Article
Kyberturvallisuus: 8 kohdan muistilista yrityksille
24.10.2024
Teknologia
Article
Kyberturvallisuus: 8 kohdan muistilista yrityksille
Teknologia
24.10.2024
Kyberturvallisuus: 8 kohdan muistilista yrityksille
Teknologia
10.24.2024
Article
Kyberturvallisuus: 8 kohdan muistilista yrityksille
Teknologia
10.24.2024
Article
Kyberturvallisuus: 8 kohdan muistilista yrityksille
Teknologia
October 24, 2024
Kyberturvallisuus ja välttämättömien verkkoyhteyksien toiminnan takaaminen ovat tällä hetkellä ajankohtaisempia keskustelunaiheita kuin koskaan aikaisemmin. Me haluamme tukea yrityksesi liiketoimintaa ja annamme 8 kohdan listan, millä voit paremmin varautua kyberhyökkäyksiin ja häiriötilanteisiin.
1. Muodosta kokonaiskuva ja tunnista riskit
Selvitä ensin, mitä tietoa, omaisuutta ja laitteita suojataan ja missä ne sijaitsevat. Tietoturvan kokonaisuuteen kuuluvat seuraavat osa-alueet, joiden riskit kannattaa tunnistaa: henkilöstö, laitteisto ja verkot, ohjelmistot, tiedonsiirto, ulkopuoliset toimijat ja fyysinen turvallisuus. Tiedosta myös tekoälyn tuomat riskit.
Kerättyjen tietojen pohjalta muodostetaan kokonaiskuva, jonka pohjalta tietoturvasuunnitelma rakennetaan.
“Käy läpi ensin yrityksen toiminnan kannalta kriittiset järjestelmät sekä ne järjestelmät, joissa käsitellään asiakastietoja. Käy läpi myös näihin järjestelmiin liitetyt järjestelmät.”
– Riku Tarkiainen, Director, Information Security & Data Privacy, Visma Solutions
2. Tee tietoturvasuunnitelma
Tehokkain tapa torjua tietoturvauhkia on ennakointi. Yrityksen tietoturvasuunnitelman luomiseen on monia eri malleja, joita voit hyödyntää organisaatiosi toiminnan turvallisuuden varmistamiseen.
18.10.2024 voimaan tullut NIS2 velvoittaa yhteiskunnan kriittisten sektoreiden toimijoita ja sen tavoitteena on kyberturvallisuuden yhteisen tason varmistaminen kaikkialla Euroopan unionissa. Ne joita NIS2 ei koske, voivat hyödyntää myös muita laajoja tietoturvastandardeja kuten ISO27001 tai NIST. Pienemmät yritykset pääsevät hyvin myös alkuun esimerkiksi Traficomin Pienyritysten kyberturvallisuusoppaan tai Kyberturvan pelisäännöt pienyrityksille -kirjan avulla.
“Kannattaa miettiä ennakkoon erilaisia skenaarioita ja tehdä suunnitelmat, kuinka toimitaan, jos yrityksen toimintaa häiritään.”
– Riku Tarkiainen, Director, Information Security & Data Privacy, Visma Solutions
3. Arvioi organisaatiosi tietoturvataso ja päivitä suunnitelmaa säännöllisesti
Tietoturvan maailmankuva muuttuu äärimmäisen nopealla syklillä. Siksi liiketoimintasi osa-alueisiin liittyviä riskejä kannattaa arvioida säännöllisin väliajoin sekä päivittää tietoturvasuunnitelmaa. Liiketoimintasi kasvaessa riskit ja asiakkaiden sekä muiden sidosryhmien vaatimukset myös lisääntyvät.
Mikäli organisaatiollasi itsellään ei ole riittäviä valmiuksia tietoturvatason selvittämiseen, voit tilata auditoinnin ulkoiselta toimijalta. Oleellista onkin ymmärtää, mihin kaikkeen yrityksen omat resurssit ja tietotaito riittävät ja pystyvät.
4. Varmista, että organisaation järjestelmien perusedellytykset ovat kunnossa
Varmista, että tärkeimmät tietosi varmuuskopioidaan säännöllisesti. Suojaa arkaluonteinen tieto kryptaamalla.
Määrittele tarkasti, kenellä on pääsy yrityksesi tietoihin ja millä tavoin. Älä mahdollista jaettujen käyttäjätunnusten käyttöä, jotta tiedät tarvittaessa, kuka järjestelmään on kirjautunut.
Kartoita tietovarantosi ja siivoa vanhentuneet tiedot säännöllisesti. Huomioi erityisesti henkilötietoja koskevat tietosuojaperiaatteet.
