Tulostusversio

3/2015

Tunnista työyhteisön riskit

Teksti: Riittamaija Ståhle
Kuvat: Shutterstock

TS_315_Tyontekija.jpgPalomuuri toimii, virustorjunta on viimeisen päälle, mutta silti jokin mättää. Yrityksen suurin tietoturvariski saattaa nimittäin istua työtuolin ja näppäimistön välissä.

Helsingin seudun kauppakamarin teettämässä selvityksessä tutkittiin suomalaisten yritysten käsityksiä niihin kohdistuvista kyberuhista ja niihin varautumisesta.

Yli kolmannes yrityksistä piti suurimpana uhkana omien työntekijöidensä joko tahallisesti tai tahattomasti aiheuttamaa toimintaa. Tästä huolimatta vain kuudella prosentilla yrityksistä on vahvistettu koulutus- ja harjoitusohjelma kyberturvallisuuden varalle.

Kyberuhkien torjumiseksi asiantuntijat kehottavat työnantajia kouluttamaan, testaamaan ja kuuntelemaan työntekijöitään.

Älä syyllistä

Viestintäviraston riskienhallintapäällikkö Marko Buuri kehottaa työnantajia kiinnittämään erityistä huomiota uuden työntekijän perehdyttämiseen ja talon käytäntöjen opettamiseen.

”Tärkeää on kertoa, millaisissa tilanteissa työntekijän pitää havahtua sekä mitkä ovat epäilyttäviä ja mahdollisesti haitallisia sähköpostiviestejä tai liitetiedostoja”, hän sanoo ja painottaa, että ohjeiden on oltava selkeitä ja helposti ymmärrettäviä.

Viestintävirastossa on käytössä Vivi-ajokorttiohjelma, johon sisältyy muun muassa jokaiselle työntekijälle kuuluvia turvallisuusohjeita. Jokainen uusi työntekijä suorittaa mopokortin. Luentoihin on varattu päivä kuukaudessa vuoden ympäri.

Mopokortin jälkeen suoritetaan ajokortti, johon kuuluvat esimerkiksi kaikille pakolliset syventävät turvallisuuden ja riskienhallinnan perusopinnot. Suositus on, että vanhatkin työntekijät käyvät päivittämässä tietojaan. Kurssin jälkeen testataan, onko oppi mennyt perille.

Lisäksi riskienhallinnan ja turvallisuussääntöjen osaamista testataan kerran vuodessa. Testiin osallistuvat kaikki pääjohtajaa myöten.

Varautumisesta huolimatta vahinkoja voi sattua.

”Jos työntekijä on avannut haitallisen sähköpostin liitteen, syyllistäminen on turhaa. Joskus asiantuntijoidenkin on vaikea tunnistaa haitallisia liitteitä”, Buuri sanoo.

”Syyllistäminen johtaa siihen, että mokia yritetään peitellä, eikä niistä kerrota. Haluan, että omat työntekijämme ovat samalla puolella pöytää oman talon riskienhallinnasta vastaavan kanssa.”

Somesäännöt selviksi

MPS Career on yritysten rekrytointi-, henkilöarviointi- ja uudelleensijoittumispalveluihin erikoistunut yritys. Yhtiön tietoturvaohjeet liittyvät laadunvalvontaan eettisinä pelisääntöinä.

”Toimintamallin ja opastusta olemme hakeneet tietosuojavaltuutetun toimistolta. Sertifiointiprosessissa tietosuojavaltuutetun toimiston edustaja on käynyt kouluttamassa meitä. Kaikki, jotka tekevät henkilöarviointeja, saavat tiukan tietoturvakoulutuksen”, sanoo MPS Career Oy:n toimitusjohtaja Pirjo Varjus-Pitkälä.

Hän korostaa, että esimerkiksi henkilöarviointiraportit lähetetään vain turvasähköpostina erikseen sovitulle henkilölle. Koodi sähköpostin liitteeseen lähtee erillisenä viestinä.

Sosiaalinen media, esimerkiksi LinkedIn, on MPS:lle tärkeä rekrytointikanava. Yrityksen somesäännöt tarkistettiin aikaa vastaaviksi viime keväänä.

”Ihmisen on somettaessaan tiedettävä, milloin hän esiintyy yksityishenkilönä, milloin yhtiön edustajana. Some luo uusia haasteita alalle, mutta tosiasia on, että rekrytointi on suurelta osin siirtynyt sosiaaliseen mediaan”, Varjus-Pitkälä sanoo.

Hän listaa muutamia pelisääntöjä, jotka soveltuvat muillekin työnantajille:

”On tärkeää selvittää, kuka yrityksessä saa käsitellä luottamuksellista aineistoa. Jokainen työntekijä on perehdytettävä tietosuojakysymyksiin. Tätä varten pitää laatia perehdyttämisohjelma. Lisäksi jokaisen yrityksen kannattaa luoda somen pelisäännöt.”

Kouluta ja varmista

Suomalainen tietojen hallinnan, jakamisen ja suojaamisen ohjelmistoratkaisuja tarjoava ohjelmistoyhtiö M-Files elää hurjaa kasvukautta. Viime vuonna henkilöstömäärä lisääntyi 40 prosenttia.

Kovat kasvuluvut merkitsevät haasteita myös henkilöstöhallinnolle. Maailmanlaajuinen toiminta tuo sekin omat haasteensa.

Henkilöstöjohtaja Johanna Salmi kertoo, että yrityksen jokainen työntekijä on valmennettu luottamuksellisen tiedon käsittelyyn.

”Käytössämme on laatudokumentit, joissa selvitetään tietoturvaa, luottamuksellisissa projekteissa työskentelemistä, IT-infrastruktuuria ja laitteita sekä sosiaalisen median käytäntöjä.”

Salmen mukaan dokumenttien toimittaminen on kuitenkin hyödytöntä, ellei niiden ymmärtämistä varmisteta. Jokainen työntekijä perehtyy ohjeisiin ja kuittaa sähköisellä allekirjoituksellaan lukeneensa ja ymmärtäneensä ohjeet sekä sitoutuvansa niiden noudattamiseen.

Monikansallisella yrityksellä tietoturvaa koskevat dokumentit ovat maailmanlaajuisia. Ohjeet ovat yleensä englanniksi. Näin halutaan Salmen mukaan varmistaa, että kaikki työntekijät ympäri maailmaa ymmärtävät sisällön.



Bookmark and Share
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto

Uutiset

•  = artikkeli on luettavissa vain netissä

 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.