Suojaudu uhilta

Moni tietoturvauhka saattaa liittyä organisaation toimintakulttuuriin tai totuttuihin tapoihin. Koska digitaalinen toimintaympäristö muuttuu koko ajan ja vanhat tavat vaativat päivittämistä, ”näin on aina ennenkin tehty” -ajattelu saattaa muodostaa tietoturvauhkia.

Voit suojautua tietoturvauhilta kehittämällä organisaation osaamista uhilta suojautumiseen sekä hyödyntämällä uusinta teknologiaa havaintokyvyn parantamiseksi ja suojausmekanismien asettamiseksi. Varaa näihin teknologioihin ja niiden ylläpitoon myös riittävät resurssit.

Pääsynhallintaa kontrolloidaan esimerkiksi käyttämällä

• yksilöllisiä käyttäjätunnuksia
• eri salasanoja eri palveluihin
• riittävän pitkiä ja monipuolisia salasanoja
• monivaiheista tunnistusta
• järjestelmiin kirjautumisen estämistä tietyistä sijainneista ja verkoista sekä tietyiltä laitteilta.

Noudata järjestelmien ja palveluiden käyttöoikeuksia myöntäessäsi kahta periaatetta:

1. Rajaa käyttöoikeudet suppeimpiin mahdollisiin oikeuksiin, joilla käyttäjä tai prosessi kykenee suoriutumaan sille määrätyistä tehtävistä.
2. Rajaa käyttöoikeudet niin, että ne ovat voimassa lyhyimmän mahdollisen ajan.

Kun toimit näin, minimoit tehokkaasti riskejä, joita aiheutuisi käyttöoikeuksien päätymisestä verkkorikollisten käsiin.

Laadukkaalla, hyvin ylläpidetyllä, suunnitelmallisella ja aktiivisesti kehitettävällä pääsynhallinnalla suojaudutaan yleisimmiltä tietoturvauhilta.

Koko henkilöstölle tulee aktiivisesti viestiä organisaation

• identiteettienhallinnan periaatteista
• niiden ylläpitoon liittyvistä prosesseista ja
• poikkeamiin liittyvistä ilmoitusmekanismeista.

Jokaisen henkilöstön edustajan täytyy riskien minimoimiseksi tuntea ajantasainen poikkeamanilmoitusprosessi.

Esimerkiksi jos organisaation henkilöstön edustaja antaa vahingossa käyttäjätunnuksensa ja salasanansa huijaussivustolle, vahinkojen laajuutta voi vähentää ilmoittamalla tapahtuneesta asianmukaisille tahoille mahdollisimman pian. Näin vuotaneet tunnukset saadaan poistettua käytöstä mahdollisimman nopeasti.

• Suomi.fi-opas: Organisaatioltani on viety tai vuotanut tietoja (Digi- ja väestötietovirasto)Avautuu uuteen ikkunaan.
• Näin suojaudut nettihuijaukselta -sivu (Kyberturvallisuuskeskus)Avautuu uuteen ikkunaan.

Identiteettien- ja pääsynhallinta tulee huomioida myös hankintojen vaatimusmäärittelyssä. Identiteettien- ja pääsynhallintaan liittyy paljon esimerkiksi lainsäädännöllisiä vaatimuksia, jotka tulee huomioida hankinnoissa. Näin estät sen, ettei organisaatiosi hanki sellaisia järjestelmiä tai palveluita, jotka vaarantavat sen muun ICT-ympäristön.

Esimerkkejä vaarallisista työyhdistelmistä eli riskirooleista tietoturvatehtävissä:

1. Rooli, jossa sekä käyttövaltuuksien antaminen että käyttövaltuuksien käytön valvonta ovat yhdellä ja samalla henkilöllä.
2. Rooli, jossa sama henkilö on samalla sekä tietoturvan toteutumista valvova tietosuojavastaava että henkilö, joka päättää tietoturvaan liittyvistä periaatteista, prosesseista ja käytänteistä.

