Johtajan kolme näkökulmaa yrityksen tietoturvaan

Datan määrä ja merkitys on kasvanut siihen pisteeseen, ettei tietoturvaa pääse enää kukaan johtaja pakoon. Perinteinen strutsistrategia ei onnistu, vaikka kuinka mielellään keskittyisi mihin tahansa muuhun: riskit sekä liiketoiminnalle että maineelle ovat niin merkittäviä, että niiden hallinnan on yksinkertaisesti oltava jokaisen johtajan prioriteetti.

Hyvä uutinen on, ettei johtajan tarvitse tietää vastauksia. Olennaista on, että osaa kysyä oikeita kysymyksiä.

Näiden kolmen näkökulman avulla saat varmistettua, että asiat ovat teilläkin hyvissä kantimissa.

1. Noudattaako tietoturvamalli standardeja?

Yritysjohdon ei ole välttämätöntä ymmärtää tietoturvaa syvän teknisellä tasolla. Sen sijaan tärkeää on ymmärtää tietoturvan kaikenkattavuus. Ei-teknisimmänkin johtajan on hyvä sisäistää, ettei tietoturva ole yhtä kuin ohjelmisto tai laite. Tietoturvassa on kyse riskienhallinnasta, ja siihen liittyy runsas joukko isoja ja pieniä linjauksia ja päätöksiä.

Avainasemassa ovat johtamismallit, prosessit ja kulttuuri. Hyväksi havaittu lähestymistapa on kattavasti kuvattu ISO 27001-standardissa. Siinä määriteltyä tietoturvallisuuden hallintajärjestelmää sinunkin organisaatiosi kannattaisi noudattaa, riskienhallinnan näkökulmasta tehtyjen linjausten mukaisessa laajuudessa. Ellei standardia noudateta, voit hyvällä syyllä kysyä miksi, ja edellyttää erittäin perusteltua vastausta.

Asiantuntevan tahon toteuttama auditointi on hyvä tapa varmistaa, että standardi on ymmärretty ja sitä noudatetaan kattavasti. Kertatarkistus ei tietenkään riitä: tietoturvaa ei voi koskaan julistaa valmiiksi. Johdon tehtävä on varmistaa, että ylläpitoon ja jatkuvaan parantamiseen on resursseja ja osaamista.

2. Onko käytettävyys sillä tasolla, ettei tietoturvaa ole houkutusta kiertää?

Tietoturvan toteutuminen organisaation arjessa on yllättävän pienestä kiinni. Jokainen meistä voi jokapäiväisillä valinnoillaan joko edesauttaa tai murentaa tietoturvamääritysten pitävyyttä.

Useimmat tietoturvamurheet eivät ole teknisiä lainkaan, vaan vahinkoja, joiden taustalla on inhimillinen lipsaus.

Teknisellä puolellakaan kyse ei useimmiten ole aktiivisesta valinnasta rikkoa sovittuja toimintatapoja. Työssä tarvittavien laitteiden, sovellusten ja tiedon käytettävyysongelmat saattavat johtaa huonosti harkittuihin ratkaisuihin, joilla on ikäviä seurauksia.

Jos vaikka julkisen verkon turvallisen käytön mahdollistava VPN-ohjelmisto pätkii tai hidastelee, mitäs jos vain klikkaisi suojan pois päältä? Tai jos tarvittavat tiedostot ovat liian hankalasti saatavilla, voisihan ne kopioida omalle koneelle?

Yritysjohdon tehtävä on kuunnella herkällä korvalla, miten organisaatiossa toimitaan ja puuttua viiveettä heikkoihinkin signaaleihin tietoturvakulttuurin murenemisesta. Prosessien tärkeys on osittain viestintäasia ja tilanne voi parantua toistolla.

Kyse voi olla myös siitä, että slideseteissä hienoilta näyttävät toimintamallit hankaloittavat käytännön työtä niin paljon, että malleja on syytä päivittää.

Pienemmissä yrityksissä tietoturvan toteutuminen edellyttää toimia koko henkilöstöltä. Ellei keskitettyä hallintaa ole käytössä, työntekijöiden on viime kädessä itse huolehdittava suojauksista ja päivityksistä. Ovatko kaikki työssä käytettävät laitteet varmasti asianmukaisesti suojattuja, täyttävätkö salasanat riittävän vahvat turvallisuuskriteerit, ovatko ohjelmistot ja suojausjärjestelmät ajan tasalla?

Oli yritys minkä kokoinen tahansa, perusedellytys tietoturvalliselle toiminnalle on tehokas pääsynhallinta. Käyttäjille on pystyttävä tarjoamaan pääsy eri tietoihin ja järjestelmiin roolinsa mukaisesti, lokitiedot on saatava kattavasti talteen, ja muutosten on onnistuttava nopeasti.

3. Huolehditaanko tietoturvasta verkkotasolla, ei vain laitteissa?

Yritysverkon valvonta on välttämätön edellytys sille, että mahdolliset hyökkäykset voidaan havaita ja estää. Tässä oikominen tuottaa pahimmillaan valheellisen turvallisuuden tunteen, jos tietomurto havaitaan vasta reilusti jälkikäteen, tai ei lainkaan.

Moni ei-tekninen muistaa intuitiivisesti sanan palomuuri. Perinteinen palomuuri toimii suojauksena niin kauan, kun verkkoliikenne yrityksen sisäverkon ja julkisen internetin välillä kulkee yhden fyysisen sijainnin kautta. Nykyään sellainen on hyvin harvinaista.

Tämän päivän yritysverkot ovat yhdistelmä eri verkkoteknologioita, jolloin yrityksen verkon ja julkisen internetin raja hämärtyy. Verkon reunalla toimii useita laitteita ja antureita, eri paikoissa työskentelevä henkilöstö käyttää salattuja VPN-yhteyksiä, ja työssä käytetään erilaisia pilvipalveluita.

Palomuureihin on viime vuosina tullut reilusti lisää älykkyyttä, minkä ansiosta ne pystyvät tehokkaasti tunnistamaan poikkeavan verkkoliikenteen. Tässä tehtävässä operaattorin tarjoamat hyökkäysten esto- ja torjuntapalvelut voivat olla suureksi avuksi.

Tekniikan sijaan johdon perspektiivi tietoturvaan voi siis olla puhtaasti käytännöllinen. Tietoturvaa ei saa virittää niin tiukaksi, että se estää tai hidastaa toimintaa, mutta annos epäluuloisuutta on aina tarpeen.

Miten toimia, jos arvelet itse olevasi verkkohyökkäyksen kohteena? Katso tiivis viiden kohdan ohjevideo ja lue lisää miten yritysverkkojen tietoturva kannattaa järjestää.

Avainsanat:

Tietoturva Suojautuminen Kyberuhat Riskienhallinta

Lue lisää uudesta työstä

Hyödynnetäänkö teillä jo uuden työn mahdollisuuksia? Ota yhteyttä – katsotaan yhdessä parhaat ratkaisut yrityksellesi.