Yrityskäytössä sovellusten käyttöoikeuksien hallinta voi helposti karata käsistä. Näillä 10 vinkiillä suojaat yritystäsi ja parannat omia tietoturvakäytäntöjäsi.
Tässä tietoturvaa käsittelevässä artikkelissa listaamme kymmenen helposti hyödynnettävää tapaa parantaa henkilökohtaista ja koko työyhteisön tietoturvaa. Tutustu myös aikaisempaan artikkeliimme, jossa syvennymme Internetin ja tietoturvan historiaan.
Osa listan asioista soveltuu jokaisen henkilökohtaiseen ATK-työkalupakkiin, toisten soveltuessa laajemmin myös kokonaisten työyhteisöjen käyttöön. Työyhteisön tietoturva-asioissa lähtökohtana on, että yritysjohto luo johdonmukaisen tietoturvasuunnitelman, joka jalkautetaan selkeiden käytäntöjen muodossa työyhteisöön.
Käytäntöjen toteutumista on voitava valvoa kehityskeskusteluiden lisäksi myös kevyemmin normaalien työrutiinien ohessa. Jos omat tiedot ja taidot eivät riitä, niin käytännön toimet on syytä asettaa sopivan työntekijän hoidettavaksi tai etsiä yhteistyökumppani avuksi.
Aloita listaamalla kaikki suojattavat järjestelmät, jotka sisältävät tärkeitä tietoja tai riskejä. Muista, että myös älypuhelimet muodostavat nykyisin merkittävän tietoturvariskin, sillä niissä on usein tallennettuna salasanat moniin eri pilvipalveluihin, jotka voivat sisältää erittäin salaista tietoa.
Eräs merkittävä haaste – erityisesti suuremmille yrityksille – ovat tietoturvalliset käytännöt omien laitteiden käyttöön. Monet työntekijät tahtovat käyttää omia laitteitaan työpaikalla ja/tai tehdä töitä myös henkilökohtaisilla laitteillaan – vähintäänkin käyttää sähköpostiaan.
Tämä asettaa monia haasteita, kuten vastuun tietojen suojauksesta ja ohjelmistopäivityksistä, asianmukaiset tietosuojaukset ja palomuurit, kadonneen tai varastetun laitteen tyhjentäminen (henkilökohtaiset tiedostot voivat kadota mukana), luottamuksellisten tietojen tuhoaminen työsuhteen päättyessä ja niin edelleen.
Salasanojen joutuminen vääriin käsiin on verrannollista avainten varastamiseen tai hukkaamiseen. Mikäli kadotat yhden avaimesi olet ehkä hiukan helpottunut, kun se ei sovi jokaiseen lukkoosi tai kerro lukon sijaintia.
Verkossa tilanne ei ole sama, vaan yhden käyttäjätunnuksen tietäminen avaa mahdollisuuden myös muiden tiliesi murtamiseen. Tutkimusten mukaan samojen salasanojen käyttö kaikissa palveluissa on lisäksi aivan liian yleistä.
Salasanojen suhteen voi keksiä mallin, jolla palvelukohtaiset salasanat muodostuvat omasta yleisestä salasanasta ja palvelukohtaisesti vaihtuvasta osasta. Jos sinun täytyy keksiä oma salasana uuteen palveluun, niin on parempi keksiä ennakkoon "sääntö", jonka mukaan salasanat luodaan kuin yrittää muistaa satunnaisia palvelukohtaisia salasanoja.
Suosituksena on kuitenkin turvallisen sovelluksen käyttäminen salasanojen hallintaan (esimerkiksi Bitwarden), joka helpottaa salasanojen ja ylipäänsä verkkoidentiteettien hallintaa.
MyCashflow'n tietoturva-asiantuntijan vinkit henkilökohtaisten salasanojen ylläpitoon:
Kirjaa ylös tärkeät järjestelmät, joihin on jaettu pääsy. Luo esimerkiksi Excel-taulukko, jossa on listattuna eri työntekijöiden ja kumppaneiden kesken jaetut käyttöoikeudet.
Tarkista tämän jälkeen, että järjestelmien asetukset ovat sopivat käytännön tarpeiden kanssa. Esimerkiksi vanhojen työntekijöiden ja yhteistyökumppaneiden tunnusten poistaminen unohtuu helposti.
Tässäkin kohtaa suosituksena on salasanojen hallinta, jonka kautta tämänkin ongelman saa pysymään paremmin lapasessa. Edellä mainittu BitWarden mahdollistaa myös mm. käyttöoikeuksien jakamisen työkavereille jakamatta itse salasanaa.
Tiedostojen menettäminen voi olla tietoturvaloukkausta todennäköisempi ja kalliimpi riski, joten tiedot kannattaa varmuuskopioida säännöllisesti.
Suositeltavana käytäntönä on varmuuskopionnin automatisointi niin, että tietokoneesi tekee joka päivä varmuuskopiot verkkolevylle. Tyhjää parempi on myös vaihtoehto, jossa teet varmuuskopioinnin säännöllisesti, mutta monesti se tahtoo unohtua pitkiksi ajoiksi, eikä laitteen rikkoutuessa välttämättä löydy varmuuskopioita juuri siitä keskeneräisestä ja kiireellisestä tiedostostasi.
Yksi hyvä ja suosittu tapa varmuuskopiointiin on niin sanottu 3-2-1 -menetelmä, jossa luodaan tiedostoista kolme erillistä kopiota (alkuperäinen + 2 varmuuskopiota), kahdella eri tallennusvälineellä ja siten, että yksi varmuuskopio sijaitsee maantieteellisesti toisaalla esimerkiksi tulipalojen aiheuttamien riskien välttämiseksi.
