Yrityksen tietoturva kuntoon - Mistä aloittaa?

Kirjoittanut Panu Palmu 10/2019

 

Varmuuskopiointi_tietoturva_backup

 

Yrityksen tietoturva on monitahoinen aihe. Listaan tässä aluksi merkittävimmät osa-alueet, joissa organisaation tulisi huomioida tietoturva. Blogilinkkejä klikkaamalla pääset siirtymään aihekohtaiseen blogiin, jossa puretaan kyseistä aihe-aluetta tarkemmin.

 

Tärkeimmät asiat yrityksen tietoturvan osalta

Salaus ja varmuuskopiointi

Päätelaitteiden ja palvelimien levynsalaus tarkoittaa kaikkien tiedostojen salaamista (encryption). Uusissa tietokoneissa levynsalausta ei ole erikseen laitettu päälle ja kuka tahansa, joka saa laitteen haltuunsa pääsee tiedostoihin käsiksi. Levynsalaus on helppo laittaa päälle Windows- tai Apple-tietokoneessa. Yritysten kannattaa kuitenkin toteuttaa levynsalaus keskitetysti, eikä jättää sitä loppukäyttäjien harteille.

Varmuuskopiointi tulee tehdä jokaisen tietokoneen tai puhelimen tiedostoille, jotta ne voidaan palauttaa, jos tietokone häviää tai varastetaan, tallennuslevy (SSD tai kovalevy) hajoaa, tai haittaohjelma salaa tiedostot ja tekee ne käyttökelvottomiksi. Tiedostot voidaan varmuuskopioida usealla eri tavalla.Tietokoneella on varmistusohjelmisto, joka varmistaa tiedostot tietyistä kansioista verkon kautta sitä mukaan, kun tiedostot muuttuvat tai uusia syntyy. Tiedostot tallennetaan aina tiettyyn kansioon, josta ne synkronoituvat esimerkiksi yrityksen verkkolevylle.

SSL-salauksella tarkoitetaan protokollaa, jolla suojataan tietoliikennettä verkkojen yli. Salaukseen käytetään TLS protokollaa (Transport Layer Security), mutta SSL-salaus terminä on vakiintunut käyttöön tarkoittamaan salausta palvelimen ja selaimen välillä. SSL-salauksen avulla pystytään pitämään arkaluontoiset tiedot ulkopuolisten ulottumattomissa ja vähennetään esimerkiksi haittaohjelmien leviämistä. SSL-salaus on tärkeää olla päällä selainpohjaisissa sovelluksissa ja palveluissa.

VPN (Virtual Private Network) eli virtuaalinen erillisverkko on menetelmä, jolla voidaan suojata verkkoliikennettä. VPN suojaa verkkoliikenteesi sekä piilottaa sijaintisi. Etätyössä VPN suojaa verkkoyhteyttä, kun otat julkisen verkon kautta yhteyden yrityksen suljettuun verkkoon. Salattu VPN-yhteys on hyvä olla käytössä yrityksen verkkoa ja palveluita käytettäessä.

 

Keskitetty hallinta

Keskitetyssä valvonnassa ja hallinnassa sovellukset ja tietoturvapäivitykset voidaan asentaa keskitetysti ilman työasemakohtaista työtä. Kun IT-kumppani valvoo palvelimia ja korjaa mahdolliset ongelmat, IT-ympäristön tietoturvaan liittyvät tekijät pystytään pitämään helpommin kunnossa. IT-kumppani varmistaa, että tietoturvan kannalta oikeita käytäntöjä ja menettelytapoja käytetään.

 

Turvapalvelut

Turvapalvelut koostuvat useasta eri osa-alueesta. Sähköpostin, sekä muihin päivittäin käyttämiesi pilvipalveluiden tietoturvapalveluihin lukeutuvat mm. salattu sähköposti, hyvä roskapostisuodatin, vahvat salasanat ja helppokäyttöinen salasanojen hallintatyökalu. Lisäksi tarvitset laitteita ja ohjelmiasi suojaamaan luotettavan tietoturvaohjelmiston, verkon valvonnan sekä tiedonsiirron turvaratkaisut. Myös tiedonkäytön valvonta ja lokitus on hyvä laittaa kuntoon.


Roskapostisuodatin auttaa tunnistamaan sähköpostiin saapuvat roskapostit (englanninkielinen nimitys: spam) ja siirtää ne automaattisesti sähköpostin omaan roskapostikansioon (tai Spam-kansioon).

