|

Mitä on tietoturva? Opas tietoturvalliseen liiketoimintaan!

TietoturvakonsulttiLauri Jurvanen Päivitetty
Mitä on tietoturva - opas tietoturvalliseen liiketoimintaan - Save LAN Oy

Jokaisella yrityksellä on hallussaan tietoja, jotka ovat yritykselle tärkeitä ja turvaamista vaativia. Toimenpiteitä ja menettelyitä, joilla nämä asiat suojataan, kutsutaan yhteisellä nimellä tietoturvaksi.

Syitä tietojen turvaamiseen on monia:

Esimerkiksi taloudellisesta näkökulmasta tärkeitä näkökohtia ovat liikesalaisuuksien suojaaminen ja toiminnan jatkuvuuden varmistaminen. Tietoturvalaeilla ja tietoturvasääntelyllä puolestaan määrätään erilaisten aineistojen, kuten henkilötietojen käsittelystä. Tässä artikkelissa määrittelemme tietoturvan ja tutustumme sen eri osa-alueisiin.

Mitä tarkoittaa tietoturva eli tietoturvallisuus? [määritelmä]

Tietoturvallisuus tarkoittaa toimenpiteitä ja menetelmiä, joita käytetään tietojen, tietojärjestelmien ja tietoverkkojen turvaamiseen. Tietoturvan toteuttamisen tavoitteena on varmistaa tiedon saatavuus, luottamuksellisuus ja eheys. Seuraavaksi tutustutaan näihin jokaiseen erikseen.

Saatavuus eli käytettävyys (engl. availability)

Tietoturvan käytettävyydellä tarkoitetaan kyvykkyyttä tarjota käyttäjille jatkuva ja luotettava pääsy tietoihin ja tietojärjestelmiin. Tämä tarkoittaa, että järjestelmät toimivat suunnitellusti ja häiriöttömästi, ja että tiedot ovat saatavilla, kun käyttäjät niitä tarvitsevat.

Tietoturvan-saatavauus-eli-kaytettavyys-Tietoturvakonsultti-Save-lan
Onko käytettävyys kunnossa?

Luottamuksellisuus (engl. confidentiality)

Tietoturvan luottamuksellisuuden periaate on menetelmä, jolla pyritään estämään luvaton pääsy organisaation tietoihin. Näin varmistetaan, että tiedot ovat vain niiden henkilöiden saatavilla, joilla on oikeus ja tarve hallita kyseisiä tietoja. Tällä tavoin tiedot suojataan väärinkäytöltä.

Luotamuksellisuus-tietoturva-Tietoturvakonsultti-Save-lan
Onko pääsy dataan vain niillä joilla on lupa?

Eheys (engl. integrity)

Tietojen eheydellä tarkoitetaan tietojen ja järjestelmien muuttumattomuuden, yhtenäisyyden ja täsmällisyyden varmistamista. Tiedot eivät saa muuttua vahingossa tai tahallisesti tapahtuvan manipuloinnin takia, eivätkä korruptoitua tai tuhoutua. Eheyden vaatimus koskee tietosisältöjen lisäksi myös niiden metatietoja ja rakenteita. On tärkeää huomata, että tietoturvatoimenpiteet kannattaa kohdistaa vain niihin tieto-osioihin, joita ne konkreettisesti koskevat.

Tiedon eheys tietoturva tietoturva asiantuntija Lauri Jurvanen
Pysyvätkö tiedot muuttumattomina kaikissa tilanteissa?

Näitä kolmea osa-aluetta voidaan täydentää seuraavilla:

  • Kiistämättömyys: Kiistämättömyys on tietoturvan periaate, jolla varmistetaan, että digitaalisesta toiminnasta jää kiistaton ja muuttamaton todiste. Esimerkiksi sähköpostissa käytetty digitaalinen allekirjoitus takaa viestin kiistämättömyyden. Näin sillä vahvistetaan lähettäjän henkilöllisyys ja viestin eheys.
  • Tunnistus: Tunnistus on prosessi, jolla henkilön, järjestelmän tai palvelun henkilöllisyys todennetaan esimerkiksi salasanan tai biometrisen tiedon perusteella. Esimerkiksi verkkopankissa käyttäjän tunnistaminen tapahtuu henkilökohtaisen salasanan ja/tai tunnuslukulistojen avulla.
  • Todennus: Todennus on prosessi, jolla vahvistetaan, että henkilön, järjestelmän tai palvelun väitetty henkilöllisyys on todellinen. Esimerkkinä toimii kaksivaiheinen todennus, jossa käyttäjän identiteetti vahvistetaan käyttäjätunnuksen ja salasanan lisäksi tekstiviestinä saapuvalla kertakäyttöisellä koodilla.

