Pk-yrityksen tietoturva – Vinkit yrityksen ja sen työntekijöiden suojaamiseen kyberrikollisuudelta

Kyberrikollisuus ja tietoturvariskit ovat toistuvia puheenaiheita niin medioissa kuin kahvipöytien keskusteluissakin. Vaikka suomalaisia on pidetty teknologian edelläkävijöinä ja viime vuosien suosittu uudissana ”diginatiivi” vilisee sekä juhlapuheissa että toimintasuunnitelmissa, on suomalaisten tietoturvaosaamisessa vielä paljon parantamisen varaa. Niin yksityishenkilöt, yhdistykset kuin yrityksetkin voivat omalla huolimattomuudellaan tai tietoturvan suoranaisella laiminlyönnillä aiheuttaa paitsi suurta mielipahaa ja vaivaa, myös taloudellista vahinkoa, josta toipuminen voi olla mahdotonta. Viime aikoina erityisesti terapiakeskus Vastaamo on noussut suomalaisten tietoisuuteen pahimmanlaatuisena esimerkkinä siitä, mihin yrityksen sisäisen tietoturvallisuuden laiminlyönti voi johtaa. 

Tietoturva-asioista huolehtiminen kuuluu jokaisen vastuullisen yrityksen ja yrittäjän tehtäviin. Suuremmissa yrityksissä on tietenkin mahdollista ulkoistaa tietoturva-asioista vastaaminen alan yritykselle tai ammattilaiselle, mutta pk-yrityksessä yrittäjä itse voi joutua kantamaan vastuun yrityksen, yrittäjän itsensä sekä työllistämiensä työntekijöiden yksityisyydensuojasta. Kyberturvallisuuden ylläpito, sujuvien ja turvallisten toimintatapojen löytäminen sekä soveltaminen vaativat pitkäjänteistä ja tarkkaa työtä. Siitä voi kuitenkin selvitä muidenkin yritystoiminnan kiireiden ohella ja hyvin hoidettuna huippuluokan kyberturvallisuus voi osoittautua yrityksen tuottavuutta ja houkuttelevuutta lisääväksi tekijäksi. Lisäksi yritys kantaa aina vastuun, jos sen tietosuojauksessa on ollut puutteita ja se joutuu tietomurron uhriksi, josta koituu haittaa esimerkiksi työntekijöille tai asiakkaille. 

Tähän blogiin on koottu vinkkejä, joiden avulla yrittäjä tai pk-yritys voi päästä alkuun oman toimintansa sekä työntekijöidensä yksityisyyden, tietojen sekä varojen suojelemisessa kyberrikollisuudelta. 

Yrityksen turvallisuuden ylläpito ja riskien minimointi, niin fyysisesti kuin digitaalisesti, vaatii jatkuvaa toiminnan tarkastelua ja uuden tiedon opiskelua sekä soveltamista. Siksi erityisesti yritystoiminnasta kaiken vastuun kantavan pk-yrittäjän kannattaa tutustua monipuolisesti eri kaupallisten tai epäkaupallisten tahojen oppimateriaaleihin, joiden avulla tietoturvaosaamista on mahdollista ylläpitää.

 

Tiedot ja taidot turvallisuudesta ajan tasalle 

Tärkeintä pk-yrityksen tietoturvan kannalta on sekä yrittäjän että työntekijöiden digitaalisen tietotaidon ylläpitäminen. Suuri osa riskeistä, joita esimerkiksi kyberturvallisuuteen ja arkaluontoisten tietojen hallintaan liittyy, on vältettävissä huolellisella ja osaavalla pilvipalveluiden, verkkopankkitunnusten ja muiden digitaalisten palveluiden käytöllä. Kun kyseessä on tietoturvallisuus, asioiden oikominen ja tekeminen helpoimmalla mahdollisella tavalla ei ole kestävä linja. Sen sijaan työntekijöiden on syytä olla varuillaan, että kaikkeen toimintaan liittyy riskejä. On hienoa, jos yrityksessä vallitsee toimintakulttuuri, joka rohkaisee tekemään asiat huolellisesti ja kysymään apua epäselvien tilanteiden koittaessa.  

