Näin vältät yleisimmät tietoturvauhat yrityksessäsi - Tahto Group

Näin vältät yleisimmät tietoturvauhat yrityksessäsi

20.2.2017 Lasse Miettinen

Datan keräys, henkilökohtaisten tietojen ja käyttäytymisen seuranta, datan analysointi ja mallintaminen datan avulla lisääntyy vuosittain kiihtyvää tahtia. Datan määrän lisääntyessä tietoturva-uhat lisääntyvät. Yrityksiin kohdistuu päivittäin kymmeniä, ellei satoja tietoturvauhkia ja useimmat tietomurtohyökkäykset jäävät jopa huomaamatta. Datan määrän lisääntyessä myös vastuu tietoturvasta lisääntyy! Yleisimmät tietoturvauhat voidaan taklata teknisen ja hallinnollisen tietoturvan hyvällä yhteispelillä, sekä perinteisellä maalaisjärjellä.

Yrityksen maine pelissä

Tietomurron kohteeksi joutuneen yrityksen maine on pelissä. Erityisesti, mikäli voidaan jälkikäteen todeta, että murto johtui tietoturvan laiminlyönnistä. On taloudellisesti suuri riski olla varmistamatta dataa ja järjestelmiä – puhumattakaan henkilökunnan tietoturvaosaamisesta.

Milloin viimeksi yrityksessäsi on järjestetty tietoturvakoulutus henkilökunnalle? Miten suuri osa henkilöstöstäsi on ylipäänsä saanut koulutuksen yrityksessänne? Mikäli vastaus ei tule kuin apteekin hyllyltä, on syytä korjata asia viipymättä.

Miten varmistan, että tietoturvamme on asianmukaisella tasolla?

Tietoturvaan liittyy useita eri elementtejä aina teknisestä tietoturvasta käyttäjälähtöisiin asioihin. Listasimme alle vinkkejä, joilla voit välttää yleisimmät tietoturvauhat.

  1. Varmista, että organisaatiosi työntekijät käyttävät päivitettyjä versioita internet-selaimistaan. Päivittämätön nettiselain on merkittävä tietoturvauhka, joka altistaa käyttäjän koneen ja sitä kautta koko verkon tietomurrolle alttiiksi.
  2. Varmista, että organisaation työvälineet ovat ajan tasalla: tietokoneet, puhelimet, palvelimet, palomuurit, virus- ja haittaohjelmistojen torjuntajärjestelmät sekä tiedon salausmenetelmät on oltava kunnossa vuorokauden ympäri.
  3. Laitteet ja ohjelmistot tulee pitää säännöllisesti päivitettynä. Tämä takaa sen, että organisaatio pystyy torjumaan päivittäin muodostuvia ja yhä kehittyneempiä haittaohjelmia ja tietomurtoyrityksiä.
  4. Pidä huoli siitä, että työntekijöiden tietotaito on ajan tasalla. Suuri osa tietomurroista tapahtuu inhimillisten virheiden vuoksi. Työntekijöiden tulee tunnistaa haitalliset sähköpostit, liitteet ja muut tietojenkalasteluyritykset ja osata toimia niiden suhteen oikealla tavalla.
  5. Kumppanoidu järkevästi. Oikein valitut ja järkevästi mitoitetut ratkaisut sekä ammattitaitoinen kumppani mahdollistaa ajantasaisen tietoturvan teknisen seurannan, raportoinnin ja valvonnan. Keskitetty valvonta ja hallinta antaa valmiudet ennakoida ja varautua uhkiin etukäteen.

Määrittele kriittinen tieto

Oletko koskaan miettinyt mikä on yrityksesi toiminnalle kriittistä tietoa ja miten sitä käsitellään? Mitä kävisi, jos tuo kriittinen tieto katoaisi tai joutuisi vääriin käsiin? Pahimmillaan pienikin tietomurto voi suistaa yrityksen konkurssiin, joten varmista, että olette määritelleet, mikä on yritykselle kriittistä tietoa.

