Miten varautua tietomurtoihin?

Viimeaikaiset uutiset arkaluontoisiin potilastietoihin kohdistuneesta törkeästä tietomurrosta ovat saaneet organisaatiot ja kansalaiset huolestumaan sekä vihastumaan maailmalla kasvavasta kyberrikollisten toiminnasta. Vaikka uutisoitu tapaus on erityisesti asiaan liittyvien ihmisten kohdalla raskas tragedia, on huolen ja vihastuksen rinnalla tapahtumassa nähtävissä myös mahdollisuuksia parantaa tilannetta. Tähän blogiin listasimme keskeisimpiä asioita, joita jokaisen organisaation tulisi kysyä itseltään viime aikaisten tapahtumien valossa.

Olemmeko määritelleet, minkälaisia tietoja käsittelemme organisaatiossamme? Mitä tietoa meidän tulee suojata?

• Mikä tieto on organisaatiomme tai asiakkaittemme kannalta kriittistä?
• Mikä tieto on tietosuojalain määrittämää henkilötietoa, mikä luottamuksellista tieto ja mikä julkista tietoa?
• Miten ja missä suojattavia tietoja säilytetään tällä hetkellä?
• Mikä organisaatiomme tiedossa voisi olla kyberrikollisia erityisesti kiinnostavaa?

Olemmeko tunnistaneet organisaatioomme kohdistuvat tietoturvariskit ja teknisten ympäristöjen uhat?

• Mitkä ovat organisaatiomme keskeiset tietoturvallisuusriskit, jotka liittyvät henkilöstöömme, toimitiloihimme, IT palveluihimme ja projekteihimme?
• Minkälaisia tietoturvahyökkäyksiä voisi kohdistua potentiaalisesti organisaatioomme?
• Onko organisaatiomme määrittänyt tietoturvallisuuden hallintaan liittyvät politiikat, joilla pienennetään riskejä?
• Minkälainen on Internetin kautta tarjoamiemme loppukäyttäjäpalveluiden tietoturvan taso?
• Onko vanhat käytöstä poistetut tietojärjestelmäpalvelut ja tietokannat edelleen näkyvissä Internettiin?
• Onko organisaatiomme sisäiseen käyttöön tarkoitetuilla kehitys- tai koulutusympäristöillä näkyvyyttä Internettiin ja onko ympäristöt suojattu asianmukaisella tavalla?

Olemmeko varanneet riittävät resurssit tietoturvan kehittämiseen ja hallintaan?

• Onko meillä organisaatiossa riittävästi osaamista toteuttaa tietoturvan kehittämiseen liittyviä toimenpiteitä?
• Onko tietoturvan kehittämiselle varattu riittävät rahalliset ja henkilöstöresurssit?

Olemmeko huolehtineet, että organisaatiomme jokainen työntekijä tiedostaa tietoturvaan liittyvät perusasiat?

• Onko organisaatiomme kaikille henkilöstöryhmille (esim. johto, toimistotyöntekijät, kehittäjät) järjestetty työntekijärooliin kohdennettua tietoturvakoulutusta?
• Onko organisaatiomme henkilöstölle teroitettu heidän rooliaan tietoturvallisuuden hallinnassa?

Olemmeko varmistaneet, että yhteistyökumppanimme noudattavat tietoturvallisuuden parhaita käytänteitä?

• Miten tietoturvallisuuteen liittyvät vastuut ovat määritetty yhteistyökumppaneittemme kanssa?
• Onko yhteistyökumppaneille asetettu tietoturvallisuusvaatimuksia ja onko nämä kirjattu selkeästi sopimuksiimme?

Olemmeko laatineet suunnitelmaa tietoturvapoikkeamien varalta?

• Olemmeko määritelleet, miten toimimme, jos organisaatiossa tapahtuisi tietoturvapoikkeama?
• Olemmeko harjoitelleet riittävästi varautumista tietoturvapoikkeamiin?

Kuten edellä oleva lista osoittaa, tietoturvallisuuden kehittämisen tulee olla kokonaisvaltaista ja jatkuvaa toimintaa. Vaikka tietoturvaongelmat nähdään usein teknisinä asioina, tietoturvallisuudenhallinta vaatii koko organisaation laajuisia toimintamalleja ja käytäntöjä.

Teksti: Tarmo Kellomäki, Business Area Manager, Digital Security,