Yrityksen tietoturva - UKK - Mitä jokaisen on hyvä tietää tietoturvasta

Tietoturva - Usein kysytyt kysymykset

Mitä tarkoitetaan tietoturvalla?

Tietoturvalla tarkoitetaan hallinnollisia ja teknisiä toimia, joilla varmistetaan tiedon

  • luottamuksellisuus eli se, että tiedot ovat vain niiden käyttöön oikeutettujen saatavilla,
  • eheys eli se, että tietoja eivät voi muuttaa muut kuin siihen oikeutetut sekä
  • käytettävyys eli se, että tiedot ja tietojärjestelmät ovat niiden käyttöön oikeutettujen hyödynnettävissä.

Lähde: Kyberturvallisuuskeskus 2023

Kuka on vastuussa yrityksen tietoturvasta?

Vastuu yrityksen tietoturvasta on aina yrityksen johdolla, hallituksella ja toimitusjohtajalla myös henkilökohtaisesti. Yrityksen IT-kumppani ei ole vastuussa tietosuojaloukkauksista ja tietomurroista, mutta voi tarjota apua niiden ehkäisemisessä sekä niistä toipumisessa. 

Mitkä ovat tietoturvan osa-alueet?

Tietoturva on vain niin vahva, kuin sen heikoin linkki. Siksi onnistunut tietoturva huomioi kaikki osa-alueet:

  • Hallinnollinen tietoturva – Tietoturvan johtaminen ja hallinnointi
  • Henkilöstön tietoturva – Henkilöstön vastuut, roolit ja ohjeistus
  • Toimitilojen tietoturva – Toimitilojen ja laitteiden fyysinen suojaaminen
  • Laitteiden tietoturva – Käytettävien laitteiden yleinen suojaaminen
  • Sovellusten tietoturva – Käytettävien sovellusten tietoturva
  • Tietoliikenteen turvallisuus – Tiedon siirtoon liittyvä turvallisuus
  • Tietoaineiston turvallisuus – Tietoa sisältävien dokumenttien käsittely

Mitä tarkoitetaan hallinnollisella tietoturvalla?

Hallinnollinen tietoturva kattaa politiikan, menettelytavat ja toimintatavat, joita yritys toteuttaa tietoturvan parantamiseksi. Se sisältää esimerkiksi tietoturvapolitiikan, tietoturvasuunnitelman, riskienhallinnan, palautumissuunnitelman ja käyttöoikeuksien hallinnan.

Miten voin huolehtia yritykseni tietoturvasta?

Voit huolehtia yrityksesi tietoturvasta seuraavasti:

  • Kartoita yrityksen tietoturvan nykytilanne. Käytä apuna asiantuntijaa, sillä asiaan perehtymätön ei osaa arvioida erilaisia skenaarioita ja teknisiä asioita riittävän hyvin
  • Laadi kartoituksen pohjalta tietoturvapolitiikka ja -suunnitelma, joka huomioi kaikki tietoturvan osa-alueet ja vastuut
  • Korjaa kartoituksessa ilmenneet puutteet ja toteuta suunnitelmaa
  • Rajoita käyttöoikeuksia ja pääsyoikeuksia vain tarpeellisille henkilöille
    • Käytä monivaiheista tunnistautumista
    • Ylläpidä oikeuksia tilanteen muuttuessa, esimerkiksi kun työntekijä poistuu palveluksesta tai rooli muuttuu
  • Käytä luotettavan palveluntarjoajan kyberturvaohjelmistoa
    • Pidä tietokoneet, puhelimet, muut verkkolaitteet ja ohjelmistot päivitettynä
    • Valvo kaikkia laitteita, verkkoliikennettä, sähköpostia, pilvipalveluita yms. epäilyttävien tapahtumien varalta
    • Suorita haavoittuvuusskannaus säännöllisesti
    • Reagoi poikkeustilanteisiin ennalta mietityllä tavalla
  • Kouluta henkilöstö yrityksen tietoturvakäytännöistä ja huolehdi, että ohjeet ovat helposti kaikkien saatavilla
    • Laitteiden ja ohjelmistojen käyttö eri tilanteissa
    • Salasanakäytännöt ja tunnistautuminen
    • Arkaluontoisten tietojen, kuten henkilötietojen käsittely
  • Huolehdi säännöllisestä varmuuskopioinnista ja varmista palauttamisen toimivuus
  • Seuraa tietoturvauhkien kehitystä ja päivitä strategiat vastaavasti

Mitä tietoturvariskejä yrityksellä on?