Määrittelyn jälkeen voidaan miettiä yhdessä tietoturva-asiantuntijan kanssa se, miten kriittistä tietoa käsitellään. Määrittelyssä käydään läpi myös se, kuka saa käsitellä tietoa ja miten tietojen käsittelyä valvotaan.

Valitettavan usein organisaatiossa käsitellään kriittisiä tietoja (kuten henkilötiedoja) huolimattomasti. Tiedon tallentaminen tietokoneen työpöydälle on pahimmillaan yhtä turvatonta kuin fyysisen dokumentin ”tallentaminen” avokonttorin työpöydälle. Tiedot voidaan tallentaa vaivattomasti ja tietoturvallisesti pilvipalveluun, esimerkiksi OneDriveen tai SharePointiin.

Varmista, että noudatatte lakia

Harvoin tulee ajatelleeksi, että siihen miten käsittelemme tietoa, on säädetty lakeja. Toimialoista riippuen tietojen käsittelyyn säädettyjä lakeja on kymmeniä. On hankala pitää henkilökunta tietoisena ja osaavana tietoturva-asioista, jos siihen edellytetään itsenäistä opiskelua. Oman toimialan lakeihin on syytä tutustua ja huomioida ne omassa toiminnassa, mutta säännöllinen muistin virkistys voi olla hyvä antaa tietoturva-asiantuntijan hoidettavaksi.

Lainsäädännön lisäksi on tärkeää muistaa hyvät tavat ja käytännöt. Hyvänä ohjenuorana voisikin pitää sitä, että käsittele tietoa site, kuin itse haluaisit omia henkilötietojasi käsiteltävän. Tietoturvallinen toiminta on meidän kaikkien vastuulla.

Sitouta henkilökunta

Tutkimusten mukaan organisaatiot pyrkivät suojaamaan IT-järjestelmiään ja tietoaan pääasiassa teknisin keinoin, vaikka suurin tietoturvauhka on organisaation omat työntekijät. Uhat eivät pääsääntöisesti ole tahallisesti aiheutettuja vaan johtuvat hyvin usein tietämättömyydestä, inhimillisestä virheestä ja joskus jopa välinpitämättömyydestä. Yleisiä virheitä ovat mm. arkaluontoisen tiedon lähettäminen salaamattomana sekä avoimen verkon kautta yrityksen tietojen käsittely.

Johtamisella on merkittävä rooli tietoturva-asioiden parantamisessa organisaatiossa. Henkilöstö tarvitsee ohjeistusta, opastusta, selkeitä sääntöjä, tukea sekä jatkuvaa muistuttelua. Toisto on tässäkin asiassa opintojen äiti. Tavoite voisikin olla, että tietoturvasta tulisi samanlainen osa arkea, kuin mistä tahansa muusta opetetusta asiasta. Me kaikki tiedämme liikennevaloissa milloin voimme mennä ja milloin ei.

Luo tietoturvallinen toimintakulttuuri

Tietoturvallinen toimintakulttuuri tarkoittaa siis kaikkien edellä mainittujen asioiden huomioimista. Tietoturvan hallinta ei ole projekti vaan jatkuva prosessi.

Vaikka tietoturva aiheena ja käsitteenä on laaja, pienetkin organisaatiot voivat tehdä pienilläkin askelilla ja toimenpiteillä huomattavia parannuksia tietoturvaan. Tietoturvakulttuurin luominen voidaan aloittaa vaikka heti. Lue lisää tietoturvapalveluistamme!

Lasse Miettinen

Lasse on PK-yritys- ja järjestökentän asiantuntija, joka rentoutuu mm. yksinkertaisten mediaatioharjoitusten avulla. Valioliigaseura Newcastlen fanituksen myötä mediaatioharjoitukset tulevatkin varmasti tarpeeseen.