PK-yrityksen tietoturva: mikä on riittävä taso?

Pk-yrityksen tietoturvassa olennaisin kysymys ei yleensä ole yksittäinen suojausratkaisu. Tärkeämpää on, onko yrityksellä riittävä perustaso: estetäänkö tavallisimmat virheet, rajataanko pääsy oikeisiin tietoihin, toimivatko varmuuskopiot ja tiedetäänkö, miten poikkeamatilanteissa toimitaan?

Kyberturvallisuuskeskuksen Pienyritysten kyberturvallisuusopas muistuttaa, että kyberuhat koskevat kaikenkokoisia yrityksiä ja voivat aiheuttaa merkittävää haittaa, pahimmillaan jopa liiketoiminnan keskeytymisen.

Monessa pk-yrityksessä haaste ei ole välinpitämättömyys vaan resurssit. Sama henkilö vastaa usein useasta tehtävästä, eikä aikaa tai erityisosaamista riitä kaikkeen. Siksi pk-yrityksen tietoturvaa kannattaa tarkastella ennen kaikkea riskienhallintana: mitä pitää saada varmasti kuntoon, mitä pitää pystyä seuraamaan ja missä tarvitaan ulkopuolista tukea.

Pk-yrityksen tietoturva on käytännössä riskienhallintaa

Riittävä tietoturvan taso ei tarkoita loputonta listaa työkaluja. Se tarkoittaa toimivaa perustaa, joka pienentää yleisimpiä riskejä.

Pk-yrityksessä tämä tarkoittaa yleensä ainakin sitä, että kriittiset järjestelmät ja ohjelmistot pidetään ajan tasalla, tärkeissä palveluissa käytetään monivaiheista tunnistautumista, käyttöoikeuksia rajataan työn tarpeen mukaan ja varmuuskopioista palautuminen varmistetaan käytännössä.

Tietoturva ei kuitenkaan ole vain tekniikkaa. Myös ohjeistus, henkilöstön koulutus ja selkeä tapa ilmoittaa poikkeamista kuuluvat perustasoon.

Mitkä ovat pk-yrityksen tietoturvan vähimmäisvaatimukset?

Pk-yrityksen tietoturvan vähimmäistasoa voi ajatella käytännön tarkistuslistana. Yrityksen kannattaa varmistaa ainakin seuraavat asiat:

• kriittiset laitteet ja ohjelmistot päivitetään säännöllisesti
• tärkeissä palveluissa käytetään monivaiheista tunnistautumista
• käyttöoikeudet myönnetään vain tarpeen mukaan
• vanhat tai tarpeettomat tunnukset poistetaan
• varmuuskopiot toimivat ja niiden palauttamista testataan
• henkilöstö tietää, miten epäilyttävästä tilanteesta ilmoitetaan
• yrityksellä on näkyvyys siihen, mitä omassa ympäristössä tapahtuu

Juuri viimeinen kohta jää monessa pk-yrityksessä heikoimmaksi. Perussuojaus voi olla kunnossa, mutta yrityksellä ei silti ole riittävää näkyvyyttä ympäristönsä tapahtumiin.

Käyttöoikeudet, MFA ja varmuuskopiot ovat tietoturvan perusta

Käyttöoikeuksien hallinta on pk-yritykselle yksi tärkeimmistä tietoturvan perusasioista. Yrityksen pitää tietää, kuka pääsee mihinkin tietoihin, millä perusteella ja kuinka pitkään.

Monivaiheinen tunnistautuminen on tärkeä suoja keskeisissä pilvipalveluissa. Jos tunnus ja salasana vuotavat, MFA voi estää tilanteen etenemisen tietomurroksi.

Varmuuskopiointi taas on viimeinen turvaverkko. Siksi niiden olemassaolo ei yksin riitä, vaan myös palautuminen pitää pystyä varmistamaan.

Henkilöstö, ohjeistus ja ilmoituskanava täydentävät tekniikkaa

Tietoturva ei ole vain IT:n tai johdon asia. Pk-yrityksessä jokainen työntekijä vaikuttaa siihen, miten hyvin riskejä pystytään ehkäisemään.

Siksi henkilöstön pitää hallita perusasiat: miten tunnistaa epäilyttävä viesti, miten käsitellä luottamuksellista tietoa, miten toimia etätyössä ja miten ilmoittaa poikkeavasta tilanteesta.

Ulkoistettu IT ei poista vastuuta

Monessa pk-yrityksessä IT-ympäristön ylläpito on osin tai kokonaan ulkoistettu. Se voi olla toimiva ratkaisu, mutta ei poista yrityksen omaa vastuuta tietoturvasta.

Yrityksen pitää edelleen tietää, mitä palveluja käytetään, kuka vastaa mistä, miten poikkeamat havaitaan ja miten niistä raportoidaan. Ylläpidon voi ulkoistaa, mutta näkyvyyden tarvetta ei.

Jos yritys ei itse tiedä, mitä sen ympäristössä tapahtuu, se on riippuvainen siitä, mitä joku muu ehtii tai osaa kertoa.

Milloin pk-yritys tarvitsee lisää näkyvyyttä tietoturvaan?

Moni pk-yritys saa perustason kuntoon, mutta tämän jälkeen vastaan tulee seuraava kysymys: havaitaanko poikkeamat ajoissa?

Jos lokit ovat hajallaan, Microsoft 365 on liiketoiminnalle kriittinen, käyttöoikeusmuutoksia ei seurata tai poikkeamien selvittäminen on hidasta, näkyvyyttä on liian vähän. Silloin tietoturvan perustaso ei enää yksin riitä.

Tässä kohtaa keskitetty valvonta voi olla perusteltu seuraava askel. Esimerkiksi Light SOC -palvelu tuo pk-yritykselle näkyvyyttä loki- ja hälytystilanteeseen ilman raskasta omaa SOC-rakennetta.

Tutustu Light SOC -palveluun.

Sovitaanko 30 minuutin demo?

Käydään läpi, millaisia hälytyksiä ja raportteja Light SOC tuottaa, ja miten ne tukevat tietoturvatapahtumien valvontaa. Saat samalla suosituksen sopivasta laajuudesta sekä selkeät seuraavat askeleet omassa ympäristössäsi.

Jätä yhteydenottopyyntö demo

Contact

Nimi

Yritys

Puhelinnumero

Sähköpostiosoite

Viesti

Hyväksyn tietojeni käsittelemisen. *

Lähetä

Matias Louanto

• +358 44 325 1294
• matias.louanto@kaita.fi

Saattaisit olla kiinnostunut myös näistä artikkeleista:

Mitä hallinnollinen tietoturva tarkoittaa? Näin tekninen, fyysinen ja hallinnollinen tietoturva liittyvät toisiinsa.

Pk-yrityksen tietoturva: miten tietoturvapoikkeamat havaitaan ajoissa?

Microsoft 365 -valvonta käytännössä: mitä kannattaa seurata ja miten aloittaa kevyesti.

Miksi tarvitsen SOC-palvelun?