Tietokeskus

PK-yrityksen tietoturva

Kuinka järjestää sopivan tasoinen tietoturva pk-yrityksessä? Lue pk-yritysten tietoturvan neljästä ulottuvuudesta ja tutustu Tietokeskuksen tietoturvapalveluiden valikoimaan.

Pk-yrityksen tietoturvassa on keskeistä huolehtia siitä, että arkaluontoinen tieto ei vuoda kenellekään, jolle se ei kuulu. Tämä on erityisen tärkeää silloin, kun loppukäyttäjät käsittelevät jatkuvasti esimerkiksi liikesalaisuuksia sisältäviä dokumentteja. Verkkokaupan tyyppisessä, maksuliikennettä tai asiakasdataa sisältävissä tietojärjestelmissä on puolestaan erityisen tärkeää suojata liiketoimintajärjestelmät.

Jokainen yritys, pienikin, on hyökkääjälle arvokas. Jos takaovi on jätetty auki, niin joku käy todennäköisesti katsomassa, löytyisikö tietoa jolla voisi kiristää. Pahimmassa tapauksessa yritys voi menettää kaikki tiedot, ja asiakasdatan menetyksen myötä häviää helposti koko liiketoiminta.

Pk-yritysten tietoturvaa koskevat viranomaisvaatimukset

Yritysten tarpeet tietoturvan suhteen vaihtelevat, mutta jokaisen yrityksen tulee huolehtia tietoturvan riittävästä tasosta. Riittävä tietoturvan taso riippuu muun muassa siitä, mitä viranomaisvaatimuksia toimialaan liittyy.

Tällä hetkellä ajankohtaista tietoturvassa ovat NIS2-sertifikaattivaatimukset, jotka koskevat myös kumppaneita ja alihankintaketjuja. Direktiivin voimaantulon myötä johto vastaa yhä enemmän tietoturvasta ja toimintatapojen pitää olla selviä, miten tietoturvaa tulee raportoida ja johtaa. Esimerkiksi tietoturvaloukkauksista on raportoitava 24 tunnin sisällä, mikä edellyttää käytännössä toimivaa SOC-palvelua.

Koko ympäristö kannattaa rakentaa Zero trust -ajattelun mukaisesti eli sallia pääsy vain niihin ympäristöihin ja työkaluihin, joita käyttäjä työssään tarvitsee.

Tutustu NIS2-direktiiviin

Tietoturvavaatimukset ja niiden vaikutukset suomalaisille yrityksille ja julkishallinnolle

Lue NIS2-direktiivistä

SOC-palvelu

Tietoturvauhkien tunnistaminen sekä reagointi selkeällä kuukausihinnalla

Tutustu SOC-palveluumme

”Olemme havainneet SOC-palvelun avulla sellaisia tietoturvapoikkeamia, joita emme olisi itse huomanneet. Pienelle sisäiselle IT-tiimille on myös tärkeää, että on olemassa taustavalvontaa, varsinkin kun omat työntekijät ovat lomilla tai sairaana.”

Mika Jääskelä
Tietohallintopäällikkö
Tutustu asiakastarinaan

Pk-yrityksen tietoturvan neljä osa-aluetta

Näemme Tietokeskuksella tietoturvan nelikenttänä, jonka osa-alueita ovat ennakointi, havaitseminen, estäminen ja jatkuvuuden hallinta.

Estävä tietoturva ja jatkuvuuden hallinta ovat useimmilla yrityksillä jo olemassa, mutta havaitsemisessa ja ennakoinnissa on tyypillisesti eniten kehitettävää.

Ennakointi

Havaitseminen

Estäminen

Jatkuvuudenhallinta

Ennakointi

Ennakoinnilla tarkoitetaan toimenpiteitä, joilla pyritään estämään kyberhyökkäysten mahdollisuus jo ennalta. Tämä tarkoittaa esimerkiksi tietoturvallisen arkkitehtuurin suunnittelua ja tulevien hankkeiden yhteensovittamista tavoitearkkitehtuurin kanssa. Hyökkäyspinta-alan pienentäminen on oleellinen osa ympäristön kehittämistä. Myös käyttäjäkoulutuksella on merkittävä rooli: kun loppukäyttäjät osaavat tunnistaa kalasteluviestit ja muut huijaukset, he voivat välttyä identiteettivarkauksilta ja muilta uhilta.

