Digitaalinen turvallisuus on yhä tärkeämpää

Digitaalinen turvallisuus on yhä tärkeämpää

Kyberturvallisuus
Digitaalinen turvallisuus on yhä keskeisempi osa turvallisuuden kokonaisuutta.

Kyber-termi viittaa sähköisessä muodossa olevan informaation käsittelyyn eli tietotekniikkaan ja tietojärjestelmiin sekä tiedonsiirtoon. Kyberriskit ovat eri organisaatioissa erilaisia.

Kyberturvallisuus käsittää tietoturvallisuuden sekä jatkuvuuden hallinnan ja varautumisen. Tietoturvassa on järjestelmien, ohjelmistojen, laitteiden ja verkkojen suojaamisen lisäksi kyse myös liiketoimintaprosesseista sekä ihmisten käyttäytymisestä ja asenteesta.

Hyvin rakennettu kyberturvallisuus suojaa yrityksen toimintakykyä!

Kyberuhat ovat moninaisia

Kyberuhat ovat haitallisia tapahtumia tai kehityskulkuja, jotka voivat vaikuttaa organisaation toimintaan, talouteen, sen hallussa olevaan tietoon ja pahimmillaan jopa liiketoiminnan jatkuvuuteen.

Tyypilliset haavoittuvuudet:

  • Tietojenkalastelun tavoitteena on saada rikollisten haltuun käyttäjätunnus- ja salasanapareja tai muita käyttäjälle tai organisaatiolle arvokkaita tietoja.
  • Haittaohjelmat ovat tietokoneohjelmia, jotka aiheuttavat ei-toivottuja tapahtumia tietojärjestelmässä tai sen osissa.
  • Kiristyshaittaohjelmat lukitsevat tiedostoja tai koko laitteen vaatien lunnaita näiden lukkojen avaamiseksi.
  • Palveluestohyökkäyksessä verkkoa kuormitetaan ylimääräisellä tietoliikenteellä. Tavoitteena on lamaannuttaa jokin palvelu- tai tietojärjestelmä.

Kyberturvallisuuskyvykkyys on kilpailuetu

Digitalisaatio avaa mahdollisuuksia, joiden avulla yritykset voivat tehostaa toimintaansa ja säästää kustannuksissa. Samaan aikaan on huolehdittava datan turvallisuudesta. Datan turvallisuus on kriittinen menestystekijä kasvulle, kehittämiselle ja uusien liiketoimintamallien toteuttamiselle.

Hyvin järjestetty, laatujärjestelmään kiinnitetty kyberturvallisuuskyvykkyys on selkeä kilpailuetu, sillä liikekumppanit ja asiakkaat arvostavat ja edellyttävät tietojensa pysymistä turvassa.

Kyberturvallisuus vaikuttaa myös yrityksen operatiivisiin, juridisiin ja taloudellisiin riskeihin. Yrityksen on yhä useammin osoitettava turvallisuusasioidensa ja -kulttuurinsa asianmukainen hallinta myös viranomaisille.
 

Miten toimia?

Turvallisuus on yksi liiketoiminnan tavoitteista

Kyberturvallisuuden kehittäminen lähtee liikkeelle riskien arvioinnista: mitä salassa pidettävää tietoa yrityksellä on ja missä. Samoin on keskeistä valita tuvallisuuden hallintakeinot, asettaa tavoitteet ja kirjata toimenpiteet.

Toimiva kyberturva tarvitsee johtamista, jossa keskitytään luottamuksen ylläpitämiseen ja vahvistamiseen. Yrityksen tulisi pyrkiä siihen, että turvallisuus kytketään strategiassa osaksi liiketoiminnan tavoitteita. Turvallisuus nähdään liian kapeasti, jos asia siirretään erilliseen turvallisuustoimintoon ja siellä keskitytään vain uhkien ehkäisemiseen ja säännösten noudattamiseen.

Inhimilliset virheet ovat isossa osassa kyberhyökkäyksissä, ja henkilöstö on usein tahattomasti kyberturvan heikoin lenkki. Selkeät ja yhdessä määritellyt tietoturvaohjeet selkeyttävät jokaisen toimintaa. Tahalliset hyökkäykset voidaan välttää, jos tietoa käsitellään turvallisemmin.

Tietoturvapolitiikka linjaa tietoturvan hallintaan liittyvät tavoitteet, organisoinnin ja vastuut. Vastuu tietoturvasta ei ole pelkästään IT-osaston asia, vaan jokaisella on oma roolinsa yrityksen tietoturvapolitiikan noudattamisessa.

Käytännön toimia kyberturvallisuuden edistämiseksi

Yrityksen tulee mm.

  • selvittää ensin asemansa määrittämällä, mitkä tietoteknisen ympäristön osat ovat kriittisiä liiketoimintatavoitteiden saavuttamiseksi.
  • tehdä tilannekuvatietoon perustuva kartoitus yritykseen kohdistuvista uhista tarpeellisten kyberturvallisuustoimenpiteiden ja -investointien toteuttamiseksi.
  • varautua uhkia vastaan luomalla myönteinen, kyberturvallisuuteen sitouttava turvallisuuskulttuuri. Organisaation toimintatavat ja asenne eivät saa johtaa oikoteiden tai epävirallisten työtapojen etsimiseen.
  • huolehtia turvallisuuskulttuurin ylläpitämiseksi riittävästä osaamisesta, ohjeistuksesta ja sen jalkauttamisesta sekä kommunikaatiosta. Jatkuva valvonta, arviointi ja kehittäminen ovat luonnollisesti myös avaintekijöitä.
  • arvioida tarve kansainvälisen tietoturvastandardin ISO 27001 mukaisen, sertifioidun tietoturvallisuuden hallintajärjestelmän toteuttamiselle. Laadukas johtamisjärjestelmä on usein edellytys yrityksen hyväksymiselle osaksi toimittajaverkostoa.
  • pitää kyberturvallisuus keskiössä tehtäessä yhteistyötä palveluntarjoajien ja kumppaneiden kanssa.

Tietoturvan kompastuskiviä

  • Olettamus, ettei voi olla hyökkäyksen kohteena
  • Lähestyä kyberturvaa vain tietotekniikan parantamisella ja luottamalla pelkästään virustorjuntajärjestelmiin
  • Päätelaitetyöskentelyn huolimattomuus
  • Henkilöstön kouluttamisen laiminlyönti
  • Ohjelmistopäivitysten huomiotta jättäminen
  • Varmuuskopioinnin toimivuus ja palautusprosessi testaamatta
  • Puutteellinen toimintasuunnitelma kyberhyökkäystä vastaan

 

Kyberturvallisuus – tulosta A4-aineisto 

2 kyberturvallisuus