Miten koulutat tiimisi toimimaan tietoturvallisesti?

Miten koulutat tiimisi toimimaan tietoturvallisesti?

Kuka on yrityksesi tietoturvapelissä se ”heikon lenkki”? TV:stä tuttua peliä pelataan jokaisen yrityksen arjessa päivittäin.
Tekninen suojaaminen ei yksinään auta, jos tietoturvan heikon lenkki on ns.”human factor”. Teknisen suojaamisen lisäksi tiedon turvaamiseen liittyvät inhimilliset tekijät ovat aina suuri haaste uhkien torjunnassa.

Onko sinun työpaikallasi selkeä ohjeistus, miten estää tietovuodot? Auttavatko ohjeet vai ovatko ne pelkkä lista kielletyistä asioista. Saako niistä apua siihen, miten toimia tietoturvallisesti omassa työssäsi?

Monet tunnetut tietovuodot ovat perustuneet varsin yksinkertaiseen menetelmään eli jonkun käyttäjän käyttöoikeuksien kaappaamiseen. On kirjauduttu oikeudetta käyttäjän sähköpostiin, portaaliin, verkkoresurssiin tai muuhun vastaavaan ja päästy siten luottamukselliseen tietoon käsiksi. Esimerkkejä on paljon, näkyvimpänä ehkä USA:n presidentin valintaan liittyvä sähköpostien luvaton käyttö.

Miten estää tietovuoto

Aika monet tällaiset tietovuodot olisi voitu estää aivan yksinkertaisin menetelmin, esimerkiksi käyttämällä laadukasta salasanaa tai kaksivaiheista käyttäjän todentamista. Monta kertaa – vaikka järjestelmä tarjoaisi tällaisia mahdollisuuksia – käyttäjät eivät ota niitä käyttöön eivätkä miellä niitä tarpeellisiksi. Tai yksinkertaisesti – selkokielistä ohjetta käyttöönottoon ei ole tehty.

Yrityksen käyttäjilleen antaman ohjeistuksen pitäisi olla kannustavaa ja antaa hyviä malleja siitä, miten voi toimia tietoturvallisesti. Jos mallien tilalla jaetaan pelkkiä kieltolistoja, ne eivät sisällä tietoa siitä, miten pitäisi menetellä. Tällaisissa tapauksissa käyttäjät joutuvat miettimään ratkaisun itse ja lopputuloksena saadaan useita erilaisia – ja eritasoisia ratkaisuja. Lisäksi työpaikalle saattaa muodostua ”varjo IT”, jossa käyttäjät jakelevat toisilleen erilaisia ratkaisujaan, jotka eivät ole mitenkään yrityksen tietoturvalinjausten mukaisia.

Kaikkea ei kannata tehdä itse

Aina ei kaikkea tarvitse tehdä itse – oikotien toiminnan ohjeistamiseen voi ostaa. Se voi olla myös taloudellisempi ja helpommin budjetoitavissa oleva vaihtoehto.

Varmista, että sinä ja tiimisi tuette yrityksen tietoturvaa omalla toiminnallanne. Sovelton ”Käytännön tietoturvataidot” itseopiskelukurssi on jokaisen käyttäjän oman oppimistahdin huomioon ottava ratkaisu. Siinä käydään läpi tietoturvallisen käyttäytymisen perusteet ja yleisesti hyväksytyt hyvät tietoturvakäytännöt parissa tunnissa. Lue lisää.

Kirjoittanut Jukka Vuola