Kategoria: Kehittäminen

Toimitilaturvallisuus on muutakin kuin digiä!

Toimitilaturvallisuus muodostuu IT-asioiden lisäksi oikean maailman asioiden huomioimisesta sekä vieraanvaraisuudesta. Muistetaan viestiä toisillemme, kuka kukin on. Asiallinen kyseenalaistaminen nostaa turvallisuustasoa. Ei unohdeta perusasioita!

Puhtaan pöydän periaate

Puhtaan pöydän periaatteen idea on se, että työpöydällä ei säilytetä sellaista materiaalia, jota ei haluta muiden näkevän. Näitä ovat esimerkiksi muistiinpanot, sopimukset, salasanat jne. Pöydällä ei myöskään säilytetä helposti varastettavia tavaroita, kuten henkilökorttia, avaimia, USB-muisteja tai muita tallennusmedioita, puhelinta, rahoja jne. Laita paperit, laitteet ja läppäri lukittuun kaappiin viimeistään päivän päätteeksi.

Käytä henkilökorttia

Työntekijän henkilökortti auttaa hahmottamaan, kuka on työntekijä ja kuka vierailija. Kortti viestittää, että olet töissä täällä. Vaikka olemme samassa työpaikassa, emme välttämättä tunnista toisiamme, koska emme näe toisiamme niin usein. Uudet työntekijät eivät vielä tunne muita – muut ei tunne heitä.

Kokousta sopivassa paikassa ja sopivalla äänellä

Tiedosta mitä puhut ja missä. Valitse kokoustila käsiteltävien asioiden mukaan. Käytäväpalaverit on ihan OK arjen asioihin. Luottamuksellisemmissa asioissa on hyvä suosia suljettua tilaa. Huomioi, että tilojen äänieristys vaihtelee. Varmista, että kokousmateriaalit eivät näy ja kuulu ulkopuolisille.

Kts. lisävinkit VAHTI 2/2013 Toimitilojen tietoturvaohjeesta!

Huolehdi vieraistasi

Ilmoita muille tai merkitse intraan, että sinulle on tulossa vieraita ja toimit vieraiden isäntänä/emäntänä. Ota vieraat vastaan ja anna heille vierailijan henkilökortti. Saata vieraat kokoustilaan ja näytä samalla, missä on WC:t yms. Vierailun päätteeksi kerää vierailijakortit pois ja saata vierailijat ulko-ovelle asti.

Tällä toimintamallilla pyritään siihen, että muut työntekijät tunnistavat vierailijat eikä vierailijoiden ole tarvetta liikkua talossa yksinään. Se on myös vierailijalle mukavampi, kun hänestä pidetään huolta.

Ylimääräisiä henkilöitä ovella tai toimitiloissa?

Onko toimitilojemme ovella tai toimitiloissa henkilö, jota et tunnista? Kysy rohkeasti millä asialla henkilö täällä liikkuu. Tuntemattomia ei tule päästää sisälle. Jos henkilö on sellaisessa tilassa, johon vierailla ei ole asiaa, niin saata hänet takaisin isännän/emännän luo. Jos vierailulle ei löydy pätevää syytä, niin saata vieras ulos asti.

IT-laitteet ilman omistajaa

Havaitsitko toimitiloissa ylimääräisiä IT-laitteita? Mainitse niistä IT-asiantuntijalle. Jos löydät tiloista USB-muistitikun, niin älä kytke sitä suoraan tietokoneeseen. Haittaohjelmia levitetään edelleen USB-muistien avulla. Toimita myös ilman omistajaa olevat kannettavat tietokoneet ja puhelimet IT-asiantuntijalle.

Muista myös muut turvallisuusasiat

Turvallisuus ei ole pelkkää digiä ja kyberiä. Yhtä tärkeää on tietää, missä on lähin poistumistie, ensiaputarvikkeet ja palosammuttimet – ja osata käyttää näitä tarvittaessa!

Toimitilaturvallisuus on yksi osa kokonaisuutta – huolehdi perusasioista!

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.

Kyberturvallisuuden uutislähteitä

Tässä on poimintoja erilaisista kyberturvallisuuden uutislähteistä, joita hyödynnän työssäni. Lista on muodostettu tietoturvapäällikön tehtävän näkökulmasta, mutta listasta on hyötyä myös muille työntekijöille ja alasta kiinnostuneille.