Hyökkäyspinta-alan pienentäminen
Zero Trust -periaate
Loppukäyttäjien tiedottaminen tietoturvauhista ja kalasteluviesteistä Haavoittuvuustestaukset
Haavoittuvuuksien hallintapalvelu

Havaitseminen

Tietokeskuksen SOC-palvelu (Security Operations Center) mahdollistaa uhkien tehokkaan havaitsemisen. Palvelu laajentaa näkyvyyttä perinteisestä virustorjunnasta kattavampaan, 360 asteen näkymään yrityksen ympäristöön. Näin mahdollisiin uhkiin voidaan havaita ja reagoida ajoissa.

Aktiivinen 24/7 seuranta
Herätteiden seuraaminen
Havainnointi monesta eri lähteestä
Kattava näkyvyys ympäristöön

Estäminen

Estäminen kattaa päätelaitteiden, verkon ja identiteetin suojauksen, joita on kehitetty yrityksissä jo pitkään. Näillä osa-alueilla ollaan usein varsin hyvässä tilanteessa, mutta teknologia kehittyy jatkuvasti, joten myös uusien ratkaisujen tarkastelu säännöllisesti on suositeltavaa.

Päätelaitteiden suojaus
Virustorjunta
Työsemien kyberturvasuoja
Palomuuri
Identiteetin suojaus 2-vaiheisella tunnistamisella

Tietokeskuksen toimistolla

Jatkuvuuden hallinta

Jatkuvuuden hallinta varmistaa, että yrityksen palvelut ja ympäristö voidaan palauttaa nopeasti mahdollisessa kriisitilanteessa. Tämä sisältää varmuuskopioinnin, palautusprosessien suunnittelun sekä palautumissuunnitelman laatimisen ja tarvittaessa testaamisen. Tavoitteena on, että jokainen ymmärtää, mitkä järjestelmät ovat liiketoiminnan kannalta kriittisiä ja missä järjestyksessä ne on palautettava toimintakuntoon.

Disaster Recovery -suunnitelma
Kriittisten toimintajärjestelmien kahdentaminen
Varmistukset

Kuinka hyvin yrityksenne käyttäjät, laitteet ja data on suojattu?

Lue käytännönläheiset vinkit yrityksen tietoturvan parantamiseksi.

Lataa tietoturvan pikamanuaali

Autamme pk-yrityksiä huolehtimaan tarpeiden mukaisesta tietoturvasta

Pk-yrityksen tietoturvan järjestäminen riittävälle tasolle ei ole ydinfysiikkaa, vaikka se toki vaatiikin valppautta ja tietoturvauhkien väsymätöntä seurantaa. Haasteena on, että tietoturva pitää ottaa huomioon aivan kaikessa tekemisessä. Tietoturvariskejä liittyy niin yrityksen työntekijöihin kuin käytössä oleviin liiketoimintasovelluksiinkin.

Autamme ottamaan huomioon kaikki tietoturvan neljä osa-aluetta ja järjestämään yrityksellesi sopivantasoisen tietoturvan.

Tutustu tietoturvapalveluihimme

SOC-palvelu

Lue lisää

Tietoturvakonsultointi

Lue lisää

Tietoturva-auditointi

Lue lisää

Microsoft Defender for Business

Lue lisää

Kiinnostuitko tietoturvapalveluistamme?

Jätä yhteydenottopyyntö ja olemme sinuun yhteydessä.

Sampo Suojala

Myyntijohtaja
sampo.suojala@tietokeskus.fi

Ajankohtaista

Ajankohtaista tietoturvassa

Blogi

Laitehallinta Zero Trust -mallilla 

2/3 tietoturvahyökkäyksistä tapahtuu päätelaitteen kautta. Käyttäjä painaa vahingossa linkkiä, joka aiheuttaa pienen epidemian yrityksen IT-ympäristössä. […]