Yrityksen tietoturvan kuntoon laittaminen lähtee siitä, että tunnistetaan mikä tieto ei saa päätyä yrityksen ulkopuolelle (salainen tieto) ja mikä tieto on sellaista että sen pitää ehdottomasti säilyä ja minkä tietotekniseten palveluiden pitää aina toimia moitteetta.

1.  Tietoturvatarpeiden tunnistaminen

1.1  Salassa pidettävä tieto

Yritykselle kriittistä salaisena pidettävää tietoa on usein yllättävän vähän. Usein tämä salainen tieto rajoittuu yrityksen tekemiin sopimuksiin ja asiakastietoihin. Harvalla yrityksellä on menetelmiä tai yrityssalaisuuksia, joita pitäisi suojata ja harvan yrityksen tarvitsee piilotella taloudellisia perustietoja.  Mutta asiakkaisiin, sopimuksiin ja sopimuskumppaneihin liittyvä tieto on sen sijaan salassapidettävää ei pelkästään yrityksen itsensä kannalta vaan myös asiakkaat ovat oikeutettuja olettamaan että heidän tiedoistaan pidetään huolta.

1.2   Tieto jonka säilyminen on varmistettava

Säilytettävää tietoa on usein enemmän kuin salassapidettävää. Yrityksen tilinpäätöksiin ja verotukseen liittyvä aineisto on sellaista jonka tulee kaikkien mahdollisten häiriöiden sattuessa säilyä. Lähes kaikki salassa pidettävä tieto on niinikään sellaista jonka tulee säilyä. Lisäksi on paljon yrityksen prosesseissa syntyvää aineistoa jonka tulee häiriöiden sattuessa säilyä.

1.3  Palvelut joiden tulee toimia

Yrityksillä on tietotekinisiä palveluita joiden tulee aina toimia. Näitä ovat esimerkiksi puhelinliittymät, internetsivut, asiakastietojärjestelmät, yrityksen toiminnanohjaus.

2.  Tietoturvariskien tunnistaminen

Pienen yrityksen tietoturvaan liittyvät riskit liittyvät usein henkilöihin:

• salasanoja ei loman jälkeen muisteta
• yrityksestä lähtevä työntekijä toimii leväperäisesti eikä suhtaudu kunnioittavasti yrityksen tietoihin ja niihin liittyviin omistusoikeuksiin
• arvokasta tietoa tuhotaan vanhan pc:n mukana vahingossa tai vanhan tuhottavan pc:n mukana menee salaista tietoa maailmalle
• etc.

Mutta usein myös alkeellisin tekninen tietoturva unohtuu:

• salasanat ovat liian helppoja eikä niitä vaihdeta riittävän usein
• kaikille tehtäville tulisi olla varahenkilö ja/tai varajärjestelmä; tämä usein unohtuu
• yrityksen työntekijöillä on liian laajat oikeudet lukea ja/tai tuhota materiaalia, vahinkoja sattuu kun niille on mahdollisuus
• tulipalon sattuessa tuhoutuu sekä aineisto, että sen varmuuskopio; niinsanottu saittivarmennus on unohtunut
• etc…

3.   Tietoturvan rakentaminen

Oikeiden toimenpiteiden tekeminen on helpompaa sitten kun tietoturvatarpeet on tunnistettu ja riskit kartoitettu.  Toimenpiteiden tekemiseen löytyy apua monilta auliisti palveluaan tarjoavilta yrityksiltä. Netistä löytyy myös monia hyviä ilmaisia oppaita kuten esimerkiksi:

• Kyberturvallisuuskeskuksen ohjeet
• Elkinkeinoelämän keskusliiton käytännönläheinen tietoturvaopas
• wikipedia / tietoturva

Näihin oppaisiin kannattaa tutustua ennen kuin lähtee ostamaan tietoturvapalveluita. On helpompi ostaa oikein kohdennettua tekniikkaa kun tietää mitä haluaa ja miksi.

Tietoturvan rakentaminen on pääasiassa tervettä käytännön järkeä.  Yrityksen käytännön tarpeet ja riskit selviävät yleensä yrityksen omien työntekijöiden toimesta.  Tarpeiden ja riskien ymmärtäminen on oleellinen osa yrityksen omaa liiketoimintaosaamista.

Tekniikalla on helppo paikata aukot sitten, kun tietoturvariskit ja tarpeet on tunnistettu.

Lisää tietoa:   

• Tietosuojalaki  (Laki luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä, GDPR)
• Tietosuojavaltuutettu /  Usein kysyttyä EU:n tietosuoja-asetuksesta

Kuvan lähde: Pixabay / s7akti