Kyberturvallisuuden ympärillä tapahtuu jatkuvasti, joten alaa on hyvä seurata aktiivisesti. Tietoa ja muuta materiaalia on onneksi erittäin kattavasti saatavilla.

Päivittäin seurattavat

1) Kyberturvallisuuskeskuksen tiedotteet

Nämä on keskeisiä tietolähteitä päivittäisessä tietoturvatyössä:

  • Tietoturva-aiheinen uutiskooste – Tilaa sivuston loppupuolelta mukava paketti tietoturvauutisia, jotka on koottu eri nettisivustoilta.
  • Haavoittuvuustiedotteet – missä ohjelmistoissa on havaittu haavoittuvuuksia.
  • Varoitukset – asiat, joista on syytä varoittaa erikseen.

Yllä olevia voi tilata itselleen esimerkiksi sähköpostilla tai RSS-syötteinä.

2) Sosiaalinen media

Twitteristä tietoa tulee paljon ja nopeasti. Erityisen hyvä silloin, kun haluaa seurata jonkin tilanteen etenemistä päivän aikana.

LinkedInistä saa myös tietoa, mutta tieto saattaa tulla pitkälläkin viiveellä.

3) Työkaverit

Yleensä, jos jokin kyberturvallisuusasia on tarpeeksi tärkeä ja kiireellinen, niin kyllä kollegatkin kertovat sen sinulle 🙂

Viikkotasolla seurattavat

Pari lähdettä, joita kannattaa seurata viikkotasolla:

Kuukausitasolla seurattavat

Kyberturvallisuuskeskuksen Kybersää kokoaa menneen kuukauden tapahtumat selkeään pakettiin.

CERT-EU Cyber Security Brief. Kuten Kybersää, mutta hieman eri sisältöä englanniksi.

DVV:n digiturvatilaisuudet on webinaareja eri kohderyhmille:

  • Digiturvakatsaus asiantuntijoille
  • Digiturvakatsaus johdolle
  • Digiturvavartti henkilöstölle

Tietoturvayritykset julkaisevat omia kuukausi- ja kvartaaliraporttejaan. Tässä esimerkiksi WithSecuren (ent. F-Secure) Monthly Threat Highlights Report.

Lisää löytyy netistä hakusanoilla: Tietoturvafirman nimi + report

Vuosiraportit

Vuositason raportteja löytyy jos jonkinlaista. Näistä saa hyvää yleiskatsausta mitä on tapahtunut ja arvioita tulevasta. Esimerkiksi:

Puuttuuko listalta jotain olennaista? Laita kommenttia tai viestiä.

Tietoturvaosaaminen kasvaa yhteistyöllä!

Yrityksesi työntekijöiden tietoturvatietoisuus eli tietoturvaosaaminen on tärkeä asia, josta pitää huolehtia jatkuvasti. Ilman tietoturvaosaamista yrityksen tietojen ja toiminnan turvaaminen sekä jatkuvuuden varmistaminen on arpapeliä.

Miten voitte yhdessä nostaa yrityksenne tietoturvaosaamista?

Digiturva liittyy meidän kaikkien työtehtäviin jollain tavalla. Tuo siis sinäkin digiturva osaksi arkea, oman tehtäväsi kautta. Keskustele työkavereidesi kanssa tietoturvasta, jaa kokemuksiasi ja esimerkkejä. Näin saamme levitettyä osaamista myös muille. Esittelen seuraavaksi muutamia tapoja, joilla tietoturvaosaamista voidaan konkreettisesti lisätä ja levittää.

Kybervartti – 15 min keskustelua digiturvasta

Kokeilkaa sellaista tapaa, että keskustelette jostain ajankohtaisesta digiturvallisuusaiheesta 10-15 minuuttia kuukausipalaverin alussa. Palaverin agendassa tätä osiota voi kutsua vaikkapa nimellä kybervartti.

Kirjatkaa keskustelusta talteen yksi havainto, oivallus, oppi, kysymys, kehitysidea tms. ja lähettäkää se heti eteenpäin tietoturvasta vastaavalle henkilölle. Keskustelun osallistujat oppivat yhdessä ja saavat uusia näkökulmia aiheeseen. Lisäksi saatte yhdessä koottua erilaisia tietoturvavinkkejä, keskustelunaiheita ja ajatuksia koko organisaatiolle.

