1. Hallinnollinen tietoturva – Tietoturvan johtaminen ja hallinnointi

Mitä tapahtuu, jos kiristyshaittaohjelma salakirjoittaa tiedot, arkaluontoisia tietoja vuotaa yrityksen ulkopuolelle, yrityksen palvelin hajoaa, tai tärkeitä tietoja sisältävä muistitikku hukkuu? Suunnitelmallinen ongelmatilanteisiin varautuminen nopeuttaa toimintaa, jos jotain odottamatonta tapahtuu.

Yrityksen tietoturva on johdon vastuulla. On tärkeää, että johdolla on selkeä käsitys nykytilanteesta, jonka pohjalta se laatii yritykselle tietoturvapolitiikan.

Tietoturvaympäristö muuttuu jatkuvasti, joten laitteet, palvelut, käytännöt ja osaamisen taso on pidettävä ajan tasalla. Politiikan lisäksi johto tekee tarvittavat päätökset ja laatii suunnitelman, kuinka tietoturvaa kehitetään, kuka huolehtii toimenpiteistä ja millä aikataululla.

2. Henkilöstön tietoturva – Henkilöstön vastuut, roolit ja ohjeistus

Esimerkiksi puhelimin kohdistuvia huijauksia tai tutun henkilön nimissä lähetetyssä sähköpostissa olevia vaarallisia linkkejä ja liitteitä on vaikea estää pelkällä teknisellä ratkaisulla.

Selkeillä ja helposti ymmärrettävillä tietoturvakäytännöillä ja -ohjeilla sekä henkilökunnan säännöllisillä koulutuksilla parannetaan tietoturvasääntöjen noudattamista ja toteutumista. Kun kaikilla yrityksen työntekijöillä ja kumppaneilla on tiedossa selkeä toimintasuunnitelma ja ohjeet eri tilanteiden varalle, se vähentää riskejä ja selkeyttää ja nopeuttaa työn tekemistä, sekä toimintaa odottamattomissa tilanteissa.

3. Toimitilojen tietoturva – Toimitilojen ja laitteiden fyysinen suojaaminen

Lojuuko arkaluonteista tietoa sisältäviä papereita pöydillä, ovatko verkkolaitteet suojassa ja pääseekö palvelintilaan ainoastaan asianmukaisia henkilöitä?

Yrityksen tilat on hyvä luokitella eri turvallisuustasojen mukaan ja kulunvalvonta, murtosuojaus ja lukitukset suunnitella ja mitoittaa luokituksen mukaisesti.

4. Laitteiden tietoturva – Käytettävien laitteiden yleinen suojaaminen

On tärkeää, että käytettävät laitteet ovat tarkoitukseensa sopivia ja että niiden päivittäminen on osaavan tason vastuulla.

Laitteiden hallintaa voidaan tehdä automaattisesti, ilman että käyttäjän tarvitsee huolehtia asiasta. Keskitetty hallinta mahdollistaa laitteiden ja palveluiden helpomman käyttöönoton, jatkuvan seurannan, sekä automaattisen päivittymisen tarvittavien profiilien mukaisesti. Automatiikka ja asetukset vähentävät inhimillisten erehdysten määrää.

5. Ohjelmistojen tietoturva – Käytettävien ohjelmistojen tietoturva

Yritystoimintaan käytettävissä ja erityisesti yrityksen verkkoon liitettävissä laitteissa tulisi olla asennettuna vain yrityksen toiminnan kannalta tarpeellisia ja yrityksen hyväksymiä ohjelmistoja, joiden turvallinen käyttö on varmistettu. On myös määriteltävä, mitä ja miten pilvipalveluja yrityksessä saa käyttää.

Riittävän vahvaan tunnistautumiseen tulisi panostaa erityisesti arkaluonteisia toimintoja ja tietoja sisältävissä ohjelmistoissa.

6. Tietoliikenteen turvallisuus – Tiedon siirtoon liittyvä turvallisuus

Yrityksen tieto liikkuu verkossa - sekä omassa sisäverkossa että internetissä. Verkot, verkkolaitteet ja määritykset on valittava ja toteutettava asianmukaisesti, sekä pidettävä ajan tasalla. Sähköpostin ja muun internetliikenteen turvallisuudesta on huolehdittava.

7. Tietoaineiston turvallisuus – Tietoa sisältävien dokumenttien käsittely

Hyvä tiedonhallinta minimoi monia tietoturvariskejä. On tärkeää päättää, mitä tietoa käyttäjät käsittelevät, mihin ne tallennetaan, kenellä on oikeus käsitellä tietoa ja kuinka käsittely tapahtuu. Selkeys ja yksinkertaisuus auttavat pitämään tiedot ja niiden eri versiot järjestyksessä ja oikeiden tahojen saatavilla. Tiedot on tällöin myös helpompi varmistaa.

Viranomaismääräykset, kuten GDPR, on helpompaa täyttää, jos yrityksellä on esittää selkeä tiedonhallintapolitiikka ja -dokumentit tietoaineistoista.