Akatemia

/

Koulutus

/

Henkilöstön kouluttaminen, ohjeistaminen ja politiikkadokumentit

ISO 27001:n vaatimuksen henkilöstön tietoturvalle

Mitä ISO 27001 vaatii henkilöstön tietoturvalta?

Henkilöstön ohjeistaminen ja kouluttaminen liittyvät ISO 27001 -standardin sisällössä useisiin kohtiin. Monia hallintakeinoa voi toteuttaa henkilöstölähtöisesti, ihmisiä ohjeistamalla. Tässä listattuna kuitenkin täsmäesimerkkejä vaatimuksista, joissa suoraan mainitaan henkilöstön ohjeistus tai kouluttaminen.

  • 7.2 - Henkilöstön on oltava pätevää omaan rooliinsa, ja tämä on tarvittaessa varmistettava mm. tietoturvakoulutuksella
  • 7.3 - Henkilöstön edustajien on oltava tietoisia organisaation tietoturvapolitiikasta sekä omasta roolistaan tietoturvan hallinnassa
Digiturvamallissa suosittelemme, että ns. "rivityöntekijän rooli" tietoturvan hallinnassa tehdään hyvin yksinkertaiseksi. Hänen tehtävään on tuntea organisaation määrittelemät tietoturvaohjeet, lukea niitä halutulla syklillä Teamsissa botin avustamana, sekä noudattaa niitä arjessaan.
  • A 7.2.1 - Kaikkien työntekijöiden on toimittava organisaation olemassaolevien tietoturvan toimintasääntöjen mukaisesti.
  • A 7.2.2 - Kakkien työntekijöiden on saavutettava asianmukainen tietoturvatietoisuus ja heidän tietojaan merkityksellisten toimintasääntöjen muutoksista on päivitettävä
Digiturvamallissa nämä "toimintasäännöt" ovat ohjeita, jotka jaellaan automatisoidusti ja joiden hyväksymistä valvotaan.

Tärkeimmät henkilöstölähtöiset tietoturvauhkat

Olemme listanneet aiemmin nykyajan tärkeimpiä tietoturvauhkia ja uutisoimme näihin uhkiin liittyvistä tosielämän tapauksista viikottain. Osa uhkista on melko teknisiä (esim. paikkaamattomat haavoittuvuudet), mutta useimmat nykyaikana korostuvista uhkista ovat työntekijälähtöisiä. Ihmiset ovat se heikoin lenkki, joihin kyberrikollisten on usein tehokkainta hyökätä.

Ihmiset ovat se heikoin lenkki, joihin kyberrikollisten on usein tehokkainta hyökätä.

Nykyajan tärkeimpiä henkilöstölähtöisiä tietoturvauhkia ovat mm.:

  • Tietojenkalastelu, (engl. phishing) eli vilpilliset yritykset hankkia arkaluontoisia tietoja, kuten salasanoja,  esittämällä hyvämaineista toimijaa, mm. sähköpostin, tekstiviestien tai puhelujen kautta.
  • Haittaohjelmat, (engl. malware) eli ei-toivotut  ohjelmat, kuten virukset, botit, troijalaiset, rootkitit ja madot.
  • Salasanahyökkäykset, joissa hyökkääjät hyödyntävät mm. sitä tosiasiaa, että työntekijät käyttävät samoja käyttöoikeustietoja uudelleen ja uudelleen.
  • Kiristyshaittaohjelmat, (engl. ransomware), eli haittaohjelma, joka salaa uhrin tiedostot ja tarjoaa pääsyä tiedostoihin ainoastaan lunnasmaksua vastaan. Nykyään myös uhataan usein tietojen julkaisulla tai kiristetään tietojen kohteena olevaa asiakasta.
  • Business-email-compromise (BEC), jossa työntekijän sähköposti pyritään joko saamaan haltuun tai sitä esitetään pyytääkseen kollegoja tai kumppaneita tekemään tekaistuja pankkisiirtoja.