fbpx

7 tietoturvavinkkiä pk-yritykselle

Etusivu /  Blogi /

7 tietoturvavinkkiä pk-yritykselle

7 tietoturvavinkkiä pk-yritykselle

Tietoturvaa voidaan pitää melko moniuloitteisena aiheena ja itse koen, että kynnys sen lähestymiseen on joskus korkealla. Lieneekö syynä mielikuva aiheen teknisyydestä vai onko vain helppoa ajatella toiveikkaasti, että tuskin omalle kohdalle mitään sattuisi. Kuitenkin esimerkiksi tietovuodot, tietojenkalastelu ja erilaiset haittaohjelmat ovat tänä päivänä yleisempiä ongelmia kuin voisi kuvitella. Osviittaa tästä antaa kyberturvallisuuskeskuksen julkaisema kybersääkooste, joka kertoo kuukausitasolla merkittävimmät tietoturvapoikkeamat ja -ilmiöt. Poikkeamien jatkuva seuraaminen tuskin on tarpeellista, mutta se antaa hieman käsitystä ”tietoturvakentästä” ja ilmiöiden yleisyydestä.

Tietoturva on aihe, joka koskettaa nykyään lähestulkoon ihan kaikkia. Aiheeseen on hyvä paneutua ja täten ennaltaehkäistä mahdollisia vahinkoja, oli sitten kyse yksityishenkilön taikka yrityksen tietoturvasta. Hyvä tietoturva ei pelkästään ehkäise haittoja, vaan jopa parantaa yrityksen kuvaa luotettavana toimijana. Sen avulla myös mahdollistetaan liiketoiminnan toteuttaminen ilman suurempia häiriötekijöitä tai ainakin pienennetään niiden riskiä. Seuraavaksi käsitellään muutamia yleisiä käytännön vinkkejä tietoturvaan liittyen etenkin pienyrittäjien ja -yritysten näkökulmasta.

Askeleita parempaan tietoturvaan

Arvokkaan tiedon tunnistaminen

Jokaisen yrityksen on hyvä olla tietoinen omasta tietoturvastaan ja äärimmäisen tärkeää onkin tunnistaa, mikä on kriittistä ja arvokkainta tietoa. Kun nämä asiat ovat selvitetty, pitää yrityksen pohtia miten tätä tietoa voidaan käsitellä ja säilyttää mahdollisimman hyvin. Kriittisen tiedon tunnistamista voi lähestyä vaikka pohtimalla, mitkä asiat vahingon sattuessa voivat aiheuttaa merkittäviä kustannuksia tai muita vahinkoja yritykselle tai esimerkiksi sen julkisuuskuvalle. Kyse voi olla yksinkertaisesti sisäisistä prosesseista, tuotteista, patenteista, asiakasrekisteristä tai vaikka työntekijöihin liittyvistä tiedoista.

Kyberrikollisuus voi aiheuttaa paljon päänvaivaa ja yksi tapa lähestyä parempaa tietoturvaa on siis tunnistaa suojattava tieto ja siihen liittyvät riskitekijät. Toiminnan jatkuvuuden varmistamiseksi on hyvä määritellä, miten yrityksessä varmistetaan henkilötietojen turvallinen käsittely ja riittävä tietoturvan taso. Joskus voi olla myös syytä kääntyä jonkun palveluntarjoajan puoleen, joka mielellään auttaa esimerkiksi sopivien tietoturvaohjelmien ja muiden ratkaisujen suhteen. Tämän lisäksi yrityksen kannattaa määritellä sekä dokumentoida tietoturvaan liittyvät toimintatavat ja ohjeistukset, jotta henkilöstöllä on mahdollisuus pysyä ”kärryillä” tietoturva-asioissa.

Hyvän salasanan määrittely

Liikkeelle on hyvä lähteä siitä, että jokaiseen palveluun kannattaa määritellä oma salasana. Täten myös yritysmaailmassa ja henkilökohtaisessa arjessa käytettävien palveluiden salasanat tulee pitää erillään. Yksinkertainen ohjenuora salasanoihin liittyen on se, että mitä pidempi se on, sitä parempi. Salasanoissa suositellaan jopa käytettävän kokonaisia virkkeitä, joita esimerkiksi murre, kirjoitusvirheet, isot ja pienet kirjaimet sekä erilaiset erikoismerkit vahvistavat entisestään. Salasanoja on hyvä päivittää myös mahdollisimman usein ja muistamista helpottaa esimerkiksi se, että jokin pieni osa salasanasta säilyy samana.

Mikäli salasanojen muistaminen stressaa, niin on hyvä panostaa niiden palautukseen. Näin ollen voit yrittää muistaa tärkeämmät salasanat, joiden avulla voit palauttaa unohdetun salasanan esimerkiksi sähköpostin avulla. Muistettavien salasanojen määrä voi nousta kuitenkin jopa satoihin, jolloin kaikkien muistaminen on mahdotonta. Salasanan hallintaohjelman avulla voit tallentaa kaikki salasanat yhteen paikkaan, jotka ovat yhden ns. pääsalasanan takana. Tällaisista sovelluksista löytyy paljon erilaisia ilmaisia sekä maksullisia vaihtoehtoja, joista valita itselle sopiva ratkaisu. Tekstin lopusta löytyy linkki artikkeliin, joka käsittelee tätä aihetta syvemmin.

