++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

/ajankohtaista/tietoturva-ei-ole-luulon-tai-uskon-asia/

Tietoturva ei ole luulon tai uskon asia

Olemme tehneet eri organisaatioissa tietoturvakartoituksia ja käyneet lukuisissa asiakas- ja myyntitapaamisissa läpi tietoturvaan liittyviä kysymyksiä. IT-organisaatio tunnistaa ja tietää yleensä teknisiä toimenpiteitä, joilla tietoturvaa vahvennetaan. Valitettavan usein kuitenkin vain osa näistä toimenpiteistä on ehditty toteuttaa – esimerkiksi aika- tai muiden resurssipuutteiden takia. Keskitetty laitehallinta ei koske esimerkiksi mobiililaitteita, salattua sähköpostia ei käytetä tai monikertainen tunnistautuminen on vain osittain käytössä.

Data turvassa MS365-ympäristössä?

Yleinen harhaluulo on esimerkiksi se, että Microsoft varmistaisi 365-ympäristön dataa. Näin ei todellakaan ole – esimerkiksi vahingossa hävitetty data katoaa jonkun ajan kuluttua ikuisesti bittiavaruuteen, jos organisaatio ei ole huolehtinut sen varmistuksista. Puhumattakaan siitä, minkälainen vahinko tapahtuu, jos hyökkääjä pääsee kryptaamaan esimerkiksi Sharepointin dokumentaatiota eikä sitä ole varmistettu. Lisäksi kaikki 365-ympäristön varmistusratkaisut eivät kata Teamsiä, josta alkaa muodostua yhä useammassa organisaatiossa kriittisen liiketoimintatiedon välitys- ja tallennuspaikka. Todettakoon vielä, että Teamsin käyttö dokumentinhallintaan ylipäänsä on tietoturvariski mm. sen käyttäjäoikeushallinnan takia. Teams tuli pandemian takia käyttöön monessa organisaatiossa nopeasti ja suunnittelemattomasti, mutta nyt on korkea aika määritellä myös Teams-ympäristön käyttötavat ja ohjeistus.

Uskooko ylin johto IT:n hoitavan tietoturvan?

Kyllä uskoo – valitettavan usein. Tietoturvan lähtökohta on liiketoiminnan riskien tunnistaminen ja arviointi. Yhä useampi merkittävä riski liittyy ICT-ympäristöön, jonka heikkoudet ja haavoittuvuudet vaarantavat pahimmassa tapauksessa koko liiketoiminnan. Riskianalyyseja tehdään organisaatioissa ja myös toimenpiteitä riskien ennaltaehkäisemiseksi, mutta palautumissuunnitelmat puuttuvat hyvin usein. Valitettavasti jokainen organisaatio kohtaa erilaisia ICT-häiriötilanteita ja ainakin pahimpia vahinkoja aiheuttavien varalle on oltava valmiiksi palautumissuunnitelmat.  Häiriötilanteessa ei ole aikaa ryhtyä miettimään, mitä nyt tehdään alusta lähtien. Tietoturvan vahvistaminen on osa liiketoiminnan jatkuvuuden varmistamista ja siksi se on mitä suurimmassa määrin IT:n ohella erityisesti liiketoimintajohdon vastuulla oleva asia.

Luuleeko käyttäjä toimivansa oikein?

Kyllä luulee – valitettavan usein, vaikka totuus on toisenlainen. Eikä vika ole silloin vain käyttäjässä vaan myös puutteellisissa tai vanhentuneissa ohjeissa ja riittämättömässä koulutuksessa. Tietosuoja-asetus aiheutti melkoisen pöhinän muutama vuosi sitten, mutta sen jälkeen asetuksen vaatimat asiat ovat päässeet pahasti happanemaan monessa organisaatiossa. Lisäksi tietosuoja on vain yksi osa tietoturvaa. Tietoturvaa on mm. se, miten laitteiden fyysinen turvallisuus on varmistettu, kulunvalvonta on hoidettu tai käyttöoikeuksien myöntämiskäytännöt määritelty. Ja nämä ovat vain muutamia esimerkkejä.

Tietoturvasta voit lukea lisää käytännönläheisestä Tietoturvaoppaastamme.