Sisällytä digiturva ohjeisiin ja koulutuksiin

Pidätkö koulutuksia tai teetkö työssäsi ohjeita ja muita kaikille tarkoitettuja dokumentteja? Sisällytä ohjeisiin pari näkökulmaa myös tietoturvasta ja tietosuojasta! Kysy tarvittaessa lisävinkkejä esim. tietoturvasta, tietosuojasta, turvallisuudesta ja IT-asioista vastaavilta henkilöiltä. Kysy heiltä ”Mitä tässä asiassa pitäisi huomioida tietoturvan kannalta?” Lopputuloksena ei ole tietoturvaohje, vaan ohje, joka sisältää myös tietoturvaa.

Kaikki voivat ylläpitää tietoturvakeskustelua

Oletko hankkimassa uutta IT-palvelua? Kysy palveluntarjoajalta, miten digiturvallisuus on huomioitu tässä palvelussa? Palveluntarjoajan vastausten perusteella on mahdollista oppia uutta. Samalla luodaan hyvää käytäntöä siitä, että tietoturvavastaavan ei tarvitse olla ainut, joka nostaa tietoturvakysymyksiä keskusteluun. Palveluntarjoajat, muut yhteistyökumppanit sekä omat työntekijätkin huomaavat, että teillä digiturva on kaikkien asia. Tämä luo hyvää kuvaa teistä ja nostaa osaamista.

Toimitaan yhdessä esimerkillisesti

Me kaikki voimme edistää digiturvallisuutta toimimalla esimerkillisesti. Esimerkin voima korostuu erityisesti yrityksenne johdolla ja esihenkilöillä. Te viestitte omalla toiminnalla muille, miten asioihin pitää suhtautua. Kokeneemmat työntekijät puolestaan näyttävät uusille työntekijöille, miten talossa toimitaan.

Esimerkillisyys ei tarkoita mitään erityistä ja poikkeuksellisen hienoa, vaan ihan sitä arjen perustoimintaa. Kun on tiettyjä sovittuja käytäntöjä – toimitaan niiden mukaisesti. Jos on tietoturvaohjeet – noudatetaan niitä. Teillä on henkilökortit – käyttäkää niitä. Jne. Perusasioita.

Katsotaan digiturvallisuutta uuden työntekijän silmin

Uusi työntekijä on hyvässä tilanteessa – hänellä on lupa ihmetellä ja kysyä ihan mitä vaan. Mutta oikeastaan meidän kaikkien tulisi käyttäytyä kuin uusi työntekijä: jos jokin asia mietityttää tai ihmetyttää, niin uskalla kysyä.

Kysymällä voit saada aikaan keskustelun, jossa muutkin oppivat. Muut ovat saattaneet miettiä samaa asiaa, mutta eivät ole kehdanneet kysyä. Tai muut eivät välttämättä ole ajatelleet asiaa, kuten sinä.

Ihmetelkää yhdessä!

ps. Haluatko hyödyntää tätä blogipostausta omassa yrityksessäsi? Tutustu Arjen digiturvan tehokuuriin. Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista.

Arjen digiturvan tehokuuri

Onko vastuullasi henkilöstön digiturvaosaamisen ylläpitäminen? Olet varmasti huomannut, että se on pitkäjänteistä ja työlästä tekemistä.

Nyt on tarjolla helpotusta!

Lataa käyttöösi Arjen digiturvan tehokuuri.

Se sisältää 12 valmista blogikirjoitusta, joiden avulla voit nostaa henkilöstön digiturvaosaamista. Siis koko vuoden blogijulkaisut yhdessä paketissa!

Voit vapaasti muokata blogeja tarpeesi mukaan ja julkaista ne esim. organisaatiosi intrassa.

Arjen digiturvan tehokuuri käsittelee mm. seuraavia aiheita:

  • Arjen tietoturva
  • Salasanat
  • Huijausviestit
  • Etätyöskentely ja matkustaminen
  • Etäkokoukset, puhelut ja keskustelut
  • Älypuhelimet
  • Toimitilaturvallisuus
  • Tietosuoja osana arjen tekemistä
  • Ihmisen rooli tietoturvassa

Lataa Arjen digiturvan tehokuuri.

