Pieni tarkistuslista tietoturvaan liittyen

TechSoup-koordinaattori Riikka on tekemässä tieto- ja viestintätekniikan opinnäytetyötään aiheesta "Tietoturva järjestöissä". Kyselyn tarkoituksena on kartoittaa millä tavoin tietoturva-asiat on organisoitu järjestöissä ja mitä ratkaisuja järjestöillä on jo käytössä. Kyselyyn tuli vastauksia yhteensä 87 kappaletta hyvin erilaisilta järjestösektorin toimijoilta, joten iso kiitos kaikille, jotka käyttivät aikaansa vastaamiseen!

Avoimissa vastauksissa useampi oli toivonut kyselyn rungon julkaisemista eräänlaiseksi tsekkauslistaksi, joten kyselyn runko löytyy tästä artikkelista.

Henkilöstöön liittyvät kysymykset

  • Oletteko nimenneet työyhteisöstänne jonkun vastaamaan tietoturvasta? 
    • Organisaation olisi hyvä nimetä tietoturvasta vastaa henkilö. Organisaation tietoturva ei ole koskaan valmis, joten sen kehittämisen ja ylläpitämisen olisi hyvä olla jonkun vastuulla.
  • OIetteko tehneet riskien arviointia tietoturvaan liittyen?
    • Riskien arvioinnissa olisi hyvä pohtia mitä suojeltavaa tietoa teillä on, millaisia uhkia teihin voisi kohdistua, mahdollinen hyökkääjä ja motiivit sekä mitä haittoja mahdollinen tietojen vuotaminen voisi aiheuttaa. Esimerkiksi sisäinen viestintä voi tuntua merkityksettömältä tietoturvan kannalta, mutta nopeasti senkin vuotaminen aiheuttaa suurta mainehaittaa organisaatiolle.
  • Oletteko laatineet tietoturvaohjeet henkilökunnallenne, hallituksellenne tai vapaaehtoisillenne? 
    • Henkilöstölle tulisi olla olemassa tietoturvaohjeet, josta löytyisi ohjeet muun muassa siihen miten toimia, kun henkilöstö huomaa tietoturvapoikkeamia ja kenelle niistä raportoidaan, salasanakäytännöt, ohjeet ohjelmistojen ja sovellusten asennukseen, käytännöt omien laitteiden käyttämiseen yms.
  • Koulutatteko henkilöstöänne tietoturvaan liittyen?
    • Koulutus voi olla esimerkiksi osana perehdytysprosessia tai muita sisäisiä koulutuksia. Koulutuksen tulisi kuitenkin olla jatkuva prosessi, eikä vain kertaluontoinen tapahtuma perehdytyksen osana. Henkilöstö on kuitenkin useimmiten heikoin lenkki tietoturvaan liittyen.

Tekniset kysymykset

  • Onko tietokoneissanne käytössä virustorjunta? 
    • Virustorjunnan avulla suojataan tietokonetta verkosta tulevilta haittaohjelmilta ja viruksilta.
  • Päivittyvätkö laitteenne ja järjestelmänne säännöllisesti? 
    • Hyökkääjät pyrkivät hyödyntämään myös jo julkitulleita haavoittuvuuksia, minkä vuoksi laitteiden ja järjestelmien säännöllinen päivittäminen on tarpeen.
  • Onko tietokoneidenne kiintolevyt salattu?
    • Esimerkiksi BitLocker tai VeraCrypt tai muu vastaava, joka estää ettei kiintolevyn tietoja voida lukea mikäli tietokone joutuu vääriin käsiin.
  • Onko teillä käytössä pilvipalveluja? 
    • Pilvipalvelut mahdollistavat etä- ja yhdessä työskentelyn. Pilvipalveluissa on monia hyviä tietoturvaa parantavia ominaisuuksia, joihin on hyvä tutustua pilvipalvelua käyttöönottaessa, jotta käyttö on mahdollisimman turvallista.
  • Onko teillä käytössä VPN-yhteys mikäli henkilöstöllänne on tarve päästä sisäverkkoon tai palvelimillenne esim. kotoa?
    • Mahdollistaa turvallisen yhteyden muodostamisen sisäverkkoon tai palvelimille.
  • Oletteko määritelleet/jaotelleet erilaisia käyttöoikeustasoja järjestelmiinne?
    • Esimerkiksi kenellä on oikeus tarkastella jäsenten henkilötietoja, kenellä on oikeus tarkastella palkkatietoja taloudenhallintajärjestelmissä yms.
  • Onko teillä luotu selkeä ennalta määritelty elinkaari käyttäjätilien luomiseen, ylläpitoon ja poistamiseen?
    • Kuka vastaa tunnusten luomisesta, millainen käyttöoikeustaso kuuluu millekin roolille, milloin tunnukset poistetaan yms.
  • Onko teillä käytössä kaksivaiheinen tunnistautuminen järjestelmiinne kirjauduttaessa?
    • ​​​​​​​Esimerkiksi tekstiviestivahvistus tai puhelimen sovelluksessa kirjautumisen hyväksyntä. Mahdollista ottaa nykyään käyttöön Googlen ja Microsoftin pilvipalveluissa sekä monissa muissa järjestelmissä. Tämän avulla käyttäjätilin kaappaaminen on haastavampaa, vaikka kirjautumistiedot päätyisivätkin esimerkiksi tietojenkalasteluviestien kautta vääriin käsiin.
  • Onko teillä käytössä keskitetty lokitietojen tallennus-, hallinta- ja käsittelyjärjestelmä järjestelmissänne?
    • ​​​​​​​Tiedon eheyden ja aitouden kannalta lokitietojen tallentuminen on tärkeää. Eli tallentuuko esimerkiksi tietoa siitä, kuka on muokannut tietoa ja muokkaustapahtuman aikaleima.
  • Tallentuuko tai otatteko säännöllisesti varmuuskopiot tärkeistä tiedoista? 
    • Jos alkuperäinen tieto ei syystä tai toisesta ole saatavissa, niin tällöin varmuuskopioiden merkitys korostuu. Tiedot voivat olla kadonneet tai poistettu vahingossa, tallennuslaite hajota tai hyökkääjä on kaapannut järjestelmänne.
  • Oletteko testanneet varmuuskopioiden palauttamista? 
    • Valmis suunnitelma helpottaa poikkeustilanteessa tietojen palauttamista varmuuskopioiden avulla. On hyvä esimerkiksi tietää kauanko varmuuskopioiden palauttaminen vie aikaa.
X
{link_name} hoitaa TechSoup Suomen kelpoisuustarkastukset ja asiakaspalvelun. Vieraile {link_name}arrow