Sisältöön

Parhaat käytännöt - SecMeter

Ohita valikko
Ohita valikko

Parhaat käytännöt

Yritysturvallisuus > Riskienhallinta
Parhaat käytännöt, best practices, baseline security



Yritysturvallisuus on kehittynyt erillisistä suojaustoimenpiteistä kokonaisvaltaiseksi toimintamalliksi, joka ulottuu yrityksen kaikkiin toimintoihin. Yrityksiä uhkaavat yhtä lailla kyberhyökkäykset, toimitusketjujen häiriöt, luonnonilmiöiden aiheuttamat keskeytykset kuin henkilöstöön liittyvät riskit.

Yritysturvallisuuden kulmakivi on systemaattinen riskien arviointi. Vain tunnistamalla uhkat yritys voi varautua niihin tehokkaasti. Hyvin toteutettu riskienarviointi luo perustan kaikelle muulle turvallisuustyölle. Se auttaa kohdentamaan resurssit niihin osa-alueisiin, joissa vaikutus on suurin.

Kun puhutaan parhaista käytännöistä (best practices), tarkoitetaan yleisesti hyväksyttyjä toimintatapoja, joilla yritykset voivat suojata toimintaansa, tietojaan, järjestelmiään ja verkkojaan uhkia vastaan.

Kyse  ei ole yksittäisistä säännöistä, vaan joukosta toimintamalleja, teknisiä ratkaisuja ja ohjeita, joiden noudattaminen voi pienentää riskejä merkittävästi.

Parhaissa käytännöissä on kyse baseline-tasoisesta suojauksesta, mutta on tärkeää ymmärtää, mitä tämä tarkoittaa ja mitä se ei tarkoita.

Baseline-suojaus (baseline security) viittaa minimitasoon, joka tulee olla toteutettu ja kunnossa ennen kuin yritys voi rakentaa edistyneempiä, riskiperusteisia tai toimialakohtaisia suojauksia. Kyse on eräänlaisesta turvallisuuden perusratkaisusta.

Baseline-suojaus tarkoittaa:

  • yleisiä, kaikille yrityksille soveltuvia suojatoimia
  • yritysturvallisuuden vähimmäistasoa
  • käytäntöjä, jotka suojaavat tunnetuilta ja yleisiltä uhkilta
  • teknisiä ja organisatorisia perusvaatimuksia, jotka täytyy olla kunnossa ennen erikoistuneempia ratkaisuja

Yrityksen turvallisuuden kolmen tason malli
Jotta yritys voisi rakentaa riittävän suojan, sen on syytä hyödyntää kolmitasoista lähestymistapaa:

1. Perustaso (parhaat käytännöt)
Nämä varmistavat, että yritys suojaa itseään yleisimmiltä hyökkäyksiltä. Ne ovat välttämättömiä, mutta eivät riittäviä.

2. Yrityskohtaiset kontrollit
Riskianalyysi, uhkamallinnus ja toimialakohtaiset vaatimukset määrittävät ne lisäsuojaukset, jotka juuri kyseinen yritys tarvitsee.

3. Jatkuva kehittäminen ja valvonta
Uhkien valvonta, auditoinnit, testaus ja turvallisuuskulttuurin vahvistaminen takaavat sen, että suojaus ei vanhene.
Parhaat käytännöt
Riskienhallinta (ISO 31000)
Yrityksen riskienhallinta perustuu systemaattiseen ja jatkuvaan prosessiin, joka tunnistaa, arvioi, käsittelee ja seuraa organisaation toimintaan kohdistuvia riskejä.

Parhaat käytännöt

  1. Säännöllinen, koko yrityksen kattava riskienarviointi osana vuosittaista suunnittelua
  2. Riskikartan ja riskimatriisin käyttö vaikutusten ja todennäköisyyksien arvioinnissa
  3. Selkeästi määritellyt riskien omistajat (risk owners)
  4. Dokumentoitu riskienhallintasuunnitelma, joka sisältää käsittelytoimenpiteet ja aikataulut
  5. Riskien jatkuva seuranta, päivitys muutostilanteissa ja johdon raportointi
  6. Riskinottohalun (risk appetite) ja riskinsietotasojen (risk tolerance) määrittely

Tietoturva ja kyberturvallisuus (ISO 27001, NIS2)
Tietoturvan tavoitteena on varmistaa tiedon luottamuksellisuus, eheys ja saatavuus sekä suojata kriittiset järjestelmät ja verkot kyberuhkia vastaan.

