Organisaatioltani on viety tai vuotanut tietoja

Tietomurto tai tietovuoto voivat pahimmassa tapauksessa aiheuttaa suuria taloudellisia menetyksiä organisaatiollesi. Siksi tietoturva- ja tietosuoja-asioiden hoitaminen kunnolla etukäteen on liiketoimintaetu. Esimerkiksi tietomurrosta aiheutuu kuluja yleensä huomattavasti enemmän kuin tietoturvauhkiin varautumisesta. 

Lue lisää kyberturvallisuudesta ja yrityksen hallituksen vastuusta Traficomin Kyberturvallisuuskeskuksen oppaasta.Avautuu uuteen ikkunaan.

Koska tietovuotojen taustalla on usein inhimillinen erehdys, paras tapa suojautua on henkilöstön säännöllinen kouluttaminen tietosuoja-asioista. Tärkeää on myös huolehtia siitä, että tietosuoja-asiat on huomioitu organisaation prosesseissa.

Jotta organisaatiosi voisi suojautua tietomurroilta, on tärkeää huolehtia vähintään seuraavista käytännön toimenpiteistä: 

• Pidä ohjelmistot ja järjestelmät päivitettyinä automaattisten päivitysten avulla. 
• Rajaa henkilöstön käyttöoikeudet eri järjestelmiin tarpeen mukaan.
• Ota tärkeimmistä tiedoista automaattiset varmuuskopiot ja säilytä ne tietoturvallisesti. 
• Testaa tietojärjestelmien turvallisuus säännöllisesti. 
• Harkitse, olisiko organisaatiosi keskeisiin tietojärjestelmiin syytä toteuttaa tietoturva-auditointi. 

Sopikaa, ketkä organisaatiossanne vastaavat tietoturvaan ja tietosuojaan liittyvistä asioista. Tietoturvan ja tietosuojan kehittäminen on sujuvampaa, kun vastuut ovat selkeät. 

Organisaation johdon ja henkilöstön on tärkeää kouluttautua tietosuoja- ja tietoturva-asioissa. Tarjotkaa henkilöstölle koulutuksia, jotta kaikki osaavat toimia työssään tietoturvallisesti ja tietosuojavaatimukset huomioiden. Voitte myös järjestää kyberharjoituksia, joissa harjoittelette toimimista erilaisissa poikkeustilanteissa.

Arvioikaa, mitkä ovat organisaationne toiminnan kannalta keskeisiä tietomurtoihin ja tietovuotoihin liittyviä riskejä:

• Miten paljon organisaatiolla on tietoja asiakkaista tai henkilöstöstä?Ovatko nämä tiedot arkaluontoisia?
• Miten paljon ja laajasti erilaisia tietoja on?
• Miten helppoa ulkopuolisen on päästä käsiksi tietoihin?
• Onko olemassa muita keskeisiä riskejä, jotka ovat esimerkiksi tyypillisiä organisaation toimialalla?

Laatikaa varautumis- tai jatkuvuussuunnitelma häiriötilanteiden ja tietoturvaloukkausten sekä niiden aiheuttamien häiriöiden hallitsemiseksi. Kirjatkaa suunnitelmaan toimenpiteet, joiden avulla organisaation toiminta pystytään palauttamaan häiriötilanteesta normaalitilaan mahdollisimman nopeasti ja kustannustehokkaasti.

Jatkuvuussuunnittelussa tulee varautua ennen kaikkea riskiarvion perusteella tunnistettuihin kriittisimpiin riskeihin.