[Teema] Kartoita ja leivo tietoturva osaksi yrityskulttuuria - apuna CIA ja 10 teesiä

Tieto lienee nyky-yrityksen arvokkain pääoma tai resurssi. Näiden turvaamiseen tulisi panostaa niin, että tieturva koetaan osaksi yrityksen toimintakulttuuria. Suurin osa uhkista saadaan kuriin yksinkertaisin keinoin, esimerkiksi CIA-mallin ja 10 teesin avulla.

On yritys pieni, suuri tai jotain siltä väliltä, toiminta usein perustuu prosesseihin, joita noudattamalla päädytään haluttuun lopputulokseen. Sovitut toimintatavat taas liittyvät lähinnä tiedon käsittelyyn ja siirtoon.

Tapana on ajatella, että juuri tieto on yrityksen arvokkain pääoma tai resurssi. Silti valitettavan usein tietoturvallisuus mielletään ulkopuoliseksi osaksi - ikään kuin lasikuvuksi, joka voidaan vain laskea kaiken muun päälle. Kuvun avulla yrityksen uskotaan muuttuvan taianomaisesti tietoturvalliseksi. Taikatempuilla tietoturva jää vain ajatukseksi.


Kartoita tietoturvauhkia tarkastelemalla tietoa ja tiedon käsittelyn eri vaiheita

Uhkien kartoituksen ja riskiarvioinnin yhteydessä yrityksen käsittelemää tietoa ja tiedon ominaisuuksia voi miettiä esimerkiksi luottamuksellisuuden (Confidentiality), eheyden (Integrity) ja saatavuuden (Availability) - toisin sanoen CIA-mallin avulla.

Mallin tarjoamia tietoturvan perusperiaatteita kannattaa soveltaa ja käyttää tukena, kun selvitetään, mitä tietoturvauhkia ja -riskejä tietyssä prosessissa tai sen osissa voi olla. Sitä voidaan myös hyödyntää, kun arvioidaan, kuinka tietoturvaloukkaus vaikuttaisi tiedon CIA-ominaisuuksiin.


Tiedon ja tiedon käsittelyn CIA

Confidentiality - luottamuksellisuus

Tietoa voivat nähdä ja käsitellä vain sellaiset henkilöt, joilla on siihen oikeus. Tiedon käsittelyä ja käsittelyyn liittyviä järjestelmiä voi lähestyä esimerkiksi käyttöoikeuksien ja pienimpien mahdollisten oikeuksien periaatteen kautta.

Integrity - eheys

Tieto ei saa muuttua tai tuhoutua hallitsemattomasti esimerkiksi vahingon tai hyökkäyksen vuoksi. Jos näin käy, on muutos kyettävä havaitsemaan. Tiedon eheyteen liittyen tiedon käsittelyn elinkaareen liittyvät säännöt sekä muutoshistoria ovat olennaisia palasia. Esimerkiksi yksittäistä tiedostoa tarkastellessa eheyden varmistamiseen voidaan käyttää tarkistussummia.

Availability - saatavuus

Tieto on saatavilla silloin, kun sitä tarvitaan. Onko kriittiset järjestelmät ja yhteydet kahdennettu? Onko palvelunestohyökkäyksien varalta olemassa toimintasuunnitelma ja onko sitä harjoiteltu? Mitä vaatimuksia esitetään ulkoistuskumppaneille esimerkiksi palvelinten käytettävyysaikaan liittyen ja seurataanko niitä säännöllisesti?


10 teesillä leivot tietoturvaa yrityksen toimintakulttuuriin

Jo perusasioilla saadaan kuriin suurin osa kyberuhkista. Seuraavat 10 teesiä auttavat alkuun niin pienen kuin keskisuurenkin yrityksen tietoturvatason kartoittamisessa:

1. Tiedosta ja kartoita suojattavat tiedot ja resurssit

  • Mitkä tiedot tulee suojata? Käsittelet melko varmasti ainakin henkilö-, asiakas- ja työntekijätietoja.
  • Resursseja ovat esimerkiksi verkkosivut, palvelimet ja päätelaitteet. Selvitä, miten ne voidaan suojata asianmukaisesti.

2. Tunnista, millaista tietoa käsittelet

  • Käsitteletkö henkilötietoja?
  • Mikä tieto on sinulle olennaista ja suojattavaa?

3. Tiedä, MITEN tietoa käsitellään

  • Sähköinen vai paperinen aineisto vaiko hiljainen tieto? Missä muodossa tietoa käsitellään?
  • Hallitse tietojesi elinkaari: miten tietoa syntyy, säilötään ja tuhotaan?

4. Tiedä, MISSÄ tieto säilytetään

  • Työpaikalla, tiedostopalvelimella, pilvipalveluissa, kotona vai työntekijöiden henkilökohtaisilla laitteilla?
  • Varmuuskopiot, paloturvakaapit, dataturvakaapit. Onko tiedon säilytyspaikka turvattu?

5. Ulkoista järkevästi

  • Ylläpidätkö verkkoasi ja palvelimiasi itse vai kannattaako ulkoistaa? Hyödynnä myös pilvipalveluja.

6. Muista ihmiset

  • Ihminen on aina heikoin lenkki, joka oikoo ja tekee asiat helpoimmalla tarjolla olevalla tavalla.
  • Koska tietoturva ja käytettävyys eivät kulje aina käsikädessä, luo olosuhteet, joissa on helppo onnistua.

7. Pidä perustiedot ja -taidot ajan tasalla

  • Miten internet ja sähköposti toimii? Mitä tietokoneellani tapahtuu? Miten data tallentuu ja minne?
  • Hallitse nämä ja kouluttaudu!

8. Varmista

  • Varmuuskopioi kaikki tärkeä tieto ja testaa varmuuskopioiden saatavuus.
  • Muista varmuuskopioinnin 3-2-1-sääntö: 3 kopiota, 2 eri kopioformaattia, 1 eri paikassa oleva varmuuskopio.

9. Päivitä

  • Päivitykset korjaavat ohjelmistoista löydettyjä kriittisiä virheitä eli haavoittuvuuksia.
  • Onhan käytössäsi oleviin ohjelmistoihin ja järjestelmiin saatavilla päivityksiä?
  • Päivitä ohjelmistot heti, kun päivitykset ovat saatavilla.

10. Jalkauta kohdat 1 - 9 olemassa oleviin toimintatapoihin

  • Lisää esimerkiksi hankintojen tietoturvavaatimuksia.
  • Tekniset ratkaisut ja automatisointi tukevat yrityksen kokonaistietoturvaa.
  • Poista turhat oikotiet, mutta älä hankaloita asioita liikaa.
  • Tee tietoturvasta osa yrityskulttuuria, sillä turvallisesta toiminnasta voidaan olla ylpeitä!

Lisätietoja

Päivityshistoria

Asiasanat: Tietoturva , Kyberturvallisuus , Organisaatio , Riskienhallinta , Saatavuus , Tietoturva nyt!

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248