Taloushallintoliiton tietoturvavaatimukset osa 2
Tietoturva on noussut elintärkeäksi osaksi nykyaikaista liiketoimintaa, kun digitalisaatio ja tietoverkkojen laajentuminen ovat lisänneet organisaatioiden haavoittuvuutta tietomurtoihin ja tietovuotoihin.
Tietoturva on nykypäivänä tärkeässä roolissa jokaisessa yrityksessä. Erityisesti tilitoimistoissa, joissa käsitellään arkaluontoista taloudellista tietoa, tietoturvan merkitys korostuu entisestään. Taloushallintoliitto onkin astunut esiin tässä asiassa vahvana toimijana, tarjoten selkeät suuntaviivat tietoturvavaatimuksistaan. Tämä toimintaohje kokoaa yhteen keskeiset elementit, joita tilitoimistojen on otettava huomioon tietoturva- ja tietosuoja-asioissaan, pohjautuen Taloushallintoliiton asettamiin minimivaatimuksiin. Olemme tehneet näistä vaatimuksista kaksi yhteenvetoa, joiden avulla voit tarkistaa täyttyykö yrityksessäsi Taloushallintoliiton asettamat tietoturvavaatimukset. Käsittelemme vaatimukset kahdessa osassa. Tässä osassa käsittelemme sen sijaan tietokoneet, mobiililaitteet ja sähköpostin. Ensimmäisessä osassa käsittelimme verkot, virtuaalipalvelimet, taloushallinnon pilvipalvelut ja ICT-kumppanit sekä tietosuojan.
Taloushallintoliiton tietoturvaohjeet tietokoneisiin liittyen tiivistettynä:
- Kiintolevyjen kryptaus:
- Tarkista, onko tietokoneiden paikalliset kiintolevyt kryptattu (salakirjoitettu).
- Kryptaus on tärkeä tietoturvatyökalu ja estää tietokoneen tietojen luvattoman käytön.
- Tärkeää erityisesti varkauden tai tietokoneen katoamisen yhteydessä.
- Luvaton käyttöesto:
- Varmista, että kaikissa tietokoneissa on luvattoman käytön esto, kuten salasana, suojakoodi tai biometrinen tunniste.
- Voit parantaa tietoturvaa korvaamalla salasanan biometrisellä tunnistuksella, kuten sormenjäljellä.
- Automaattinen näytön lukitus:
- Tarkista, että kaikissa tietokoneissa on käytössä automaattinen näytön lukitus.
- Tämä estää luvattoman pääsyn tietoihin, kun tietokone on jätetty valvomatta.
- Virus- ja haittaohjelmien torjuntaohjelmisto:
- Varmista, että kaikissa tietokoneissa on virus- ja haittaohjelmien torjuntaohjelmisto.
- Palomuuriohjelmisto:
- Varmista, että organisaation tietokoneita suojataan palomuuriohjelmistolla, joka rajoittaa tietoliikennettä.
- Tietojen synkronointi ja varmuuskopiointi:
- Tärkeää, jos liiketoimintakriittistä tietoa säilytetään paikallisilla kiintolevyillä.
- Varmista, että tiedot synkronoidaan tai varmuuskopioidaan turvalliseen tallennuspaikkaan, kuten turvalliseen pilvipalveluun.
- Tietoturvapäivitykset käyttöjärjestelmiin:
- Asenna säännöllisesti ja automaattisesti tietoturvapäivitykset käyttöjärjestelmiin. Muista valvoa automaattipäivitysten toimintaa.
- Tietoturvapäivitykset sovellusohjelmiin:
- Asenna säännöllisesti ja automaattisesti tietoturvapäivitykset myös sovellusohjelmiin.
- Henkilökohtaisten tietokoneiden käyttö:
- Kirjallisesti kiellä työntekijöiden henkilökohtaisten tietokoneiden käyttö työtehtäviin, jos mahdollista.
- Jos sallittu, varmista, että niiden tietoturvatoimenpiteet vastaavat organisaation laitteita.
Taloushallintoliiton tietoturvaohjeet mobiililaitteisiin liittyen tiivistettynä:
- Tallennustilan salaus:
- Varmista, että kaikissa mobiililaitteissa tallennustila ja muistikortit ovat salattu.
- Tallennustilan salaus suojaa luottamuksellisia tietoja varkaudelta tai katoamiselta.
- Pelkkä PIN-koodi ei yleensä riitä, ja salaus on tarpeen.
2. Luvattoman käytön esto:
- Kaikissa mobiililaitteissa tulee olla luvattoman käytön esto, kuten salasana, suojakoodi tai biometrinen tunniste.
- Salasanan tai biometrisen tunnisteen käyttö on tärkeää luvattoman käytön estämiseksi.
3. Automaattinen näytön lukitus:
- Kaikissa mobiililaitteissa tulee olla automaattinen näytön lukitus.
- Automaattinen näytön lukitus lisää tietoturvaa estämällä ulkopuolisten pääsyn tietoihin esimerkiksi laitteen varkaustapauksessa.
4. Henkilökohtaisten mobiililaitteiden käyttö työtehtäviin ja tietoturva:
- Jos mahdollista, kiellä työntekijöiden henkilökohtaisten mobiililaitteiden käyttö työtehtäviin kirjallisesti.
- Jos sallittu, varmista, että niiden tietoturvatoimenpiteet vastaavat organisaation laitteita.
Taloushallintoliiton tietoturvaohjeet sähköpostin osalta tiivistettynä:
- Monimenetelmäinen todentaminen sähköpostiin (2FA/MFA):
- Käytä monimenetelmäistä todentamista (2FA/MFA) sähköpostipalveluun kirjautumisessa.
- Tämä lisäkerros suojaa käyttäjätunnusten ja salasanojen kalasteluilta.
- Varmista, että MFA/2FA on käytössä kaikissa organisaation sähköpostitileissä.
- Oletussalasanojen vaihtaminen:
-
- Vaihda kaikkien organisaation käyttämien tietojärjestelmien pääkäyttäjätunnusten oletussalasanat vahvoiksi ja ainutlaatuisiksi.
- Tämä toimenpide suojaa tietojärjestelmiä oletussalasanoihin liittyviltä riskeiltä ja hyökkäyksiltä.
Näiden tietoturvavaatimusten noudattaminen vahvistaa organisaation sähköpostiturvallisuutta ja tietojärjestelmien suojausta. Monimenetelmäinen todentaminen ja vahvat salasanat ovat keskeisiä toimenpiteitä sähköpostin ja tietojärjestelmien suojaamisessa.
Lopuksi:
Taloushallintoliitto ymmärtää, etteivät kaikki tilitoimistot ole tietoturva- tai teknologiaeksperttejä. Ohje korostaakin yhteistyön tärkeyttä. Jos huomaat tarvitsevasi apua, voit turvautua meihin. Me autamme sinua toteuttamaan tarvittavat toimenpiteet ilman, että sinun tarvitsee olla huippuasiantuntija itse.
Esimerkiksi meidän tietoturvakartoituksemme avulla voimme nopeasti ja edullisesti selvittää yrityksesi tietoturvan nykytilan, jonka lisäksi saat kattavat kehitysehdotukset ja askeleet tietoturvan parantamiseen. Vaihtoehtoisesti voit tehdä nopean tietoturvatestin, jossa tietoturvapisteet kertovat, miten hyvin tietoturva-asiat on tällä hetkellä hoidossa.
Pidetään yhdessä huolta tietoturvasta ja liiketoiminnan jatkuvuudesta!