Varmista siirtymä tietoturvalliseen työhön
”Meillä on kyberturva ja tietoturva täysin kunnossa”
Haluamme haastaa tämän näkemyksen ja kerromme tässä artikkelissa jokaiselle pk-yritykselle hyödyllisiä näkökulmia kyberturvaan, jotka toivottavasti herättävät ajatuksia organisaationne nykytilanteen ymmärtämiseen.
Kyberturva kuulostaa scifiltä, mutta kyberuhat ovat läsnä jokapäiväisessä työelämässä niin pienissä kuin suurissakin organisaatioissa. Jokainen pk-yritys tarvitsee paremman näkyvyyden ja mahdollisuuden estää liiketoiminnan kannalta kriittisten tietojen vuotamisen tai häviämisen.
Kyberturvan merkitys on kasvanut viime vuosina ja sen avulla estetään verkkojen kautta tapahtuvat tietomurrot, jotka ovat lisääntyneet samalla, kun verkkoon liitettyjen laitteiden määrä on kasvanut. Tietoturva ja kyberturva nähdään usein synonyymeinä. Käsitteenä kyberturva on kuitenkin vain osa tietoturvaa. Tietoturva ottaa puolestaan kantaa laajempaan kenttään, kuten esimerkiksi fyysisten toimitilojen tietoturvallisuuteen.
Jokainen yritys käsittelee tietoa, joka ei saa päätyä vääriin käsiin. Tuotekehitystieto, myynnin tieto, taloushallinnon raportit, tietohallinnon asiakirjat, henkilöstöhallinnon tieto ja asiakkuuksiin liittyvä tieto ovat esimerkkejä kriittisestä tiedosta. Kyberturvallisuudessa käyttäjä on kaiken keskiössä. Käyttäjät voidaan jakaa esimerkiksi erilaisiin ryhmiin, joiden perusteella määritellään, mitä tietoja he saavat käsitellä.
Hyvä tapa lähteä kehittämään kyberturvaa onkin määritellä ensin nykytilanne, määritellä tavoitetila ja sitten aikatauluttaa kyberturvallisuuden kehittämissuunnitelma.
Tästä artikkelista saat läpileikkauksen tärkeimmistä tavoitteista, joita kyberturvallisuuden kehittämisellä usein tavoitellaan ja lopuksi kerromme, miten tavoitteet jalkautetaan toiminnaksi.
Artikkelin sisällysluettelo
1. Miksi kyberturva fokusoituu käyttäjään?
Kyberturvallisuusriskit ovat usein hyvin arkipäiväisiä tilanteita, joita tapahtuu yrityksissä joka päivä. Luottamuksellisen materiaalin jakaminen vääriin käsiin, salasanakalastelut, kyseenalaisten tiedostojen lataukset ovat asioita, joita voi tapahtua kenelle tahansa. Näitä harvoin mielletään kyberturvaksi, vaan scifijutuiksi, joista lähinnä suuret, globaalit organisaatiot joutuvat huolehtimaan. Näin asia ei kuitenkaan ole, vaan varmasti lukiessasi tätä voit todennäköisesti samaistua ainakin joihinkin kohtiin, joita kuvassa näkyy.
2. Miten nykytilanne kartoitetaan ja tehdään ratkaisusuunnitelma?
Hyvin suunniteltu ja toteutettu kyberturvallisuus takaa luotettavan ja tietoturvapolitiikan mukaisen arjen. Suunnittelu on järkevintä aloittaa nykytilan kartoituksesta, jossa käydään läpi IT-järjestelmät, työasemat, palvelimet ja ohjelmistot. Suunnittelupalvelu voidaan toteuttaa haastattelemalla yrityksen IT-palveluista vastaavaa henkilöä tai muita organisaation asiantuntijoita, jolloin tietopohja on mahdollisimman hyvä.
Kun tietopohja on saatu kasaan kyberturva-asiantuntija kerää haastattelun perusteella lähtötiedot, tekee ratkaisusuunnittelun. Projektipäällikkö suunnittelee ja aikatauluttaa asennukset, sopii tarvittaessa tiedotuksen sekä koulutuksen. Projektipäällikkö huolehtii tarvittaessa myös riskianalyysin ja käyttöönoton palautussuunnitelman tekemisestä, jos käyttöönotto joudutaan keskeyttämään tai perumaan.
Jos kyberturvallisuutta kehitetään IT-kumppanin kanssa, kyberturvallisuusprojekteissa voidaan sopia proof of concept (POC) mukainen suunnittelu ja käyttöönotto, joka tehdään POC-mallin mukaan, jossa on selkeästi määritelty onnistumisen kriteerit. Tämä vähentää riskejä asiakkaan kannalta.