Vahva tunnistautuminen

Vahva tunnistautuminen parantaa turvallisuutta vaatimalla useampaa niin sanottua todennustekijää palveluun tai järjestelmään kirjauduttaessa. Yleisimpänä esimerkkinä tästä on kaksivaiheinen tunnistautuminen (two-factor authentication), jossa kirjautuessa voidaan vaatia salasanaa ja jotain lisätunnistetta kuten puhelimeen lähetettävää koodia, sormenjälkeä, todennussovellusta tai vaikka erillisen todennuslaiteen lukua. Tämä vaikeuttaa huomattavasti tietomurroissa onnistumista ja siksi monivaiheista tunnistautumista on suositeltavaa käyttää mahdollisuuksien mukaan aina.

Varmuuskopiointi

Varmuuskopio on kopio yrityksen tärkeistä tiedoista. Varmuuskopiointi tehdään, jotta tiedot voidaan palauttaa helposti esimerkiksi tietokoneen hävitessä, tietokoneen kovalevyn hajotessa tai jos haittaohjelma estää tietoihin pääsyn. Varmuuskopioita kannattaa säilyttää useammassa paikassa erillään tietokoneesta esimerkiksi ulkoisella kovalevyllä tai pilvipalvelussa.

Käyttöoikeuksien hallinta

Käyttöoikeuksien rajoittamisen perimmäisenä tarkoituksena on vähentää riskejä. Yksinkertaisuudessaan pääsyoikeuksia ei tarvita, jos henkilöllä ei ole tarvetta päästä tietoihin käsiksi. Käyttöoikeuksia voidaan rajoittaa eri toimijoiden kohdalla, mikäli niitä ei tarvita, oli kyse sitten työntekijöistä tai vaikka yhteistyökumppaneista kuten palveluntarjoajista. Yrityksessä rajoitettu tieto voi sisältää esimerkiksi tietyt kansiot, sovellukset tai jotkin muut tiedot. Vaikka itselläsikin sattuisi olemaan kaikki käyttövaltuudet ja oikeus päästä tietoihin, on olemassa riski inhimillisille vahingoille. Tällöin vahinkoja voi välttää käyttämällä itsekin jotain muuta kuin tietokoneen pääkäyttäjää esimerkiksi luomalla toiset tunnukset, joissa käyttövaltuudet ovat rajallisemmat.

Henkilöstön koulutus

Tietoturvakoulutus ei välttämättä aina tunnu olevan oman yrityksen prioriteettilistan kärjessä, mutta voi olla hyvinkin tärkeä seikka liiketoiminnan kannalta. Tämä johtuu siitä, että useat tietoturvauhat kohdistuvat suoraan henkilöstöön ja joskus vahinkoja voi sattua ihan vain huolimattomuudenkin takia. Täten on hyvä pitää huoli riittävästä kyberturvallisuuteen liittyvästä koulutuksesta ja siihen liittyvien prosessien toimivuudesta, jotta henkilöstö pystyy kyberuhan ilmetessä toimia oikein. Moni yritys järjestääkin jonkinlaisen tietoturvakoulutuksen tai harjoituksen kertaluonteisesti perehdytyksen yhteydessä tai säännöllisesti jopa vuosittain.

Päivitykset

Yksi tärkeä perusasia on ohjelmistojen ja käyttöjärjestelmien päivittäminen, sillä päivitykset korjaavat usein jotakin havaittuja haavoittuvuuksia. Rikolliset hyödyntävät näitä haavoittuvuuksia, joten jos päivittämistä viivästyttää paljon, myös riski luonnollisesti kasvaa. Yleensä ohjelmistot ja järjestelmät ilmoittavat uusita päivityksistä ja yksi vaihtoehto onkin kytkeä automaattiset päivitykset asetuksista päälle, jolloin päivitykset ovat lähtökohtaisesti ajan tasalla.

Mikäli oma yrityksesi kohtaa tietoturvaloukkauksen on siitä hyvä ilmoittaa myös Kyberturvallisuuskeskukselle. Kyberturvallisuuskeskus auttaa tilanteen hahmottamisessa ja lisävahinkojen välttämäisessä, sekä varoittaa tarvittaessa myös muita organisaatioita vastaavien tilanteiden varalta.

 

Hyödyllisiä linkkejä:

Tietoa kyberturvallisuudesta – Kyberturvallisuuskeskus

Kybersää – ajankohtaiset tietoturvapoikkeamat ja -ilmiöt

Neuvoja salasanan hallintasovelluksista

Tietoturvaloukkauksesta ilmoittaminen

Jaa postaus

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email
Facebook Comments: Please enter a valid URL

About DIH

Digital Innovation Hub is a project funded by the European Regional Development Fund and managed by LAB University of Applied Sciences, which aims to help SMEs overcome any digital concerns.

The project brings together the challenges experienced by SMEs in leveraging digitalisation in business, and provides solutions to them. We combine applied research on the subject, as well as the everyday concerns of entrepreneurs with the solutions on the market. Based on this, we offer e.g. guides, best practices, speaker sessions and roadmaps for implementing different solutions and tackling digital concerns. 

DIH operates on the principle of the lowest possible threshold. We can be contacted for any digital problem. We strive to provide solutions that do not require a degree in nuclear physics or an astronaut, but are usable in common sense.

We will map the concerns of entrepreneurs in the field of digitalisation. Based on the themes raised in our surveys, we produce guides, roadmaps and other low-threshold tools to make an entrepreneur’s everyday life just a little bit easier. 

Our main content is in Finnish, but English-speaking companies are also welcome to reach out for a chat. You can also join our digital network in Facebook Digiverkosto, and get help and guidance there.

Jaani Väisänen
Project manager
+358 40 687 6850
jaani.vaisanen@lab.fi

Pasi Juvonen
Director, RDI at LAB University of Applied Sciences
+358 40 5857772
pasi.juvonen@lab.fi

Yhteys

Projektipäällikkö
Jaani Väisänen
p. +358 40 687 6850
jaani.vaisanen@lab.fi