Joitakin yleisiä tietoturvariskejä yrityksille ovat:

  • Tietojen kalastelu ja identiteettivarkaudet: Tietojenkalastelulla pyritään saamaan haltuun käyttäjien henkilökohtaisia tietoja, kuten esimerkiksi Microsoft 365, Google tai some-käyttäjätunnuksia. Yleinen tapa tietojenkalastelussa on lähettää sähköposteja tai viestejä, jotka näyttävät aidoilta ja pyytävät vastaanottajaa kirjautumaan väärennettyyn verkkosivustoon.
  • Hakkereiden hyökkäykset: Hakkerit voivat pyrkiä tunkeutumaan yrityksen tietojärjestelmiin ja saamaan haltuunsa arkaluontoisia tietoja, kuten asiakasrekistereitä tai liikesalaisuuksia.
  • Haittaohjelmat: Virukset, troijalaiset, ransomware- ja muut haittaohjelmat voivat levitä yrityksen tietokoneisiin ja verkkoihin, aiheuttaen tietojen korruptoitumista, varkauksia tai jopa liiketoiminnan keskeytymistä.
  • Sosiaalinen hakkerointi: Hyökkääjät voivat käyttää huijausta, kalastelua tai muuta sosiaalisen tekniikan manipulointia saadakseen pääsyn yrityksen tietoihin. Esimerkiksi huijaussähköpostit tai valeasiantuntijoina esiintyminen voivat johtaa tietovuotoihin.
  • Heikot salasanat ja käyttäjätunnukset: Jos yrityksen työntekijöillä on heikot salasanat ja käytössä ei ole monivaiheista tunnistautumista, se voi altistaa yrityksen tietomurroille tai luvattomille pääsyille.
  • Fyysinen turvallisuus: Epäasianmukainen pääsynvalvonta, varkaudet tai laitteiden hävittäminen ilman asianmukaista tietojen tuhoamista voivat aiheuttaa tietovuotoja ja tietoturvahäiriöitä.
  • Työntekijöiden tiedostamattomat riskit: Työntekijät voivat tahattomasti aiheuttaa tietoturvariskejä esimerkiksi avatessaan haitallisia sähköpostiliitteitä, käyttäessään heikkoja salasanoja tai jakamalla arkaluontoista tietoa ulkopuolisille.
  • Epäluotettavat kolmannen osapuolen toimittajat: Jos yritys luottaa ulkopuolisiin palveluntarjoajiin, kuten pilvipalveluihin tai alihankkijoihin, niiden tietoturvan heikkoudet voivat aiheuttaa riskejä yrityksen tietoturvalle.

Mitä seurauksia tietoturvan ja tietosuojan puutteellisesta toteutuksesta voi tulla?

  1. Tietovuodot: Puutteellinen tietoturva altistaa yrityksen tietojärjestelmät ulkoisille uhkille, kuten hakkereille ja tietomurroille. Tämä voi johtaa arkaluontoisten tietojen paljastumiseen, kuten asiakasrekistereiden, luottokorttitietojen tai liikesalaisuuksien vuotamiseen. Tietovuodot voivat aiheuttaa vakavia maine- ja taloudellisia vahinkoja yritykselle sekä oikeudellisia seuraamuksia myös hallitukselle ja toimitusjohtajalle.
  2. Taloudelliset menetykset: Tietoturvan puutteet voivat johtaa suoriin taloudellisiin menetyksiin. Esimerkiksi tietomurron seurauksena yritys voi joutua korvaamaan asiakkailleen aiheutuneet vahingot tai kärsimään menetyksiä liiketoiminnan keskeytyksen vuoksi. Lisäksi tietosuojarikkomukset voivat aiheuttaa sakkorangaistuksia ja oikeudenkäyntejä, joihin liittyy merkittäviä oikeudellisia kustannuksia.
  3. Asiakkaiden luottamuksen menetys: Kun yrityksen tietoturva on heikko tai tietosuoja on puutteellista, asiakkaat menettävät luottamuksensa yritykseen.
  4. Oikeudelliset seuraukset: Tietosuojan puutteet voivat johtaa oikeudellisiin seurauksiin. Monilla alueilla on voimassa tietosuoja- ja tietoturvaa koskevia lakeja ja asetuksia, kuten EU:n yleinen tietosuoja-asetus (GDPR). Jos yritys ei noudata näitä vaatimuksia, se voi joutua sakkoihin, oikeudenkäynteihin ja muihin oikeudellisiin toimiin, jotka voivat aiheuttaa merkittäviä kustannuksia ja maineen vahingoittumista.
  5. Henkilöstön epävarmuus ja sisäiset ongelmat: Tietoturvan puutteet voivat aiheuttaa henkilöstön epävarmuutta ja luottamuksen menetystä yrityksen kykyyn suojata arkaluontoisia tietoja. Tämä voi vaikuttaa työilmapiiriin, työntekijöiden sitoutumiseen ja tehokkuuteen. Lisäksi tietoturvan puutteet voivat altistaa yrityksen sisäiselle väärinkäytölle, kuten tietojen varastamiselle tai petoksille, mikä voi aiheuttaa sisäisiä konflikteja ja vahingoittaa organisaation toimintaa.
  6. Seuraukset sivullisille yksityishenkilöille ja yrityksille: Yrityksen toiminta vaikuttaa usein myös yksityishenkilöiden elämään sekä muiden yritysten, kuten alihankkijoiden tai asiakasyritysten toimintaan. Esimerkiksi henkilötietojen tai muiden arkaluontoisten tietojen vuotaminen voi aiheuttaa vakavia seurauksia sivullisille.

