Kirjoitettu

Muutama kysymys tietoturvan tasosta

Tiedätkö ketkä tietoverkossasi tai -järjestelmissäsi liikkuu? Millä kaikilla laitteilla tietoja käytetään, ja kenellä on mihinkin pääsy? Onko pääsyä rajattu, vai pääsevätkö kaikki vähän joka puolelle, vähän kaikenlaisilla oikeuksilla? Ovatko kaikki ohjelmistot päivitetty viimeisimpään versioon tai jos niin ei voida tehdä syystä tai toisesta, niin mitä on tehty siitä syntyvän riskin pienentämiseksi tai poistamiseksi?

–> ”En tiedä” ei ole oikea vastaus kuten ei sitä ole myöskään ”en osaa sanoa” tai ”ei ole”. Jos rehellinen vastauksesi on kuitenkin joku edellämainituista, niin ota yhteyttä -> saadaan asia korjattua.

Kuka teillä vastaa tietoturva-asioista? Joku tietoturvaan keskittynyt henkilö, vai joku oman toimensa ohella?

–> Nykymaailmassa missä internet ja verkot ovat isossa asemassa, tietoturvaan pitää suhtautua myös sen tarvitsemalla vakavuudella. Tietoturvallinen ympäristö ei ole myöskään pelkästään IT-osaston asia, koska myös monet muut organisaation osat vaikuttavat tietoturvaan ja tietoturvalliseen toimintaan. Jos tietoturvasta huolehtiminen on oman toimen ohella suoritettavaa tekemistä, se jää yleensä liian vähälle huomiolle. Siksi onkin suositeltavaa, että tietoturva-asioista vastaisi tai tietoturvaa hallinnoisi alaan ja toimeen vihkiytynyt ammattilainen, jotta tietoturvan eri osa-alueet katetaan/otetaan huomioon riittävällä laajuudella.

Miten usein työasemien tai palvelinten ohjelmistot päivitetään? (päivitykset käyttöjärjestelmään tai muihin ohjelmistoihin)

–> suurin osa haittaohjelmatartunnoista voidaan välttää käyttämällä päivitettyjä ohjelmistoja (haavoittuvuus jota muuten voisi hyödyntää, onkin päivityksen myötä poistunut).

Miten sähköpostiliikennettä valvotaan haittaohjelmien tai huijausviestien osalta? (saatko paljon sähköpostia päivittäin joista n. 70%-90% on turhaa, spämmiä tms.?) Joudutko lähettämään sähköpostilla luottamuksellista tietoa?

–> kunnollinen sähköpostin suodatus säästää myös teknisiä resursseja, aikaa, rahaa ja hermoja. Sähköpostin sisältösuodatus tarkistaa ettei luottamuksellista tietoa lähde väärin lähetettynä ja salaus pitää huolen siitä, etteivät muut kuin tarkoitettu vastaanottaja(t) pääse lukemaan viestiä selkokielisenä.

Tietävätkö kaikki yrityksen työntekijät miten toimia tai keneen ottaa yhteyttä kun (epäilty) tietoturvaloukkaus on tapahtunut tai tapahtumassa? Tietävätkö kaikki yrityksen työntekijät mitä saa tai mitä ei saa tehdä? (USB-tikut, avoimet verkot, mobiilikäyttö)

–> selkeä ja hyvin kommunikoitu politiikka/ohjeistus tietoturvan osalta on yksi kustannustehokkaimmista tavoista estää a. jonkin tekemättä jättämistä (en tehnyt, kun en tiennyt), b. ylitekemistä (en tiennyt mihin ottaa yhteyttä tai mitä tehdä, niin tein vähän kaikkea)

Jos IT-ympäristösi hallinta ja ylläpito on ulkoistettu, miten moni palveluntarjoajalta pääsee käsiksi sinun/yrityksesi tietoihin? Miten heidän käyttäjiään hallinnoidaan? Onko kaikilla henkilökohtaiset tunnukset vai yksi yhteiskäyttötunnus? (jolloin katoaa seuranta siitä että kuka oikeasti tunnusta käyttää)

–> Palveluntarjoajan tulisi toimia vähintään palvelun tilaavan yrityksen vaatimusten mukaan (salasanan vanheneminen, muut salasanasäännöt) – yleensä palveluntarjoajan tunnukset ovat admin-tason tunnuksia, joiden väärinkäyttö vaarantaa koko ympäristön. Tämän lisäksi tulisi olla henkilökohtaiset tunnukset ja tarvittavat logitukset päällä riittävällä säilytysajalla jotta ongelmien sattuessa voidaan selvittää kuka teki ja mitä.

Miten (internetissä olevat) palvelimet on konfiguroitu? Onko teillä selkeät säännöt mutta asetusten auditointi manuaalisesti vie liikaa aikaa (ja siten rahaa) joten sitä ei tehdä?

–> Yleensä ajatellaan että kun asetukset on kerran laitettu jotenkin, niin ne pysyvät sellaisina (muuttumattomina) ikuisesti. Tämä ei välttämättä pidä kuitenkaan paikkaansa. Muutoksia voi aiheuttaa esim. käyttöjärjestelmän jälkeen asennetut ohjelmistot, jotka saattavat muuttaa asetuksia haluamakseen vaikkei se olisikaan täysin tarpeellista ominaisuuden toiminnan kannalta. Tai, sisäiset toimijat – tai pahin vaihtoehto, ulkoiset toimijat. Miten sinä varmistat yllämainitun asian?

Jos jokin ylläolevista herätti lisäkysymyksiä tai mielessäsi on jotain muuta kysyttävää tietoturvaan liittyen niin, Ota rohkeasti yhteyttä – saadaan laitettua tietoturva-asiat kuntoon ennenkuin on liian myöhäistä.