Vahvoja keinoja suojata tietoja siinäkin tapauksessa, että salasana joutuisi vääriin käsiin ovat mm. mobiilitunnistautuminen, pankkitunnisteet sekä Suomessa kohtalaisen vähän käytetyt sähköiset henkilökortit.
Nykyisin monet palvelut mahdollistavat kaksivaiheisen kirjautumisen, jossa ensin kirjaudutaan salasanalla, minkä jälkeen annetaan vielä tekstiviestinä saapuva vahvistuskoodi. Kaksivaiheiset kirjautumismekanismit yleistyvät huimaa vauhtia ja niitä kannattaakin käyttää aina kun palveluntarjoaja sitä tukee ja kirjautumisen takana on arvokasta tietoa. Lisätietoa: Kaksivaiheinen vahvistus | Google
⭐ Ota käyttöön kaksivaiheinen tunnistautuminen MyCashflow-verkkokaupassa
Voit nyt ottaa käyttöön kaksivaiheisen tunnistautumisen MyCashflow-käyttäjätilillesi! Tämä ominaisuus lisää verkkokauppasi turvallisuutta lisäämällä kirjautumiseen uuden vaiheen, jossa käyttäjä syöttää henkilökohtaisesta tunnistautumissovelluksestaan saadun vaihtuvan varmistuskoodin, mikä estää luvattoman pääsyn. Kaksivaiheinen tunnistautuminen on saatavilla kaikissa maksullisissa MyCashflow-palvelupaketeissa.
Aktivoi lisäsuojaus oman verkkokauppasi hallinnassa, kohdassa Tili > Omat tiedot.
Lue tarkemmat ohjeet käyttöönottoon.
Käytä kannettavissa tietokoneissa kiintolevylle tallennettavien tietojen salausta, jolloin tietosi ovat turvassa myös silloin, kun läppärisi varastetaan tai unohtuu jonnekin. Esimerkiksi Mac OS X tietokoneeseen saa levyn salauksen käyntiin muutamalla klikkauksella järjestelmäasetuksien kohdasta Suojaus ja yksityisyys (FileVault).
Ilman salausta tietojen lukeminen on suunnilleen yhtä helppoa kuin muistitikun käyttäminen.
Monet meistä käyttävät Googlen mainioita sähköposti- ja kalenteripalveluita useiden eri laitteiden kautta. Tällöin on syytä käyttää myös sovelluskohtaisia salasanoja, jolloin käytät erillistä salasanaa älypuhelimessa, pöytäkoneella ja tabletilla.
Jos jokin laitteista katoaa, voit estää tilisi käytön tällä salasanalla/laitteella eikä sinun tarvitse käynnistää taas kerran salasanojen vaihtorulettia.
Lisätietoa: Sovellussalasanoilla kirjautuminen | Google
Avoimiin ja salaamattomiin verkkoihin kirjautuessa kannattaa muistaa, että kuka tahansa muu voi liittyä samaan verkkoon ja kuunnella liikennettä. Jos liikenne on salaamatonta, niin siitä voidaan lukea mm. se, millä sivuilla käyt ja mitä tietoja sieltä lataat. Salattua liikennettä ei sen sijaan voi lukea yhtä helposti.
Valitettavasti kaikki sivustot eivät tue salattuja https-yhteyksiä. Liikkeellä ollessa nettiä käytettäessä kannattaa suosia omasta kännykästä omaan käyttöön jaettua yhteyttä mieluummin kuin käyttää avoimia verkkoja. Jos avointa verkkoa on pakko käyttää, voit suojata oman liikenteesesi myös salaamattomissa verkoissa käyttämällä Private VPN palvelua. Esimerkkejä tällaisista on mm. HMA VPN ja F-Secure VPN .
Bonuksena Private VPN:n käytöstä saat mahdollisuuden "valita sijaintisi" jolloin voit katsoa mm. kotimaisia netti-tv-palveluita myös ulkomailla ollessasi.
Käytännössä foliohattu estää tehokkaasti hallitusta lukemasta ajatuksiasi. Kuvainnollisesti foliohatulla tarkoitetaan tietoturvaan ja yksityisyyteen liittyviin riskeihin suhtautumista hyvin vakavasti.
Lähtökohtana on, ettei tietoturvaa ole, eikä mikään mitä internetissä tehdään – tai ollaan tehty – tule pysymään ikuisesti salassa. Keisarilla ei ole vaatteita, mutta hän ei vielä itse ole sitä ymmärtänyt. Se voi osoittautua tulevaisuudessa hyvin viisaaksi ajatusmalliksi ja paras tapa suojata yksityisyyttä onkin pitää yksityiset asiat poissa julkisista verkoista ja Internetistä.
Mikäli yrityksenne käytössä on itse toteutettuja, teetätettyjä tai ylläpidettyjä ohjelmistoja, kuten julkaisujärjestelmiä, blogialustoja, tilausjärjestelmiä tai verkon kautta saavutettavia omalle henkilöstölle tai yhteistyökumppaneille suunnattuja intra- ja extranet-järjestelmiä, dokumenttipankkeja tai vastaavia, on niiden tietoturvaan kiinnitettävä erityistä huomiota.
Järkevää riskienhallintaa on myös toteuttaa tietoturvallisuuden auditointi riskin mukaan joko keveänä tarkistuksena tai laajempana murtotestauksena ja auditointina. Käytännössä tämä voi olla erittäin kallis operaatio yhdellekin sovellukselle toteutettuna, jolloin voi olla mielekkäämpää karsia käytössä olevien järjestelmien määrää ja suojata jäljelle jäävät hyvin tai siirtyä käyttämään enemmän pilvipalveluita, joiden tietoturvan valvonta ja kehittäminen kuuluu ylläpitomaksuihin.
Täytä lomakkeelle tietosi – saat markkinointikalenterin sähköpostiisi.