Tietotaidon ja digiosaamisen ylläpidosta on mahdotonta luoda ytimekkäitä tai helppoja tiivistelmiä. Yrityksen näkökulmasta olisi tärkeää, että kaikki työntekijät ovat alati varuillaan ja turvautuvat matalalla kynnyksellä kysymään apua tai lisätietoja. Lisäksi yrityksessä voidaan sopia yksinkertaisia pelisääntöjä, joilla saattaa olla yllättävän suuri vaikutus. Esimerkiksi voidaan sopia, että samaa salasanaa ei koskaan käytetä useampaan kuin yhteen tarkoitukseen. Tämä onnistuu helpoiten silloin, kun sekä yrittäjä että työntekijät ovat tietoisia yrityksen toiminnoista ja ymmärtävät eri toimintojen merkitykset. Tiedostava ja valpas työntekijä on tietoturvan näkökulmasta turvallinen työntekijä.

 

Arkaluontoisia tietoja käyttävän toiminnan ulkoistaminen 

Jos kuitenkin yrityksen sisällä on epävarmuutta siitä, että jonkin hallinnon osa-alueen hoitaminen turvallisesti ei välttämättä onnistu, kannattaa harkita sen ulkoistamista taholle, joka pystyy todistamaan luotettavuutensa ja työnsä tason. Pienen yrityksen kannattaa harkita ulkoistamista silloin, kun yrityksessä on vain vähän työntekijöitä ja heidän osaamisalueensa ei liity digitaalisten palveluiden käyttöön. Järkevässä yrityksessä työntekijät keskittyvät osaamisensa ydinalueisiin, eivätkä käytä aikaa tai energiaa tehottomaan työskentelyyn itselleen vieraiden asioiden kanssa.  

Yksi yritystoiminnan osa-alue, johon liittyy aina potentiaalisia tietoturvariskejä, on kirjanpito. Kirjanpidon ulkoistaminen voi olla oiva ratkaisu pk-yritykselle myös arkaluontoisten tietojen suojaamisen kannalta.

 

Viestintä turvalliseksi 

Toinen yritystoiminnan osa-alue, jolla tietoturvariskejä esiintyy, on viestintä. Sekä yrityksen sisäinen että ulkoisten tahojen kanssa käytävä viestintä ja kommunikointi on tehtävä huolellisesti ja tietoturvallisuus huomioiden. Viestintää tehdessä jokainen hetki on hyvä hetki pysähtyä pohtimaan, kuuluuko vastaanottajan nähdä nämä tiedot, ja voiko siitä seurata turvallisuusriskejä. Myös viestinnän saralla huolimattomuus voi johtaa yllättäviin ja kauaskantoisiin seurauksiin, joiden ratkominen jälkikäteen voi olla hankalaa ja kallista. Siksi yrityksen työntekijöiden kesken kannattaa sopia myös vastuullisen ja turvallisen viestinnän periaatteista, joiden avulla minimoidaan viestintään liittyvät turvallisuusriskit. 

Yleisen huolellisuuden ja maalaisjärjen käytön lisäksi viestinnän turvallisuutta voi tehostaa salaamalla eli kryptaamalla esimerkiksi sähköpostiviestintää. Sähköposti on monen yrityksen ensisijainen keino viestiä myös arkaluontoisia tietoja. Yksinkertaiset salausohjelmat voivat estää vääriin käsiin päätyneiden tietojen väärinkäytön ja jopa vesittää tietoturvamurtojen vaikutuksia.

 

Ohjelmistoista ja järjestelmistä kaikki irti – myös turvallisuuden näkökulmasta 

Pk-yrityksen tietoturvaa on mahdollista tehostaa useilla työkaluilla tai ohjelmilla, joiden tavoitteena on suojata arkaluontoisten tietojen käyttämistä ja hallinnointia. Lisäksi useissa yritysten laajasti käyttämissä ohjelmistoissa, kuten Microsoft Officessa, on sisäänrakennettuja tietoturvaominaisuuksia. Esimerkiksi puhelimella tehtävän tunnistautumisen vaatiminen on helppo ja nopea keino, jolla Office-dokumentit voi suojata.  