Koskevatko tietoturvauhat myös pieniä yrityksiä?

Kyllä, tietoturvauhat koskevat myös pieniä yrityksiä. Vaikka suuret yritykset ovat usein enemmän uutisotsikoissa tietomurtojen ja tietoturvaloukkausten yhteydessä, pienet yritykset eivät ole immuuneja tietoturvauhille. Päinvastoin, pienet yritykset voivat olla houkuttelevia kohteita hyökkääjille useista syistä:

  • Rajalliset resurssit: Pienillä yrityksillä saattaa olla rajalliset taloudelliset ja henkilöstöresurssit tietoturvan toteuttamiseen. Tämä voi johtaa haavoittuvuuksiin tietoturva-infrastruktuurissa ja järjestelmissä, mikä tekee niistä helpompia kohteita hyökkäyksille.
  • Arkaluontoiset tiedot: Pienillä yrityksillä voi olla arkaluontoisia tietoja, kuten asiakastietoja, liiketoimintatietoja tai taloudellisia tietoja, jotka voivat olla houkuttelevia hyökkääjille. Näiden tietojen vuotaminen tai väärinkäyttö voi aiheuttaa vakavia taloudellisia ja maineeseen liittyviä haittoja yritykselle.
  • Inhimilliset tekijät: Usein tietoturvaongelmat johtuvat inhimillisistä virheistä, kuten heikkojen salasanojen käytöstä, tietojen jakamisesta tai tietämättömyydestä tietoturvahyökkäyksistä. Pienissä yrityksissä, joissa henkilöstön tietoturvatietoisuus voi olla alhaisempi tai tietoturvakäytäntöjä ei ole kunnolla määritelty, nämä inhimilliset tekijät voivat aiheuttaa riskejä.
  • Supply chain -hyökkäykset: Pienet yritykset voivat olla haavoittuvia supply chain -hyökkäyksille, joissa hyökkääjät tunkeutuvat pienempien yritysten järjestelmiin tavoitteenaan päästä käsiksi suurempiin organisaatioihin. Tällaiset hyökkäykset voivat vahingoittaa sekä pienten yritysten että niiden yhteistyökumppaneiden tietoturvaa.

Mitä jokaisen pitää tietää GDPR:stä?

GDPR määrittelee yhtenäiset säännöt henkilötietojen käsittelylle ja suojalle kaikissa EU-maissa sekä antaa yksilöille lisää päätösvaltaa omien henkilötietojensa käyttöön. GDPR koskee kaikkia yrityksiä ja organisaatioita, jotka käsittelevät henkilötietoja EU:n alueella toimiessaan, eli käytännössä ihan jokaista yritystä. GDPR asettaa tietosuojaperiaatteet, joiden mukaan henkilötietoja on käsiteltävä. Näitä periaatteita ovat muun muassa tietojen oikeellisuus, minimointi, säilytysaika, tietoturva ja vastuu.

