X Blogi

5 askelta parempaan tietoturvaan

Julkaissut XCure 26.4.2016 14.13

tietoturva.jpgTietoturva on terminä ja aiheena eräänlainen buumi yrityksissä ympäri maailmaa. Erilaiset, maailmanlaajuisetkin tietovuodot ovat nostaneet tietoturva-asiat eri medioiden kautta suuremman yleisön tietoisuuteen viime vuosina. Miksi tietoturva-asioihin on hyvä panostaa, millaisia seurauksia tietoturvan laiminlyönnillä voi olla, ja mitkä ovat ensiaskeleet yrityksen tietoturvan parantamiseen?

Tietoturva suomalaisissa yrityksissä

Tietoturva-asiat ovat suomalaisissa yrityksissä kohtalaisella tasolla, mutta paljon on vielä parantamisen varaa. Pääosin suuremmissa yrityksissä tietoturvasta on huolehdittu, mutta erityisesti PK-yritykset kaipaavat kohennusta tietoturvansa tasoon. Monet PK-yritykset luottavat esimerkiksi virustentorjuntaohjelmien ja palomuurien riittävän tietoturvan ja tietosuojan ylläpitoon, mutta kun prosesseihin, käytäntöihin ja työkaluihin mennään syvemmälle, tietoturva-aukkoja paljastuu usein hyvinkin nopeasti.

Myös PK-yritykset tarvitsevat tietoturvaa, vaikka niissä ei käsiteltäisikään arkaluontoisia tietoja tai henkilöstön määrä ei olisikaan kovin suuri. Tarpeita tietoturvan parantamiselle on monia, mutta erilaiset liiketoimintaan kohdistuvat riskit ja uhat ovat niistä suurimpia.

Lataa maksuton "PK-yritysten tietoturva" -pikaoppaamme!

Miksi tietoturvasta on tärkeää huolehtia?

Tietoturvasta on tärkeää huolehtia, sillä mikäli tietoturvasta löytyy aukkoja, koko liiketoiminnan jatkuvuus voi olla uhattuna. Jokaisella yrityksellä on liikesalaisuuksia, joita on syytä suojella ulkopuolisten katseilta. Yritysvakoilu on yllättävänkin yleistä myös Suomessa, tosin vakoilua harjoittavat yritykset ovat usein ulkomaalaisia. Yrityssalaisuuksien paljastumisen lisäksi myös esimerkiksi yrityksen maine on vaakalaudalla, mikäli sen asiakastietoja pääsee vuotamaan esimerkiksi roskapostilistoille tai tiedot muutoinkin vuotavat ulkopuolisten tietoon. Verkkokaupan toiminta taas lakkaa hyvin nopeasti, jos asiakkaiden luottokorttitiedot pääsevät ulkopuolisten käsiin.

Jos tietoturva-asioista ei ole huolehdittu, asiakaskato ja erilaiset sanktiot ovat hyvinkin todennäköisiä seurauksia piittaamattomuudelle. Esimerkiksi voimaantuleva EU:n tietosuoja-asetus asettaa kuluttajien tietosuojan täysin uudenlaiseen asemaan, ja asetusta rikkoville yrityksille voi koitua huomattaviakin sanktioita. Asetus koskee kaikkia yrityksiä, jotka jollain tapaa käsittelevät yksilöitäviä kuluttajatietoja.

Kaikki yritykset eivät kaikesta ”hypestä” huolimatta ole edelleenkään havahtuneet tietoturva-asioiden tärkeyteen. Mitä siis jokaisen yrityksen tulisi tietoturvaa ajatellen huomioida, ja kuinka lähteä liikkeelle tietoturvan tason parantamiseksi?

5 askelta parempaan tietoturvaan – kuinka lähteä liikkeelle?

 
1. Organisaation tietoturvariskien kartoittaminen ja nykytilan arviointi

Ensimmäinen askel kohti parempaa tietoturvaa on yrityksen tietoturvan nykytilan arviointi ja mahdollisten tietoturvariskien kartoittaminen. Kartoitus voidaan tehdä esimerkiksi KATAKRI-auditointikriteeristön mukaisesti.

Nykytilan arviointi voidaan myös tehdä alustavasti erilaisten apukysymysten avulla. On hyvä käydä läpi esimerkiksi seuraavia kysymyksiä: Onko meillä palomuuria käytössä? Ovatko palomuurin määritykset riittävällä tasolla, koska määritykset on viimeksi päivitetty? Kuinka tietoliikenne on salattu? Onko haittaohjelmilta suojauduttu? Kuinka kulunvalvonta on järjestetty, kenellä on pääsy minnekin? Onko kulunvalvontaa ylipäätään olemassa? Entä murtohälyttimiä, palohälyttimiä tai turvakameroita? Onko henkilöstöä koulutettu tietoturva-asioihin liittyen?

