Viisi tärkeintä tarkistusta, etteivät tärkeät tietosi päädy vääriin käsiin | e-IT Oy

Viisi tärkeintä tarkistusta, etteivät tärkeät tietosi päädy vääriin käsiin

1.
Yrityksen tiedot ja tiedostot

1Varmuuskopiot

Varmuuskopioilla varmistat tietojen pysymisen itselläsi vaikka ne tuhoutuisivat tai joutuisivat vääriin käsiin

2Tiedon luokittelu

Luokittelemalla tiedot saat suojattua tiedostot vahvemmin kuin perinteisellä tiedostokirjaston pääsyoikeuksilla. Saat suojattua tiedostot luotettavammin määrittämällä mitkä tiedot salataan sekä mitkä tiedot vaativat tunnistautumisen avautuakseen.

3Toimiva identiteetin hallinta

Identieettien suojaus on tärkeä osa yrityksen tiedon suojausta.

4Tietoturvallinen laitehallinta

Hyvin suunniteltu ja toteutettu laitehallinta on tärkeä osa yritystietojen suojaamista.

5Verkkojen ja tietopalveluiden suojaus

Suojaamalla pilvipalvelut tietoturvallisilla määrityksillä ja verkot älykkäillä tietoturva-ominaisuuksilla vähintään hidastaa tietojen urkkimisen toteutumista.

6Henkilöstön koulutus

Toisinaan ihmiset vuotavat tietoja jotka on tietoteknisessä mielessä suojattu vahvasti. Tähän voi pureutua hyvällä tietoturvakoulutuksella.

2. Yrityksen identiteetit

1Vahva tunnistautuminen

Lähes kaikilla on salasana vuotanut jossakin yleisessä käytössä olevassa tietomurrossa. Harvemmalla on eri salasana jokaisessa eri palvelussa. Tämän takia vuodetuilla salasanoilla yritetään todella paljon murtautua yritysjärjestelmiin. Kännykkävahvistus on tärkeä keino tällaisten murtoyritysten estämseen.

2Salasanan hallinta

Monella on käytössä satoja eri tietojärjestelmiä joissa kaikissa tulisi olla käytössä eri salasana. Tämä mahdollistuu parhaiten käyttämällä ohjelmallista sekä tietoturvallista salasanojen hallintajärjestelmää.

3Pääkäyttöoikeuksien määritys ja luovutus vain tarvittaessa

Pääkäyttäjätunnuksilla pääsee helposti kriittiseen tietoon käsiksi tekemällä siihen mahdollistavia määrityksiä. Tämän takia pääkäyttäjätunnusten ei tulisi koskaan olla yleisessä käytössä, vaan niiden tulisi aina olla henkilöiden omia erityisiä pääkäyttäjätunnuksia. Niitä ei myöskään tulisi pitää varmuuden vuoksi, vaan tulisi käyttää järjestelmää jolla pääkäyttö-oikeudet voidaan antaa tarvittaessa. Laitetunnuksia joilla on pääkäyttäjäoikeudet varmuuden vuoksi ei tulisi koskaan käyttää.

4Lähtevän henkilöstön tunnusten sujuva poistoprosessi

Kun henkilö lähtee pois talosta ei hän enää tarvitse tunnustaan eikä pääsyä yrityksen tietoihin. Jotta hän tai kukaan muu ei pääse tunnusta väärinkäyttämään tulisi yrityksessä olla nopea prosessi lähteneiden henkilöiden tunnusten lakkauttamiseen.

5Aktiivinen käyttäjä-audiointi ja monitorointi

Kirjautumisia tulisi monitoroida siihen rakennetulla järjestelmällä joka analysoi mahdollisia väärinkäytöksiä.

6Tunnusten ja salasanojen sähköpostikalastelun hidastaminen

Automaattinen esim. sähköpostilla tapahtuva tunnusten kalastelu on yrityksissä arkipäivää. Siihen pureutuminen on todella tärkeää identiteetitn suojaamista.