Parhaat käytännöt

  1. Tietoturvapolitiikka ja selkeät siihen liittyvät alakohtaiset politiikat (mm. käyttöoikeudet, laitehallinta, lokitus, salaus)
  2. Tietoturvan hallintajärjestelmä (ISMS) tai sen keskeisten elementtien käyttöönotto
  3. Vahva käyttäjä- ja käyttöoikeushallinta (least privilege, MFA, IAM)
  4. Ajantasaiset päivitykset, haavoittuvuuksien hallinta ja säännölliset tietoturvaskannaukset
  5. Säännölliset penetraatiotestaukset ja haavoittuvuustestaukset riippumattomalta toimijalta
  6. Lokien keruu, valvonta ja tarvittaessa SIEM-järjestelmät
  7. päivittäiset varmistukset
  8. offline/offsite-backup
  9. maantieteellisesti etäällä oleva turvapaikka (suojakopio)
  10. palautustestit säännöllisesti
  11. Salaus levossa (at rest) ja siirrettäessä (in transit)
  12. Turvallinen etätyökäytäntö (VPN, päätelaitteiden koventaminen)
  13. Säännöllinen kyberturvallisuuskoulutus ja simuloidut phishing-harjoitukset
  14. “Think Before You Click” -periaate ja raportointikanava epäilyttävistä havainnoista

Tietoturvaloukkausten hallinta (Incident Response, ISO 27035 / NIS2)
Selkeä ja harjoiteltu toimintamalli on edellytys tehokkaalle reagoinnille.

Parhaat käytännöt

  1. Dokumentoitu Incident Response -suunnitelma
  2. Roolit ja vastuut (RACI), eskalointiketjut ja yhteyshenkilöt
  3. Sisäinen ja ulkoinen viestintämalli (ml. viranomaisraportointi NIS2:n mukaisesti 24 h / 72 h)
  4. Harjoitukset (mm. tabletop ja tekniset harjoitukset) vähintään vuosittain
  5. Post-incident review ja parannustoimenpiteiden dokumentointi

Fyysinen turvallisuus
Tavoitteena estää luvaton pääsy tiloihin ja suojata omaisuus sekä henkilöstö.

Parhaat käytännöt

  1. Kulunvalvontajärjestelmä ja vierailijahallinta (kortit, biometria, vierailijarekisteri)
  2. Tilaluokittelu ja korkeampien suojaustasojen määrittely (esim. palvelintilat, arkistot)
  3. Hälytys- ja lukitusjärjestelmien käyttö
  4. Kameravalvonta riskialttiissa tiloissa ja sen lokitietojen seuranta
  5. Paperisten dokumenttien suojattu käsittely ja tuhoaminen (silppurit, lukolliset astiat)
  6. Paloturvallisuusjärjestelmät, poistumistiet ja säännölliset harjoitukset

Henkilö- ja henkilöstöturvallisuus
Tavoitteena suojata henkilöstöä, ylläpitää osaamista ja vähentää inhimillisiä riskejä.

Parhaat käytännöt

  1. Perehdytys turvallisuusasioihin (uudet työntekijät ja kertauskoulutukset)
  2. Hätä- ja pelastustoimintojen harjoittelu
  3. Turvallisuuskulttuurin edistäminen ja avoin raportointicanava
  4. Työhyvinvoinnin seuranta ja tarvittavat tukitoimet
  5. Tehtäväkohtaiset luotettavuusselvitykset lain sallimissa rajoissa

Toimitusketjun turvallisuus (ISO 27036, NIS2)
Toimitusketju voi olla merkittävä riski, ja sen turvallisuustaso on arvioitava säännöllisesti.

Parhaat käytännöt

  1. Toimittajien taustaselvitykset ja riskiluokittelu
  2. Turvallisuusvaatimusten sisällyttäminen sopimuksiin (ml. tietoturva, auditointioikeudet)
  3. Toimittajien tietoturvan arviointi (kyselyt, auditoinnit, sertifikaatit)
  4. Varatoimittajat kriittisille tuotteille ja palveluille
  5. Toimitusketjun riskien seuranta ja säännöllinen uudelleenarviointi

Liiketoiminnan jatkuvuuden suunnittelu (ISO 22301)
Tavoitteena varmistaa toiminnan jatkuminen merkittävissä häiriötilanteissa.

Parhaat käytännöt

  1. Dokumentoitu BCP- ja DRP-suunnitelma (Business Continuity Plan & Disaster Recovery Plan)
  2. Kriittisten toimintojen analysointi (BIA , Business Impact Analysis)
  3. Palautumisaikatavoitteiden (RTO) ja tietojen palautustavoitteiden (RPO) määrittely
  4. Kriisinhallintatiimin nimeäminen ja koulutus
  5. Säännölliset harjoitukset (kyberhyökkäys-, evakuointi- ja palautumisharjoitukset)
  6. Resurssien ja varajärjestelyjen varmistaminen

Lainsäädännön ja standardien noudattaminen
Organisaatio noudattaa toimintaansa koskevia lakeja ja standardeja sekä seuraa muutoksia säännöllisesti.

