Etusivu » Johdon ja henkilöstön sitoutuminen

Henkilöstön tiedettävä enemmän kuin kyberturvallisuuden alkeet

Jaa sivu:

Kyberturvallisuus on monimutkainen asia, mutta turvallisuuden ylläpitämiseen on olemassa yksinkertaisia toimia. Kyberturvallisuutta ei voi jättää pelkästään ITC-henkilöstön huoleksi. Turvallisuuden on oltava osa koko organisaation kulttuuria.

Tämä edellyttää, että jokaisella on vähintään perustiedot kyberturvallisuudesta ja siitä, miten hän omalta osaltaan voi siihen vaikuttaa ja mikä on hänen henkilökohtainen vastuunsa. Pelkät alkeet eivät riitä. Korkea kyberturvallisuuden taso on osoitus yritysvastuullisuudesta ja kilpailuetu kumppanuussuhteissa.

Kyberturvallisuuden ylläpitäminen on maailmanlaajuinen tehtävä. Tästä syystä Euroopan unionin alaisen Euroopan kyberturvallisuuskeskuksen ENISA:n (The European Union Agency for Cybersecurity) pk-yrityksille suunnatussa turvallisuusraportissa painotetaan henkilöstön koulutuksen tärkeyttä.

Työntekijöiden on tiedettävä ja ymmärrettävä, miten tietojenkalastelu ja manipulointihyökkäykset tapahtuvat ja noudatettava omien laitteidensa käyttösääntöjä, todetaan raportissa.

ENISA:n sanoma on, että pk-yrityksissä on siirryttävä kyberturvallisuuden alkutietotasolta eteen päin ja luotava yrityksen oma kyberturvallisuuskulttuuri, joka tukee sen toimitusketjua ja on osa laadunhallintaa.

Johdon on sitouduttava

Henkilöstön tietojen ja taitojen lisääminen kyberturvallisuuden alalla ei yrityksessä onnistu ilman johdon todellista sitoutumista ja johtajuuden osoittamista. Jos johto ei sitoudu tietoturvallisuuden jatkuvaan ylläpitoon, niin on selvää, että monet hyvät aikeet jäävät toteutumatta tai epäonnistuvat.

Tässä mielessä kyberturvallisuus ei poikkea yrityksen muista toiminoista, jotka edellyttävät hyvää johtajuutta. Kyberturvallisuus on ratkaisevan tärkeää yrityksen liiketoiminnan suojaamisessa.

On selvää, että toiminta vaatii resursseja. Se vaatii henkilöstön aikaa, laitteistojen ja palvelujen hankkimista, koulutusta ja tehokkaiden toimintatapojen kehittämistä. Johdon tehtävä on varmistaa, että resurssit on luotu ajoissa, jotta riskienhallinta hoituu asianmukaisesti myös ongelmien ilmaantuessa.

Henkilöstö on sitoutettava

On tärkeää, että koko henkilöstö ymmärtää kyberturvallisuuden tärkeyden organisaation suojelemisessa, asiakkaiden organisaatiolle luovuttamien tietojen suojaamisessa ja viime kädessä yrityksen työpaikkojen turvaamisessa, todetaan ENISA:n raportissa.

Jotta henkilöstö voi ymmärtää kyberturvallisuuden tärkeyden, sen on saatava selkeät ohjeet ja säännöt menettelytavoista ja niiden rikkomisesta johtuvista seurauksista. Henkilöstön on koettava, että yrityksen johto pitää niitä tärkeinä ja noudattaa niitä myös itse.

Keskeinen tapa osoittaa johtajuutta kyberturvallisuuden alalla on se, että johto osallistuu näkyvästi turvallisuuskoulutukseen ja kannustaa henkilöstöä osallistumaan niihin, ENISA toteaa.

Mihin jokaisella pitäisi olla vastaus?

Kyberturvallisuuden kannalta oleelliset ja yksinkertaiset kysymykset jäävät usein kysymättä. Kysymyksiin vastaaminen on kuitenkin tärkeä perusta, kun kyberturvallisuutta ryhdytään rakentamaan.

Tässä joitakin kysymyksiä, joihin jokaisella henkilöstön jäsenellä pitäisi olla vastaus:

voinko käyttää yrityksen verkkoa ja järjestelmiä kotitietokoneelta?
voinko käyttää työsähköpostia yksityisellä älypuhelimella?
mitä on tehtävä, kun saan tietojenkalasteluviestin?
miten voin jakaa yritystietoja sisäisesti ja ulkopuolisille?
miten voin käyttää työsähköpostiani julkisen verkon (hotelli, lentokenttä jne.) kautta?
kuinka varmistan, että salasanani ovat turvallisia?

Muista, että

tuntematonta USB-asemaa ei pidä kytkeä yritysverkkoon kytkettyyn tietokoneeseen
piraattiohjelmia ei pidä asentaa
et jätä kannettavaa tietokonetta ilman valvontaa

Tee kanssakäymisestä palvelutasosopimus

Kun pk-yritys ulkoistaa IT-järjestelmiensä hallinnan ja tuen alaan erikoistuneelle toiselle yritykselle, tehdään yhteistyötä usein edelleen puutteellisin sopimuksin. Sopimuksista voi puuttua esimerkiksi tärkeitä salassapitolausekkeita.

Ulkoistettaessa palvelu annetaan toiselle yritykselle pääsy mahdollisesti myös arkaluonteisiin talous- ja henkilötietoihin. Niiden käsittelyn olisi perustututtava yhteiseen sopimukseen. Tällöin on varmistettava, ettei tietoja käytetä sopimuksen vastaisesti, vaan kaikki tapahtuu sopimusvelvoitteiden rajoissa.

ENISA:n raportti antaa käytännön neuvoja:

laadi luettelo kyberturvallisuuden vähimmäisvaatimuksista ja -velvoitteista
tarkista luettelo säännöllisesti
nimeä vastuuhenkilö suhteiden ylläpitoon
varmista, että jokaisen avaintoimittajan kanssa on tehty palvelusopimus ja että näitä valvotaan jatkuvasti
jos ulkoinen palveluntarjoaja edellyttää pääsyä henkilötietoihin pk-yrityksen hoidossa, on tehtävä tietojenkäsittelysopimus EU:n tietosuoja-asetuksen (GDPR) vaatimusten mukaisesti

Lisenssi	1-9 henkilöä	10-29 henkilöä	30-49 henkilöä	50-99 henkilöä
Perus	199 € /vuosi	299 € /vuosi	499 € /vuosi	699 € /vuosi
Laaja	299 € /vuosi	499 € /vuosi	699 € /vuosi	999 € /vuosi
Perus	199 € /vuosi, 1-9 henkilöä	299 € /vuosi, 10-29 henkilöä	499 € /vuosi, 30-49 henkilöä	699 € /vuosi, 50-99 henkilöä
Laaja	299 € /vuosi, 1-9 henkilöä	499 € /vuosi, 10-29 henkilöä	699 € /vuosi, 30-49 henkilöä	999 € /vuosi, 50-99 henkilöä