Jo käytössä olevien ohjelmien käytön tehostamisen lisäksi jokaisen yrityksen on säännöllisin väliajoin kartoitettava ohjelmisto- ja palvelumarkkinoita, jotta se voi löytää vastauksia oman tietoturvatilanteensa parantamiseen. Jokaisen yrityksen tarpeet myös tietoturvan suhteen ovat yksilöllisiä, mikä jälleen korostaa yrityksen oman toimintansa tuntemisen sekä itsereflektion tärkeyttä. 

Erilaisia ohjelmistoja, järjestelmiä ja muita digitaalisia työkaluja, joiden avulla yrityksen toimintaa voi virtaviivaistaa, tehostaa ja tehdä turvallisemmaksi, on saatavilla eri tarkoituksiin ja eri palveluntarjoajien laatimina. Lue täältä lisää keinoista, joilla voit tehostaa ja tehdä turvallisemmaksi yrityksen digitaalisia toimintoja.  

Kaikkien ohjelmistojen ja palveluiden kohdalla on tärkeää muistaa käyttää vain uusimpia versioita palveluista, joita päivitetään ja ylläpidetään aktiivisesti. Ajan tasalla oleva ohjelmisto on turvallinen ohjelmisto.

 

Tiedot turvassa pilvipalveluissa 

Pilvipalveluiden hyödyntäminen on lähes jokaisen yrityksen toiminnan sujuvuuden edellytys. Pölyisten arkistomappien ja parhaimmillaankin epäluotettavien muistitikkujen aika on auttamatta ohi. Myös pilvipalveluiden kohdalla tärkeintä tietoturvan kannalta on tiedostaa ja tunnistaa yrityksen toiminnan kannalta oleelliset tiedot. Pilvipalveluun ei suinkaan kannata säilöä kaikkea, mahdollisesti jopa arkaluontoista tietoa, vain ainoastaan sellaiset tiedot, joita ilman yritystoiminta ei voi toimia käytännössä ja joiden säilöminen on sen juridinen vastuu. Sinällään harmittomat ja vilpittömin tarkoituksin pilvipalveluun tallennetut yritystoiminnan kannalta epäoleelliset tiedostot kuten kuvat, joissa yrityksen työntekijät ovat tunnistettavissa, voivat pahimmissa mahdollisissa skenaarioissa päätyä osaksi tietomurtoa tai identiteettivarkautta. 

Myös pilvipalveluja käytettäessä vahvat tunnistautumisvaatimukset ja turvalliset salasanat ovat tietoturvallisuuden perusta. Pk-yrityksessä vastuu pilvipalvelusta ja sen asetuksista kannattaa antaa sellaiselle työntekijälle, jolla on toimenkuvansa ansiosta relevanttia kokemusta ja ymmärrystä yrityksen tiedonhallinnasta ja sen toiminnan kannalta välttämättömistä tiedoista. 

 

Pk-yritysten tietoturva – Usein kysytyt kysymykset

Miksi tietoturva-asiat ovat tärkeitä myös pk-yrityksille?

Tietoturva-asiat ovat yrityksen toiminnan ja työntekijöiden yksityisyydensuojan kannalta erittäin tärkeitä riippumatta yrityksen koosta. Pienessä yrityksessä tietosuojamurto tai kyberrikollisuus voi lamauttaa koko yritystoiminnan, sillä jo yhden työntekijän työkyvyn tai -tehon heikentyminen saattaa johtaa suuriin ongelmiin yrityksen sisällä. Lisäksi jo tapahtuneiden tietosuojamurtojen tai vastaavien tapahtumien korjaaminen on pienessä yrityksessä suhteellisesti kallista ja epäkäytännöllistä, sillä yrityksen henkilökuntaan ei välttämättä kuulu tietoturva-alan asiantuntijoita. 

Mitä pk-yritys voi tehdä tietoturvallisuuden eteen?

Yrityksen ja sen tietojen suojaamisen eteen on tehtävä jatkuvasti kokonaisvaltaista työtä kaikilla yrityksen hallinnan osa-alueilla. Oleellisinta on varmistaa, että sekä yrittäjä että kaikki työntekijät ovat varuillaan aina, kun yritystoiminnassa käytetään digitaalisia palveluita ja ollaan tekemisissä ulkopuolisten tahojen kanssa. Ajan tasalla olevat tietotaito ja digitaaliset järjestelmät yhdessä terveen maalaisjärjen kanssa kantavat jo pitkälle.