Salasanat on pakkopullaa – ja arjen digiturvan perusta

Salasanat ovat varmasti yksi IT- ja tietoturvamaailman puuduttavimmista puheenaiheista. Ne on aiheena tietoturvakoulutusten pakkopullaa pahimmillaan! Ja varma tapa nukuttaa koko yleisö kerralla!

Salasanoista on kuitenkin puhuttava. Perusjuttujen lisäksi kerron ohessa muitakin näkökulmia, esim. mitä rikolliset tekevät salasanoilla ja mitä hyötyä unohtuneesta salasanasta on.

Salasanoilla on merkittävä rooli meidän kaikkien digiturvallisuudessa. Salasana-asioista puhutaan paljon, mutta tälle on hyvä syy: verkkorikolliset haluavat sinun salasanasi. Paluu työpaikalle on hyvä tilaisuus tarkastella omia ja työpaikan salasanakäytäntöjä. Hyödynnä näitä näkökulmia oman yrityksesi tietoturvakoulutuksissa!

Miksi rikolliset haluavat salasanoja?

Rikollinen haluaa muuttaa sinun käyttäjätunnuksesi rahaksi. Rikollinen hyödyntää kaapattuja käyttäjätunnuksia ja salasanoja rikosten valmistelussa ja toteuttamisessa. Rikollinen testaa:

  • Voiko kaapatulla salasanalla kirjautua esimerkiksi sähköpostiin?
  • Pääseekö samalla salasanalla muihinkin palveluihin?
  • Käyttääkö joku muu yrityksessä samaa salasanaa?

Rikollinen käyttää kaapattua tunnusta esimerkiksi huijauksiin ja tiedon keräämiseen. Hän voi myydä tunnukset toisille rikollisille, jotka esimerkiksi pyrkivät saamaan kiristyshaittaohjelman yrityksen järjestelmiin. On helpompi kirjautua sisään kuin hakkeroitua sisään.

Salasanat suojaavat sinua, muita työntekijöitä ja yrityksesi tietojärjestelmiä rikollisilta.

Millaiset salasanakäytännöt sinulla on?

Mieti seuraavaksi näitä asioita omasta näkökulmastasi. Onko salasanasi:

  • helppo muistaa,
  • vaikea arvata, ja
  • eri joka paikassa?

Vielä kun se sisältää erilaisia merkkejä eikä löydy sanakirjasta sellaisenaan, niin ollaan erittäin turvallisen salasanan äärellä!

Salasanan vaihtaminen esim. 6kk välein vaikuttaa siihen, että kerran varastettu tunnus ei toimi loputtomasti. Yksi varastettu salasana ei vaaranna muita palveluita, kun salasana on eri joka paikassa. Toiselta varastettu salasana ei vaaranna sinua, kun salasanasi on vaikea arvata.

Pitkä salasana – salalause – vaikeuttaa salasanan arvaamista ja teknistä murtamista. ”Pidempi parempi”, toteaa Kyberturvallisuuskeskus. Et kuitenkaan tarvitse monimutkaista salasanaa!

Millaiset salasanakäytännöt yrityksellänne on?

Unohditko salasanasi? Hyvä! Nyt sinulla on mahdollisuus testata yrityksenne käytäntöjä salasanoihin ja käyttäjätunnuksiin liittyen!

Pohdi:

  • Keneltä pyydän apua, jos salasanojen kanssa on ongelmia?
  • Onko minulla tarvittavien henkilöiden yhteystiedot saatavilla?
  • Millä välineellä otan yhteyttä, jos en pääse kirjautumaan?
  • Mistä tiedän, onko salasanan vaihtajat töissä tai lomalla?

Havaitsitko kehitettävää? Kerro havaintosi ja kehittämisideasi yrityksesi tietoturvasta vastaavalle.

Jos epäilet rikollisten saaneen salasanasi, vaihda salasana heti. Ilmoita asiasta sen jälkeen välittömästi yrityksen IT-tukeen.

Käyttäjätunnusta ja salasanaa on helpompi suojata, kun ottaa käyttöön monivaiheisen tunnistautumisen. Sitä kannattaa hyödyntää niin työpaikan kuin vapaa-ajankin palveluissa. Monivaiheisesta tunnistautumisesta käytetään myös nimitystä MFA (Multi-Factor Authentication) tai 2FA (Two-Factor Authentication).

Salasanat ovat arjen digiturvan perusta!

(Luitko tänne asti nukahtamatta? Jes!)