Tietoturva ja oma vastuu


Tietoturva on jokaisen vastuulla – tässä neljä tapaa pitää tärkeä data turvassa

LÄHDE: TIVI/Markku Pervilä 22.11.2018

Artikkeliin liittyvä kuva

Dataturva on yrityksille tärkeämpää kuin ikinä ennen. Pulmaan ei ole yhtä silver bullet -ratkaisua, mutta kerroksittaiset puolustusratkaisut, oikeat työkalut ja parhaat käytännöt sekä turvakulttuuri auttavat yrityksiä pitämään herkät tiedot suojassa ulkopuolisilta.

Yrityksissä tietoturvaan vihkiytymätön henkilöstö pitää dataturvaa usein monimutkaisena salatieteenä, joihin vain harvat ja valitut ovat perehtyneet. Asiaa voi katsoa toisinkin: nykyään tietoturvasta huolehtiminen on jokaisen työntekijän vastuulla – siis muidenkin kuin CIO:n ja tietoturvan asiantuntijoiden.

Kyse on sentään asiakkaiden arvokkaan datan lisäksi yrityksen merkittävästä varallisuudesta ja henkilöstön omista yksityistiedoista. Pureutumatta liian syvälle dataturvaan ITPro tarjoaa seuraavassa muutamia vinkkejä yksinkertaisista tietoturvan käytännöistä, joiden kanssa yritysten koko henkilökunnan on syytä oppia elämään.

Salaa data levossa ja liikkeessä

Datan salaaminen on yksi parhaista tavoista estää tietojen luvaton käyttö. Kryptatusta datasta ei ole hyötyä kyberrikollisille, vaikka he pääsisivätkin tietoihin käsiksi.

Salauksen ratkaisuissa datan kerroksittainen suojaus tarkoittaa sitä, että tiedot ovat suojassa sekä tiedostoissa että liikkeessä loppukäyttäjien välillä. Kryptauksessa ohjelmistopohjaiset ratkaisut kannattaa rakentaa mahdollisimman lähelle tiedostoja eli datan tallennukseen käytettyjä it-laitteita.

Vahvista tiedostojen suojaa

Yrityksen it-arkkitehtuurissa voi olla turva-aukkoja, joita hakkerit yrittävät hyödyntää vaikkapa silloin, kun data tulee järjestelmiin tai lähtee niistä. Nykyään yhä fiksummilla kyberrikollisilla on käytössä lukemattomia menetelmiä sql-injektioista moniin muihin tekniikoihin.

Kerroksittaiset puolutusmekanismit esimerkiksi käyttäjien tunnistamisella ja kelpuuttamisella kirjautumisen eri vaiheissa vähentävät tiedostojen haavoittuvuuksia tietomurroille. Näitä mekanismeja on myös syytä koeponnistaa säännöllisesti ja testejä varten on kehitetty myös automatiikkaa.

Vahvistettuun suojaan kuuluu luonnollisesti se, että vain auktorisoiduilla ja kelpuutetuilla käyttäjillä on pääsy näihin tiedostoihin ja järjestelmiin.

Pidä herkät tiedot erillään

Voi vaikuttaa itsestään selvältä, mutta mitä harvemmissa paikoissa kriittistä dataa säilytetään, sitä paremmassa turvassa se on. Siksi tärkeä data kannattaa säilyttää turvallisissa tallennuspaikoissa ja erillään muusta, vähemmän kriittisestä informaatiosta.

Datan testausvaihe voi olla tietoturvan heikko kohta. Siksi joissakin turvatiimeissä ei käytetä oikeasti tärkeää dataa edes testauksessa. Tietoturvaa kokeillaan usein työkaluilla, jotka luovat ja konfiguroivat niin sanottua dummy dataa.

Rakenna dataturvan kulttuuri

Tietoturvaan perustuva yrityskulttuuri tukee parhaita käytäntöjä ja vähentää tietomurtojen riskejä. Tällainen turvallisuuden kulttuuri rakentuu kahdesta osasta, joista ensimmäinen vaihe koskee valittuja käytäntöjä, kuten salasanojen säännöllisiä vaihtoja sekä käyttäjien tunnistusta ja kelpuutusta. Eräissä yrityksissä käyttöoikeudet vahvistetaan kaksinkertaisesti tai vieläkin monimutkaisemmilla menetelmillä.

Makkaran toinen pää liittyy henkilökunnan jatkuvaan koulutukseen ja harjoitukseen. Työntekijöiden tietoisuutta phishing -hyökkäysten kaltaisista turvauhkista on pidettävä jatkuvasti yllä, sillä ihmisen muisti on tunnetusti lyhyt.

 

Lataa artikkeli(t) ...