Yrityksen tietoturva kuntoon - Mistä aloittaa?

Yrityksen tietoturva on monitahoinen aihe. Listaan tässä aluksi merkittävimmät osa-alueet, joissa organisaation tulisi huomioida tietoturva. Blogilinkkejä klikkaamalla pääset siirtymään aihekohtaiseen blogiin, jossa puretaan kyseistä aihe-aluetta tarkemmin.

Tietoturva koostuu monesta eri osa-alueesta - Tässä tärkeimmät

Tietoturvakoulutus

Merkittävimpiä asioita mitä organisaatio voi tehdä tietoturvan suhteen on kouluttaa henkilökuntaa tunnistamaan uhkia ja olemaan valppaana. Tietoturvakoulutuksen merkitys on noussut selkeästi kun 90%+ hyökkäyksistä hyödyntää ihmisen tekemiä virheitä tai tietämättömyyttä. Lähes kaikki hyökkäykset alkavat kalasteluviesteillä tai muilla vastaavilla manipulointiin liittyvillä yrityksillä. Kyselyjen mukaan ihmisten tietotaidossa ja toimintatavoissa on paljon kehitettävää.

Lue lisää miksi tietoturvakoulutus on tärkeää blogistamme. Voit myös tutustua Etevän Tietoturvakoulutuspalveluun.

Salaus ja varmuuskopiointi

Päätelaitteiden ja palvelimien levynsalaus tarkoittaa kaikkien tiedostojen salaamista (encryption). Uusissa tietokoneissa levynsalausta ei ole erikseen laitettu päälle ja kuka tahansa, joka saa laitteen haltuunsa pääsee tiedostoihin käsiksi. Levynsalaus on helppo laittaa päälle Windows- tai Apple-tietokoneessa. Yritysten kannattaa kuitenkin toteuttaa levynsalaus keskitetysti, eikä jättää sitä loppukäyttäjien harteille.

Varmuuskopiointi tulee tehdä jokaisen tietokoneen tai puhelimen tiedostoille, jotta ne voidaan palauttaa, jos tietokone häviää tai varastetaan, tallennuslevy (SSD tai kovalevy) hajoaa, tai haittaohjelma salaa tiedostot ja tekee ne käyttökelvottomiksi. Tiedostot voidaan varmuuskopioida usealla eri tavalla.Tietokoneella on varmistusohjelmisto, joka varmistaa tiedostot tietyistä kansioista verkon kautta sitä mukaan, kun tiedostot muuttuvat tai uusia syntyy. Tiedostot tallennetaan aina tiettyyn kansioon, josta ne synkronoituvat esimerkiksi yrityksen verkkolevylle.

Turvapalvelut

Turvapalvelut koostuvat useasta eri osa-alueesta. Sähköpostin, sekä muihin päivittäin käyttämiesi pilvipalveluiden tietoturvapalveluihin lukeutuvat mm. salattu sähköposti, hyvä roskapostisuodatin, vahvat salasanat ja helppokäyttöinen salasanojen hallintatyökalu. Lisäksi tarvitset laitteita ja ohjelmiasi suojaamaan luotettavan tietoturvaohjelmiston, verkon valvonnan sekä tiedonsiirron turvaratkaisut. Myös tiedonkäytön valvonta ja lokitus on hyvä laittaa kuntoon.

Salattu sähköposti on kryptattu sähköposti, joka tuo lisäturvaa sähköpostiviestille. Sähköpostiviestin salaus varmistaa, että vain oikea henkilö pystyy avaamaan kyseisen sähköpostiviestin. Microsoft 365 (Office 365) -palvelu mahdollistaa salattujen sähköpostiviestien lähettämisen. Se kuitenkin edellyttää tietyn tasoisen palvelupaketin ja lisenssin hankkimista.

Salasananhallintatyökalu on helppo ja tehokas tapa saada salasanat haltuun ja tietoturvaa ylemmäs. Työkalu poistaa muistamisen tuskan ja ehdottaa monimutkaista ja uniikkia salasanaa palveluihin puolestasi. Etevän kyselyn mukaan suurin osa ei käytä salasananhallintatyökalua.

VPN (Virtual Private Network) eli virtuaalinen erillisverkko on menetelmä, jolla voidaan suojata verkkoliikennettä. VPN suojaa verkkoliikenteesi sekä piilottaa sijaintisi. Etätyössä VPN suojaa verkkoyhteyttä, kun otat julkisen verkon kautta yhteyden yrityksen suljettuun verkkoon. Salattu VPN-yhteys on hyvä olla käytössä yrityksen verkkoa ja palveluita käytettäessä.

Tietosuojapolitiikka ja tietoturvaohje

Tietosuojapolitiikassa määritellään, kuinka kaikessa toiminnassa pyritään varmistamaan henkilötietojen lainmukainen käsittely ja tietosuojan korkea taso. Käytännössä kaikki yrityksen toimintatavat ja ympäristöt tulisi dokumentoida. Näiden dokumenttien pohjalta luodaan yrityksen sisäinen ohjeistus ja tietoturvapolitiikka. Jatkuvalla tietoturvakoulutuksella varmistetaan, että henkilöstön tietoturvaosaamisen taso kehittyy ja säilyy. Lue lisää blogista: "Tietosuoja - kuka vasta ja mistä".

Tietoturvaohje on varsinainen ohjeistus minkä mukaan henkilökunta toimii organisaatiossa. Siinä käsitellään yrityksen sisäisiä järjestelmiä, laitteita ja toimintaohjeita. Tietoturvaohje voidaan toimitaa kirjallisena, mutta se voidaan jalkauttaa myös webinaarimuotoisena koulutuksena. On suositeltavaa, että työsopimuksen ehdoissa on mainittu, että tietoturvaohjeen laiminlyöminen on sopimusrikkomus. Näin saadaan vakavuutta ohjeiden seuraamiselle. Tietoturvaohje on yleisen tietoturvakoulutuksen lisäksi tärkein työkalu. Lue lisää blogista: "Ihminen on tietoturvan heikoin lenkki".

Compliance

On hyvä huomioida, että monesta jokin taho (julkinen tai esim. asiakas) vaatii tietojenkäsittelyä varten, että tiettyjä ohjeita ja toimintatapoja noudatetaan. Näitä sanotaan määräyksiksi tai englanniksi "compliance guidelines". Julkista sektoria palvelivien tulee usein noudattaa VAHTI-vaatimustenhallintajärjestelmää. Finanssivalvonnan alaiset organisaatiot ovat Fivan vaatimusten alaisia. Finanssivalvonta usein hyödyntää ESMA:n määräyksiä sellaisenaan. Lisää aiheesta "ESMA ja pilvipalveluiden ulkoistamiseen liittyvä ohjeistus".

• Yritysten digitaaliset ryöstöt ovat lisääntyneet - Kuinka suojautua tietoturvauhkia ja kalastelua vastaan.
• Estä identiteettivarkaus - Onko yrityksen tietoturva kunnossa?

Nyt on korkea aika laittaa tietoturva kuntoon!