Tietoturvatehtävissä tulee välttää vaarallisia työyhdistelmiä, koska niistä seuraa organisaatiolle tarpeeton riski. Vaarallisten työyhdistymisen muodostumisen riski on suurempi pienissä organisaatioissa.

Yritä tunnistaa ja välttää roolien ja vastuiden väliin jääviä aukkoja mahdollisuuksien mukaan.

Tietoturvaan liittyvistä rooleista on tärkeä viestiä koko henkilöstölle. Kriittisille rooleille tulee olla varahenkilöjärjestelyt, ja molempien tahojen riittävä osaaminen vastuiden hoitamiseksi tulee varmistaa.

Johdon tulee päättää osaamisen kehittämiseen ja seurantaan liittyvät prosessit. Koko organisaation tulee noudattaa suunniteltuja prosesseja sekä kehittää niitä toimintaympäristön muuttuessa.

Organisaation tietoturvaosaamisen kehittämistä saattavat vaatia esimerkiksi

• tietoturvaympäristön muutokset
• teknologian kehitys tai
• henkilöstön vaihtuvuus.

Vähennät tietoturvariskejä, kun huomioit muutostekijät osana osaamisen kehittämisen suunnitelmaa.

Riittävän osaamisen varmistaminen koskee organisaation henkilöstön lisäksi myös keskeisiä sidosryhmiä. Organisaation tulee varmistaa myös toimitusketjuihin osallistuvien tahojen riittävä tietoturvaosaaminen esimerkiksi sopimusten avulla.

Varmuuskopioinnissa tulee varmistaa, että organisaation ympäristön vaarantuessa ja poikkeustilanteessa, varmuuskopiot on suojattu ja ne ovat käytettävissä. Käyttöympäristön tulee olla kohtuullisin toimenpitein palautettavissa.

Varmuuskopiointiperiaatteissa on päätetty se, miten pitkältä ajanjaksolta organisaatio voi menettää tiedot niin, että se pystyy vielä palauttamaan toimintansa.

Esimerkiksi jos organisaatio ei kestä kuluneen viikon ajalta syntyneiden tietojen menetystä, varmuuskopio tulee ottaa ja suojata vaikkapa kerran vuorokaudessa.

Ympäristöjen osiin jakaminen on hyvä tapa rajata mahdollisia poikkeamien aiheuttamien riskien vaikutuksia.

Dokumentoi organisaatiosi tietojärjestelmät, ympäristöt ja laitteet rekisteriin. Päivitä rekisteriä, kun tietoihin tulee muutoksia, jotta rekisteri pysyy ajan tasalla.

• Suositus tietoturvallisuudesta hankinnoissa (Valtiovarainministeriö)Avautuu uuteen ikkunaan.

• Julkri-kriteeristö (Valtiovarainministeriö)Avautuu uuteen ikkunaan.
• Julkri – arvioi ja kehitä tietoturvallisuutta -koulutus (eOppiva)Avautuu uuteen ikkunaan.

Johdon vastuulla on sitoutua fyysisen toimintaympäristön suojaamiseen ja johtaa sitä sekä esimerkillään luoda hyvää turvallisuuskulttuuria myös fyysisessä toimintaympäristössä.

• Tietotekniseen ympäristöön ei liitetä organisaation ulkopuolisia laitteita (kuten esimerkiksi parkkipaikalta löytyneitä usb-tikkuja).
• Ulkopuolisia henkilöitä ei päästetä valvomatta organisaation tiloihin.
• Henkilökortti pidetään näkyvillä.

• Digiturvallinen elämä -koulutuskokonaisuus (Digi- ja väestötietovirasto)Avautuu uuteen ikkunaan.

Fyysiseen toimintaympäristöön liittyen tulee huomioida myös vahinkoriskit, niin ettei organisaation turvallisuutta ja toimintakulttuuria voi vaarantaa vahingossa tai huolimattomuuttaan.