Salasana suojaa tietojasi eri laitteissa, käyttäjätileillä ja käyttöohjelmissa. Vahvat salasanat ovat tarpeeksi pitkiä ja monimutkaisia. Salasanojen hallintatyökalut taas auttavat muistamaan, käyttämään ja hallinnoimaan vahvoja salasanoja.

Salattu sähköposti on kryptattu sähköposti, joka tuo lisäturvaa sähköpostiviestille. Sähköpostiviestin salaus varmistaa, että vain oikea henkilö pystyy avaamaan kyseisen sähköpostiviestin. Microsoft 365 (Office 365) -palvelu mahdollistaa salattujen sähköpostiviestien lähettämisen. Se kuitenkin edellyttää tietyn tasoisen palvelupaketin ja lisenssin hankkimista.

Tietoturvaohjelmat auttavat varmistamaan tietokoneesi tietoturvan. Sen avulla suojaat laitteita ja tietojasi erilaisilta haittaohjelmilta ja tietomurroilta verkkoa käyttäessäsi. Tietoturvaohjelman on hyvä olla helppokäyttöinen, automatisoitu ja luotettava.

Lokitus tarkoittaa erilaisten lokitietojen tallennusta sekä hyödyntämistä. Lokitietojen avulla voidaan selvittää mitä, miksi ja milloin jotain on tapahtunut verkossa. Loki viittaa aikajärjestyksessä kirjattuun tallenteeseen tapahtumista sekä niiden aiheuttajista. Eri tapahtumat tai muutokset tietojärjestelmissä, sovelluksissa, tietoverkoissa sekä sisällöissä kirjataan lokiin, eli ne lokitetaan.

Tiedonkäytön valvonta on lokituksen yhteydessä tärkeää. EU:n tietosuoja-asetuksen mukaan henkilötietojen on oltava rajattuna vain tarpeellisiin käyttötarkoituksiin.


Tietosuojapolitiikka ja tietoturvakoulutus

Tietosuojapolitiikassa määritellään, kuinka kaikessa toiminnassa pyritään varmistamaan henkilötietojen lainmukainen käsittely ja tietosuojan korkea taso. Käytännössä kaikki yrityksen toimintatavat ja ympäristöt tulisi dokumentoida. Näiden dokumenttien pohjalta luodaan yrityksen sisäinen ohjeistus ja tietoturvapolitiikka. Jatkuvalla tietoturvakoulutuksella varmistetaan, että henkilöstön tietoturvaosaamisen taso kehittyy ja säilyy.

 

Muistilista:

Päätelaitteiden levynsalaus ja varmuuskopiointi

  • Palvelimen levynsalaus
  • SSL-salaus selainpohjaisissa sovelluksissa ja palveluissa
  • Salattu VPN-yhteys yrityksen verkkoon ja palveluihin
  • Varmuuskopiointi
Keskitetty hallinta
  • Työasemien ja mobiililaitteiden keskitetty valvonta
  • Teknisten käytäntöjen ja menettelytapojen käyttäminen
Turvapalvelut
Tietosuojapolitiikka ja tietoturvakoulutus
  • Työntekijöiden toimintatavat
  • Toiminnan ja käyttöoikeuksien rajoittaminen
  • Tiedon tallentaminen pilvipalveluihin
  • Jatkuva Tietoturvakoulutus
Muuta

 

Lue lisää blogistamme:

 

Nyt on korkea aika laittaa tietoturva kuntoon!

Tilaa tietoturvakartoitus

 

Topics: tietoturva, tietosuoja, tietojen kalastelu, tietoturvauhka, haittaohjelmat

Haluatko kuulla uusista blogijulkaisuista ensimmäisenä? Tilaa ilmoitukset!

Jaa somessa

 

Tietoturva mietityttää ja et tiedä mistä aloittaa? Ota yhteyttä ja autamme tietoturva-asioiden kanssa!

Estä identiteettivarkaus - Onko yrityksen tietoturva kunnossa?

Asiakkaallemme tehtiin alkuvuodesta tietoturvamurto, jonka seurauksena yrityksestä on onnistuttiin varastamaan merkittäviä määrä... 

Microsoft 365 Business Premium - Hyödynnä moderni tietoturva

Microsoftin 365 mahdollistaa merkittäviä parannuksia yrityksen tekniseen tietoturvaan. Mitä tietoturvaominaisuuksia olisi tärkeä ottaa käyttöön...

Kuinka suojautua tietojenkalastelulta ja digitaalisilta ryöstöiltä?

Etevän 15 vuoden historian aikana sen asiakaskunnassa on kaksi kertaa varastettu isoja summia rahaa. Nämä molemmat tapaukset ovat tapahtuneet viimeisen...