[Teema] Suojaa maine ja talous

Pk-yrityksissä ja organisaatioissa käsitellään liikesalaisuuksia, innovaatioita ja henkilötietoja, joiden vuotaminen ulkopuolisille haittaa mainetta sekä saa aikaan rahallisia tappioita.

Yleiset suojauskäytännöt voidaan jaotella turvallisuusjohtamiseen, fyysiseen ja tietotekniseen turvallisuuteen. Käytännöt ovat toisiaan täydentäviä, ja riskit pienentyvät useampaa suojauskäytäntöä yhdistelemällä.


Erityisesti henkilötietojen käsittelyssä on oltava tarkkana. Arki ryppyilee ja maine voi mennä, jos yhteisön tärkeitä tietoja ei tunnisteta eikä suojata huolellisesti. Asiakas- ja jäsenrekisterit yhteystietoineen ja tilausten kirjanpito liittyvät nekin oleellisesti sekä yritysten että yhdistysten sujuvaan toimintaan.

Suomessa henkilötietojen suojaamisesta säädetään henkilötietolaissa, mutta muun muassa asiakasrekisterejä käsittelevien on syytä huomioida myös EU:n tietosuoja-asetus, joka koskee kaikkia henkilötietoja käsitteleviä yrityksiä ja organisaatioita.

Mitkä ovat suojattavia kohteita?

Yritys tai organisaatio voi arvioida tietojensa merkittävyyttä seuraavilla kysymyksillä:

Mikä voisi tapahtua, jos

  • kilpailija saisi haltuunsa yksityiskohtaisia tietoja yrityksen tuotteista
  • asiakasrekisterin tai -tilauksiin liittyvissä tiedoissa olisi merkittäviä virheitä
  • tietoja ei voisi käyttää
  • kaikki yrityksen sähköisessä muodossa oleva tieto olisi hävinnyt lopullisesti
  • päätelaitteet lakkaisivat toimimasta
  • tietojen luottamuksellisuus tai eheys menetettäisiin
  • organisaation sisäinen sähköpostikirjeenvaihto olisi iltapäivälehtien otsikoissa?

Riskien hallintaan kannatta uhrata muutama ajatus. Organisaation toiminta itsessään saattaa sisältää riskejä tai sen hallussa oleva tieto voi kiinnostaa ulkopuolisia. Yritys voi olla potentiaalinen kohdistetun hyökkäyksen (APT) kohde, jos sen hallussa on tietoa, jota rikollinen pitää arvokkoona. Jos riskit toteutuvat ja aiheuttavat käyttökatkoksia, yrityksen tai organisaation koko toimintakyky on vaarassa.

Miten suojaudun?

Seuraavat suojauskäytännöt pätevät minkä tahansa organisaation yleisimpiä tietoturvariskejä vastaan. Jos taas organisaatiossa käsitellään turvallisuusluokiteltuja tietoja, suojautumisperiaatteet tulee selvittää esimerkiksi Katakrista.

Yleiset suojauskäytännöt voi jaotella turvallisuusjohtamiseen, fyysiseen ja tietotekniseen turvallisuuteen. Tässä käytännöille soveltuvia suojauskeinoja.

Turvallisuusjohtaminen

  1. Järjestä turvallisuusperiaatteille johdon tuki ja vastuuta toteutus käytännössä.
  2. Arvioi toimintaan liittyvät riskit säännöllisesti ja suojaudu riittävästi niitä vastaan. Huomioi myös toiminnan jatkuvuuteen liittyvät riskit. Valvo, kuinka suojaustavat toimivat käytännössä.
  3. Huomioi henkilöstövalinnoissa turvallisuusnäkökulmat, erityisesti henkilön luotettavuus ja osaaminen.
  4. Ohjeista ja kouluta henkilöstöä niin, että turvallinen toiminta on mahdollista.

Fyysinen turvallisuus

Toteuta riittävät suojausmenetelmät

  • murto-, palo- ja vuotovahinkoja vastaan
  • vain määritellyt organisaation henkilöt pääsevät käsiksi suojattaviin tietoihin tai tietojenkäsittely-ympäristöihin.

Tietotekninen turvallisuus

  1. Erottele suojattava tietojenkäsittely-ympäristö muista ympäristöistä. Jos ympäristö pitää kytkeä muihin ympäristöihin, toteuta se vain välttämättömän liikennöinnin sallivan palomuuriratkaisun kautta.
  2. Huolehti turvallisuuspäivityksistä. Varmista, että esimerkiksi verkkolaitteet, palvelimet ja päätelaitteet ovat säännöllisten turvapäivitysten piirissä. Varmista, että päivitysprosessit kattavat sekä käyttöjärjestelmät että kolmannen osapuolen sovellukset.
  3. Huolehdi pääsyoikeuksien ja käyttövaltuuksien ajantasaisuudesta vähimpien oikeuksien periaatteen mukaisesti. Varmista, että tietojenkäsittely-ympäristön käyttäjillä ja automaattisilla prosesseilla on vain välttämättömät oikeudet.
  4. Ota tietojenkäsittely-ympäristössä käyttöön vain välttämättömät toiminnallisuudet. Poista käytöstä tarpeettomat toiminnallisuudet, komponentit ja palvelut.
  5. Ota haittaohjelmille alttiille päätelaitteille käyttöön haittaohjelmantorjuntaohjelmistot, ja varmista niiden ajantasaisuus.
  6. Varmuuskopioi keskeiset suojattavat tiedot säännöllisesti.


Nämä suojausmenetelmät pätevät yrityksissä ja organisaatioissa, joissa suojattava tietojenkäsittely-ympäristö on kokonaisuudessaan organisaation omassa hallinnassa sekä fyysisesti (organisaation oman toimipisteen sisällä) että loogisesti (tietoteknisesti pääsy vain organisaation sisältä). Jos ympäristöön kuuluu myös esimerkiksi etäkäyttömahdollisuus, lisäsuojauskäytännöt, esimerkiksi liikenteen ja päätelaitteiden salaus, ovat yleensä perusteltuja.

Tilanteissa, joissa organisaatio on esimerkiksi ulkoistanut sähköpostipalvelunsa kolmannelle osapuolelle, palvelun turvallisuus riippuu merkittävästi kolmannen osapuolen toteuttamista suojauskäytännöistä. Vastaavasti jos organisaatio on ulkoistanut esimerkiksi päätelaitteiden ylläpidon, päätelaitteilla käsiteltävien tietojen suojaus on suoraan riippuvainen ulkoistuskumppanin suojauskäytäntöjen tasosta.

Lisätietoa


Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Organisaatio , Riskienhallinta , Tietosuoja , Vaatimustenmukaisuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248