Tärkeimmät huomioitavat
Vältä nämä sudenkuopat
Viestinnän laiminlyönti – tyytyväinen työntekijä on tietoinen, mitä hänen työasemallaan tapahtuu. Kyberturvan kehittämishankkeissa on tärkeää viestiä, mitä tehdään ja miksi. Vältä isoveli valvoo -asetelman syntymistä IT:n, johdon ja työntekijöiden välillä.
Vastuunkanto – eri osa-alueiden vastuurajapinnat on määriteltävä tarkkaan, jotta projekti onnistuu. Mikäli kyberturvan kehittämishanke tehdään yhdessä IT-kumppanin kanssa, kannattaa hyödyntää tämän osaamista mahdollisimman monessa kohdassa, koska tällä on kokemusta useista kyberturvallisuuden jalkauttamisprojekteista.
Älä oikaise suunnitteluvaiheessa – mikäli suunnitteluvaiheessa ei oteta huomioon kokonaisuutta, jää osa asioista kyberturvan ulkopuolelle.
3. Kolme oleellista tavoitetta kyberturvan kehitysprojekteissa
3.1 Suojaa kriittinen tieto
Kriittisen tiedon osalta on tärkeää hahmottaa, mitä kaikkea tietoa organisaatio tuottaa, missä tiedossa organisaatio toimii omistajana ja mitä tietoa se välittää kolmansille osapuolille tai toisaalta mitä tietoa organisaatio käsittelee jonkin toisen organisaation puolesta.
Tietojenkäsittelyn kokonaisuuskuvan syventämiseksi on hyödyllistä määrittää myös tiedolle erilaiset kriittisyysasteet ja kaavio siitä, mihin tietoon milläkin henkilöstöryhmällä halutaan olevan pääsy. Suojaamisen kannalta esimerkiksi GDPR, muu lainsäädäntö, salassapitosopimukset ja yrityksen sisäiset tietosuojapolitiikat vaikuttavat tähän määrittelyyn.
Valtio-omisteisen Suomen Erillisverkkojen tuotepäällikkö Tuukka Meriläinen tiivistää nyrkkisääntönä erinomaisesti: ”Yrityksen suuret tiedot ja pientä ihmistä koskevat henkilötiedot on suojattava huolellisesti.”
Miten kriittinen tieto suojataan?
Praecoin palvelun avulla työasemille asennettavat kyberturva-agentit keräävät tietoa tietokantaan. Vaikka työasema ei olisi verkossa, tiedonkeruu ei pysähdy. Älykäs koneoppiminen yhdistää useita algoritmeja, jotka valvovat ja analysoivat tiedostoja, käyttäjiä, kokonaisuutta ja verkon käyttäytymistä havaitakseen turvallisuusuhkia. Kahdessa viikossa järjestelmä on oppinut normaalin käyttäjien ja palvelimien käyttäytymisen. Koneoppiminen tekee jatkuvia vertailuja yksilöiden, vertaisryhmien ja organisaation normaaliin käyttäytymiseen ja kykenee tunnistamaan poikkeamat ja hälyttämään havaitut uhat.
3.2 Tee työntekijöistäsi turvallisempia tiedon käsittelijöitä
Cyber Edge Groupin mukaan 81 % yrityksistä altistui kyberhyökkäykselle vuonna 2020. Riskit ovat siis todellisia ja koskettavat kaikkia yrityksiä.
Käyttäjä on tutkitun tiedon perusteella suurin kyberturvallisuusriski. Brittitutkimuksen mukaan 90 % tietomurroista johtui käyttäjävirheestä. LastPassin kyselyn mukaan 60 % pelkää unohtavansa kirjautumistietonsa, joten he käyttävät samaa salasanaa eri palveluissa. Saman kyselyn mukaan 91 % käyttäjistä tietää, että saman salasanan käyttö useilla käyttäjätunnuksilla on riski. 66 % käyttää samaa salasanaa tietoisuudesta huolimatta. Kaksi muuta tutkimusta kertovat, että 59 % käyttäjistä myöntää varastaneensa tietopääomaa siirtyessään uuteen työpaikkaan ja, että 63 % käyttää julkisia Wifi-verkkoja työasioiden hoitamiseen.
Miten käyttäjiä koulutetaan?
Praecomin palvelun avulla käyttäjän on mahdollista oppia reaaliajassa, mikäli riskitilanne pääsee tapahtumaan. Oppiminen sujuu helpoiten käytännössä. Järjestelmä antaa käyttäjälle välittömän palautteen, jolloin käyttäjä pystyy oppimaan käytännönläheisesti, nopeasti ja kustannustehokkaasti virheistä ja siirtymään kohti turvallisempaa tietotyötä. Lisäksi Praecom voi kouluttaa organisaation työntekijöitä myös perinteisemmillä koulutuksilla.
