ETÄTUKI | IT-tuki: 020 198 6696

24 tammi Päättäjä – varmista ainakin nämä viisi asiaa tietoturvallisuudesta!

Posted at 19:33h in blogi, forensiikka, liiketoiminta, rikos, riskienhallinta, tietorikos, tietoturva, tietoturvaohje, tietoturvaohjeistus, tietovuoto, todistusaineisto, turvallisuuden hallinta, yritysturvallisuus by

IT-tutkinta on karua. Tapaukset aiheuttavat usein huolta ja hankaluuksia, joiden ratkaisemisessa autamme. Ongelmatilanteissa yrittäjä on usein viettänyt unettomia öitä, tietojen sekä sitä kautta tulon menetysten aiheuttamat vaikeudet ovat saattaneet viedä yrityksen toiminnan jopa lähelle loppuaan. Näiden tilanteiden estämiseksi päätin kirjoittaa muutamasta tärkeästä asiasta, joilla voi estää pahimmat tapahtumat.

Opsecin IT-tutkinta auttaa kun epäillään tapahtuneeksi rikosta missä IT-ympäristö ja sen tiedot ovat jotenkin osana tapahtumia. Nämä rikokset eivät juuri koskaan ole “mustahattuisten hakkereiden” tekosia, vaan usein epäily kohdistuu  nykyiseen tai entiseen työntekijään tai kumppaniin. Tarinat joita olemme vuosien varrella kohdanneet ovat olleet hyvinkin karuja. Rikosten ja väärinkäytösten kohteena on monesti ollut työnantajan tietoaineisto kuten asiakasrekisteri, tuotekehitystiedot tai muutoin yritykselle merkittävät tai jopa elintärkeät tiedot.

Tietovarkauden laajuus sekä menetetyt eurot saattavat paljastua vasta kuukausien jälkeen ja tulla yrittäjälle täysin yllättäen. Tämän jälkeen käynnistetty jälkiselvittely vaatii lähes aina ulkopuolisia asiantuntijoita ja maksaa paljon. Siihen kun lisätään menetetty tulo ja selvitysten vaatima aika sekä voimavarat, niin laskun loppusumma alkaa olla iso. Opsecin tietoturvapalvelut pyrkivät avustamaan yrittäjiä ja yrityksiä ennakoivasti, mutta tiedämme, että etenkin pienemmissä yrityksissä se jää usein tekemättä. Tässä muutama neuvo mitkä eivät vie paljoa aikaa tai euroja, mutta antavat kuitenkin reippaasti “tyhjää” enemmän suojaa. Neuvot perustuvat Opsecin tutkimien tapausten kautta tehtyihin havaintoihin. Varmasti löytyy paljon muitakin tehtäviä asioita, mutta nämä kuitenkin ovat sellaisia, mitkä haluan tuoda esille.

1) Laadi tietoturvaohje ja kouluta se henkilöstölle

On turha vaatia turvallisuutta ellei anna siihen raameja. Tee siis itsellesi palvelus ja laadi tietoturvaohje. Muista myös kouluttaa se koko henkilöstölle sekä dokumentoida osallistuminen.  Työnantaja ei voi vaatia työntekijöitään osaamaan jotain, mitä heille ei ole koulutettu. Mikäli ohjeen laatiminen tuntuu hankalalta, niin lupaan auttaa siinä ja panostus varmasti kannattaa.

 

2) Vaadi, että työntekoon käytetään työnantajan laitteita

Nykyisin suositaan erilaisia vapaita malleja laitteiden valinnassa. Nämä saattavat toimia suuremmissa organisaatioissa, joilla on resursseja järjestää myös työntekijöiden omien laitteiden turvallinen hallinta ja tietojen suojaus. Pienemmissä yrityksissä suosittelen kuitenkin pelaamaan varman päälle ja käyttämään työntekoon aina työnantajan laitteita. Tämä estää epäselvät tilanteet ja laitteiden sekä tiedon omistajuus on selkeämpää.

 3) Suojaa tiedot rajaamalla niihin pääsyä.

Liian laajat käyttöoikeudet antavat kaikille pääsyn kaikkeen tietoon. Tällä tavoin järjestetty tiedonhallinta ei vastaa tietojen huolehtimisvelvoitteeseen tai salassapidon vaatimukseen. Yksinkertaisimmatkin järjestelmät antavat jonkinlaisen mahdollisuuden rajat kuka näkee ja mitä. Käytä niitä tai pyydä asiantuntijaa auttamaan. Tilaisuus tekee varkaan ja on parempi estää nämä tilaisuudet kuin korjata jälkiä. Tässä yhteydessä saan mainittua kestosuosikkini – muista myös suojata käyttäjätunnukset ja salasanat.

4) Näytä esimerkkiä!

Lukitse tietokoneesi. Siivoa työpöydältäsi tärkeät paperit. Lukitse työhuoneesi ovi. Vaihda puhelimesi PIN koodi ja käytä lukituskoodia. Älä laita salasanaasi ruudun kulmaan tai näppäimistön alle. Ole esimerkkinä muille ja vaadi myös muilta turvallisuuden perusteiden noudattamista. Aina löytyy joku joka jaksaa valittaa, mutta esimerkilläsi saat kulttuurin muutettua. Pienillä teoilla on todella suuri vaikutus!

 5) Varmuuskopioi tärkeät tiedot

Tee tiedoista varmuuskopio tai käytä järjestelmää mikä tekee ne sinun puolestasi. Tärkeintä on kuitenkin varmistaa, että tieto saadaan takaisin vaikka joku haluaisikin tehdä sinulle vahinkoa ja painaa Poista -nappia. Jo muutaman tarjouslaskelman, sopimuksen tai suunnitelman menetys voi maksaa sinulle kymmeniä tai satoja tuhansia. Kannattaa siis laittaa muutama kymppi varmistukseen.

Kirjoituksen sävy voi tuntua syyllistävältä työntekijöitä kohtaan. En missään tapauksessa yleistä tai tarkoita kaikkien olevan pahoja. Oikeastihan suurin osa meistä haluaa tehdä työnsä hyvin ja tunnollisesti. Ikävää kuitenkin on se, että aina löytyy joku, jolta moraali puuttuu ja epärehellisyys on vain keino päästä tavoitteeseen. Joskus myös muut ongelmat voivat vaikuttaa siihen, että työnantajaa halutaan vahingoittaa. Tämän vuoksi tarvitaan toimia estämään ne ennakolta. Ota siis edellä kerrotut viisi kohtaa heti työlistalle, sillä ne auttavat estämään monta hankaluutta ja ikävää tilannetta.