Lue lisää GDPR:stä

Miten yrityksen tietoturva eroaa yksityishenkilön tietoturvasta?

  • Riskit: Huonolla tietoturvalla voi olla vakavia ja laajoja seurauksia yritykselle, sekä suurelle joukolle ihmisiä. Tietomurrot, tietovuodot ja muut tietoturvahäiriöt voivat aiheuttaa merkittäviä taloudellisia menetyksiä, maineen vahingoittumista ja oikeudellisia ongelmia.
  • Laajuus: Yritysten tietoturva koskee usein laajempaa ja monimutkaisempaa tietojärjestelmää kuin yksityishenkilön tietoturva. Yrityksissä on usein laaja verkko infrastruktuuri, palvelimia, tietokantoja ja muita liiketoimintakriittisiä järjestelmiä, jotka vaativat suurempaa suojausta.
  • Tietojen arkaluontoisuus: Yritykset käsittelevät yleensä suurempia määriä arkaluontoista tietoa, kuten asiakastietoja, työntekijätietoja, liikesalaisuuksia ja taloudellisia tietoja. Tämä kiinnostaa rikollisia ja vaatii vahvempaa suojausta.
  • Resurssit: Yrityksillä on usein enemmän resursseja ja mahdollisuuksia investoida tietoturvaan. Ne voivat palkata tietoturva-asiantuntijoita, hankkia ammattimaisia tietoturvatuotteita ja toteuttaa laajempaa uhkien hallintaa.
  • Käyttäjät: Yrityksissä on usein suuri määrä työntekijöitä, joilla on pääsy yrityksen järjestelmiin. Tämä luo tarpeen hallita käyttöoikeuksia, toteuttaa tietoisuuskoulutusta ja valvoa käyttäjien toimintaa. Yksityishenkilöllä on yleensä yksinomainen vastuu omasta tietoturvastaan.
  • Sääntelyvaatimukset: Yritykset saattavat olla sidottuja erilaisiin tietoturvaa koskeviin lainsäädäntöihin, kuten tietosuoja-asetuksiin tai alan standardeihin. Ne joutuvat noudattamaan tiettyjä vaatimuksia tietoturvan suhteen ja raportoimaan tietoturvatoimenpiteistään.

Miten yritys voi valita tietoturvan kannalta luotettavan IT-palveluntarjoajan?

  • Arvioi tietoturvakäytännöt: Pyydä palveluntarjoajalta tietoa heidän tietoturvakäytännöistään ja prosesseistaan. Tarkista, mitä toimenpiteitä he toteuttavat tietoturvan varmistamiseksi, kuten käyttöoikeuksien hallinta, tietojen varmuuskopiointi ja järjestelmien seuranta.
  • Arvioi tietoturvatapahtumien hallinta: Kysy, miten palveluntarjoaja käsittelee tietoturvaloukkauksia tai häiriötilanteita. Selvitä, onko heillä suunnitelmia ja prosesseja reagoida tietoturvaloukkauksiin, tutkia niitä ja tehdä tarvittavat korjaukset.
  • Pyydä referenssejä ja tutki mainetta: Kysy palveluntarjoajalta referenssejä ja ota yhteyttä heidän nykyisiin asiakkaisiinsa saadaksesi tietoa tietoturvan laadusta ja luotettavuudesta. Tutki myös palveluntarjoajan mainetta verkossa ja lue asiakasarvioita.
  • Laadi sopimus: Laadi sopimus, jossa määritellään palveluntarjoajan vastuut ja velvollisuudet tietoturvaan liittyen. Sopimus voi sisältää tietoturvatason vaatimukset, tietojen luottamuksellisuuden säilyttämisen, tietojen säilytysajan ja mahdolliset seuraamukset tietoturvaloukkauksista.

Miten Microsoft 365:n tietoturvaa parannetaan?

  • Kun käyttäjä kirjautuu ensimmäistä kertaa laitteelle, otetaan laite osaksi yrityksen laitehallintaa. Laitteelle asennetaan automaattisesti yrityksen politiikan mukaiset määritykset ja käyttäjän tarvitsemat sovellukset.
  • Sovelluksia ja tietoja käytetään pilvestä. Kun käyttäjä avaa ensimmäistä kertaa sovelluksen, tarkistetaan tunnistautuminen, laite ja sen asetukset sekä sovellukset ennen sisälle pääsyä.
  • Oletetaan, että yrityksen järjestelmissä saattaa olla tunkeilijoita. Siksi yrityksen Microsoft 356 -ympäristössä tapahtuvia toimenpiteitä ja tietoja valvotaan aktiivisesti tietoturvatyökaluilla ja uhkiin reagoidaan automaattisesti.
  • Varaudutaan säännöllisellä varmuuskopioinnilla siihen, että Microsoft 365:ssä olevia tietoja saatetaan poistaa vahingossa tai tahallaan.

