yritysten rikosturvallisuus 2017

26 YRITYSTEN RIKOSTURVALLISUUS 2017 YRITYSTEN RIKOSTURVALLISUUS 2017 Seuraavat suojauskeinot ovat tukijalkoja toimivalle tie- toturvalle ja vaikuttavat olennaisesti siihen, missä mää- rin yritys saa lainsuojaa tilanteissa, joissa yritystietoa loukataan. 1. Tietojen luokittelu- ja käsittelyohjeet Kaikissa yrityksissä on luottamuksellisen tiedon lisäksi yrityksen sisäistä tietoa ja julkista tietoa. Liike- ja am- mattisalaisuuksien käsittelyä koskevan ohjeen lisäksi työnantajan kannattaisi tehdä myös muita tietoja kos- keva käsittelyohje tai sisällyttää nämä samaan ohjee- seen. Yksinkertaisimmillaan ohje voi jakaa kaikki yrityk- sen tiedot julkisiin ja sisäisiin tietoihin. Ohjeet voidaan sisällyttää yrityksen omiin yleisiin ohjeisiin tai sitten niistä voidaan laatia omat erilliset ohjeet vain niille, jot- ka käsittelevät tietoa. Tiedon luokittelu- ja käsittelyohjeeseen sisällytetään yleensä: • tiedon luokittelun perusteet (salainen, luottamuk- sellinen, sisäinen, julkinen) • tiedon käsittely liiketoiminnan tilanteissa • tiedon käsittely tiedon elinkaaren aikana (käsittely, muuttaminen, säilyttäminen, jakelu ja hävittämi- nen) Yritykset tekevät aikaisempaa enemmän ohjeita liike- ja ammattisalaisuuksien käsittelystä. Näiden ohjeiden laa- timinen on välttämätöntä, jotta yritys voi suojata tieto- jaan ja kouluttaa henkilökuntaansa toimimaan oikein. Yrityksistä lähes puolet (48 %) oli laatinut ohjeen liike- ja ammattisalaisuuksien käsittelystä. Pienten ja keski- suurten yritysten haavoittuvuutta tietoturvaloukka- ustapauksissa lisää se, että yli puolet (56 %) pienistä yrityksistä ja 40 prosenttia keskisuurista yrityksistä ei ollut tehnyt ohjeita liike- ja ammattisalaisuuksien käsit- telyyn. Palvelualalla tietoa suojataan keskimäärin muita toi- mialoja monipuolisemmin. Palvelualan yrityksistä joka toisella ja muilla toimialoilla neljällä kymmenestä oli ohjeet liike- ja ammattisalisuuksien käsittelyyn. Verrat- tuna viisi vuotta aiemmin tehtyyn mittauskertaan, käsit- telyohjeet ovat yleistyneet erityisesti suurissa yrityksissä (69 %-->79 %), kun taas muissa yrityksissä muutokset ovat olleet melko pieniä. Vuonna 2017 yrityksistä 41 prosentilla oli myös muita tietoja koskeva luokittelu- ja käsittelyohje. Henkilön, jolla pääsy melko kriittisiin tietoihin, siirtyminen kilpailijalle. Tämän jälkeen rajauksen tiukentaminen. (Alle 50 henkilöä työllistävä palve- lualan yritys) 2. Rajatut käyttöoikeudet Rajaamalla tiedon tai tietojärjestelmän käyttöoikeuksia yritys voi turvata tiedon luottamuksellisuutta, eheyttä ja tarkoituksenmukaista saatavuutta. Nämä ovat peru- selementit tietoturvan arvioimisessa. • Luottamuksellisuus on sen varmistamista, että tie- toa pääsevät näkemään tai käsittelemään vain ne henkilöt, joilla on siihen oikeutus. Tässä tiedonsiir- ron salaus ja rajatut käyttöoikeudet ovat keskeisessä asemassa. • Eheys on sen varmistamista, että vain oikeutetut henkilöt voivat muokata tietoa. Yrityksen identitee- tin väärinkäytökset esim. sähköpostiosoitetta vää- rentämällä ovat esimerkki riskeistä tiedon eheydelle. • Saatavuus tarkoittaa sitä, että tieto on auktorisoi- tujen käyttäjien käytettävissä tarvittaessa. Palvelu- nestohyökkäys on esimerkki tiedon saatavuuden estymisestä. Tiedon saatavuutta voidaan parantaa esimerkiksi palveluita tarjoavien järjestelmien ha- jauttamisella ja kahdentamisella. Valtaosa (91 %) kaikista yrityksistä suojaa tärkeimpiä tie- tojaan rajaamalla tiedon käyttäjien määrää. Osuudessa ei ole merkittäviä eroja toimialan perusteel- la. Pienissä yrityksissä riskienhallintakeinon käyttö on lähes keskimääräisellä tasolla, kun taas keskisuurista ja suurista yrityksistä lähes kaikki suojaavat tärkeimpiä tie- toja rajaamalla tiedon käyttäjien määrää. 3. Henkilökunta koulutetaan salaisten/ luottamuk- sellisten tietojen käsittelyyn Tietoaineiston käsittely huolimattomasti, salassa pi- dettävän tiedon vaarantuminen, koska käsittelijä ei ollut sisäistänyt ohjeita (Yli 250 henkilöä työllistävä palvelualan yritys) Henkilökunnan koulutus on tärkeä keino edistää tietojen käsittelyohjeiden sisäistämistä ja ohjeiden noudattamista. Koulutuksella ehkäistään tehokkaas- ti esimerkiksi kriittisistä yritysasioista kertomista. Joka toisessa (54 %) yrityksessä henkilökuntaa kou- lutetaan salaisten tai luottamuksellisten tietojen kä- sittelyyn. Teollisuudessa ja rakennusalalla on vielä enemmän yrityksiä, joissa ei kouluteta salaisten tai luottamuksellisten tietojen käsittelyyn kuin yrityk- siä, joissa koulutusta on. Kaupan alallakin lähes joka toinen yritys ei kouluta salaisten tai luottamuksellis- ten tietojen käsittelyyn. Palvelualalla reilu kolman- nes yrityksistä ei kouluta salaisten tai luottamuksel- listen tietojen käsittelyyn.