Tietoturvauhka

Mitä tietoturvauhalla tarkoitetaan? Tietoturvauhalla tarkoitetaan potentiaalisia riskejä ja uhkia, jotka saattavat heikentää tietoturvan edellä mainittuja periaatteita eli tiedon saatavuutta, luottamuksellisuutta ja eheyttä. Uhat voivat olla sekä sisäisiä että ulkoisia, ja niitä voivat aiheuttaa esimerkiksi haittaohjelmat, tietomurrot, hakkerointi, inhimilliset virheet tai tekniset vikatilanteet. Tietoturvauhkien ymmärtäminen ja hallinta ovat keskeisessä asemassa tietoturvan toteuttamisessa.

Katso, mitkä ovat yleisimmät tietoturvauhat

Tietoturvauhat yritykselle

Tuotantoverkon tietoturvauhat

Tuotantoverkossa, joka on usein monimutkainen järjestelmä erilaisia tietotekniikan komponentteja ja ohjelmistoja, voi esiintyä useita erityyppisiä tietoturvauhkia:

  • Haittaohjelmat: Virukset, madot, troijalaiset ja muut haittaohjelmat voivat tunkeutua tuotantoverkkoon ja aiheuttaa merkittävää vahinkoa. Esimerkkejä tästä ovat tietojen menetykset, vahingollinen toiminta tai jopa koko järjestelmän lamaantuminen.
  • Hakkerointi: Ulkopuoliset hyökkääjät voivat yrittää murtautua verkkoon ja saada pääsyn sen resursseihin. Tämä voi johtaa arkaluontoisten tietojen vuotamiseen, järjestelmän luvattomaan käyttöön tai jopa palvelunestohyökkäyksiin.
  • Tekniset vikatilanteet: Laitteiston tai ohjelmistojen tekniset viat tai yhteensopivuusongelmat voivat aiheuttaa katkoksia tai häiriöitä tuotantoverkon toiminnassa.
  • Inhimilliset virheet: Työntekijöiden tekemät virheet tai tietämättömyys voivat aiheuttaa tietoturvauhkia. Esimerkiksi heikot salasanakäytännöt tai huolimaton sähköpostin käsittely voivat avata oven haittaohjelmille tai hakkerointiyrityksille.
  • Sisäiset uhat: Harvemmin mainittu, mutta yhtä lailla tärkeä on sisäisten uhkien riski. Tämä voi liittyä esimerkiksi tyytymättömiin työntekijöihin, jotka saattavat tahallisesti vahingoittaa järjestelmää, tai sisäisiin tietovuotoihin, joissa voi paljastua arkaluontoisia tietoja.

Jokainen näistä tietoturvauhista edellyttää omia erityisiä torjuntakeinojaan ja tietoturvallisuuden strategioita. Tästä syystä on tärkeää ymmärtää tietoturvauhkien laajuus ja monimuotoisuus tuotantoverkossa.

Tutustu tarkemmin OT-verkkoihin laajan oppaamme avulla: Mikä on OT-verkko – opas tuotantoverkkojen maailmaan!

Tietoturvalla turvattava data kattaa useita eri tietomuotoja

Tietoturvalla suojataan eri datamuotoja Save LAN
Yrityksen tietoturvan tulee kattaa kaikki tietomuodot

01. Digitaalisten tallenteiden tietoturva

Tietoturvan piiriin kuuluvat ennen kaikkea digitaaliset tallenteet. Ne voivat sisältää esimerkiksi asiakastietoja, yrityksen taloustietoja, sähköpostiviestejä ja ohjelmistoja. Digitaaliset tiedot saattavat olla erityisen alttiita tietoturvauhille, jos ne ovat saatavilla etäyhteyden kautta. Tällöin niitä voidaan yrittää käyttää tai muuttaa luvattomasti.

