Yleisimmät tietoturvapoikkeamat johtuvat identiteettien luvattomasta käytöstä, mutta ennaltaehkäisevissä tietoturvakartoituksissa puutteita ilmenee usein tiedon hallinnan osa-alueella. Kartoituksia tekevä asiantuntija tuntee suomalaisyritysten ongelmakohdat.
Yrityksen tietoturvan vahvuus on monen asian summa. Niistä keskeisimpiä ovat laitteiden, tietojen, käyttäjien ja tapahtumien hallinta sekä ympäristön havainnointi, poikkeamiin reagointi ja toipumiskyky. Jos jokin osa-alueista jää huomiotta, tietoturvan taso määrittyy usein sen heikoimman lenkin mukaan.
Kim Finell työskentelee tietoturvakonsulttina DNA:lla. Tietoturvakartoituksia tekevä asiantuntija on nähnyt, millaisia puutteita suomalaisyrityksistä tyypillisesti paljastuu. Nyt hän kertoo, mihin asioihin yritysten kannattaa kiinnittää huomiota.
Datan omistajat ovat arvoitus
Yksi yleisimmistä ongelmista Finellin mukaan on, ettei tiedon omistajuus ole ajan tasalla. Toisin sanoen yrityksessä ei ole nimetty henkilöitä, jotka vastaisivat heille määrätyistä tiedoista, niiden luokittelusta, suojauksesta ja säilytyksestä.
“Vakavimmissa tapauksissa kaikki omistajuuden vastuukysymykset ovat retuperällä, eikä kukaan vastaa tiedoista. Tiedon luokittelumääritykset ovat tekemättä, ja pahimmassa tapauksessa yrityssalaisuudet päätyvät julkisiksi. Tällaisessa tilanteessa voi pohtia, mitkä ovat liiketoiminnan edellytykset jatkaa kilpailukykyisenä yrityksenä”, Finell sanoo.
Erityisesti isommissa yrityksissä, joissa muutoksia tapahtuu usein, on tiedon omistajuutta tarkasteltava tiuhaan. Vastuuhenkilöt tulee päivittää ajan tasalle, kun henkilöstö vaihtuu, organisaatio muuttuu tai työtehtäviin tehdään muutoksia.
Pienissä yrityksissä puolestaan asiat voivat olla pelkästään yhden henkilön kontolla, eikä prosesseja ole kirjattu ylös.
“Usein tietoon liittyvät prosessit löytyvät vain vastuuhenkilön korvien välistä. Tällainen toimintatapa ei täytä eri viitekehysten vaatimuksia”, Finell sanoo.
Erityistä tarkkuutta Finell peräänkuuluttaa pienemmiltä toimijoilta, jotka ovat osa suurempaa toimitusketjua.
“Jos pahantahtoisena hakkerina haluaisin isompaan yritykseen sisään, käyttäisin toimitusketjua hyödyksi ja menisin sieltä mistä aita on matalin. Tätä tapahtuu nykypäivänä todella paljon.”
Näkyvyys tietoverkkoon tai tuotantoympäristöön on heikko
Oman ympäristön näkyvyyden parantaminen on yksi tärkeimpiä tietoturvatekoja. Käytännössä se tarkoittaa teknistä kykyä havainnoida omaa tietoverkkoa, tuotantoympäristöä ja siellä ilmeneviä poikkeamia.
“Näkyvyys on yksi keskeisin asia haastavissa tilanteissa. Se, kuinka nopeasti tietoturvapoikkeamiin kyetään reagoimaan, vaihtelee yrityksestä toiseen.”
Laki asettaa tiukkoja vaatimuksia esimerkiksi pankeille, vakuutusyhtiöille ja teleoperaattoreille. Niillä näkyvyys ja tietoturva ovatkin usein muita paremmalla tolalla.
Finellin mukaan näkyvyyden parantamisesta hyötyisi muun muassa valmistava teollisuus, joka ei monien muiden alojen tavoin ole vahvasti digitalisoitunut.
“Olen urallani nähnyt aika rajuja tapauksia. Valmistava teollisuus on huoltovarmuuden kannalta tärkeä ala, ja jo siksi tietoturvaan olisi syytä satsata.”
Selvät askeleet tietoturvan kohentamiseen
Tietoturvakartoituksessa yritys saa selkeän kuvan siitä, millaisia riskejä sen ympäristöön kohdistuu. Moni yritys on havahtunut myös siihen, millaisia tietoturvan viitekehyksiä sen tulisi noudattaa.
Loppuraportti tarjoaa selkeät suositukset tietoturvan korjaus- ja parannustoimenpiteistä.
“Hallinnolliset asiat, kuten tietoturvapolitiikat ja käytännöt on mahdollista laittaa nopeammin kuntoon. Ne määritellään johtamalla tietoturvaa, hallinnoimalla liiketoimintaan kohdistuvia riskejä sekä ymmärtämällä vaatimustenmukaisuutta. Tekniset toteutukset vievät hieman enemmän aikaa, mutta tuemme yrityksiä siinä mielellämme”, Finell kertoo.
“Tietoturvakartoituksen ei tulisi olla vain yksi kartoitus, vaan se tulee mieltää jatkuvana toimenpiteenä. Muistutan asiakkaita ottamaan käyttöön tietoturvan vuosikellon, jossa määritetään tarvittavat tehtävät ja niiden vastuuhenkilöt.”
Tietoturvakartoituksen lisäksi DNA tarjoaa myös maksutonta tunnin kestävää ensiarviota, jonka avulla yritys saa nopeasti käsityksen tietoturvansa nykytilasta.
Tutustu tästä tietoturvakartoitukseen tai varaa ensin maksuton tietoturva-arviointi!
