleblowing-järjestelmää ei pitäisi toteuttaa omassa IT-ympäristössä, vaan sen sijaan erillisenä ympäristönä.
- Ilmoittajaan liittyviä metatietoja ei saa seurata tai jäljittää. Vältä sellaisten tietojen kirjaamista lokiin, joiden avulla ilmoittajan voi jäljittää, kuten IP-osoitteet.
- Whistleblowing-ratkaisussa on oltava turvallisesti salattu ilmoituskanava, joka mahdollistaa ilmoittajan nimettömyyden myös ilmoitusta seuraavan vuoropuhelun aikana. Tällöin tapauksen käsittelijä voi pyytää olennaisia seurantatietoja.
Nimettömyys on varmistettava teknologisesti. Pelkkä nimettömyyskäytäntö ei riitä.
Whistleblowing-järjestelmän turvallisuus suojaa arkaluonteisia tietoja
Emme voi liiaksi korostaa turvallisen tietojenkäsittelyn tärkeyttä. Useimpien meistä on luotettava IT-turvallisuudessa asiantuntijoihin, joten kannattaakin valita ulkoinen palveluntarjoaja, jolla on dokumentoitua osaamista tietosuojasta. Kun käytät ulkoista kehittäjää, sisäiset kehittäjät eivät pääse käsiksi koodeihin tai tietoihin.
Joitakin tärkeimpiä turvallisuusominaisuuksia, joihin kannattaa kiinnittää huomiota whistleblowing-palveluntarjoajaa valittaessa:
- Turvallinen monivaiheinen tunnistautuminen
- Tunkeutumisen havaitseminen ja ennaltaehkäisy
- Siirrettävien ja tallennettavien tietojen salaaminen
- Tapaus- ja käyttäjäkohtaiset aktiviteettilokit
- Tietojen toisteisuus (jotta tiedot eivät katoa)
Järjestelmä on kehitettävä Security by design -periaatteen mukaisesti. Mitä tämä tarkoittaa? Kaikki viestintä- ja tutkinta-asiakirjat on säilytettävä suojatussa tapauksenhallintasovelluksessa. Sovelluksen on ohjattava tapauksen käsittelijöitä hallinnoimaan tapauksia ja tietoja oikein. Yksi esimerkki tästä on, että tapauksen sulkemisen pitäisi olla mahdollisimman helppoa ja esimerkiksi henkilötiedot pitää poistaa ennen pysyvää arkistointia (EU:n sisäisiä tiedontarkastajia varten). Toinen esimerkki: tapauksien käsittelijöiden on saatava ilmoitukset tärkeistä aktiviteeteista ja nimettyjen tapauksien käsittelijöiden välisen turvallisen viestinnän on oltava helppoa.
Whistleblowing-järjestelmän turvallisuuden tulee perustua suojattuihin teknisiin prosesseihin, jotka on suunniteltu niin, että valvontatoimintojen ohittaminen on mahdollisimman vaikeaa. Käytäntöperusteinen turvallisuus ei riitä.
Paranna whistleblowing-ratkaisun turvallisuutta valitsemalla digitaalinen järjestelmä
Digitaalinen ilmoitusjärjestelmä vähentää tietoturvariskejä merkittävästi. Riskit voi minimoida, kun tietoja säilytetään digitaalisessa ilmoitusratkaisussa koko tapauksenhallintaprosessin ajan, eikä niitä tallenneta kenenkään henkilön postilaatikkoon tai tietokoneelle. Kriittisiä tietoja voi suojella paremmin digitaalisessa ilmoitus- ja hallintajärjestelmässä. Kyseisiä tietoja voivat olla vuoropuhelu ilmoittajan kanssa, tutkintamateriaalit, toimeksiannot, auditointiraportit sekä arkistoidut ja poistetut tiedot.
Digitaalisen ilmoitus- ja tapauksenhallintajärjestelmän käyttämisestä on vielä toinenkin etu. Rakenne ja automatisoitu prosessi tukevat turvallisuutta ja vähentävät ilmoituksen käsittelyyn kuluvaa aikaa, jolloin prosessi on tehokkaampi. Siten digitaalisen whistleblowing-järjestelmän helppous tekee siitä sekä toiminnallisesti että kustannuksellisesti tehokkaan vaihtoehdon.
Whistleblowing-järjestelmien turvallisuuteen kohdistuu koko ajan muuttuvia uhkia, joten niitä on valvottava jatkuvasti. Varmista, että digitaaliselle whistleblowing-järjestelmällesi suoritetaan säännöllisesti tunkeutumis- ja haavoittuvuustestejä. Palveluntarjoajan tulisi varmistaa, että järjestelmää valvotaan koko ajan. Näin voidaan lieventää turvallisuusriskejä, jotta tietosi ja järjestelmässä mahdollisesti olevat henkilötiedot pysyvät suojassa. Tietosuojan valvonnan tulisi koskea myös toimittajan alitoimittajia, kuten IT-alustan tarjoajia, tietojen tallennuspalvelujen tarjoajia ja niin edelleen. Etsi whistleblowing-järjestelmä, joka noudattaa kaikkia olennaisia kansainvälisiä tietoturvallisuusstandardeja.
WhistleB uskoo, että on erittäin tärkeää valita palveluntarjoaja, jolle tietosuoja on tärkein prioriteetti. Turvallisuus ei kuitenkaan pääty tähän. Olemme nähneet tapauksia, joissa luottamuksellisia ja arkaluonteisia tietoja on jaettu kollegoille tai ystäville. Pidä turvallisuus mielessä aina koko prosessin ajan. Whistleblowing-järjestelmien turvallisuus on tärkeää, koska luotettavuus on kaikkein tärkein asia.
Oliko tästä apua whistleblowing-järjestelmän turvallisuuteen liittyen? Haluatko lukea koko kirjan? Lataa sähköinen versio tai tilaa kirja Amazonista tai Bokusista.
Yhteystiedot:
Gunilla Hadders, toinen kirjan kirjoittajista ja Senior Advisor, WhistleB, Whistleblowing Centre
+46 70 214 88 73, gunilla.hadders@whistleb.com