02. Fyysisten tallenteiden tietoturva

Toiseksi myös fyysiset tallenteet tulee suojata. Vaikka monissa yrityksissä on siirrytty sähköisiin järjestelmiin, myös paperitallenteita käytetään edelleen jossain määrin. Fyysiset tallenteet voivat sisältää esimerkiksi paperidokumentteja, kirjallisia muistiinpanoja, tulosteita ja muita manuaalisesti tuotettuja tietolähteitä. Nämä fyysiset tallenteet tulee säilyttää turvallisesti lukituissa arkistokaapeissa tai muissa turvallisissa säilytystiloissa, ja niiden hävittämiseen on käytettävä tietoturvallisia menetelmiä, kuten silppuamista. Tähän kategoriaan sisältyvät myös käytöstä poistettavat tallennusvälineet, kuten kovalevyt ja muistitikut.

03. Ihmisten tietämyksen suojaaminen

Kolmanneksi tietoturva kattaa myös ihmisten tietämyksen. Tähän voivat sisältyä työntekijöiden tai muiden sidosryhmien tiedot yrityksen toiminnasta, tietojärjestelmistä tai salasanoista. Tämä tietämys voi olla erityisen arkaluonteista ja arvokasta, joten se tulee suojata asianmukaisesti. Työntekijöiden tietoturvakoulutus ja asianmukaiset käyttöoikeudet ovat avainasemassa tämän tyyppisen tiedon suojaamisessa.

04. Tietojen suojaaminen siirron aikana

Neljänneksi tietoturvan tulee kattaa myös tietojen suojaaminen niiden siirron aikana. Tietojen siirtoon liittyy usein tietoturvauhkia, sillä sen aikana tiedot ovat erityisen alttiita luvattomalle käytölle tai vahingoittumiselle. Tietoturvaa voidaan parantaa käyttämällä salausta tietojen lähettämiseen tai käyttämällä turvallisia tiedonsiirtomenetelmiä, kuten VPN-yhteyksiä. Lisäksi kannattaa varmistaa, että vain valtuutetuilla henkilöillä on siirrettävien tietojen käyttöoikeus.

Ota yhteyttä, niin laitetaan tuotantoverkon asiat kuntoon

Tietoturvan osa-alueet

Tietoturvan osa-alueet jaotellaan kolmeen pääluokkaan, joista kaikki ovat keskeisiä yrityksen kokonaisvaltaisen kyberturvallisuuden rakentamisessa:

Tietoturvan osa-alueet ovat hallinnollinen tekninen ja fyysinen tietoturva Save LAN tietoturvayhtiö
Hallinnollinen, tekninen ja fyysinen tietoturva

Mitä tarkoittaa hallinnollinen tietoturva?

Hallinnollinen tietoturva tarkoittaa organisaation toimintatapoja, menettelyjä ja ohjeistuksia, joilla ohjataan tietojärjestelmän suojaamista käytännön tasolla. Tämä voi tarkoittaa esimerkiksi tietoturvapolitiikan laatimista, tietoturvakoulutuksen järjestämistä tai tietoturvaa koskevien vastuujärjestelyjen määrittämistä.

Lue lisää hallinnollisesta tietoturvasta

Mitä tarkoittaa tekninen tietoturva?

Tekninen tietoturva tarkoittaa tietotekniikan ja tietoverkkojen suojauksen menetelmiä ja välineitä. Tässä voidaan käyttää esimerkiksi palomuuria tai palomuuripalvelua, haittaohjelmien torjuntaohjelmistoja, salausta tai pääsynvalvontajärjestelmiä.

Lue lisää teknisestä tietoturvasta

Mitä on fyysinen tietoturva?

Fyysinen tietoturva tarkoittaa toimenpiteitä, joilla suojataan fyysiset laitteet, kuten tietokoneet, palvelimet ja verkkolaitteet, sekä tilat, joissa nämä laitteet sijaitsevat. Fyysiseen tietoturvaan voivat kuulua esimerkiksi lukitusjärjestelmät, kameravalvonta tai vanhentuneiden laitteiden ja tallenteiden tietoturvallinen hävitys.

Lue lisää fyysisestä tietoturvasta

Mitä tarkoittaa tietosuoja?

Tietosuoja on olennainen osa yksilön oikeutta yksityisyyteen. Sillä viitataan erityisesti henkilötietojen suojeluun: kyse on tiedoista, joilla voidaan tunnistaa henkilö. Näitä ovat esimerkiksi nimi, osoite tai henkilötunnus. Tietosuoja koskee sekä yksilöiden että yritysten toimintaa, ja sen tarkoituksena on estää henkilötietojen väärinkäyttö ja turvata yksilön oikeudet.

