Tietoturvan tarkistuslista pk-yrityksille
Suomalainen tietoturvayritys ja pitkäaikainen kumppanimme WithSecure on laatinut yrityksille tarkistuslistan, joka jokaisen yrityksen koosta riippumatta olisi hyvä käydä läpi. Lista auttaa yrityksiä tunnistamaan kriittisimmät kehityskohteet, sekä vahvistamaan tietoturvaa systemaattisesti.
Tietoturvaohjeet on jaettu neljään pääalueeseen:
1. Perustukset kuntoon
2. Havaitse ja reagoi ajoissa
3. Varmista toimintatavat, osaaminen ja hankintaketjut
4. Kovenna käytäntöjä ja minimoi hyökkäyspinta-ala
Mitä korkeampaa tietoturvan tasoa tavoitellaan, sitä enemmän korostuvat jokaisen kohdan loppupään toimenpiteet. Toimenpiteet on jaettu kolmeen osaan:
1. Perustukset kuntoon
Nämä toimenpiteet muodostavat perustan kaikelle tietoturvatyölle. Niiden huolellinen toteuttaminen vähentää riskejä merkittävästi.
Kriittiset
- Omaisuuden hallinta: Tunnista ja dokumentoi kaikki IT-järjestelmät ja niiden rooli liiketoimintaprosesseissa.
- Verkko- ja päätelaiteturva: Suojaa verkot ja päätelaitteet palomuureilla ja haittaohjelmasuojilla.
- Henkilöllisyyden ja käyttöoikeuksien hallinta:
- Käytä monivaiheista tunnistautumista kaikissa pilvipalveluissa.
- Rajoita pääkäyttäjätunnusten määrää.
- Salli etäyhteydet vain vahvasti suojattujen kanavien kautta (VPN + monivaiheinen tunnistus).
- Päivitysten hallinta: Toteuta järjestelmällinen päivitysprosessi, erityisesti internetiin yhteydessä oleville laitteille.
- Yhteistyövälineiden suojaus: Suojaa sähköposti- ja pilvipalvelut tietoturvaohjelmistoilla.
- Toiminnan jatkuvuus ja palautuminen häiriöistä: Varmista säännölliset varmuuskopiot tärkeistä tiedoista.
- Päätelaitteiden hallinta: Hallitse päätelaitteita keskitetysti sujuvamman hallinnan ja valvonnan vuoksi.
- Tietosuojatoimenpiteet: Salaa päätelaitteet ja arkaluontoinen tieto.
- Identiteetin- ja pääsynhallinta (IAM):
Pidä järjestelmien ja palveluiden (myös päätelaitteiden) ylläpitäjätunnusten määrä mahdollisimman pienenä. - Käyttöpolitiikat ja vaatimustenmukaisuus:
- Laadi ja viesti selkeät käyttöohjeet työntekijöille.
- Tunnista toimintaa ohjaavat lait, standardit ja sopimusvelvoitteet (esim. NIS2).
- Tietoturvakoulutus ja -tietoisuus: Kouluta henkilöstö kyberturvan perusteista ja uhkien tunnistamisesta.
2. Havaitse ja reagoi ajoissa
Hyvä tietoturva vaatii jatkuvaa tilannetietoisuutta ja reagointikykyä.
Kriittiset
- Päätelaitteiden ja pilvipalveluiden uhkien havainnointi: Käytä uhkien tunnistus- ja torjuntajärjestelmiä tietokoneilla ja palvelimilla.
- Lokien keruu ja valvonta: Toteuta keskitetty lokitus kriittisille järjestelmille.
- Ulkoistettu havainto- ja torjuntapalvelu: Hyödynnä valvontapalveluntarjoajaa (esimerkiksi MDR-palvelu, jossa kumppani valvoo tietoturvaa 24/7).
Tärkeät
- Altistusten ja riskien hallinta: Käytä työkaluja, jotka tunnistavat haavoittuvuuksia, väärinkonfiguraatioita ja hyökkäyspolkuja.
- Ohjelmistojen hallinta: Dokumentoi käytetyt sovellukset ja varmista niiden vaikutus liiketoimintaan ja vaatimustenmukaisuuteen, kuten henkilötietojen käsittelyyn.
- Apua häiriötilanteisiin: Hanki käyttöön asiantuntijatukea häiriötilanteisiin.
Valinnaiset
- Verkon seuranta: Seuraa verkkoliikennettä poikkeavuuksien tunnistamiseksi.
- Tietoturvalokien seuranta: Käytä tietoturvalokien hallintajärjestelmää (SIEM) tehokkaaseen uhkien havainnointiin.
- Uhkatiedustelu: Hyödynnä ajankohtaista tietoa kyberuhkista ennakointiin ja reagointiin.
3. Varmista toimintatavat, osaaminen ja hankintaketjut
Seuraavat toimenpiteet parantavat jatkuvuutta ja osoittavat kypsyystason ulkopuolisille tahoille.
Kriittiset
- Järjestelmän koventaminen: Poista kaikki turhat ohjelmat ja palvelut, etenkin sellaiset, joita voi käyttää etänä. Tee jäljelle jäävät palvelut mahdollisimman turvallisiksi.
- Hyväksyttyjen ohjelmien hallinta (APM): Salli vain ennalta hyväksytyt ohjelmat, kirjastot ja skriptit järjestelmissäsi. Estä kaikki muu.
