Henkilöstön tiedettävä enemmän kuin kyberturvallisuuden alkeet
Jaa sivu:
Kyberturvallisuus on monimutkainen asia, mutta turvallisuuden ylläpitämiseen on olemassa yksinkertaisia toimia. Kyberturvallisuutta ei voi jättää pelkästään ITC-henkilöstön huoleksi. Turvallisuuden on oltava osa koko organisaation kulttuuria.
Tämä edellyttää, että jokaisella on vähintään perustiedot kyberturvallisuudesta ja siitä, miten hän omalta osaltaan voi siihen vaikuttaa ja mikä on hänen henkilökohtainen vastuunsa. Pelkät alkeet eivät riitä. Korkea kyberturvallisuuden taso on osoitus yritysvastuullisuudesta ja kilpailuetu kumppanuussuhteissa.
Kyberturvallisuuden ylläpitäminen on maailmanlaajuinen tehtävä. Tästä syystä Euroopan unionin alaisen Euroopan kyberturvallisuuskeskuksen ENISA:n (The European Union Agency for Cybersecurity) pk-yrityksille suunnatussa turvallisuusraportissa painotetaan henkilöstön koulutuksen tärkeyttä.
Työntekijöiden on tiedettävä ja ymmärrettävä, miten tietojenkalastelu ja manipulointihyökkäykset tapahtuvat ja noudatettava omien laitteidensa käyttösääntöjä, todetaan raportissa.
ENISA:n sanoma on, että pk-yrityksissä on siirryttävä kyberturvallisuuden alkutietotasolta eteen päin ja luotava yrityksen oma kyberturvallisuuskulttuuri, joka tukee sen toimitusketjua ja on osa laadunhallintaa.
Johdon on sitouduttava
Henkilöstön tietojen ja taitojen lisääminen kyberturvallisuuden alalla ei yrityksessä onnistu ilman johdon todellista sitoutumista ja johtajuuden osoittamista. Jos johto ei sitoudu tietoturvallisuuden jatkuvaan ylläpitoon, niin on selvää, että monet hyvät aikeet jäävät toteutumatta tai epäonnistuvat.
Tässä mielessä kyberturvallisuus ei poikkea yrityksen muista toiminoista, jotka edellyttävät hyvää johtajuutta. Kyberturvallisuus on ratkaisevan tärkeää yrityksen liiketoiminnan suojaamisessa.
On selvää, että toiminta vaatii resursseja. Se vaatii henkilöstön aikaa, laitteistojen ja palvelujen hankkimista, koulutusta ja tehokkaiden toimintatapojen kehittämistä. Johdon tehtävä on varmistaa, että resurssit on luotu ajoissa, jotta riskienhallinta hoituu asianmukaisesti myös ongelmien ilmaantuessa.
Henkilöstö on sitoutettava
On tärkeää, että koko henkilöstö ymmärtää kyberturvallisuuden tärkeyden organisaation suojelemisessa, asiakkaiden organisaatiolle luovuttamien tietojen suojaamisessa ja viime kädessä yrityksen työpaikkojen turvaamisessa, todetaan ENISA:n raportissa.
Jotta henkilöstö voi ymmärtää kyberturvallisuuden tärkeyden, sen on saatava selkeät ohjeet ja säännöt menettelytavoista ja niiden rikkomisesta johtuvista seurauksista. Henkilöstön on koettava, että yrityksen johto pitää niitä tärkeinä ja noudattaa niitä myös itse.
Keskeinen tapa osoittaa johtajuutta kyberturvallisuuden alalla on se, että johto osallistuu näkyvästi turvallisuuskoulutukseen ja kannustaa henkilöstöä osallistumaan niihin, ENISA toteaa.
Mihin jokaisella pitäisi olla vastaus?
Kyberturvallisuuden kannalta oleelliset ja yksinkertaiset kysymykset jäävät usein kysymättä. Kysymyksiin vastaaminen on kuitenkin tärkeä perusta, kun kyberturvallisuutta ryhdytään rakentamaan.
Tässä joitakin kysymyksiä, joihin jokaisella henkilöstön jäsenellä pitäisi olla vastaus:
- voinko käyttää yrityksen verkkoa ja järjestelmiä kotitietokoneelta?
- voinko käyttää työsähköpostia yksityisellä älypuhelimella?
- mitä on tehtävä, kun saan tietojenkalasteluviestin?
- miten voin jakaa yritystietoja sisäisesti ja ulkopuolisille?
- miten voin käyttää työsähköpostiani julkisen verkon (hotelli, lentokenttä jne.) kautta?
- kuinka varmistan, että salasanani ovat turvallisia?
Muista, että
- tuntematonta USB-asemaa ei pidä kytkeä yritysverkkoon kytkettyyn tietokoneeseen
- piraattiohjelmia ei pidä asentaa
- et jätä kannettavaa tietokonetta ilman valvontaa
Tee kanssakäymisestä palvelutasosopimus
Kun pk-yritys ulkoistaa IT-järjestelmiensä hallinnan ja tuen alaan erikoistuneelle toiselle yritykselle, tehdään yhteistyötä usein edelleen puutteellisin sopimuksin. Sopimuksista voi puuttua esimerkiksi tärkeitä salassapitolausekkeita.
Ulkoistettaessa palvelu annetaan toiselle yritykselle pääsy mahdollisesti myös arkaluonteisiin talous- ja henkilötietoihin. Niiden käsittelyn olisi perustututtava yhteiseen sopimukseen. Tällöin on varmistettava, ettei tietoja käytetä sopimuksen vastaisesti, vaan kaikki tapahtuu sopimusvelvoitteiden rajoissa.
ENISA:n raportti antaa käytännön neuvoja:
- laadi luettelo kyberturvallisuuden vähimmäisvaatimuksista ja -velvoitteista
- tarkista luettelo säännöllisesti
- nimeä vastuuhenkilö suhteiden ylläpitoon
- varmista, että jokaisen avaintoimittajan kanssa on tehty palvelusopimus ja että näitä valvotaan jatkuvasti
- jos ulkoinen palveluntarjoaja edellyttää pääsyä henkilötietoihin pk-yrityksen hoidossa, on tehtävä tietojenkäsittelysopimus EU:n tietosuoja-asetuksen (GDPR) vaatimusten mukaisesti