Yrityksen tietoturva – mitä jokaisen suomalaisen yrityksen tulee tietää?

Yrityksen tietoturva on yhtä vahva kuin sen heikoin kohta. Yleensä heikoin lenkki löytyy penkin ja näytön välistä (eikä se ole näppäimistö).

Ennakointi on valttia tietoturva-asioissa. Silti yhä edelleen tietoturva-asioihin havahdutaan useimmiten silloin, kun on jo liian myöhäistä. Tietoturvan laiminlyönti johtaa riskien realisoitumiseen eikä yrityksen koko, sijainti tai toimiala anna suojaa.

Aloita ennakointi omassa yrityksessäsi heti – lue artikkeli!

Sisällys

Jos olet kiinnostunut enemmän tietoturvarikollisuudesta, lue myös: Tietoturvarikollisuus – mitä jokaisen suomalaisen yrityksen tulisi tietää?

Yhteiset tietoturvakäytännöt ovat yrityksen kokonaistietoturvan perusta

Tietoturvaa tulisi ajatella, käsitellä ja kehittää kokonaisuutena. Kokonaistietoturvan perustan muodostavat yhteiset tietoturvakäytännöt, – suunnitelma tai -ohjeet, jotka on kirjattu ylös.

Tietoturvakäytäntöjen perusajatus on, että organisaatiossa tunnetaan oma IT-kokonaisuus, sen laitteet ja järjestelmät, tiedetään kenellä laitteet ovat hallussa sekä tunnistetaan IT:n riskit ja pyritään minimoimaan niiden realisoituminen. Minimointi tapahtuu teknisten valintojen, käyttäjien kouluttamisen ja yhteisten toimintatapojen avulla.

Lisäksi tietoturvakäytännöissä ohjeistetaan, miten toimitaan, jos epäilee joutuneensa rikoksen kohteeksi. On aivan äärimmäisen tärkeää, että henkilöstö tietää, miten toimia ja kehen olla yhteydessä.

Kysy apua frendyiltä »

Palaa artikkelin alkuun

Tietoturvakoulutus on käyttäjän tärkein turva

Parhaatkaan käytännöt eivät pelasta, jos käyttäjien kouluttaminen unohtuu. Työntekijöiden tietämättömyys ja kiire ovat rikollisten puolella. Kun työntekijät tietävät, mitä keinoja rikolliset käyttävät, he osaavat välttää ilmiselvät riskit ja reagoida väärinkäyttöepäilyissä.

Tietoturvakoulutus on räätälöitävissä yrityksen koon, toimialan ja henkilöstön määrän sekä tietotason perusteella. Olennaista on, että tietoturva ei ole vain kerran vuodessa järjestettävät kalvosulkeiset vaan tietoturva pidetään työntekijöiden mielessä arjessa.

Pyydä tarjous henkilöstön koulutuksesta »

Palaa artikkelin alkuun

Päätelaitteen suojaaminen

Monesti peruskäyttäjä mieltää tietoturvan olevan yhtä kuin virustorjuntaohjelma. Laitteiden suojaaminen virustorjunnalla on toki tärkeä osatekijä ja kaikki tietokoneet, tabletit ja kännykät on syytä suojata ajantasaisella ja päivittyvällä virustorjuntaohjelmistolla. Ei pidä kuitenkaan tuudittautua ajattelemaan, että nyt käyttäjä ja yritys olisivat turvassa.

Palaa artikkelin alkuun

Tulostimet ja turvatulostaminen

Harvassa yrityksessä tiedostetaan, että nykytulostimet ovat itseasiassa tietokoneita, joissa on kovalevyt, käyttöjärjestelmät, muistit, sähköpostin lähetysmahdollisuus ja verkkoyhteydet. Tämä aiheuttaa sen, että myös tulostimiin on mahdollista murtautua, kun tietää mitä tekee. Näin ollen myös tulostimet on suojattava. Lue lisää: Tulostavien laitteiden monitasoinen laitesuojaus

Osassa yrityksiä on syytä pohtia myös itse tulostamisen tietoturvaa erityisellä tarkkuudella: onko salassa pidettävät dokumentit ja tiedotteet turvallista tulostaa monitoimitulostimeen, joka löytyy käytävän varrelta asiakasaulan vierestä? Jos vastaus on ei, ratkaisuna toimii turvatulostaminen. Turvatulostamisen ansiosta turvatulostusjonoon tulostetut työt tulostuvat vasta, kun käyttäjä kuittaa työnsä paikan päältä tulostimelta esimerkiksi tunnisteella tai salasanalla.

