Software development and subcontracting

Tietoturva

IT Security


Olipa yritys minkä kokoinen tahansa, on tietoturva yksi toiminnan kriittisistä osa-alueista.

Tietoturva ei ole pelkästään sitä, että asennetaan tietokoneille virustarkastusohjelma ja varmistetaan ohjelmapäivitykset.
Yrityksen tietoturva on toimintamalli, minkä kokonaisuutena tekniset ratkaisut auttavat, mutta itse turvallisuus lähtee yrityksen toiminnan kulttuurista.

Aivan jokainen yritys tarvitsee tietoturvaa. Sitä tarvitaan jo lakiteknisistä syistä esimerkiksi GDPR-vaatimusten vuoksi. Sillä ei ole merkitystä kuinka pieni tai suuri yritys on. Jokaisen yrityksen on varauduttava pahimpaan sillä toiminta keskeytyy tai saattaa pahimmillaan loppua kokonaan mikäli paha ongelma osuu kohdalle. Ja ongelma ei koskaan varaa aikaa ennakkoon kalenterista!

Turvallisuus ei ole vaikea asia. Se on ennakoivaa toimintaa ja varautumista pahimpaan.

Se on sellainen asia, mikä kannattaa ottaa huomioon ennakolta ja jokaisen pienenkin yrityksen tulisi pyrkiä toteuttamaan turvallisuus siten, että se kestää myös yrityksen kasvun.
Turvallisuuden ennakoiminen on aina paljon edullisempaa kuin asioiden korjaminen ja selvittäminen jälkikäteen sitten kun vahinko on jo tapahtunut!
Tässä turvastandardi ISO 27001 on apuna ja hyvin toteutettu yritysturvallisuus nostaa myös yrityksen arvoa.
Kannattaa ajatella, että kokonaisvaltainen tiedon turvaaminen sisältää ainakin seuraavat asiat:

Yrityksen paikallisen tietoturvallisuuden lisäksi monilla tulee eteen myös se, että tietoa on pilvipalvelussa ja mahdollisesti yrityksellä on jopa omia ohjelmistoja, joilla tietoa hallitaan.

Hyvin usein esimerkiksi pilvipalveluiden osalta ei tiedetä missä tieto sijaitsee! Monen tiedon tallentaminen EU:n ulkopuolelle voi rikkoa jopa lakia!
Tämä seikka kannattaa huomioida yrityksissä sillä verkossa on tarjolla monenmoista palvelua, mutta niiden tietosuoja ei olekaan välttämättä lain mukainen.

Yrityksissä tiedon saamiseen vaikuttaa myös hyvin monet muut seikat. Vaikkapa henkilöstän vaihtuminen! Tai vaikkapa se, että halutaan jakaa nettiyhteys asiakaskäyttöä varten. Molemmat esimerkeistä muodostavat erittäin suuren riskin yrityksen turvallisuudelle ellei näille ole luotu teknistä sekä ihmisen toimintaa vaativaa protokollaa kuinka toimitaan.

Missä kunnossa yrityksen omat ohjelmistot ovat?

Monissa yrityksissä on käytössä myös ohjelmistoja, jotka ovat itse tehtyjä ja mahdollisesti hyödyntävät jotakin kolmannen osapuolen ohjelmistoa tai osaa siitä toimiakseen. Mikäli tällaisia on käytässä julkisesti verkossa ilman viimeisimpiä turvallisuuteen liittyviä päivityksiä, on riski todella suuri. Ja vastaavat ongelmat tulisi korjata myös "talon sisäisissä" järjestelmissä.

Ohjelmistojen osalta tekniikka kuitenkin muuttuu nopeasti. Erilaisilla alustoilla on uusia komponentteja ja paljon sellaisia, mitkä ovat poistuneet tai poistumassa käytöstä. Sellaisia, minne ei enää saada pävityksiä lainkaan. Samaan aikaan yrityksen omassa palvelussa saattaa olla hyvin vanhanaikaista koodia. Jopa niinkin riskialtista, missä esimerkiksi salasanoja tallenetaan tietokantaan selväkielisinä tai MD5 muotoisena. Monilla yrityksillä on tietokannoissaan myös dataa, jota siellä ei saisi olla lainkaan tai ainakin sen pitäisi olla salatussa muodossa ja tunnistettavissa sellaiseksi, minkä laki määrää poistettavaksi määräajan kuluessa.

Ota reippaasti yhteyttä ja selvitetään tällaisetkin riskit. Ja selvityksen tuotoksena saadaan selkeä malli siihen, mitä pitää korjata ja missä ja miksi.

Tietoturva ei ole vain se paha ja pakollinen asia. Se on välttämätön asia!

Nykymaailmassa riski mitä erilaisimpiin huijauksiin on vain kasvamassa. Joka ainoan yritäjän tulisi olla ajantasalla ja laatia turvapoikkeusdokumentti. Sellaista vaaditaan jo pelkästään EU:n GDPR:n mukaisessa laissa henkilötietojen osalta ja vielä suuremmalla syyllä sellainen tulisi olla yritykselle itselleen käytössä välineenä, minkä avulla tiedetään missä mitäkin on ja millaiset riskit niihin tietoihin kohdistuvat yrityksen omien tietojen osalta.

IT Development Spain auttaa alueen yrityksiä kartoittamaan riskit sekä selvittämään ja toteuttamaan turvallisuuden parantamiseen liittyviä toimenpiteitä, olivatpa ne sitten teknisiä tai mahdollisesti henkilöstön kouluttamiseen ja toimintaan liittyviä. Tarvittaessa voidaan tuottaa myös käytössä olevien ohjelmistojen turva-analyysi ja paljon muuta, mikä hyödyttää yritystä jatkossa selviämään ongelmatilanteista helpommalla.

Ei silloin kun tulipalo on jo liekeissä vaan jo ennen sitä, että se ei syty!

Secure server room