Näin vähennät tietomurron riskiä
10 vinkkiä, joiden avulla vähennät tietomurron riskiä
Hakkerit ja nettirikolliset etsivät yötä päivää porsaanreikiä organisaatiosi tietojärjestelmistä ja matkapuhelimista.
Tietomurrot ovat yllättävän yleisiä, ja niillä on usein suuria taloudellisia seurauksia. Onneksi tietomurron riskiä ja teon aiheuttamia vahinkoja voi vähentää monin keinoin. Yrityksen turvallisuuden parantaminen alkaa siitä, että uhkiin suhtaudutaan vakavasti. Liian monet asettavat liian vähän vaatimuksia sisäiselle tietoturvallisuudelle.
– Kun oma riskitaso arvioidaan matalaksi, ei toteuteta toimenpiteitä tai sisäistä oppimista, joka parantaisi työntekijöiden valmiuksia käsitellä mahdollisia tapahtumia. Riittävää huomiota ei kiinnitetä sisäisiin eikä ulkoisiin turvallisuusuhkiin, sanoo IBM:n turvallisuusasiantuntija Jan Staff.
Jos yritys suhtautuu uusiin vaaroihin vakavasti, se voi suhteellisen helposti toteuttaa toimenpiteitä, jotka vaikuttavat välittömästi.
1. Aloita perusasioista
Monet ovat huolissaan suurista vaaroista, mutta suhtautuvat pieniin toimenpiteisiin huolettomasti. Huolehdi siitä, että työpaikan koneissa ja matkapuhelimissa on hyvät turvallisuus- ja virustorjuntaohjelmat, ja varsinkin niiden jatkuvista päivityksistä. Muista, että varmuuskopiot ovat usein nopein ja joskus ainoa keino selviytyä katastrofista. Yrityksellä on oltava vähintään ajantasaiset varmuuskopiot ja ne tulee tallentaa salattuina muualle kuin yrityksen tiloihin.
2. Kouluta työntekijöitä
Heikoin lenkki on usein ihminen. Hakkeri voi ottaa yhteyttä työntekijöihin ja esittää hyvin uskottavia tarinoita, joihin epäileväisimmätkin joskus sortuvat uskomaan. Työntekijöille kannattaa opettaa hyviä tietoturvatarutiineja ja turvallisuuskulttuuria. Hyvä alku on se, ettei salasanaa koskaan anneta kenellekään.
– Kaikissa yrityksissä kokoon katsomatta pitäisi järjestää kaikille työntekijöille tietoturvallisuuskoulutusta, Jan Staff sanoo. – Se hyödyttää heitä sekä työntekijänä että yksityishenkilönä. Monet käyttävät samoja laitteita työssä ja vapaa-aikana, ja usein samoja laitteita käyttävät myös kollegat ja perheenjäsenet. Monet yritykset eivät kuitenkaan pidä tätä tarpeeksi tärkeänä.
Tiedota työntekijöille tietoturvallisuudesta heidän kannaltaan järkevällä tavalla. Pitkät ja monimutkaiset salasanat, jotka on vaihdettava kuukausittain, ovat hyvä esimerkki väärin ymmärretystä tietoturvallisuudesta, joka herättää työntekijöissä tyytymättömyyttä.
Kaikissa yrityksissä kokoon katsomatta pitäisi järjestää kaikille työntekijöille tietoturvallisuuskoulutusta.
3. Laadi turvallisuusperiaatteet
Turvallisuusperiaatteet ovat muutakin kuin vaatimus monimutkaisten salasanojen päivittämisestä kuukausittain. Laadi yksinkertainen tietoturvallisuutta koskeva ohjeistus ja varmista, että kaikki työntekijät perehtyvät siihen. Usein työntekijät voivat estää tietomurron vain toimimalla tietoisesti oikein.
4. Pysy selvillä laitteista
Kun tietoteknisten laitteiden ja matkapuhelinten omistus on epäselvää, turvallisuustyö vaikeutuu. Hyvät rutiinit ja huolellinen kirjanpito koneista ja matkapuhelimista auttavat yritystä pysymään selvillä laitteista. Turvallisuudesta vastaavat henkilöt voivat käyttää aikansa rakentavampaan työhön, kun he eivät joudu jatkuvasti selvittämään, kenen käytössä mikäkin laite on ja missä se kulloinkin sijaitsee.
5. Tee taustaselvitys
Monet yritykset tarkistavat työntekijöidensä taustan rajoittaakseen varkausriskiä. Jos työntekijät käsittelevät työssään arvokasta tietoa, taustaselvitys voi olla järkevä. Se voi sisältyä työhönottorutiiniin samalla tavalla kuin työnhakijan referenssien ja työkokemuksen selvittäminen.
6. Jaa vastuuta
Pienissä yrityksissä yhdellä henkilöllä on usein monta eri tehtävää. Toimitusjohtaja saattaa vastata myös tietojärjestelmistä. Varmista, että vastuuhenkilö pystyy suoriutumaan työstään niin, että tehtävät voidaan suorittaa turvallisesti. Joskus voi olla hyvä antaa käyttö- ja turvallisuusvastuu asiantuntijoille, jotka antavat neuvoja ja opastusta.
7. Huolehdi avoimuudesta
Yrityskulttuurin tulee edistää avoimuutta, myös tietoturvallisuuden osalta. Jos joku epäilee, että hänen sähköpostiinsa on murtauduttu, tästä on voitava kertoa pelkäämättä työpaikan ja maineen puolesta. Edistämällä avoimuutta ja jakamalla kokemuksia voidaan toteuttaa toimenpiteitä niin, ettei vastaava tietomurto toistu – tämä koskee sekä yritystä että sen yhteistyökumppaneita.
8. Rajoita pääsyä tietoihin
Kaikkien tietojärjestelmissä olevien tietojen ei tarvitse olla kaikkien saatavilla. Pääsy sähköpostiin ja käyttäjätileille verkossa voidaan rajoittaa tietoa tarvitseville. Tällöin tietoja on vaikeampi varastaa. Muista, että tietomurto voidaan tehdä myös anastamalla arvokasta tietoa sisältävä kovalevy tai USB-muistitikku.
9. Laadi rutiineja
Huolehdi siitä, että työntekijöillä on hyvät turvallisuusrutiinit ja että he tietävät, miten tietorikollisuutta voi torjua. Heidän on suhtauduttava kriittisesti yhteydenottoihin tuntemattomilta, päivitettävä järjestelmiä, pysyttävä selvillä matkapuhelimista ja kannettavista tietokoneista sekä lukittava luovutettavat koneet.
10. Ota vakuutus
Yhdysvalloissa yli 31 prosenttia pienistä ja keskisuurista yrityksistä on ottanut vakuutuksen tietorikollisuuden varalta. Myös Suomessa on saatavilla tällainen vakuutus. Vakuutuksen kautta saat apua epäillyn tietomurron yhteydessä ja korvauksen toiminnan keskeytymiseen liittyvistä menetyksistä. Lisäksi asiantuntijat auttavat palauttamaan järjestelmät ja tiedostot ennalleen.