Tietoturva yrityksen tehokkaan liiketoiminnan ja häiriöttömän toimintaympäristön takeena

Tietoturvallisuudella tarkoitetaan tässä hallinnollisia ja teknisiä järjestelyitä, joilla pyritään varmistamaan tiedon luottamuksellisuus, eheys ja saatavuus. Tietoturvallisuuden lonkerot ulottuvat lähes kaikkiin yritystoiminnan osa-alueisiin, ei ainoastaan tietotekniikkaan. Näihin lukeutuvat mm. riskienhallinta, liiketoiminnan jatkuvuussuunnittelu, henkilökunnan osaaminen sekä toimitilojen turvallisuus.

Tekniikan häiriötilanteiden estämiseksi voidaan ainoastaan säännöllisesti ylläpitää järjestelmiä ja varautua korjaaviin toimenpiteisiin. Ihmisen käyttäytymiseen sen sijaan voidaan vaikuttaa paljonkin. Ihminen saattaa olla työssään huolimaton ja varomaton, osaamistaso voi olla puutteellinen tai asenne jatkuvaan tarkkaavaisuuteen ei ole kohdallaan.

Varomattominta on luulla, ettei meidän firmastamme voi tulla tietomurron uhri. Tietomurrot koskevat entistä enemmän pieniä ja keskisuuria yrityksiä. Tietovuodot ja niiden ennaltaehkäisy tehdään tehostetulla valvonnalla. Se maksaa aina itsensä takaisin – moninkertaisesti. Yrityksiin kohdistuvista hyökkäyksistä alle puolet tulee ulkopuoliselta taholta. Henkilöstön koulutuksella ja riskienhallinnan suunnitellulla on valtava vaikutus yrityksen tietoturvaan.

Tiesitkö, että hyökkäyksiä, tai ainakin yrityksiä, tehdään nytkin koneellesi?

Tarkistuslista 6-portaan tietoturvaan:

  1. Suojataan tietokoneet paikallisella virusturva- ja palomuuriohjelmistolla.
  2. Suojataan yrityksen lähiverkko tai lähiverkot nykyaikaisella palomuuri- ja yhdyskäytävätason laitteistolla sisältäen hyökkäyksen eston, yhdyskäytävätason haittaohjelmien poiston ja ”next generation firewall” -laitteiston.
  3. Suojataan palvelimet virustorjuntaohjelmistolla, palomuurilla sekä päivityksien hallinnalla. Lisäksi on olemassa ohjelmia, joilla voidaan suojautua tuntemattomia uhkia vastaan (Ohjelmisto tuntee palvelimen normaalin toiminnan ja hälyttää poikkeavissa tilanteissa.)
  4. Suojataan tietoliikenne esim. VPN tai ssl-VPN tunnelilla tai HTTPS-yhteyksillä.
  5. Huolehditaan, että yrityksen palvelimista, erityisesti kriittisistä palveluista ja tiedoista, on olemassa varmuuskopio ja varmuuskopioinnin palautusta testataan säännöllisesti.
  6. Henkilöstön tietoturvakoulutus, jossa käyttäjien ymmärrystä tietoturvasta lisätään ja jossa opetetaan, miten omilla toimilla estetään tietoturvariskit.

Yllä mainitut toimenpiteet on hyvä olla keskitetyssä hallinnassa. Tällöin voidaan valvoa ja ennaltaehkäistä riskejä tehokkaammin.

Tietoturvan toteutus yrityksessä

Yrityksen tietoturvan suunnittelussa lähdetään liikkeelle siitä, että tunnistetaan mitä halutaan suojata. Yrityksen kaiken toiminnan kannalta on tärkeintä ymmärtää, mitkä toiminnot ja asiat ovat tärkeimpiä. Useimmiten ei ole taloudellisesti järkevää suojata kaikkea yhtä vahvasti, vaan keskittyä tärkeimpiin asioihin. Kriittiseksi katsotun prosessin tai resurssin tunnusmerkkejä ovat, että vahingoittuessaan tai lamaantuessaan ne aiheuttavat merkittäviä suoria- ja välillisiä kustannuksia, merkittävää vahinkoa imagolle tai saattavat pahimmillaan jopa tehdä yrityksen toiminnan jatkamisen mahdottomaksi.

Kun on tunnistettu, mitä pitää suojata, mahdollistetaan oikeiden johtopäätösten tekeminen ja samalla myös riskienhallintaan, liiketoiminnan jatkuvuussuunnitteluun sekä turvallisuuteen liittyvät toimenpiteet kyetään kohdistamaan juuri niihin. Säännölliset riskienhallintatoiminnot ovat jokaisen yrityksen häiriöttömän toiminnan elinehto. Onnistuessaan riskienhallinta on sulautunut yrityksen normaaliin toimintaan eikä ole erillinen toiminto, jonka suorittaa joku ulkopuolinen kertaluonteisesti.

Riskienhallinnan tulee olla säännöllistä ja ennakoivaa toimintaa. Säännöllisestä riskienhallinnasta on yritykselle niin taloudellista kuin imagollistakin hyötyä. Mitä vähemmän häiriöitä ja toimintakatkoksia, sitä suuremman hyödyn yritys saa. Samalla taloudellinen hyöty tulee myös epäsuorasti laadukkaampina ja oikein kohdistettuina toimenpiteinä ja ratkaisuina.

Liiketoiminnan jatkuvuuden varmistaminen

Liiketoiminnan jatkuvuudenhallinnalla tarkoitetaan varautumista erilaisiin häiriötilanteisiin. Katkoksia liiketoimintaan voivat aiheuttaa hyvin erilaiset tekniset ongelmat, ihmiset ja luonnonilmiöistä johtuvat tahalliset sekä tahattomat viat ja häiriöt. Näitä voivat olla tietovuoto tai varkaus, saastunut tietojärjestelmä, verkkohyökkäys, järjestelmä- tai tietoverkon vikaantuminen, murto/varkaus, sähkökatkos, tulipalo sekä vesivahinko.

Jatkuvuudenhallinta koostuu etukäteen suunnitelluista; häiriöstä toipumisen aikana sekä toipumisen päätyttyä tehtävistä toimenpiteistä. Näiden avulla pyritään vähentämään liiketoimintaa häiritsevien tekijöiden vaikutusta, lyhentämään häiriöstä toipumiseen kuluvaa aikaa sekä minimoimaan vahingot.

Jatkuvuuden hallinnassa toimiva, säännöllinen ja luotettava varmuuskopiointi on olennaisen tärkeää, jotta tietoja voidaan tarvittaessa palauttaa. Viime vuosina on ollut liikkeellä erittäin paljon kiristysohjelmia, joilla tietojärjestelmän tietoja salataan ja maksua vastaan ehkä annetaan avain, jolla salauksen saa pois. Maksua ei näissä tapauksissa kannata suorittaa, koska on epävarmaa, saako avainta siitä huolimatta, eli tiedot on parempi palauttaa tällöin varmistuksista. Olennaisia ovat myös muut ennakkoon tehtävät järjestelyt, kuten varahenkilöiden kouluttaminen sekä tarvittavien varaosien olemassaolo mahdollisuuksien mukaan.

Jatkuvuuden hallinnan hyötynä on ennakolta varautuminen, joka voi pelastaa yrityksen merkittäviltä taloudellisilta tappioilta, tai jopa toiminnan lopettamiselta. Jatkuvuuden hallinnan avulla suojattavat kohteet (elintärkeät toiminnot ja kriittiset resurssit) voidaan pitää tuotantokäytössä mahdollisimman tehokkaasti. Samalla voidaan ainakin osittain pienentää tai rajoittaa asiakkaille aiheutuvaa vahinkoa ja palvelun katkeamisesta johtuvaa työn viivästymistä.

Asenne

Tietoturvallisuus on kaikkien yhteinen asia. Jokainen yrityksen IT-järjestelmien ja -laitteiden käyttäjä on omalta osaltaan vastuussa tietoturvakäytäntöjen noudattamisesta ja sitä kautta tietojärjestelmien häiriöttömän toimivuuden, palvelukyvyn ja eheyden toteutumisesta. Tietoturvallisuus ei ole pelkästään IT-osaston tai IT-henkilöiden vastuulla, vaan toiminnallaan jokainen yrityksen työntekijä vastaa omalta osaltaan tietoturvallisuudesta.

Tietoturvallisuuteen liittyvät asiat kuten sen rakentaminen, ylläpito ja kehittäminen ovat pääosin johtamista ja vain murto-osaltaan teknologiaa. Hyvä ja toimiva tietoturvallisuus on tulos oikeasta asenteesta niin johdon kuin käyttäjienkin tasolla, mutta ennen kaikkea se on tulos onnistuneesta johtamisesta. Epäonnistuminen turvallisuuden johtamisessa voi pahimmillaan mitätöidä turvallisuusjärjestelyt ja siten vaarantaa yrityksen kriittiset prosessit ja resurssit.

Tietoturvallisuuden rakentaminen on huomattavasti sujuvampaa ja edullisempaa, kun koko henkilöstön asenne on myönteinen. Henkilöstön myönteisen asenteen avulla yrityksen tietoturvakäytännöt onnistutaan jalkauttamaan koko organisaatioon helposti.