Katso myös video: Suomalainen tietoturvayhtiö löysi viime vuoden lopulla merkittävän tulostinvalmistajan 150 laitemallista vakavia haavoittuvuuksia

Kiinnostaako turvatulostaminen? Kysy lisää »

Palaa artikkelin alkuun

Sähköpostin suojaaminen

Modernit sähköpostihuijaukset ovat jo niin hyvin tehtyjä, että käyttäjän on hyvin hankala tunnistaa huijausta oikeasta viestistä. Tällöin vain teknologia voi suojata käyttäjää. Lue lisää: Tietojenkalastelua ja toimitusjohtajahuijauksia

Suojaamalla sähköposti välttyy monelta murheelta, sillä sähköposti on kenties suosituin hyökkäysväline helppoutensa ja laajuutensa takia. Tehokas sähköpostin suodatus blokkaa hyvin tehokkaasti huijaus- ja kalasteluviestejä.

Sähköpostin kautta voi töpeksiä myös lähettäjän roolissa. Tästä syystä kannattaa ottaa käyttöön sähköpostin suojaus, joka estää lähettämästä arkaluontoisia tietoja eteenpäin suojaamattomana.

Katso varoittavia tosielämän kauhutarinoita sähköpostin hyödyntämisestä tietoturvahyökkäyksissä:

Joko teillä on sähköpostin suojaus käytössä? Jos ei, ota yhteyttä »

Palaa artikkelin alkuun

Salasanakäytännöt

Salasanakäytännöt ovat tärkeä osa tietoturvaa, mutta esimerkiksi kuukausittainen salasanan vaihtaminen on tuskin tarpeellista. Hyvä salasana on riittävän monimutkainen ja ennen kaikkea pitkä, mutta muistettava ja aina yksilöllinen.

Hyviin salasanakäytäntöihin kuuluu, että käyttäjätunnuksia ja salasanoja ei kirjoiteta muistilapuille tai kerrota mistään syystä kenellekään toiselle. Kaikenlaiset yhteiskäyttötunnukset ovat riski ja niistä luopuminen kannattaa tehdä heti.

Lue lisää:

Palaa artikkelin alkuun

Monivaiheinen tunnistautuminen – MFA

MFA eli monivaiheinen tunnistautuminen pelastaa, jos käyttäjätunnus ja salasana jostain syystä päätyy vääriin käsiin. MFA estää kaapattujen tunnusten käytön lähettämällä esimerkiksi puhelimeen vahvistuspyynnön kirjautumisen yhteydessä.

Lue lisää: MFA – kirjautumisen hankaloittaja vai tietojen pelastaja?

Palaa artikkelin alkuun

DNS-suodatus

Tekniikka on apuna myös silloin, kun haluaa estää käyttäjiä menemästä kalastelu- tai huijaussivustoille. Internetin laitteet kommunikoivat keskenään numeeristen ip-osoitteiden avulla. Numeeristen osoitteiden muistaminen olisi hankalaa ja siksi Internetissä käytetään nimipalvelinjärjestelmää, joka muuntaa numeeriset verkkotunnukset ip-osoitteiksi. Nimipalvelun ansiosta ip-osoitteiden sijasta voidaan käyttää helpommin muistettavia nimiä, kuten frendy.fi. Nimipalvelinjärjestelmää kutsutaan nimellä DNS eli Domain Name System.

Kaikki tietojärjestelmät, laitteet ja myös haittaohjelmat käyttävät nimipalvelujärjestelmää, joten DNS-suodatus on erittäin helppo ja tehokas tapa suojata käyttäjiä tunnetuilta haitallisilta sivustoilta. Samalla järjestelmä suojaa koko verkkoa ja sen kaikkia laitteita.

Kaipaatko lisätietoa? Ota yhteyttä frendyihin »

Palaa artikkelin alkuun

Älykkäät palomuurit ja älykäs tietoturva

Uuden sukupolven palomuurit pystyvät havaitsemaan ja torjumaan erilaisia uhkia perinteisiä palomuureja huomattavasti tehokkaammin.

Jos hyökkääjä kuitenkin pääsee ohittamaan palomuurin esimerkiksi kameran, termostaatin tai muun yllättävän laitteen kautta, ei perinteisessä IT-maailmassa enää mikään komponentti hälytä. Hyökkääjälle jää avoin kenttä temmeltää ja hyökkäysten havaitsemiseen menee keskimäärin satoja päiviä.

Tässä kohtaa älykäs tietoturva astuu kehiin. Älykkäässä tietoturvassa analysoidaan työasemien, palvelimien tai koko verkon käyttäytymistä ja järjestelmät hälyttävät havaitessaan tavanomaisesta poikkeavaa toimintaa.

Kysyttävää? Ota yhteyttä meihin »

Palaa artikkelin alkuun

Automaattiset päivitykset ja päivitys

Lähtökohtaisesti tietokoneiden, ajureiden ja esimerkiksi virustorjuntaohjelmistojen automaattiset päivitykset kannattaa ottaa käyttöön. Näin yksikään kriittinen tietoturvapäivitys ei mene käyttäjältä ohi.