Mikäli yrityksessä ei löydy tietoturvasta vastaavaa henkilöä, nykytilan arviointiin ja riskien kartoitukseen on hyvä ottaa asiantuntija mukaan. Asiantuntija osaa katsoa asioita syvemmin ja ulkopuolisen silmin, jolloin mikään mahdollinen riski ei jää huomioimatta. Ota halutessasi yhteyttä XCuren asiantuntijoihin.

2. Havaittujen riskien pienentäminen ja/tai poistaminen

Toinen vaihe on perinteistä riskienhallintaa. Yrityksen on hyvä pohtia sisäisesti, miten havaittuja riskejä pienennetään tai kuinka ne voitaisiin poistaa kokonaan. Osa arvioinnista voidaan tehdä itse, osassa taas tarvitaan asiantuntijaa. Esimerkiksi ohjelmien suojaus osataan monesti tehdä yrityksen sisäisesti, mutta tietoliikenteen suojauksessa voidaan kaivata jo asiantuntijan apua.

3. Selkeiden tietoturvaohjeiden luominen koko henkilöstölle

Kun riskit on havaittu ja niiden vaikutus on minimoitu, on ennaltaehkäisyn aika. Kolmannessa vaiheessa luodaan koko organisaation henkilöstöä kattava ohjeistus tietoturvaa koskien. Ohjeistus henkilöstölle voi sisältää esimerkiksi ohjeet salasanojen luomiseen. IT-tuelle suunnattu ohjeistus taas voi käsittää teknisempiä asioita, esimerkiksi järjestelmän salasanavaatimuksia.

Ohjeistukset harvoin tehdään itse yrityksen sisäisesti, tässäkin tietoturva-asiantuntija osaa katsoa asioita ulkopuolisen silmin ja ohjeistus voidaan tehdä erilaisten määritysten mukaisesti yhteistyössä yrityksen kanssa.

4. Ohjeisiin perustuvien käytäntöjen jalkauttaminen organisaation arkeen

Ohjeistuksen luomisen jälkeen on aika saattaa ohjeet käytäntöön. Henkilöstön koulutus ja opetus on kaiken a ja o. Koulutuksen keinoja on monia, ja se voidaan toteuttaa esimerkiksi luentomuotoisina täsmäkoulutuksina tai vaikkapa verkko-opetuksena.

Ohjeistusten käytäntöön viemisen toteutumisesta on syytä huolehtia, ja muistutella henkilöstöä säännöllisesti tietoturva-asioiden tärkeydestä. Asenteisiin voidaan vaikuttaa esimerkiksi laittamalla erilaisia julisteita ja tiedotteita toimitilojen seinille tai vaikkapa kuvaamalla video, jossa näytetään mitä voi tapahtua, jos työntekijä toimii tietoturvan suhteen väärin.

5. Yleisten tietoturvaprosessien käyttöönotto, koulutus ja päivitys

Kun perusasiat alkavat olla kunnossa, on aika miettiä tulevaisuutta ja sitä, kuinka näistä asioista huolehditaan jatkossakin. Henkilöstöä on syytä kouluttaa tietoturva-asioista vähintään vuoden välein, muutostilanteissa useamminkin. Henkilöstölle voidaan myös tehdä turvallisuusselvityksiä, erityisesti mikäli he ovat arkaluontoisten asioiden kanssa tekemisissä.

Myös verkkojen, laitteistojen ja työasemien tietoturva tulee säännöllisesti päivittää ja tehdä niin sanottuja tietoturvaskannauksia esimerkiksi kerran kuukaudessa. Kaiken kaikkiaan tietoturvaan liittyvät prosessit on luotava huolella ja annettava henkilöstölle myös resurssit tietoturvan ylläpitoon.

Jos haluat tukea, neuvoja ja ohjausta tietoturvan parantamiseen yrityksessänne, otathan yhteyttä! XCuren asiantuntijat auttavat mielellään kaikissa tietoturvaan ja tietosuojaan liittyvissä aiheissa.

Tutustuthan myös maksuttomaan pikaoppaaseemme, jossa käsittelemme PK-yrityksen tietoturvan tason määrittämiseen ja parantamiseen liittyviä aiheita! Lataa opas tästä.

opaskuva.png

Aiheet: Tietoturva