Organisaatioiden tieto, oli kyseessä sitten yritykset, yhdistykset tai muut toimijat, on arvokasta. Tieto on arvokasta organisaatiolle itselleen, mutta se voi olla sitä myös muille osapuolille. Organisaatio voi myydä omistamaansa tietoa muille organisaatioille, se voi käyttää sitä yleishyödyllisiin hankkeisiin tai kehittää sen pohjalta vaikka täysin uutta liiketoimintaa. Osa organisaaton tiedoista on luonnollisesti myös täysin salassa pidettävää, organisaation ja vaikkapa sen asiakkaan välistä dataa. Tietoturva on siis syytä pitää hyvällä tasolla.
Tieto on arvokasta valuuttaa
Koska tieto on niin arvokasta, se alkaa kiinnostaa myös rikollista mieltä. Organisaatiot joutuvat olemaan entistä varovaisempia ja tarkempia omien tietoturvaratkaisuidensa suhteen, sillä erilaiset hyökkäykset ja kalasteluyritykset ovat jatkuvasti niiden riesana, kuten Kyberturvallisuuskeskuksen ajankohtaisista uutisista huomataan. Tietoturvasta on puhuttu viime aikoina paljon, syystäkin, mutta viimeistään viikon sisään siitä tuli kansallisestikin kuuma peruna äärimmäisen inhottavan ja valitettavan tietovuodon vuoksi.
Kyberrikolliset vaanivat heikosti suojattuja kohteita; vanhentuneita verkkolaitteita, suojaamattomia päätelaitteita, puutteellisesti suojattuja järjestelmiä ja niin edelleen. Pienikin tietoturva-aukko voi altistaa organisaation valtavalle uhalle. Esimerkiksi vanhentunut verkkolaite, johon laitevalmistaja ei tarjoa enää järjestelmä- ja tietoturvapäivityksiä, tarjoaa hyökkääjälle aukinaisen ikkunan, josta käsin hän voi päästä käsiksi pahimmillaan kaikkeen organisaation dataan. Tämä taas altistaa organisaation, sen henkilöstön ja asiakkaat erinäisille uhkakuville, kuten taloudellisille menetyksille ja mainehaitoille.
Miten organisaatio voi sitten varautua jatkuvasti kehittyviin tietoturvauhkiin ja pysyä kyberrikollisten edellä? HUS:n ICT-tuotantojohtaja Risto Laakkonen kuvaa Helsingin Sanomissa, kuinka tietoturvan ylläpito on jatkuvaa kehitystä, eikä asioita saada kuntoon yhdessä yössä. Tämä on totta niin isojen kuin pienempienkin organisaatioiden osalta.
Tekninen tietoturva tuo suojaa
Teknistä tietoturvaa voidaan kehittää monella eri tapaa. Me Tahdolla olemme valinneet itsellemme Microsoftin pilvipohjaiset ratkaisut, sillä uskomme niiden tuovan organisaatioille tarkoituksenmukaisimman kokonaisuuden.
Microsoft 365 tarjoaa organisaatioille kattavat ja ajan tasalla olevat tietoturvaominaisuudet niin pilvipalveluihin kuin käyttäjiin, heidän laitteisiinsa ja tiedostoihinsa liittyen. Tietoturva ei ulotu ainoastaan läppäreihin, vaan myös puhelimien tietoturvasta on huolehdittu. Kaksivaiheinen tunnistautuminen varmistaa, että sovelluksiin ja järjestelmiin on kirjautumassa oikeasti se henkilö, joka tunnukset omistaa. Ajan tasalla olevat, pilvihallitut verkkolaitteet eivät tarjoa rikollisille väylää organisaation tietoihin. Windows Defender on Gartner Magic Quadrant -tutkimuksen mukaan johtava tuote päätelaitteiden suojauksessa ja kun se integroidaan Microsoftin Cloud App Securityyn, sillä mahdollistetaan myös 3. osapuolten pilvipalveluiden seuranta tietoturvan näkökulmasta ja suojaus molempiin suuntiin. Microsoft ATP (Advanced Threat Protection) tuo suojaa haittaohjelmia ja vaarallisia linkkejä sekä liitetiedostoja vastaan. ATP Safe Links suojaa käyttäjää sähköposteissa tai Office-ohjelmissa olevilta vaarallisilta linkeiltä. ATP Safe Attachments taas varmistaa, ettei käyttäjän sähköpostilaatikkoon päädy viestejä, jotka sisältävät haittaohjelmia tai viruksia.
Yksittäiset askeleet teknisen tietoturvan parantamiseksi ovat pieniä, mutta yhdessä niistä muodostuu äärimmäisen toimiva tietoturvakokonaisuus.
Hallinnollinen tietoturva vähentää inhimillisten virheiden mahdollisuutta
Tietoturvakolikon toisella puolella on hallinnollinen tietoturva: miten henkilöstö suhtautuu tietoturvaan, mitä yhteisesti sovittuja tietoturvakäytäntöjä on olemassa (ja miten niitä noudatetaan), miten tietoturvariskejä hallitaan ja niin edelleen. Huolellisesti suunniteltu ja kattavasti toteutettu tekninen tietoturvakokonaisuus luo organisaatiolle hyvän pohjan uhilta suojautumiselle, mutta se ei poista inhimillisten virheiden mahdollisuutta. Vaikka tekninen tietoturvavipu olisi käännetty kaakkoon, kalasteluviesti saattaa silti löytää tiensä työntekijän postilaatikkoon. Tässä tapauksessa on äärimmäisen tärkeää, että työntekijällä on tarvittava tietotaito tunnistaa viesti kalasteluksi ja ymmärrys siitä, mitä viestille tulee tehdä.
Muistisääntönä teknisen ja hallinnollisen tietoturvan suhteen voidaan pitää 90/10-sääntöä: 90% tietoturva- ja tietosuojauhkista realisoituu henkilöstön tietotaidon puuttumisen vuoksi ja 10% jonkin teknisen aukon hyödyntämisellä.
On siis tärkeää, että yrityksen IT-ympäristö on teknisesti kunnossa ja tietoturvapolitiikka ja -strategia on mietittynä ja jalkautettuna, mutta vielä tärkeämpää on pitää huoli työntekijöiden, ihmisten, osaamisesta koulutusten ja ohjeistuksien avulla sekä siitä, että tuota osaamista myös ylläpidetään ja mitataan.
Kumppani auttaa parhaiden tietoturvakäytänteiden huomioimisessa
Tietoturvaa voidaan hallita, ylläpitää ja kehittää joko organisaation sisällä tai yhdessä kumppanin kanssa. Kumppanin kanssa työskennellessä organisaatio saa yleensä käyttöönsä alan parhaita käytäntöjä ja kokemuksen tuomia oppeja, jotka voivat olla korvaamattoman arvokkaita nimenomaan hallinnollisen tietoturvan suunnittelussa ja jalkauttamisessa.
Me Tahdolla autamme sinua varmistamaan, että yrityksesi tietoturva on kunnossa niin teknisestä kuin hallinnollisestakin näkökulmasta. Järjestämme tarvittaessa tietoturvakoulutuksia ja autamme organisaatioita luomaan yhteiset tietoturvakäytännöt, jotka tulevat tutksi jokaiselle työntekijälle ja joihin jokainen työntekijä voi sitoutua.
Autamme tietoturvasi kartoittamisessa ja parantamisessa
Jos koet, että organisaatiosi tietoturva-asiat kaipaavat sparrausta, olemme täällä sinua varten! Teemme mielellämme organisaatioonne myös tietoturva-auditoinnin, joka paljastaa tietoturvanne todellisen tason.