- Yhden kirjautumisen käyttö (IAM/SSO): Ota käyttöön kertakirjautuminen, jotta käyttäjien ei tarvitse muistaa useita salasanoja ja hallinta helpottuu.
- Varmuuskopiot ja palautus (BC/DR): Tee varmuuskopiot tärkeistä järjestelmistä niin, ettei niitä voi muuttaa jälkikäteen.
Tärkeät
- Verkon suojaaminen:
Jaa verkko pienempiin osiin käyttötarkoituksen mukaan, esim. erota kirjanpidon järjestelmät muista. - Etuoikeutettujen käyttäjien hallinta (PAM):
Rajoita ja seuraa tarkasti käyttäjiä, joilla on erityisoikeuksia järjestelmiin. - Zero Trust -periaate:
Älä luota automaattisesti kehenkään – aina pitää tarkistaa käyttäjän ja laitteen oikeudet, olipa yhteys sisä- tai ulkopuolelta. - Etäistuntojen hallinta:
Aseta automaattinen aikakatkaisu etäyhteyksille ja siirry mahdollisuuksien mukaan salasanojen sijasta turvallisempiin kirjautumistapoihin (esim. biometrinen tunnistus).
Valinnaiset
- Uhkien tunnistus ja reagointi:
Laadi selkeät toimintasuunnitelmat eri häiriö- ja hyökkäystilanteita varten. - Tietojen suojaaminen:
- Luokittele tiedot niiden arkaluontoisuuden mukaan ja suojaa niitä sen mukaisesti.
- Estä tietojen luvatonta vuotamista DLP-ratkaisuilla.
- Salaa kaikki tiedot – niin silloin, kun ne ovat tallessa, kuin siirrettäessä paikasta toiseen.
4. Kovenna käytäntöjä ja minimoi hyökkäyspinta-ala
Viimeisessä vaiheessa keskitytään tekniseen syventämiseen: minimoidaan hyökkäyspinta ja varmistetaan järjestelmien suojaus.
Kriittiset
- Riskien ja altistumisen hallinta:
- Selvitä ketkä ovat tärkeimmät toimittajat ja yhteistyökumppanit.
- Arvioi, millaisia kyberriskejä heihin liittyy.
- Laadi suunnitelmat, miten varmistat toiminnan jatkuvuuden, vaikka ongelmia ilmestyisi.
Tärkeät
- Liiketoiminnan jatkuvuus ja palautuminen häiriöistä (BC/DR): Harjoittele säännöllisesti, miten toimit häiriö- tai katastrofitilanteessa, jotta olet valmis tosipaikan tullen.
- Tapahtumien tunnistus ja reagointi: Harjoittele kyberhyökkäyksiin reagoimista järjestämällä simuloituja hyökkäystilanteita. Testaa ja kehitä toimintasuunnitelmia näiden harjoitusten pohjalta.
- Henkilöstön tietoturvatietoisuus: Järjestä säännöllisiä huijausviestikampanjoita (phishing-harjoituksia), jotta työntekijät osaavat tunnistaa huijaukset ja toimia oikein.
Valinnaiset
- Sääntöjen ja vaatimusten noudattaminen (Compliance): Rakenna järjestelmä (ISMS), joka auttaa hallitsemaan tärkeitä tietoja turvallisesti ja systemaattisesti. Tavoittele esimerkiksi ISO 27001 -standardin mukaista toimintaa parantaaksesi riskienhallintaa ja täyttääksesi vaatimukset.
- Sertifioinnit ja osoitettu luotettavuus: Hanki esimerkiksi ISO 27001- tai SOC2-sertifikaatti osoittamaan, että noudatat hyviä tietoturvakäytäntöjä.
- Tietoturvan kokonaisvaltainen testaaminen: Tee "purple team" -harjoituksia, joissa yhdistetään hyökkäyksen ja puolustuksen testaaminen, jotta löydät ja korjaat heikkoudet järjestelmissäsi.
- Auditoinnit ja arvioinnit: Teetä ulkopuolisia tarkastuksia ja arvioita säännöllisesti varmistaaksesi, että tietoturvasi pysyy ajan tasalla.
DG Kyberturva – Kokonaisvaltaiset tietoturvaratkaisut yrityksille
Yhteistyössä WithSecuren kanssa toteutettavassa DG Kyberturva -palvelussamme kaikki lähtee liikkeelle tietoturvakartoituksesta, jossa selvitämme millaisessa tilanteessa yrityksesi tietoturva on tällä hetkellä.
Kartoituksen pohjalta laadimme raportin yrityksesi tietoturvan nykytilanteesta, sekä ehdotukset toimenpiteistä ja ratkaisuista, joiden avulla tietoturva saadaan halutulle tasolle.
DG Kyberturva -palvelu on tekoälyä ja ihmisten osaamista hyödyntävä palvelu, joka sisältää kaikki työkalut kokonaisvaltaisen kyberturvallisuuden varmistamiseen.
Lue lisää DG Kyberturva -palvelusta
Lue myös nämä
Kierrätetty tietokone on järkevä valinta – Laatu, vastuu ja säästö samassa paketissa
Puhelimet ovat suuri tietoturvariski – näin suojaat yrityksesi
NIS2-direktiivin mukaiset velvoitteet astuivat voimaan - Tärkeät päivämäärät 8.5. ja 8.7.2025
