Pienten ja keskisuurten yrityksen tietoturva

Yritysten tietoturva-asiat ovat nyt ajankohtaisempia kuin koskaan. Valtaosa projekteista käyttää hyväkseen useiden eri toimijoiden palveluita ja tiedot on hajautettu usein ympäri maailmaa eri palvelimille. Myös etätyö ja kansainvälinen yhteistyö ovat lisääntyneet, jonka myötä työntekijöiltä vaaditaan joustavuutta aiempaa enemmän. Ulkomailla sijaitsevien asiakkaiden kanssa saatetaan kommunikoida iltaisin virallisen työajan ulkopuolella, jolloin työtiedostoihin on päästävä turvallisesti käsiksi, riippumatta sitä, kenen tarjoamaa Internet-yhteyttä käytetään.

Securing SMEPK-yrittäjän liiketoiminnan jatkuvuuden turvaaminen tietoturvallisuuden osalta koostuu monesta osa-alueesta ja vaihtelevat työympäristöt vaativat aina tapauskohtaista soveltamista. Laitteistojen vikaantumista ei voi täysin välttää, mutta sitä voi pyrkiä estämään investoimalla laadukkaaseen ja testattuun teknologiaan. Tekniikan ohella ihmisten käyttäytymiseen ja työtapoihin voi vaikuttaa eniten. Johtajien esimerkki ja johtamistavat loppukädessä määräävät, kuinka käytännön tasolla tietoturva-asiat otetaan yrityksessä huomioon.

Alla on listattu yrityksen tietoturvan kannalta tärkeimmät osa-alueet.

1. Johtamiseen ja organisaation yleiseen hallintaan liittyvä turvallisuus. Tämä kattaa yrityksen kokonaisvaltaisen tietoturvapolitiikan, jota käytetään pohjana laadittaessa tietojenkäsittelyn toimintamalleja.

2. Henkilöstön turvallisuus. Työntekijöiden turvallisuus ja tähän liittyvä koulutus pitää sisällään IT-laitteet ja ohjelmistot, sekä organisaatiokohtaiset ohjeistukset siitä kuinka luottamuksellisia tietoja käsitellään. Asianmukainen tietojen suojaaminen työntekijöiden osalta ei rajoitu aktiiviseen työsuhteeseen, vaan yrityksellä tulisi olla myös selkeä salassapitosopimus laadittuna.

3. Toimitilojen suojaaminen. Riittävä murtosuojaus, paloturvallisuus, mahdollinen etävalvonta, sekä suuremmissa yksiköissä kulunvalvontalaitteisto edesauttavat turvallisuutta työpaikalla.

4. Yleinen tietoliikenteen ja tietojenkäsittelyn suojaaminen ja tähän liittyvä toiminnan jatkuvuuden turvaaminen. Poikkeustilanteita varten tärkeimmistä työn edellyttämistä laitteista ja käyttöympäristöistä tulisi olla joko täysin identtinen tai korvaava järjestelmä olemassa, jonka saa mahdollisimman nopeasti käyttöön. Tietoliikennekatkoksiin voi varautua hankkimalla useampi Internet-yhteys mielellään eri palveluntarjoajilta. Tärkeimmät toiminnot kannattaa ulkoistaa suuriin palvelinkeskuksiin, joiden toimintavarmuuteen voi luottaa.

5. Käyttöjärjestelmien ja ohjelmien turvallisuus. Ohjelmat ja ohjelmistot tulee päivittää säännöllisesti ja niiden turvallisesta käytöstä tulee olla ohjeistus, jos se on tarpeen.

6. Käyttömedioiden ja fyysisen aineiston suojaaminen. Jos tietoja säilytetään siirrettävissä medioissa kuten ulkoisilla kovalevyillä, muistikuissa- ja korteissa, älypuhelimissa, DVD- tai CD-levyillä tai muussa muodossa kuten perinteisesti paperilla, niiden asianmukainen käsittely on syytä huomioida. Vanhentuneiden tai tarpeettomien medioiden ja laitteiden hävittäminen kannattaa ulkoistaa asiantuntevan yrityksen hoidettavaksi.