Tietoturva on monitasoinen kokonaisuus

Yrityksen tietoturvan rakentaminen kannattaa aloittaa perusasioista - niillä pärjää jo pitkälle. Kriittisen datan suojaamiseksi on tärkeää, että myös liiketoimintajohto ymmärtää tietoturvan perusteet.

Vaikka sataprosenttinen suojautuminen kyberuhilta onkin mahdotonta, parhaansa pitää kuitenkin aina tehdä. Yleiskuvan peruskäsitteistä ja ratkaisuista tarjoaa DNA Busineksen helmikuussa alkanut dokumenttisarja.

DNA Busineksen tietoturva-asiantuntija Petri Ramu painottaa erityisesti verkon reuna-alueiden eli julkisen internetin ja sisäverkon välisten yhteyksien suojaamista.

”Suojaaminen kannattaa aloittaa perusasioista: Ensin reuna-alueet ja niiden palvelut. Sen jälkeen tärkeät, yrityksen ydintoiminnan ympärillä olevat järjestelmät ja niiden yhteydet. Jo näillä saadaan riskejä huomattavasti alemmaksi ja yritykselle varmuus siitä, että tärkeät tiedot ovat hyvässä tallessa.”

Samalla kannattaa aloittaa henkilöstön koulutus. Henkilökunnan tietoisuus tietoturvariskeistä on suoraan verrannollinen siihen, miten helposti erilaiset uhat ja hyökkäykset tulevat yrityksen järjestelmistä läpi. Suojautuminen ei ole silkkaa teknologiaa tai asiantuntijaosaamista, vaan myös jokapäiväiseen tekemiseen liittyviä käytäntöjä ja toimintamalleja.

”Tietoturvan ylläpito on jatkuva prosessi. Se ei ole pelkkää riskien ja uhkakuvien maalaamista vaan ennemminkin ratkaisukeskeinen lähestymistapa tietoturvaan”, Ramu luonnehtii.

Olennaista verkon suojaamisessa on verkon tilannekuvan seuraaminen. Tilannekuvan avulla ymmärretään, mitä verkossa tapahtuu. Jos verkon tapahtumista ei ole selkeää kuvaa, myöskään tietomurtoa ei nähdä, eikä sitä voida eristää. Tilannekuvan avulla voidaan myös paremmin hahmottaa, onko yrityksen kriittinen data uhattuna.

”Yrityksen on hyvä ymmärtää, mitkä prosessit liiketoiminnan näkökulmasta ovat sitä kovaa ydintä, ja mikä on sen myötä se kaikista tärkein tieto tai data, jota yritys pitää sisällään. Hyökkäyksiltä puolustautuminen on helpompaa, kun tiedetään minne puolustus kannattaa keskittää”, Ramu kuvaa eroa yrityksen tärkeiden ja ei-kriittisten järjestelmien välillä.

Juuri tämän takia myös liiketoiminnan johdon tulee olla kärryillä tietoturvasta: liiketoimintajohdon on määriteltävä, mikä tieto on suojattava ydinliiketoimintaprosessien turvaamiseksi. Sen jälkeen asiantuntijat voivat rakentaa järjestelmiä, jotka kohdistavat syvemmän suojauksen oikeille alueille.

Joskus näiden kriittisten kohteiden nimeäminen ei ole helppoa, ja sen takia ulkopuolinen asiantuntija-apu on usein paikallaan.

Kyberuhat lisääntyvät ja muuttuvat koko ajan. Esimerkiksi verkkoon kytkettyjen kuluttajatuotteiden käyttö palvelunestohyökkäyksiin lisääntyy varmasti. Tämän takia yritysten kannattaa käyttää kumppaneita ja palvelutarjoajia siihen, että ne pystyvät riittävällä tasolla suojautumaan myös näitä uusia kyberuhkia vastaan”, Ramu kuvaa tulevaisuuden toimintaympäristöä.

Lue lisää tietoturva-asiaa, ja katso DNA:n Hyvä paha digitalisaatio -dokumenttisarjan tietoturva-jaksot täältä!