Tässä artikkelissa käydään läpi yksinkertaiset ohjeet yrityksen tietoturvan parantamiseksi.
1. Tietoturvasuunnitelma
Jotta työntekijät, yhteistyökumppanit ja asiakkaat tietävät tietoturvan pelisäännöt, on hyvä aloittaa tietoturvapolitiikasta ja -suunnitelmasta, jossa määritellään kriittiset tiedot ja toiminnot, sekä kuka vastaa niiden suojaamisesta.
Yrityksen johdon tulisi pohtia ja päättää
- Kuka yrityksessä huolehtii tietoturva-asioista?
- Millaista tietoa yrityksellä on ja missä sitä säilytetään?
- Mikä tieto vaatii erityistä suojausta ja mikä on sopiva suojaustaso? Esimerkiksi henkilötietojen käsittelyssä on oltava tarkkana.
- Millä käytännön toimenpiteillä tietoa suojataan eri tilanteissa?
- Kuka suorittaa tarvittavat käytännön toimenpiteet, kuten ohjelmisto- ja laitepäivitykset?
- Kuinka toimitaan poikkeustilanteessa, jotta saadaan reagoitua nopeasti, minimoitua mahdolliset vahingot ja palauduttua takaisin normaalitilanteeseen?
Johdon pitää varmistaa, että ulkopuolisilla palveluntarjoajilla on samat tiedot ja että he noudattavat tehtyä suunnitelmaa.
Tietoturvasta huolehtiminen on aina yrityksen johdon vastuulla. Moni yritys käyttää kumppania apuna tietoturvan parantamisessa, mutta vastuuta ei voi ulkoistaa. Suunnitelma on hyvä käydä läpi ja päivittää esimerkiksi kerran vuodessa.
2. Henkilöstön osaaminen
Inhimillisiä virheitä sattuu kaikille. Virheiden määrää voidaan pienentää oikeanlaisilla käytännöillä ja koulutuksilla.
Henkilöstöllä tulisi olla
- Selkeät toimintatavat eri tilanteisiin
- Ohjeet, jotka ovat helposti kaikkien saatavilla
- Säännöllisesti tietoturvakoulutuksia
- Toimiva tukikanava poikkeustilanteisiin
- Oikeudet vain tarvittaviin tietoihin ja järjestelmiin
Helposti ymmärrettävillä tietoturvakäytännöillä ja -ohjeilla sekä henkilökunnan säännöllisillä koulutuksilla parannetaan tietoturvakäytäntöjen noudattamista ja toteutumista.
3. Riittävän vahvat tunnistautumismenetelmät
Riittävän vahvaan tunnistautumiseen tulisi panostaa erityisesti arkaluonteisia tietoja sisältävissä järjestelmissä ja laitteissa. Varmista, että
- Kaikkien laitteiden ja järjestelmien oletussalasanat on vaihdettu vahvoihin salasanoihin
- Kaikkiin arkaluontoisia tietoja sisältäviin järjestelmiin, kuten Microsoft 365 -tileihin, Google-tileihin, CRM:ään, taloushallintojärjestelmään ja sosiaalisen median tileille vaaditaan aina monivaiheinen tunnistautuminen (MFA)
4. Tietoturvaratkaisujen toiminta
Tietoturvaratkaisujen toiminnasta pitää huolehtia jatkuvasti. Huomioi seuraavat asiat:
- Valitse luotettava toimittaja, esimerkiksi WithSecure ja Microsoft
- Varmista, että tietoturvaratkaisu tarjoaa riittävän suojauksen ja soveltuu yrityksen käyttöön
- Huolehdi, että ratkaisu päivitetään säännöllisesti kaikkiin järjestelmiin ja ratkaisuihin
5. Laitteistojen turvallisuus
Uusia tietoturva-aukkoja paljastuu jatkuvasti ja siksi onkin tärkeää pitää laitteistot ja järjestelmät päivitettyinä ja valvoa niiden tilaa keskitetysti.