Huolehdi työntekijöidesi järjestelmien tietoturvasta asettamalla huolella harkitut oletusasetukset ja varmistamalla laitteistojen sekä ohjelmistojen automaattiset päivitykset.
5. Kouluta henkilöstöäsi ja ylläpidä heidän osaamistaan
Henkilökunta on yrityksesi tärkein voimavara tietoturvan ylläpitämisessä. Samalla se on myös yksi merkittävimmistä riskeistä. Tietoturvakoulutusta ja ajantasaisia ohjeita kannattaakin tarjota säännöllisesti. Pohdi, saisitko reaalimaailmaan vertaamisella tietoturvaosaamisen kehittämisestä helpompaa.
Jokainen työntekijä voi minimoida häiriöiden aiheuttamista muun muassa seuraavilla keinoilla:
- Virustorjuntaohjelman käyttö
- Kaksi- tai monivaiheisen tunnistautuminen käyttö
- Turvallisten salalauseiden käyttö
- Salasananhallintatyökalun käyttö
- Riskien välttäminen: älä avaa ja lataa mitään epäluotettavista lähteistä. Tämä koskee myös esimerkiksi ilmaisohjelmien lataamista.
6. Huolehdi ja sovi etätyön käytännöistä
Mikäli työntekijäsi tekevät etätöitä, sovi heidän kanssaan turvallisen etätyön käytännöistä. Esimerkiksi seuraavat neuvot tekevät etätyöstä turvallisempaa:
- Salli työskentely ainoastaan työnantajan tarjoamilla välineillä
- Huolehdi turvallisista tietoliikenneyhteyksistä sekä siitä, että tietokoneet pysyvät päivitettyinä
- Tee linjaus ohjelmien lataamisesta työkoneelle
- Pyydä työntekijöitäsi kiinnittämään huomiota, etteivät he puhu työasioista ulkopuolisille tai päästä heitä työkoneellesi
- Ohjeista työntekijöitäsi huolehtimaan, etteivät heidän laitteitaan varasteta.
7. Varmista, että organisaatiosi tietää kuinka toimia kriisitilanteessa
Samalla tavoin kun yritykselläsi pitää olla selvä kuva, miten toimia toimiston tulipalon syttyessä, kannattaa sillä olla etukäteen tehty suunnitelma kyberhyökkäysten varalta. Alla on hyviä kysymyksiä, joihin yrityksesi tulisi pystyä poikkeustilanteissa vastaamaan:
- Miten organisaatiosi saa hälytyksen siitä, että tietoturvaongelma on tapahtunut?
- Mihin ongelmatilanteesta ilmoitetaan?
- Kuka/ketkä organisaatiossasi ottavat vastuun toiminnan koordinoinnista ongelmatilanteessa?
- Mitä yksittäisen työntekijöidesi tulee itse osata ongelmatilanteessa tehdä?
- Miten selvitetään, mitä vahinkoja tilanne on yritykselle aiheuttanut?
- Miten varmistetaan, ettei vastaavaa pääse tapahtumaan enää uudelleen?
Kyberturvallisuuskeskus tarjoaa myös useita toimintaohjeita kriisitilanteiden varalle. Löydät ne sivuston hakutoiminnolla käyttämällä hakusanaa “toimintaohje”.
8. Mieti kontaktit valmiiksi ja ole heihin yhteydessä kriisin sattuessa
Kannattaa miettiä etukäteen, millaista apua mahdollisessa tietomurtotilanteessa yrityksesi voi kaivata ja keneen voit olla yhteydessä.
Ensinnäkin oman IT-toimittajan kanssa onkin hyvä käydä keskustelu siitä, miten he pystyvät auttamaan organisaatiotanne erilaisissa tietoturvahaasteissa. Kannattaa myös etsiä yrityksellesi sopiva tietoturvakumppani, sillä tietoturvaan keskittyneillä yrityksillä on valmiit toimintamallit esimerkiksi tietomurtotilanteiden selvitykseen.
Mahdollisen viranomaisyhteistyön kannalta on suositeltavaa miettiä kontaktit valmiiksi. Kyberturvallisuuskeskuksen tietoturva-ammattilaiset voivat auttaa tietoturvaloukkauksen selvittämisessä. Jos henkilötietoihin on kohdistunut tietoturvaloukkaus, tee ilmoitus tietosuojavaltuutetun toimistolle 72 tunnin kuluessa. Kyberrikoksista kannattaa tehdä rikosilmoitus Poliisille.
Sisältöön on otettu inspiraatiota Netvisorin blogisarjasta Estä tietomurto yritykseesi – 10 askelta yrityksen tietoturvaan
Jakson kuvaus
afterIT