3.3 Varmista paikattoman työn turvallisuus
Paikaton työ on tullut jäädäkseen. Praecomin teettämän Muuttuva Työ 2021 -kyselytutkimuksen mukaan 78 % HR- ja ICT-päättäjistä kertoo yritysten suhtautuvan positiivisesti etätöiden tekemiseen. Tämä tulee tarkoittamaan sitä, että ihmiset työskentelevät kotiverkoistaan, co-working -tiloista, toimistolta, vapaa-ajan asunnoiltaan ja niin edelleen.
Praecomin Miika Liljedahl toteaakin muutosvoimasta osuvasti: ”Uskon, että moni on pyrkinyt uudistamaan työntekotapoja aiemminkin, mutta arvot ja voimassa olevat toimintamallit eivät ole sallineet muutosta.”
Miten paikattoman työn turvallisuutta valvotaan?
Oleellista kyberturvallisuuden kannalta on se, mistä verkoista työntekijät työskentelevät. Praecomin palvelun avulla organisaatiosi voi nähdä missä tietoa käsitellään toimiston ulkopuolella. Hälytyksiä voidaan synnyttää esimerkiksi suojaamattomista tai haavoittuvista wifi-verkoista, epäilyttävistä kirjautumisista ja niin edelleen.
Yrityksen työasemia käytetään myös yhä enenevissä määrin myös henkilökohtaisten asioiden hoitoon. Käyttötapauksia voidaan tunnistaa ja saada koneoppimisen avulla selville myös tunnistetietojen jakamista.
4. Kyberturvallinen työympäristö syntyy näillä
Tämän artikkelin alussa käsittelimme suunnitteluvaiheen tärkeyden. Mikäli valitset Praecomin kyberturvakumppaniksi, palveluihimme kuuluu suunnitteluvaiheen lisäksi käyttöönottovaihe sekä ylläpitopalvelu.
Hyvin suunniteltu kyberturvallisuus takaa luotettavan tietoturvapolitiikan mukaisen palvelun
Suunnitteluvaiheessa käymme läpi IT-ympäristön nykytilanteen. Suunnittelun pohjalta teemme ratkaisusuunnitelman, asennussuunnitelman ja käyttötapaussuunnitelman. Tarvittaessa teemme asiakkaallemme tiedotussuunnitelman sekä käyttäjäkoulutussuunnitelman.
Käyttöönottovaiheessa Kyberturva-palvelu toimitetaan asiakkaalle
Käyttöönottovaiheessa kyberturva-agentit asennetaan työasemille. Jos valitset Basic-palvelutason päälle laajemman ylläpitopalvelun, me huolehdimme asennusprosessista. 2-3 viikon käytön jälkeen muodostamme raportin havaituista käytännöistä. Analyysin myötä teemme tarvittavat muutokset perusasetuksiin.
Ylläpitopalvelu takaa kyberturvallisuuden
Suosittelemme, että valitset Basic-palvelutason päälle kattavamman ylläpitopalvelun, jossa me huolehdimme kyberturvaraporttien seurannasta, analysoinnista ja muutosten toteuttamisesta, jolloin sinä voit keskittyä olennaiseen.
6. Varaa demo ja näe mikä on mahdollista
Tänä päivänä teknologia mahdollistaa sellaisia asioita, joihin ei olla aiemmin pystytty.
Kyberturvallisuuteen liittyy edelleen pinttyneitä käsityksiä, joiden mukaan kyberturva on jättimäisten korporaatioiden, globaalien toimijoiden murhe ja kyberturva on puhtaasti IT-asia. Mikään näistä ei oikeasti pidä paikkaansa, vaan kyberturvallisuuteen tulisi kiinnittää huomiota yrityksen koosta huolimatta ja yrityksen johdon tulisi olla kiinnostunut siitä, että tietoja käsitellään turvallisesti, sillä tietovuototilanteissa johto on viime kädessä tilivelvollinen kyberturvakäytännöistä.
Nämä pinttyneet käsitykset estävät ostajia tekemästä parhaita mahdollisia valintoja, kun mahdollisuuksia, uhkia, hyötyjä ja haasteita ei ymmärretä. Siksi kutsumme sinut demoon, jossa saat itse nähdä mitä kaikkea nykyajan kyberturvallisuuspalveluilla mahdollistetaan. Näytämme demon ilman sitoumuksia.
Ota yhteyttä ja laitetaan kyberturva kuntoon yhdessä.
Marko Helén
Aluemyynti, Kanta-Häme