Dokumentointi

Ajan tasalla oleva ja kattava dokumentaatio on yksi yrityksen suojattavista kohteista. Dokumentaatio on tärkeässä roolissa perehdytettäessä ja koulutettaessa henkilöstöä. Kirjallinen ohjeistus auttaa ja opastaa koko henkilökuntaa ja tarvittaessa myös yhteistyökumppaneita toimimaan turvallisella tavalla ja noudattamaan yrityksen laatimia tietoturvakäytäntöjä ja ohjeistuksia. Dokumentoinnin suurin hyöty saadaan esille häiriötilanteissa, koska se mahdollistaa omalta osaltaan nopeamman häiriöstä palautumisen. Olennaista on erityisesti kattava tietohallinnon dokumentointi.

Tietojärjestelmät ja niiden käyttäminen

Tietojärjestelmissä, mobiililaitteissa ja tallennusvälineissä on todennäköisesti yritykselle korvaamatonta tietoa. Jatkossa kutsumme kaikkia näitä yhdessä tietojärjestelmiksi. Tietojärjestelmien osalta on tärkeää muistaa, että niiden turvallinen käyttö sekä suojaaminen tulee ulottaa yrityksen toimitilojen lisäksi myös niiden ulkopuolella suoritettavaan käyttöön – niin kotona, matkoilla kuin asiakkaillakin.

Käyttämällä tietojärjestelmiä mahdollisimman turvallisesti ja oikein yritys säästää hankinnoissa (laitteisto, ohjelmisto, lisenssit), kohtaa vähemmän vikatilanteita, saa vähemmän roskapostia sekä kykenee turvaamaan omat ja asiakkaidensa tiedot luotettavammin.

Toimitilojen turvallisuudella on keskeinen vaikutus sekä tietoturvallisuuteen että muihin turvallisuuden osa-alueisiin. Toimitilojen turvaamiseen ja suojaamiseen käytettävät resurssit mitoitetaan riskienhallinnan tulosten perusteella. Tietoturvallisuuden ympärille saadaan toimitilajärjestelyillä suojaava lisäkerros, mikä vaikeuttaa mm. tiedon varastamista ja järjestelmien fyysistä vahingoittamista. Samat järjestelyt suojaavat myös muuta omaisuutta sekä henkilökuntaa.

Jossain määrin ”toimitilojen ulkopuolella” tapahtuvaa käyttöä on sosiaalisessa mediassa, internetissä, yhteistyökumppaneiden tietojärjestelmissä ja pilvipalveluissa tehtävä työ sekä henkilökohtainen käyttö.

Etä- ja matkatyö on muualla kuin vakituisessa toimipisteessä tehtävää työtä ja tämä työmuoto kasvaa yhä tämän päivän globalisoituneessa maailmassa. Se luo samalla uusia tarpeita yrityksen tietoturvan ylläpitämiselle ja asettaa siten uusia vaatimuksia tietoturvaratkaisuille ja käytännöille. Tyypillinen etätyö on kotona tai matkoilla tehtävää toimistotyötä, jolloin käytön taustaympäristöt vaihtelevat. Etätyöntekijän omilla toimenpiteillä ja menettelytavoilla on suuri merkitys tietoturvamielessä. Vähintään yhtä suuri merkitys on myös turvallisilla tietoliikenneyhteyksillä yrityksen sisäverkon ulkopuolelta tuleviin sallittuihin yhteyspyyntöihin.

Sosiaalisen median suosio ja käyttö on kasvanut yrityksissä merkittävästi. Monelle yritykselle tämä on kuitenkin vielä suhteellisen uusi asia ja näissä yrityksissä ei vielä ole omaa sosiaalisen median kulttuuria, eikä kaikkia sosiaalisen mediaan liittyviä liiketoiminta- ja tietoturvariskejä tunnisteta.

Sosiaalinen media tuo oikein käytettynä ja hyödynnettynä yrityksille erinomaisen mahdollisuuden tavoittaa uusia asiakkaita. Sen avulla voidaan myös palvella jo olemassa olevia asiakkaita ja lisätä myyntiä. Sosiaalinen media on yritykselle uusi myynti- ja markkinointikanava eli mahdollisuus.

Tietoturvallisuuden jalkauttaminen henkilökunnalle

Tietoturvallisuuden jalkauttaminen, sulauttaminen tai istuttaminen yrityksen arkeen on jatkuvaa toimintaa ja edellyttää kaikkien organisaatiotasojen osallistumista yrityksen johdon määrittelemällä tavalla. Jalkauttaminen tarkoittaa mm. viestintää henkilöstölle, kouluttamista sekä uuden toimintamallin, tietojärjestelmän tai ohjeen käyttöönottoa. Onnistuneella ja johdetulla jalkauttamisella voidaan tehdyt päätökset siirtää käytäntöön koko organisaation laajuisesti ja samalla myös huolella määritelty jalkauttaminen mahdollistaa toivottujen tulosten ja käytöstapojen saavuttamisen. Lopputuloksena on se, että koko organisaatio toimii samojen käytäntöjen mukaisesti ja yhtenäisesti pienentäen tietoturvariskejä merkittävästi.

 

Tommi Hyvönen
IT-asiantuntija