Tietoturva kuntoon ajoissa: Yrityksen top 10 tietoturvasääntöä

Kahvimuki

Yritysten tietoturva on puhuttanut syksyn aikana lukuisten tietoturvaan kohdistuneiden loukkausten ja lisääntyneen tietoturvarikollisuuden vuoksi. Tässä 10 asiaa, jotka jokaisen yrityksen tulisi saattaa kuntoon tietoturvansa osalta.

1. Tietojen käsittely: Organisaatio noudattaa lakisääteisiä velvoitteitaan tietojenkäsittelyssä. Erityisesti EU:n yleinen, 2018 voimaan astunut tietosuoja- eli GDPR-asetus on huomioitu toiminnassa, samoin kuin 1.1.2020 voimaan astunut Tiedonhallintalaki.

2. Riskienhallinta: Organisaatio on tehnyt riskienhallinnan analyysin ja toimintasuunnitelman, jossa on huomioitu liiketoiminnan kannalta kriittisimmät riskit-  ja suunniteltu niiden hallintatoimenpiteet. Riskien tilaa ja mahdollisten uusien uhkakuvien kehittymistä seurataan säännöllisesti.

3. Toiminnan jatkuvuus: Organisaatio on varautunut mahdollisiin häiriöihin laatimalla suunnitelman toiminnan jatkuvuudesta poikkeustilanteissa. Poikkeustilanteita voivat olla esimerkiksi luonnon katastrofit tai tietoturvamurrot ja verkkohyökkäykset. Valmiutta häiriötilanteiden hallintaan tulisi harjoitella  säännöllisesti.

4. Tiedon luokittelu: Organisaatio luokittelee tuottamansa tai saamansa tiedon eri tietoturvakategorioihin. Näitä ovat esimerkiksi julkiset tiedot, salassa pidettävät tiedot ja henkilötiedot. Organisaatio on varmistanut, että niin henkilöstö kuin ulkoiset palveluntuottajat tietävät, missä palveluissa ja millä ohjelmilla tietoja on luvallista käsitellä.

5. Palvelusopimukset: Palveluita hankittaessa organisaation omat tietoturvakäytänteet ulotetaan myös ulkopuolisiin kumppaneihin. Palvelusopimuksessa määritetään ennalta myös se, kuinka velvoitteiden toteutumista seurataan ja arvioidaan.

6. Kouluttaminen: Organisaation henkilöstöllä on riittävät ohjeet digitaalisessa ympäristössä toimimisesta ja turvallisuusluokiteltujen tietojen käsittelystä. Organisaatio kouluttaa henkilöstöään säännöllisesti tietoturva-asioissa.

7. Raportointi: Palveluiden tietoturvallisuudesta toimitetaan niistä vastaavalle johdolle säännöllinen ja ajantasainen tilannekuva. Merkittäviin muutoksiin ja uusiin kriittisiin uhkakuviin reagoidaan viipymättä ja otetaan ne käsittelyyn.

8. Prosessit: Organisaatiolla on säännönmukaiset prosessit, joissa tietoturvaan liittyvä riskienhallinta on osana toiminnan kehittämistä: niin kokonaisarkkitehtuurin, järjestelmäkehityksen kuin projektinhallinnan kannalta.

9. Resursointi: Organisaatio on varmistanut riittävät resurssit tietoturvan hoitamiseen ja riskien hallintaan. Resurssina on käytettävissä niin ammattitaitoista henkilöstöä, rahallista budjettia kuin teknisiä tietoturvapalveluita.

10. Asiantuntijaverkostot: Organisaatiossa tunnistetaan, milloin omat resurssit, tiedot tai prosessit eivät ole ajan tasalla, ja tietoturvan kuntoon saattaminen edellyttää talon ulkopuolista asiantuntijuutta. Tietoturvakumppanilta edellytetään näyttöä tietoturvastandardien korkeasta tasosta ja kokemuksesta sekä teknisestä että hallinnollisesta tietoturvasta.

Lisätietoja:
Janne Rinne,
tietoturvakonsultti
+358 (0)50 324 7524
janne.rinne@elmo.fi

Mikko Saarenpää,
asiakaskokemusarkkitehti
+358 (0)40 341 3669
mikko.saarenpaa@elmo.fi

Hannu Äijö,
järjestelmäarkkitehti
+358 (0)44 712 4464
hannu.aijo@elmo.fi

Elmo on ISO27001-sertifioitu ICT-toimija, joka konsultoi, rakentaa ja hallinnoi yritysten tietoturvallisia toimintaympäristöjä sekä järjestää koulutuksia tietoturvariskien minimoimiseksi organisaatioissa. 

Tutustu palveluihin: