4 TIETOTURVAOPAS YRITYKSILLE LUE TÄMÄ ENSIN TURVALLISUUS LÄHTEE ITSESTÄ Moderni tieto- ja viestintäteknologia tarjoaa kaikenkokoisille yrityksille mahdollisuuden innovoida, tavoittaa uusia markkinoita ja tuottaa entistä tehokkaampia ratkaisuja, jotka hyödyttävät niin asiakkaita kuin koko yhteiskuntaakin. Samalla kuitenkin tarve sopeutua kaikkialle ulottuvien tuotteiden ja palvelujen toimittamiseen tarvittavien viestintäympäristöjen ja tietovirtojen suoriin ja epäsuoriin vaikutuksiin on kasvava haaste yritysten käytännöille ja toimintatavoille. Monissa yrityksissä otetaan käyttöön modernia tieto- ja viestintätekniikkaa ymmärtämättä täysin, että se edellyttää myös uudenlaisten riskien hallintaa. Tässä oppaassa käsitellään näitä haasteita ja hahmotellaan, miten kaikenkokoiset yritykset voivat tunnistaa ja hallita tietoturvallisuusriskejä. Tietoturvan pettämistä käsitellään jatkuvasti mediassa. Esille tuodaan tilanteita joissa vihamieliset toimijat ovat murtaneet niin suurten kuin pientenkin yritysten tietoturva-suojaukset – ilmeisen vaivatta ja saavuttaen omat tavoitteensa. Nykyään yritykset altistuvat yhä suuremmille riskeille1 sitä mukaa kuin rikolliset, hakkerit, valtiolliset toimijat ja kilpailijat kehittävät yhä kekseliäämpiä keinoja hyödyntää modernin tieto- ja viestintätekniikan heikkouksia. Yritysten tietojärjestelmien yhdistäminen erilaisiin ulkoisiin laitteisiin2 lisää järjestelmien monimutkaisuutta ja niihin kohdistuvia uhkia. Ulkoisten uhkien lisäksi yritysten on myös pystyttävä hallitsemaan tietoverkkoihin kohdistuvia sisäisiä uhkia, joissa organisaatiossa toimivat henkilöt pystyvät turmelemaan tietoja tai käyttämään yrityksen resursseja hyväkseen kätevästi omasta kodistaan tai vaikka paikallisesta kahvilasta käsin. Liiketoiminnan kannalta on elintärkeää, että yritys – olipa se sitten suuri tai pieni – kykenee tunnistamaan omat tietoturvariskinsä ja hallitsemaan tehokkaasti tietojärjestelmiinsä kohdistuvia uhkia. Samanaikaisesti koko yritysjohdon, johtoryhmää ja hallitusta myöten, on tiedostettava, että tietoturvariskien hallinta on jatkuva prosessi, jossa ei koskaan saavuteta täydellistä turvaa. Toisin kuin monet muut liiketoiminnan haasteet, tietoturvan riskienhallinta on edelleen ongelma, johon ei ole helppoa ratkaisua. Se vaatii johdolta jatkuvaa huomiota, kykyä sietää huonoja uutisia sekä järjestelmällistä ja selkeää viestintää. Vaikka keskeisiä tietoturvauhkia on selvitetty kattavasti lukuisissa erinomaisissa lähteissä, yritysjohdon tueksi soveltuvaa tietoturvan hallinnan aineistoa on edelleenkin saatavilla vähänlaisesti. Tämä julkaisu auttaa niin pienten kuin suurtenkin organisaatioiden johtoa toimimaan vuorovaikutuksessa tietohallintopäälliköiden kanssa jaohjaamaan tietoturvariskien hallintaan liittyvien käytäntöjen kehittämistä. 1 Esimerkkejä kasvavista ulkoisista tietoturvauhista ovat haittaohjelmistot (kuten tunkeutumisohjelmistot (intrusion software), haitallisen koodin lisääminen (code injection), haittaohjelmien jakelualustat eli exploit kit -sivustot, madot ja troijalaiset), palvelunestohyökkäykset, tietomurrot ja muut. Katso esimerkiksi ENISA:n tilannekatsaus ENISA Threat Landscape 2014, EL 2014 osoitteessa https://www.enisa.europa.eu 2 Esim. matkapuhelimet, modeemit, maksupäätteet, automaattiset ohjelmistopäivitykset, teollisuuden ohjausjärjestelmät, myyjän ja asiakkaan väliset vuorovaikutusratkaisut sekä esineiden internet.
RkJQdWJsaXNoZXIy Mjk0MTY=