Lue lisää: Miten Microsoft 365:n tietoturvaa parannetaan?

Mitä F-Secure tietoturva pitää sisällään?

Kuluttajapalveluihin keskittynyt F-Secure ja yrityspalveluita tuottava WithSecure tarjoavat työkaluja tietoturvariskien tekniseen hallintaan. Tietoturvaohjelmistot ovat yksi osa toimivaa tietoturvaratkaisua, mutta ne eivät yksinään tarjoa riittävää suojaa uhkia vastaan.

Voiko ilmaisiin tietoturvasovelluksiin luottaa?

On hyvä tiedostaa, että myös ilmaisten tietoturvasovellusten rahoitus tulee jostain. Monet ilmaiset tietoturvasovellukset rahoitetaan mainoksilla tai ne keräävät käyttäjätietoja markkinointitarkoituksiin. Tämä voi aiheuttaa mainosnäyttöjä tai yksityisyyden menetystä. On tärkeää lukea käyttöehdot ja tietosuojakäytännöt tarkasti, jotta ymmärtää, mitä tietoja sovellus kerää ja miten niitä käytetään.

Millainen on hyvä salasana?

Yleisesti suositellaan, että hyvän salasanan pitäisi olla riittävän pitkä (vähintään 12 merkkiä), yksilöllinen, sisältää sekaisin kirjaimia, numeroita ja erikoismerkkejä ja olla sellainen, jonka muistat itse helposti mutta jota muiden on vaikea arvata. Lisäksi samaa salasanaa ei saisi käyttää useammassa palvelussa. Salasanojen muistaminen voi olla kuitenkin vaikeaa, mutta apuna voi käyttää luotettavan palveluntarjoajan salasanasovellusta, kuten F-Secure Key.

Pelkkä salasana ei kuitenkaan enää riitä tärkeissä palveluissa. Esimerkiksi somessa ja sähköpostissa tulee käyttää monivaiheista tunnistautumista, jossa vahvistat identiteettisi esimerkiksi puhelinsovelluksella tai tekstiviestissä olevalla koodilla.

Haluatko kattavan kuvan yrityksesi tietoturvan tilanteesta?

Varaa tästä tietoturvakartoitus, jossa selvitämme yhdessä yrityksesi kanssa, kuinka voisitte parantaa tietoturvaanne. 

Tietoturvakartoituksessa käydään kattavasti läpi kaikki tietoturvan osa-alueet:

  • Hallinnollinen tietoturva – Tietoturvan johtaminen ja hallinnointi
  • Henkilöstön tietoturva – Henkilöstön vastuut, roolit ja ohjeistus
  • Toimitilojen tietoturva – Toimitilojen ja laitteiden fyysinen suojaaminen
  • Laitteiden tietoturva – Käytettävien laitteiden yleinen suojaaminen
  • Ohjelmistojen tietoturva – Käytettävien ohjelmistojen tietoturva
  • Tietoliikenteen turvallisuus – Tiedon siirtoon liittyvä turvallisuus
  • Tietoaineiston turvallisuus – Tietoa sisältävien dokumenttien käsittely

Saat kartoituksen perusteella raportin yrityksesi tietoturvan tilanteesta, sekä toimenpide-ehdotukset tietoturvan parantamiseksi.


 

Lue myös nämä

Milloin oma palvelin on tarpeen? – Kustannukset, tekoälysovellukset ja tietoturva

Lue lisää

Terveisiä DG-päiviltä! - Tekoälyä, tietoturvaa ja mustaamakkaraa

Lue lisää

Data Group vahvistuu! - PH Data Oy liittyy DG-ketjuun 1.3.2024 alkaen

Lue lisää

24/7 infonäyttö yrityksille – Vestel-infonäytöt sopivat monenlaiseen käyttöön

Lue lisää

Ota yhteyttä

Hyväksyn verkkopalvelun käyttöehdot.