Taloushallintoliiton tietoturvavaatimukset osa 1
Tietoturva on noussut elintärkeäksi osaksi nykyaikaista liiketoimintaa, kun digitalisaatio ja tietoverkkojen laajentuminen ovat lisänneet organisaatioiden haavoittuvuutta tietomurtoihin ja tietovuotoihin.
Hyvin hoidettu tietoturva on nykypäivänä yrityksille erittäin tärkeää. Erityisesti tilitoimistoille, joissa käsitellään arkaluontoista tietoa, tietoturvan merkitys korostuu entisestään. Taloushallintoliitto onkin astunut esiin tässä asiassa vahvana toimijana, tarjoten selkeät suuntaviivat tietoturvavaatimuksistaan. Tämä toimintaohje kokoaa yhteen keskeiset elementit, joita tilitoimistojen on otettava huomioon tietoturva- ja tietosuoja-asioissaan, pohjautuen Taloushallintoliiton asettamiin minimivaatimuksiin. Olemme tehneet näistä vaatimuksista yhteenvetoja, joiden avulla voit tarkistaa täyttyykö yrityksessäsi Taloushallintoliiton asettamat tietoturvavaatimukset. Käsittelemme vaatimukset kahdessa osassa. Tässä ensimmäisessä osassa käsittelemme verkot, virtuaalipalvelimet, taloushallinnon pilvipalvelut ja ICT-kumppanit sekä tietosuojan. Toisessa osassa käsittelemme tietokoneet, mobiililaitteet sekä sähköpostin.
Taloushallintoliiton tietoturvaohjeet verkkojen turvaamisesta tiivistettynä
Tarkista, oletko tehnyt tarvittavat toimenpiteet:
- Aktiivilaitteiden salasanat: Vaihda reitittimien, kytkinten ja palomuurien oletussalasanat vahvoiksi. Estä tietomurrot ja ulkopuolisten pääsy laitteisiin.
- Hallintayhteydet: Käytä vain salattuja HTTPS/SSH-yhteyksiä aktiivilaitteiden hallintaan. Estä tietojen kaappaus.
- Vierasverkko: Erota vierasverkko yrityksen sisäisestä verkosta. Suojaa vierailijoiden liikenne ja vaihda vierasverkkojen salasanat säännöllisesti.
- Langattoman verkon turvaaminen: Käytä vähintään WPA2-salausta langattomissa verkoissa. Estä salakuuntelu ja tietojen kaappaus.
- Palomuurit ja VPN: Rajoita haavoittuvien palveluiden tietoliikennettä palomuurien avulla. Suojaa VPN-tunneloinnilla.
Taloushallintoliiton tietoturvaohjeet virtuaalipalvelinten turvaamisesta tiivistettynä
Organisaatiot käyttävät yhä enemmän virtuaalipalvelimia, jotka voivat olla konesaleissa tai pilvessä. Nämä eivät ole tallennustiloja, vaan palvelinkäyttöjärjestelmällä varustettuja palvelimia. Niiden konfigurointi ja ylläpito vaativat erityisosaamista ja ammattilaisten huolenpitoa.
Tarkista, oletko tehnyt tarvittavat toimenpiteet:
- Palomuurit: Käytä palomuuria suojataksesi palvelimesi. Anna ammattilaisten huolehtia sen asetuksista ja ylläpidosta.
- Tietoturvaohjelmisto: Asenna virustorjunta ja haittaohjelmien torjunta palvelinkäyttöjärjestelmiin.
- Varmuuskopiot: Tärkeiden tietojen varmuuskopiointi toiseen paikkaan on elintärkeää. Automatisoi varmuuskopiot ja valvo niiden toimivuutta.
- Päivitykset: Päivitä palvelinkäyttöjärjestelmät ja sovellusohjelmistot säännöllisesti, automatisoidusti jos mahdollista. Muista kuitenkin myös automatisoitujen prosessien säännöllinen seuranta.
- Elinkaari ja tuki: Tarkista, että palvelinkäyttöjärjestelmät ovat ohjelmistotoimittajan tuen piirissä. Päivitä vanhentuneet järjestelmät.
- Jatkuva valvonta: Ammattilaisten valvonta ja ylläpito varmistavat palvelinten turvallisuuden.
Taloushallintoliiton tietoturvaohjeet ICT-kumppaneiden ja taloushallinnon pilvipalveluiden osalta tiivistettynä
- Sopimusvelvollisuus: Henkilötietojen käsittelijän on sovittava henkilötietojen käsittelystä sopimuksella.
- Tarkista velvollisuudet: Tutustu Tietosuojavaltuutetun ohjeeseen ja ICT-palveluntarjoajan palvelusopimukseen.
- Laadi tarvittaessa sopimus: Jos sopimusta ei ole, laadi henkilötietojen käsittelysopimus. Valmiita malleja on saatavilla.
- Varmista, että henkilötietojen käsittely on lainmukaista ja asianmukaisesti dokumentoitua.
Taloushallintoliiton tietoturvaohjeet tietosuojan vaatimuksista tiivistettynä
- Henkilötietojen käsittelysopimukset asiakkaiden kanssa:
- Organisaation on laadittava sopimus henkilötietojen käsittelystä asiakkaidensa kanssa.
- Ilman sopimusta käsittely on lainvastaista.
- Tarkista velvollisuudet ja käytä saatavilla olevaa sopimusmallia tarvittaessa.
- Henkilötietojen käsittelysopimukset yhteistyökumppaneiden kanssa:
- Organisaation on tehtävä sopimus henkilötietojen käsittelystä yhteistyökumppaneidensa kanssa.
- Myös yhteistyökumppaneiden alikäsittelijät voivat käsitellä tietoja.
- Tarkista velvollisuudet, tarkasta kumppanin sopimus, ja laadi tarvittaessa sopimus.
- Tietosuoja-asetuksen mukainen seloste käsittelytoimista:
- Organisaation on laadittava tietosuoja-asetuksen mukainen seloste käsittelytoimista.
- Seloste kuvaa käsittelyä kirjallisesti ja esitetään tarvittaessa valvontaviranomaiselle.
- Tutustu ohjeisiin ja käytä valmista mallia tarvittaessa.
Lopuksi:
Taloushallintoliitto ymmärtää, etteivät kaikki tilitoimistot ole tietoturva- tai teknologiaeksperttejä. Ohje korostaakin yhteistyön tärkeyttä. Jos huomaat tarvitsevasi apua, voit turvautua meihin. Me autamme sinua toteuttamaan tarvittavat toimenpiteet ilman, että sinun tarvitsee olla huippuasiantuntija itse.
Esimerkiksi meidän tietoturvakartoituksemme avulla voimme nopeasti ja edullisesti selvittää yrityksesi tietoturvan nykytilan, jonka lisäksi saat kattavat kehitysehdotukset ja askeleet tietoturvan parantamiseen. Vaihtoehtoisesti voit tehdä nopean tietoturvatestin, jossa tietoturvapisteet kertovat, miten hyvin tietoturva-asiat on tällä hetkellä hoidossa.
Pidetään yhdessä huolta tietoturvasta ja liiketoiminnan jatkuvuudesta!
Lue myös Taloushallintoliiton tietoturvavaatimukset osa 2.