Yksilön tietosuoja vs tietoturva Save LAN tietoturvayhtiö
Tietosuoja vai tietoturva?

Tietosuoja ja tietoturva ovat läheisessä yhteydessä toisiinsa

Tietoturva on joukko toimenpiteitä, joilla pyritään suojaamaan tiedot turmeltumiselta, luvattomalta pääsyltä tai väärinkäytöltä.

Tietosuoja puolestaan keskittyy siihen, miten henkilötietoja kerätään, säilytetään, käsitellään ja tuhotaan. Toisin sanoen tietoturva on väline, jonka avulla tietosuojaa voidaan toteuttaa käytännössä.

Tietosuojan toteuttaminen yrityksessä

Yritykset käyttävät monia palveluita ja toimintoja, joilla käsitellään henkilötietoja. Niissä kaikissa on tärkeää varmistaa tietosuoja. Esimerkkejä kyseisistä palveluista ja toiminnoista ovat:

  • asiakasrekisterit
  • verkkokaupat
  • markkinointijärjestelmät
  • henkilöstöhallinnon järjestelmät

Yritysten on toteutettava erilaisia toimenpiteitä henkilötietojen suojaamiseksi. Nämä voivat olla teknisiä ratkaisuja, kuten salaus tai palomuurit, ja organisatorisia toimenpiteitä, kuten tietosuojakäytännöt ja koulutukset. Nämä suojaamistoimenpiteet on suunniteltu varmistamaan, että henkilötietoja käsitellään lainmukaisesti, turvallisesti ja läpinäkyvästi.

Yksi tärkeä osa tietosuojaa on myös käyttäjien, eli henkilötietoja antavien henkilöiden, oikeuksien huomioiminen. Tämä tarkoittaa muun muassa oikeutta saada tietoa siitä, mitä tietoja kerätään, miten niitä käytetään ja kenellä on pääsy niihin. Lisäksi käyttäjillä on oikeus vaatia virheellisten tietojen korjaamista, tietojen poistamista tai siirtoa.

Linkki tietosuojalakiin

Yhteenveto

Tietoturva on nykyisessä turvallisuusympäristössä olennainen osa yrityksen ydintoimintaa ja sen merkitystä ei voida korostaa liikaa. Kuten tässä johdannossa on kuvattu, se ei ole pelkästään tekninen kysymys, vaan se vaatii laaja-alaista ymmärrystä yrityksen toiminnoista, riskeistä ja toimenpiteistä, joilla näitä riskejä hallitaan.

Meiltä tiedustellaan usein nimenomaan tekniseen tietoturvaan liittyviä toimenpiteitä huomioimatta, että tietoturva kokonaisuutena kattaa niin hallinnollisen, teknisen kuin fyysisenkin turvallisuuden. Suojaamisen vaatimat toimenpiteet vaihtelevat laite- ja ohjelmistotason ratkaisuista aina koko organisaation tietoturvapolitiikkaan ja ‑kulttuuriin saakka. Turvallisuus ei ole vain jokin toiminto, joka laitetaan kerran päälle, vaan sen ylläpitäminen vaatii jatkuvaa yrityksen sisäistä tarkkailua, oppimista ja parantamista.

Yhteenvetona voidaan todeta, että jokaisen yrityksen on syytä ottaa tietoturva vakavasti. Yrityksen tulee suojata tarkasti ne digitaaliset palvelut, joita se asiakkailleen tarjoaa. Näin suojataan paitsi yritystiedot, myös asiakkaiden arkaluonteinen data. Tietoturvan eteen tehty työ ei ole koskaan hukkaan heitettyä. Kun tietoturva on kunnossa, yritys on valmiimpi kohtaamaan digitaalisen aikakauden haasteet ja mahdollisuudet. Tästä syystä yritysten on syytä panostaa tietoturvaan nyt enemmän kuin koskaan.

Tietoturvasta usein kysyttyä

Mikä on tietoturvarikos

Tietoturvarikos on yritykselle merkittävä uhka, jossa ulkopuolinen tahot tai jopa sisäiset tekijät hyödyntävät heikkouksia yrityksen tietoturvassa luvattomaan toimintaan. Tämä voi sisältää tietovuodot, hakkeroinnin, haittaohjelmien levittämisen tai järjestelmän sabotoimisen. Tällaiset rikokset voivat aiheuttaa vakavia taloudellisia menetyksiä, mainehaittaa ja heikentää asiakastyytyväisyyttä.