…paitsi, ettei IT voi hoitaa tietoturvaa yksin eikä ilman resursseja.

Tapaamme jatkuvasti organisaatioita, joissa tietoturvan koventaminen on kaatunut esimerkiksi muutamien satojen eurojen lisäkustannuksiin lisensseissä ja/tai ajan puutteeseen.

Alle 300 henkilön organisaatioille tarkoitetut Microsoft Business Premium -lisenssit tuovat kaikki ne tarvittavat tietoturvaominaisuudet käyttöön, jotka ennen olivat mahdollisia vain huomattavasti kalliimmissa enterprise-tason lisensseissä. On vielä paljon organisaatioita, jotka eivät ole hyödyntäneet näitä ominaisuuksia ja myös niitä, jotka eivät ole nähneet tarvetta koventaa tietoturvaa lisenssitason nostolla. Siitä huolimatta, että kyse on aika usein joistakin sadoista euroista lisää vuositasolla.

Yritykset vakuuttavat toimitilansa, omaisuutensa, työsuhdeautonsa ja liiketoimintaan hankitaan keskeytysvakuutus. Entä jos hyökkääjä pääsee sisään organisaation IT-ympäristöön ja kryptaa esimerkiksi kaiken dokumentaation? Tai arkaluonteiset tiedot pääsevät vuotamaan nettiin?

Liiketoiminta voi keskeytyä päiviksi, viikoiksi ja jopa kuukausiksi. Mainehaitan arvoa ei voi edes mitata. Joskus koko liiketoiminta loppuu. Mediaan päätyy vain pieni osa näistä tapahtumista. Silti niitä tapahtuu kaikkialla, jatkuvasti.

NYT ON MENEILLÄÄN KANSALLINEN TIETOTURVAVIIKKO JA HUOMENNA ON KANSALLINEN TIETOTURVAPÄIVÄ

Tässä tietoturvapäivän haasteemme johdolle

Kysy johtoryhmän jäseniltä ja IT:ltä (jos se jostain syystä ei ole edustettuna johtoryhmässä), päteekö joku tai jotkut seuraavista väitteistä organisaatiossasi:

• Päivityksiä laiminlyödään ja/tai ne tehdään vain osittain organisaatiossa (käyttäjä voi esimerkiksi siirtää kriittistä päivitystä itse myöhempään ajankohtaan)
• Liiketoimintakriittistä tietoa on varmistamattomassa muodossa, esimerkiksi M365-ympäristöä ei varmistettu kaikilta osin (Teams, Sharepoint jne)
• Laitehallinta on puutteellista ja/tai keskitettyä laitehallintaa ei ole. Esimerkiksi hallinnan ulottumattomissa olevaa mobiililaitetta ei pystytä tyhjentämään sen kadotessa.
• Yhteiskäytössä olevien koneiden suojaus on puutteellinen
• Salasanat ovat heikkolaatuisia ja/tai salasanojen hallinnassa on puutteita. Samoja salasanoja käytetään sekä yleisissä palveluissa että yrityksen järjestelmissä.
• Vahvaa tunnistautumista ei ole käytössä kaikilta osin
• Liiketoimintakriittistä tietoa tai henkilötietoa sisältäviä asiakirjoja on pöydillä, tulostimilla, avoimissa kaapeissa
• Yhteisten dokumenttien käyttöoikeudet eivät ole ajan tasalla
• Lähtevien henkilöiden laitteiden käsittelyyn, oikeuksien poistamiseen, asiakirjojen ja henkilötietojen käsittelyyn ym. ei ole yhdenmukaista toimintatapaa
• Käytettyjä tietokoneita lojuu (käsittelemättöminä) ”varakoneina” ja/tai käytettyjen laitteiden turvalliseen käytöstä poistoon ei ole toimintatapaa
• Työtä tehdään erilaisissa (huonosti suojatuissa) ympäristöissä etänä – kotona, autossa, kahvilassa
• Kalasteluviestejä ei tunnisteta tai niiden aiheuttamaa riskiä ei ymmärretä (kalasteluviestit kehittyvät jatkuvasti)
• Henkilöstöä ei ole ohjeistettu ja koulutettu tietoturva-asioissa riittävästi tai ohjeet eivät ole ajan tasalla
• Henkilöstöllä ei ole tietoa, miten tulee toimia epäillessään tietoturvauhkaa tai uhan jo toteuduttua
• Palautumissuunnitelmia uhkatilanteiden varalle ei ole tehty ja/tai niitä ei ole testattu
• Henkilötietoja käsitellään ja säilytetään erilaisissa epävirallisissa henkilörekistereissä sähköisesti tai paperiversioina ilman tietosuoja-asetuksen mukaista käyttötarkoitusta
• Tietosuojadokumentaatio on vielä siltä ajalta, kun tietosuoja-asetus tuli voimaan

Jos mikään näistä väitteistä (rehellisesti arvioituna) ei pidä paikkaansa organisaatiossanne, olette jo hyvällä matkalla tietoturvassa. Mutta, tässä oli vasta osa asioista.

Päivitä tietoturva ja tietosuoja

MS Business Premium -lisenssin mahdollistamien tietoturvaominaisuuksien käyttöönotto on osaavalle tekijälle muutamien päivien projekti, joka koventaa tietoturvaa jo huomattavasti. Kaikki tietoturvan ja -suojan osa-alueet kattava riskianalyysi on syytä päivittää säännöllisin väliajoin ja muokata riskien myötä käytäntöjä ja toimintatapoja. Uhat kehittyvät jatkuvasti.

Tietosuoja-asetuksen mukaisten käytäntöjen määrittelyyn ja ylläpitoon on nykyään tarjolla moderneja työkaluja. Exceleissä ylläpidettävä tietosuojadokumentaatio edustaa mennyttä aikaa.

Tietoturva-opas käyttöösi

Jos kaipaat käytännönläheistä ohjeistusta tietoturvasta ja -suojasta, lue oppaamme. Itse asiassa suosittelemme koko johdolle ja organisaatiolle sen lukemista.

Tietoprojektien lisäksi tarjoamme koulutusta henkilöstölle sekä laadimme yhdessä organisaatioiden kanssa tietoturvaohjeistuksia. Autamme myös tietosuojan päivittämisessä ajanmukaisilla työkaluilla.

Ota yhteyttä sales@prog-it.net tai puhelimitse 010 8327202, niin jutellaan lisää!