Mielestäni organisaation tietoturva on vaikkapa yrityksen tapa suojata ja säilyttää tietonsa ja tietoliikenteensä. Organisaation on huolehtittava, ettei ulkopuoliset pääse organisaation sisäisiin tietoihin käsiksi, jotta mm. luottamukselliset asiakastiedot ovat turvassa. Ilman hyvää tietoturvaa ei ole edellytyksiä menestyä. Tietoturva jaetaan fyysiseen sekä järjestelmien tietoturvaan.
Luettuani dokumentin "Mitä on organisaation tietoturva?", asia laajeni ja monimutkaistui paljon.
Tietoturva jaetaan johtamiseen, fyysiseen tietoturvaan, järjestelmien tietoturvaan sekä henkilöstön tietoturvaan. Nämä kaikki osa-alueet ovat tärkeitä osia kokonaisuudessa. Riskienhallinta on myös suuressa osassa tätä kokonaisuutta.
Henkilöstön tietoturvaa on se, että henkilöstö ei vuoda tietoja tai vahingoita yritystä toimillaan vahingossa tai tahallisesti. Helpoiten nämä voidaan välttää antamalla henkilöstölle vain tarvittavat kulkuluvat toimitiloissa sekä tietokannoissa. Henkilöstöä tulee myös valvoa mahdollisilta väärinkäytöiltä. Henkilöstö onkin suuri riski yrityksille, ja niiden kanssa pitää olla tarkkana työsuhteen aikana ja myös sen jälkeenkin. Irtisanottaessa työntekijöitä täytyy huolehtia, että heiltä kerätään kaikki kulkuluvat ja muut yritykselle tai sen toimintaan kuuluva kerätään pois, mm. kännykkä ja luottokortti. Olisi myös hyvä huolehtia, ettei irtisanottu menisi kilpailijoiden piiriin, sillä näin tietovuoto on varmaa. Työntekijöiden koulutus tietoturvaan on välttämätöntä, sillä suureen vahinkoon riittää, että yksi työntekijä tunaroi. Yrityksen koneet pysyvät työpaikalla ja tärkeät paperit hävitetään asianmukaisesti.
Fyysinen turva on toimitilojen vartiointia ja suojaamista. Tämä hoituu parhaiten toimitilan jakamisella osiin, ja osien välistä liikkuvuutta rajoitetaan sekä seurataan. Työntekijät pidetään vain niille työntekekimsen kannalta tärkeisiin tiloihin, eikä mihinkään muualle. Näin vain valitut henkilöt pääsevät käsiksi tärkeisiin tiloihin ja turvallisuus on hyvää. Toimitilat on suojattava myös muilta uhilta, kuten tulipaloilta tai sähkökatkoilta. Ylimääräisiä henkilöitä ei saa päästää työskentelytiloihin, vaan heidät täytyy sijoittaa omiin eristettyihin tiloihin. Näin vältytään mahdollisilta vakoiluilta ja muulta vastaavalta toiminnalta.Työntekijöitä tulee opastaa ja ohjeistaa tilojen ja avainkorttien turvalliseen käyttöön.
Järjestelmien turvaa on, että niiden jatkuva käyttö turvataan toimivalla virransaannilla sekä huollolla. Myös niiden turvaaminen varkauksilta tai vahingoittumisilta on tätä turvaa. Jatkuva virransaanti on tärkeää poikkeustilanteiden kannalta, sillä sähkökatkoksen aikana tietoja voi helposti kadota ilman varavirtaa. Laitteiden huoltamisessa on taas paljon riskejä, kun tämä yleensä ulkoistetaan. Onkin syytä tarkistaa, kenelle laitteiden huoltaminen suodaan ja kuinka laitteet suojataan huollon aikana. Laitteiden käytöstäpoistamiseen tulee kiinnittää huomiota, ettei niihin jää tärkeitä tietoja. Järjestelmien on oltava ajantasalla ja niiden suojaukset on oltava toiminnassa. Järjestelmien on kestettävä hakkerien hyökkäykset, ja tämä onnistuu parhaiten laadukkailla salasanoilla. Salasanat on oltava pitkiä, monimutkaisia eikä saisi sisältää oikeita sanoja. Pituus kuitenkin ratkaisee eniten Brute Force-hyökkäyksissä, joissa pitkiä salasanoja on edes supertietokoneiden vaikea murtaa. Salasanoja ei myöskään saa kierrättää monissa eri palveluissa, sillä jos heikoiten suojattu palvelu murtuu ja salasana on kaikkialla sama, ei suojauksista ole hyötyä.
Johtamisessa tärkeää on tiedostaa toiminnan riskit ja toimia niiden mukaan. Johdon on syytä tietää ja panostaa tietoturvaan. Tietoturva lähtee johtoportaasta, ja sen sitoutuminen siihen on tärkeä osa organisaation tietoturvaa. Johdon on satsattava tietoturvaan panostamalla koulutukseen sekä turvaominaisuuksien rahoittamiseen. Riskianalyysi on tärkeää, sillä tuntemattomiin tekijöihin ei voida puuttua. Riskienhallintaa on niiden tiedostaminen, niiden analysointi, niiden puuttuminen sekä seuranta. Johdon on oltava perillä yrityksen toiminnasta ja hallittava tietourvaelementtejä, sekä tiedottaa henkilöstöä.
Mitä siis organisaation tietoturva on? Se on tämän suuren kokonaisuuden hallintaa yrityksen kohdalla, jossa henkilöstö, laitteet sekä tilat ovat turvallisia sekä turvassa vahingoilta.
http://yle.fi/uutiset/tyontekijat_ovat_suurin_tietoturvauhka_yrityksille__henkiloston_ohjeistusta_aiotaan_tiukentaa/6941588
Tämä Ylen uutinen kertoo, että yrityksien mielestä työntekijät ovat suurin tietoturvauhka. Tämä on totta, ja henkilöstön kouluttaminen sekä ohjeistaminen turvalliseen netinkäyttöön on tärkeää.