Keskeiset viitekehykset

  1. GDPR ja tietosuojalainsäädäntö
  2. NIS2-direktiivi ja kansallinen lainsäädäntö
  3. Työturvallisuus- ja kuluttajaturvallisuuslainsäädäntö
  4. ISO 27001 – tietoturvan hallintajärjestelmä
  5. ISO 22301 – jatkuvuudenhallinta
  6. ISO 31000 – riskienhallinnan suositukset
  7. Whistleblower-direktiivi

Turvallisuuskulttuuri
Turvallisuuskulttuuri on organisaation asenne, arvot ja toimintatavat turvallisuuden suhteen.

Parhaat käytännöt

  1. Johdon vahva ja näkyvä sitoutuminen
  2. Säännöllinen koulutus ja viestintä
  3. Läheltä piti -tilanteiden ja turvallisuushavaintojen raportoinnin tukeminen
  4. Turvallisuuden sisällyttäminen osaksi työnkulkuja ja kehitysprojekteja
  5. Turvallisuuden mittarit ja KPI-seuranta johdolle
Fyysinen turvallisuus turvatoimien perustana
Fyysinen turvallisuus muodostaa yritysturvallisuuden perinteisen ja konkreettisimman ytimen. Kulunvalvonta, kamerajärjestelmät, paloturvajärjestelmät ja selkeät evakuointikäytännöt minimoivat luvatonta pääsyä ja vahinkoja uhkaavat tilanteet. Fyysisen ja digitaalisen turvallisuuden rajat ovat kuitenkin hämärtyneet: toimitiloihin kohdistuva murto tai laitevarkaus voi johtaa suoraan vakaviin tietoturvaloukkauksiin. Tästä syystä moderni turvallisuusajattelu tarkastelee fyysisiä ja elektronisia turvaratkaisuja yhtenä integroituna kokonaisuutena.

Henkilöstöturvallisuus ja turvallisuuskulttuurin merkitys
Henkilöstö on usein sekä kriittisin voimavara että merkittävin riskitekijä yrityksen turvallisuudelle. Henkilöstöturvallisuus käsittää niin työntekijöiden hyvinvoinnin kuin heidän toimintansa luotettavuuden. Turvallisuuskulttuuri, jossa työntekijät ymmärtävät roolinsa turvallisuuden ylläpidossa ja kokevat voivansa raportoida havainnoistaan ilman seuraamuksia, on välttämätön edellytys toimivalle turvallisuustyölle.

Perehdytys, toistuvat koulutukset ja selkeä ohjeistus hätätilanteissa toimimisesta vahvistavat valmiutta toimia haastavissa tilanteissa. Hyvinvoiva henkilöstö on myös vähemmän altis inhimillisille virheille, mikä korostaa työhyvinvoinnin merkitystä osana kokonaisvaltaista yritysturvallisuutta.

Toimitusketjun turvallisuus globaalissa toimintaympäristössä
Globalisoitunut ja monimutkainen toimitusketjuverkosto tuo mukanaan uusia riskejä, jotka voivat vaikuttaa merkittävästi yrityksen toimintavarmuuteen. Yrityksen turvallisuus on usein yhtä vahva kuin sen heikoin lenkki, minkä vuoksi toimittajien turvallisuuskäytännöt on arvioitava huolellisesti. Taustaselvitykset, sopimuksiin sisältyvät turvallisuusvaatimukset, auditointioikeudet ja vaihtoehtoisten toimittajien suunnittelu ovat keskeisiä käytäntöjä toimitusketjun riskien hallinnassa. NIS2-direktiivi on entisestään korostanut toimitusketjujen kyberturvallisuusvaatimuksia.

Liiketoiminnan jatkuvuuden varmistaminen
Varautuminen häiriötilanteisiin muodostaa yrityksen resilienssin ytimen. Liiketoiminnan jatkuvuussuunnittelu (BCP) ja tekninen toipumissuunnittelu (DRP) sisältävät kriittisten toimintojen tunnistamisen, palautumisaikatavoitteiden (RTO) ja tietojen palautustavoitteiden (RPO) määrittelyn sekä testatut menettelyt, joiden avulla toiminta voidaan palauttaa nopeasti keskeytystilanteen jälkeen.

Pandemia, kyberhyökkäykset ja luonnonkatastrofit ovat osoittaneet, että varautuminen on välttämätöntä. Säännölliset harjoitukset ja kriisinhallintaa tukevat prosessit vahvistavat yrityksen kykyä toimia paineen alla ja palautua nopeasti.

