18 TIETOTURVAOPAS YRITYKSILLE Johtajuudella on merkitystä Henkilöstön tulee olla vastuussa tiedoista ja niiden suojaamisesta, ja sillä tulee olla riittävät valtuudet, yhteydet ylimpään johtoon, työkalut ja koulutus varautuakseen tehtäviinsä ja mahdollisiin uhkiin.18 Pienyrityksillä tulisi olla joko talon sisältä tai ulkopuolelta nimetty vastuuhenkilö, joka tarkistaa säännöllisesti tietoturvallisuuden riittävyyden ja on muodollisesti vastuussa tietoturvallisuudesta. Vaikka kyseessä ei välttämättä ole kokoaikainen tehtävä, rooli on tärkeä ja voi osoittautua ratkaisevaksi koko yrityksen selviytymisen kannalta. Suurissa yrityksissä toiminnot, tehtävät ja vastuut tulee jakaa harkitusti yksilöiden sekä (virtuaalisten) työryhmien ja toimikuntien kesken. Jokaisen tiimin jäsenen tulee olla täysin selvillä tehtävästään ja vastuustaan. Tässä on keskeistä asianmukainen dokumentointi ja viestintä. Toteuta visiosi Valvo pääsyä sisäverkkoon (ja siitä ulos) ja priorisoi liiketoiminnan ja työntekijöiden tarpeiden kannalta keskeisiä palveluita ja resursseja. 19 Edellytä vahvojen salasanojen käyttöä ja harkitse vahvojen tunnistautumismenetelmien20 käyttöönottoa, jolloin verkkoon pääsy edellyttää salasanan lisäksi muuta tietoa. Käytä tarvittaessa salausta tietojen suojaamiseksi säilytyksen ja siirron aikana21 painottaen etenkin julkisia verkkoyhteyksiä ja kannettavia laitteita, kuten kannettavia tietokoneita, USB-avaimia ja älypuhelimia, joita kadotetaan tai varastetaan helposti. 18 Keskeinen uhka on sosiaalinen urkinta, josta tulisi järjestää henkilöstökoulutusta. Sosiaalinen urkinta tarkoittaa käyttäjien manipuloimista paljastamaan arkaluonteisia tai luottamuksellisia tietoja. 19 Sisällönsuodatuksella voi estää yrityksen resurssien turvallisuusriskejä kasvattavat palvelut ja sivustot, kuten vertaisverkkojen tiedostonjakopalvelut ja pornosivustot. Suodatussääntöjen tulee olla läpinäkyviä kaikille käyttäjille, ja suodatukseen tulee sisältyä prosessi, jolla tahattomasti estettyjen yrityssivustojen eston voi poistaa. 20 Vahvassa eli monitasoisessa tunnistautumisessa yhdistellään useita elementtejä, jotka voivat olla käyttäjän tiedossa (esim. salasana tai henkilökohtainen tunnusluku eli PIN-koodi), hallussa (esim. älykortti tai tekstiviesti) tai ominaisuuksia (esim. sormenjäljen tai iiriksen skannaus). 21 Koska esimerkiksi sähköposti kulkee usein internetissä selväkielisessä muodossa, yritysten tulisi harkita sähköpostin salaustekniikoiden käyttöä arkaluonteisia tietoja lähetettäessä.
RkJQdWJsaXNoZXIy Mjk0MTY=