Verkon laitteiden kohdalla automaattinen päivitys on viety askelta pidemmälle ja tarkoittaa sitä, ettei päivityksien ajaminen edellytä minkäänlaisia käyttäjän tai ylläpitäjän toimia. Näin ollen päivitykset viivästy työaikojen tai lomien vuoksi: ne asennetaan automatiikan toimesta heti, kun ne ovat saatavilla. Erityisesti verkon reunalla olevien laitteiden, kuten palomuurien, säännöllinen päivittäminen on tärkeää.

Päivitysten suhteen ei ole aikaa hukata – tämän totesi myös suomalainen palveluntarjoaja, joka ei ehtinyt reagoida yleisen sähköpostijärjestelmän kriittiseen haavoittuvuuteen ajoissa ja asiakkaat olivat toista viikkoa ilman pääsyä sähköpostiin. Katso video: Kotimainen palveluntarjoaja ei ehtinyt päivittämään haavoittuvuutta ajoissa

Heräsikö kysymyksiä? Ota yhteyttä meihin »

Palaa artikkelin alkuun

Verkon läpinäkyvyys

Läpinäkyvyys parantaa tietoturvaa, kun koko verkon liikenne käyttäjän ja internetin välissä on tarkasteltavissa yhdestä paikasta. Samalla myös vianselvitys on helpompaa, kun verkon liikenne nähdään yhdestä näkymästä aina käyttäjän työasemalta Internetiin tai jopa sovellukselle asti.

Verkon läpinäkyvyys myös kertoo yhdellä silmäyksellä koko verkon tilan. Tällöin verkkoon on hankalampi liittää vääriä laitteita ja verkon kaikkien laitteiden tilanne tiedetään jatkuvasti.

Palaa artikkelin alkuun

Käyttäjäoikeuksien keskitetty hallinta ja lokitiedot

Käyttöoikeuksien keskitetty hallinta auttaa pitämään käyttäjätunnukset ajan tasalla ja helpottaa entisten työntekijöiden ja vanhojen yhteistyökumppaneiden oikeuksien poistamista.

Tunnuksien hallinta on ennen kaikkea prosesseja ja toimintamalleja, mutta myös teknologialla on oma osansa. On käyttäjien ja tietoturvan kannalta helpointa, jos on yksi järjestelmä, jota käytetään mahdollisimman paljon tunnistautumiseen muihin järjestelmiin.

Lokitiedot kannattaa keskittää, sillä kattavat lokitiedot auttavat jäljittämään verkon ja laitteiden tapahtumia ja ratkomaan ongelmatilanteita.

Palaa artikkelin alkuun

Varmistaminen ja palauttamisen testaaminen

Olennainen osa yrityksen tietoturvaa on huolehtia tietojen säilymisestä kaikissa tilanteissa. Oikein toteutetussa varmuuskopioinnissa tallennukset on hajautettu niin, ettei esimerkiksi tulipalo yrityksen tiloissa voi tuhota samalla kertaa kaikkia tallennusvälineitä.

Varmistusten testaaminen on tärkeää, samoin kuin prosessi tietojärjestelmien palauttamiseksi ongelmatilanteissa. Varmistusjärjestelmät voivat olla monimutkaisia ja vaativat ylläpitoa. Nykyään ne onkin järkevä ostaa palveluna, jolloin palveluntuottaja vastaa koko kokonaisuuden toiminnasta ja valvonnasta.

Varmistamisen tarve koskee myös muun muassa palvelinten – myös pilvipalvelinten tietoja. Nämä tiedot voivat pelastaa yrityksen toiminnan tietoturvarikollisten iskettyä. Lue myös: Älä unohda pilvipalveluiden tietoturvaa

Palaa artikkelin alkuun

Mistä aloittaa kehittäminen?

Tietoturvakokonaisuuden hahmottaminen ja hallitseminen on sujuvampaa, kun tukena on luotettava IT-kaveri. Frendy on apunasi luomassa tietoturvallista it-arkea.

Tietoturvan kehittäminen kannattaa aloittaa tietoturvakartoituksella, joka antaa rehellisen kuvan yrityksen tietoturvan nykytilasta. Kartoituksessa käydään läpi IT-ympäristön tietoturvan tila (työasemat, prosessit ja politiikat, fyysinen turvallisuus sekä verkon tietoturva). Kartoituksen jälkeen osaamme suositella parhaita tietoturvaratkaisuja juuri teille.

Suosittelemme myös haavoittuvuuskartoitusta, jossa kartoitetaan verkon laitteet tietoturvan näkökulmasta. Kartoitus löytää vanhat sovellusversiot, oletussalasanat sekä tiedossa olevat hyödynnettävät haavoittuvuudet eri tietojärjestelmissä.

Anna tietoturva-asiantuntijan auttaa! Ota yhteyttä »

Palaa artikkelin alkuun