Lainsäädännön ja standardien noudattaminen
Turvallisuuden hallintaa ohjaavat kansalliset ja kansainväliset säädökset, jotka määrittävät vaatimukset tiedon suojaamiselle, riskienhallinnalle ja jatkuvuudenhallinnalle. GDPR, NIS2-directive, työturvallisuuslainsäädäntö sekä standardit kuten ISO 27001 ja ISO 22301 muodostavat viitekehyksen, jonka avulla yritys voi kehittää järjestelmällistä ja mitattavaa turvallisuustoimintaa.

Standardien noudattaminen ei pitäisi olla palvonnan kohde, mutta se voi olla tehokas tapa osoittaa luotettavuutta asiakkaille, kumppaneille ja viranomaisille.

Tietoturvan parhaat käytännöt ovat perusta
Tietoturvan parhaat käytännöt, kuten vahvat salasanakäytännöt, monivaiheinen tunnistautuminen, verkkojen segmentointi ja säännölliset päivitykset, muodostavat yrityksen kyberturvallisuuden perustan. Näitä käytäntöjä voidaan pitää eräänlaisena "hygieniatasolla", jonka puuttuminen altistaa yrityksen välittömästi yleisimmille kyberhyökkäyksille.

Kuitenkin parhaiden käytäntöjen yleisluonteisuus rajoittaa niiden riittävyyttä. Yritysten riskiprofiilit vaihtelevat merkittävästi. Joku yritys voi olla kohde taloudelliselle vakoilulle, toinen kiristyshaittaohjelmille ja kolmas sisäisille uhille. Siksi pelkkä peruskontrollien toteuttaminen ei riitä takaamaan yrityskohtaista suojaa.

Uhkamallinnuksen ja riskianalyysin merkitys
Uhkamallinnus ja riskianalyysi täydentävät yleisiä suosituksia tarjoamalla yksilöllisen näkemyksen yrityksen todellisista riskeistä. Niiden avulla voidaan tunnistaa hyökkääjät, heidän motiivinsa ja mahdolliset iskukohteensa. Riskianalyysi puolestaan arvioi uhkien todennäköisyyttä ja vaikutuksia. Yhdessä nämä menetelmät mahdollistavat täsmällisten ja kohdennettujen suojatoimenpiteiden suunnittelun.

Ihmisten rooli ja inhimilliset virheet
Inhimilliset virheet ovat merkittävä osa tietoturvaloukkauksista, mikä tekee henkilöstön koulutuksesta ja turvallisuusviestinnästä keskeisen osan turvallisuusstrategiaa. Pelkästään tekniset ratkaisut eivät poista riskejä, jotka liittyvät esimerkiksi phishing-sähköposteihin, väärin jaettuihin tiedostoihin tai väärien käyttöoikeuksien myöntämiseen. Yrityksen on luotava ilmapiiri, jossa turvallisuus on osa jokapäiväistä työtä ja jossa poikkeamista voidaan ilmoittaa viipymättä.

Kyberuhkien jatkuva kehitys
Kyberuhat kehittyvät jatkuvasti. Uusia haavoittuvuuksia löydetään päivittäin, ja hyökkääjät käyttävät yhä kehittyneempiä työkaluja. Tekoäly, automatisoidut hyökkäykset, toimitusketjuhyökkäykset, nollapäivähaavoittuvuudet ja deepfake-teknologia ovat esimerkkejä uhkista, joita ei välttämättä otettu huomioon silloin, kun monet parhaat käytännöt on alun perin määritelty. Tämän vuoksi yrityksen on kyettävä kehittymään jatkuvasti. Yritykselle tämä tarkoittaa:

  • digitaalista uhkaseurantaa
  • lokien valvontaa
  • haavoittuvuusskannauksia
  • penetraatiotestauksia
  • säännöllisiä auditointeja
  • harjoituksia, kuten incident response -simulaatioita

Ilman jatkuvaa huomiointia ja reagointikykyä parhaat käytännöt muuttuvat staattisiksi, kun taas hyökkäykset kehittyvät dynaamisesti.
Ohita valikko
Sääntö nro 2
Valvontaa ei voi korvata luottamuksella.

Sääntö nro 3
Riittävän isolla vasaralla voi rikkoa mitä tahansa.

Sääntö nro 4
Jonkun pitää aina johtaa.


Sääntö nro 5
Delegoimalla ei voi välttää vastuuta.

Sääntö nro 1
Yritysturvallisuuden on palveltava toimintojen tavoitteita.
Takaisin sisältöön