Pohdittavia asioita:
- Tiedetäänkö millä laitteilla yrityksen tietoja käsitellään?
- Hallitaanko kokonaisuutta keskitetysti?
- Asennetaanko kaikkiin laitteisiin tarvittavat asetukset ja tietoturvasovellukset käyttöönoton yhteydessä?
- Poistetaanko laitteet käytöstä ja tyhjennetään asianmukaisesti ennen kierrätystä?
Käytännössä nämä edellyttävät sitä, että kumppani tai yrityksen oma tekninen henkilö ylläpitää ja valvoo kaikkien laitteiden ja järjestelmien tilaa keskitetysti.
5. Tiedon siirtoon liittyvä turvallisuus
Yrityksen tieto liikkuu verkossa – sekä omassa sisäverkossa että internetissä. Huolehdi, että verkot, verkkolaitteet ja määritykset on valittu ja toteutettu asianmukaisesti, sekä pidetty ajan tasalla. Varmista, että tietoturvaratkaisu kattaa myös sähköpostin ja muun internetliikenteen.
6. Fyysinen tietoturva
Rikollinen luikertelee sisään helpoimman tien kautta. Vaikka yrityksen järjestelmät olisi suojattu verkkohyökkäyksiltä, se ei auta, jos kuka tahansa voi kävellä sisään yrityksen tiloihin ja napata mukaansa yrityksen tietoja. Luokittele kaikki tilat, joissa on mahdollista päästä käsiksi yrityksen tietoihin. Huolehdi niiden kulunvalvonnasta, murtosuojauksesta ja lukituksista.
7. Tapahtumien havainnointi ja analysointi
Varmista kyky havaita kriittisiin ympäristöihin kohdistuvia tietoturvapoikkeamia. Lokitietoa tulee kerätä sellaisista laitteista, ohjelmistoista ja tietokannoista, joita hyökkääjä voisi käyttää hyväkseen. Lokitiedot tulee suojata mahdollisen tunkeutujan vaikuttamiselta.
8. Tiedottakaa havaituista uhkista
Jos havaitsette tietoturvauhkia, tiedottakaa niistä Kyberturvallisuuskeskukselle osoitteessa https://www.kyberturvallisuuskeskus.fi/fi/ilmoita
Haluatko kattavan kuvan yrityksesi tietoturvan nykytilanteesta?
Hyvin huolehdittu tietoturva tuo mukanaan täsmällisyyttä kaikkeen yrityksen tekemiseen, sekä tarjoaa parempaa sekä turvallisempaa palvelua asiakkaalle.
Moniin ongelmakohtiin löytyy usein jo pienillä toimenpiteillä suuria parannuksia, kunhan tiedetään mitkä asiat vaativat kiireellisimpiä toimia.
Varaa tästä tietoturvakartoitus, jossa selvitämme yhdessä yrityksesi kanssa, kuinka voisitte parantaa tietoturvaanne.
Tietoturvakartoituksessa käydään kattavasti läpi kaikki tietoturvan osa-alueet:
- Hallinnollinen tietoturva – Tietoturvan johtaminen ja hallinnointi
- Henkilöstön tietoturva – Henkilöstön vastuut, roolit ja ohjeistus
- Toimitilojen tietoturva – Toimitilojen ja laitteiden fyysinen suojaaminen
- Laitteiden tietoturva – Käytettävien laitteiden yleinen suojaaminen
- Ohjelmistojen tietoturva – Käytettävien ohjelmistojen tietoturva
- Tietoliikenteen turvallisuus – Tiedon siirtoon liittyvä turvallisuus
- Tietoaineiston turvallisuus – Tietoa sisältävien dokumenttien käsittely
Saat kartoituksen tuloksena raportin yrityksesi tietoturvan tilasta, sekä konkreettiset toimenpide-ehdotukset tietoturvan parantamiseksi.
Tarjoamme apua myös tietoturvasuunnitelman, riskianalyysin ja palautumissuunnitelman tekemiseen.