3. Tietoliikenne yhteydet

1Toimistopalomuuri

Toimistopalomuuri on kuin laite jossa on erittäin vahva haittaohjelmien suojausratkaisu. Tasokas ja ylläpidetty palomuuri suojaa hyvin nekin laitteet joissa ei omaa tietoturvaominaisuutta ole (esim. tulostimet ja älytelevisiot)

2Langattomien verkkojen tietoturvariskien huomiointi suunnittelussa

Aiemmin tällä listalla mainittiin lähteneiden henkilöiden tunnusten lakkauttaminen. Mikäli yrityksen käytössä on langaton verkko johon pääsee yleisesti tiedossa olevalla salasanalla, niin siihen tulee suhtautua kuin tunnuksiin jotka tulee muuttaa/lakkauttaa henkilöstön vaihtuessa. Langattomissa verkoissa parasta on käyttää jokaisen henkilön omaa tunnusta verkkoon pääsemiseksi.

3Verkkolaitteiden tietoturvapäivitykset

Hyvin tuettuihin ja laadukkaisiin verkkolaitteisiin toimitetaan tietoturvapäivityksiä. Verkkolaitteet on pidettävä tietoturvallisina huolehtimalla tietoturvapäivitysten ajamisesta.

4Kotikonttoreiden heikomman tietoturvan huomiointi kokonaisuuden suunnittelussa

Kotikonttoreissa on yleensä operaattorin halpa reititin jossa ei ole ylläpidettyä laadukasta tietoturvaa. Tässä tapauksessa laite tulee olla varustettu ajantasaisilla tietoturvaominaisuuksilla ja siinä tulee olla todella vahva ohjelmallinen tietoturvaratkaisu tai moderni ylläpidetty palomuuri käytössä.

4. Tietokoneet ja muut päätelaitteet

1Puhelimien ja tietokoneiden etähallinta

Toimiva etähallinta varmistaa sen, että varastetuista laitteista voidaan poistaa tiedot ja myös sen, että laitteiden tietoturva-ominaisuudet ovat käytössä ja ajan tasalla.

2Mobiililaitteiden tietoturvaohjelmisto

Lähes kaikissa tietokoneissa on perustason tietoturvaohjelmistot, mutta mobiililaitteissa näitä ei vielä ole. Silti mobiililaitteita käytetään päivittäin yrityskäytössä. Tietoturvaohjelmisto tulisi ottaa käyttöön myös mobiililaitteissa.

 

3Tietokoneissa tiedon salaus
Tietokoneiden tieto tulee suojata salaamalla käytössä olevat levyt sekä varmistaa, että tiedon palautusavaimet ovat yrityksellä tallessa. Tämä onnistuu monesti ilmaiseksi Windows 10:ssä olevalla Bitlocker toiminnolla.
4Yritystietoa käyttävissä yksityislaitteissa (BYOD) yritystiedon eristäminen yksityiskäytössä olevasta ympäristöstä

Yksityisomistuksessa olevilla mobiililaitteilla käytetään usein yrityksen järjestelmiä. Tällöin on varmistuttava, että laitteen heikko tietoturva ei uhkaa yritystietojen vuotamista. Tämä voidaan toteuttaa eriyttämällä yritysympäristö ja yksityisympäristö.

5. Henkilökunnan tietoisuus tietoturva-asioista

1Koulutus

Tietoturva on monimutkainen asia ja siihen on hyvä varata tarvittava määrä aikaa asian läpikäymiseen koko henkilöstön kanssa.

2Pistokokeet

Voit tehdä turvallisen simuloidun hyökkäyksen ympäristöön ja kartoittaa henkiöstön osaamista ja riskejä.

3Käyttäjiä opastavat tietoturvamääritykset

Tietoturvamäärityksissä on toisinaan mahdollisuus luoda pieniä vinkkitekstejä jotka opastavat toimimaan oikein.

Sovi Jorman etäkahvit