Trace Id is missing
Siirry pääsisältöön
Microsoft Security

Mitä tietoturva on?

Tietoturva edellyttää, että tiedät, mitä tietoja sinulla on ja missä ne sijaitsevat, ja että tunnistat tietoihisi liittyvät riskit. Tutustu siihen, miten voit suojata tietosi.

Tietoturvan määritelmä

Tietoturva auttaa sinua suojaamaan arkaluonteisia tietoja koko niiden elinkaaren ajan, ymmärtämään käyttäjän toiminnan ja tietojen asiayhteyden sekä estämään tietojen luvattoman käytön tai menettämisen.

Tietoturvan merkitystä ei voi aliarvioida tänä lisääntyvien kyberturvallisuusuhkien ja sisäisten käyttäjien riskien aikakautena. Se on tarpeen, jotta saat näkyvyyden käytössäsi oleviin tietotyyppeihin ja voit estää tietojen luvattoman käytön ja tunnistaa tietoihin liittyvät riskit sekä lieventää niitä. Tietoturvan yhteydessä tietoturvan hallinta ohjaa organisaatiota suunnittelemaan, organisoimaan ja valvomaan tietoturvatoimia hyvin kirjoitettujen käytäntöjen ja menettelyjen avulla.

Tietoturvatyypit

Jotta tietoturva olisi tehokasta, siinä on otettava huomioon tietokokonaisuuksien arkaluonteisuus ja sääntelyn noudattamista koskevat organisaatiosi vaatimukset. Tietoturvatyypit auttavat sinua suojautumaan tietoturvaloukkauksilta, täyttämään säädösvaatimukset ja estämään maineesi vahingoittuminen:

  • Käyttöoikeuksien valvonta, joka hallitsee paikallisten ja pilvipalvelussa olevien tietojen käyttöoikeuksia.
  • Käyttäjien todennus salasanojen, kulkukorttien tai biometristen tunnisteiden avulla.
  • Varmuuskopiot ja palautus, jotta tiedot ovat käytettävissä järjestelmävian, tietojen vioittumisen tai katastrofin jälkeen.
  • Tietojen vikasietoisuus ennakoivana menettelytapana järjestelmäpalautusta ja liiketoiminnan jatkuvuutta varten.
  • Tietojen poistaminen niiden asianmukaista hävittämistä ja palauttamiskelvottomiksi tekemistä varten.
  • Tietojen peittämisohjelmisto, joka piilottaa kirjaimet ja numerot luvattomilta käyttäjiltä välittäjämerkkien avulla.
  • Tietojen katoamisen estämisen ratkaisut arkaluonteisten tietojen suojaamiseksi luvattomalta käytöltä.
  • Salaus, jolla tiedostot tehdään lukukelvottomiksi luvattomille käyttäjille.
  • Tietojen suojaaminen, joka helpottaa tiedostoissa ja asiakirjoissa olevien arkaluonteisten tietojen luokittelemista.
  • Sisäisten käyttäjien riskin hallinta käyttäjien riskialttiin toiminnan vähentämistä varten.

Suojaamista vaativat tietotyypit

Kaikki, joiden luottokortti on vaarantunut tai joiden identiteetti on varastettu, ymmärtävät syvällisesti tehokkaan tietosuojan arvon. Haitalliset hakkerit keksivät jatkuvasti tapoja varastaa henkilökohtaisia tietoja ja pyytää niistä lunnaita, myydä niitä tai syyllistyä uusiin petoksiin. Lisäksi nykyiset ja entiset työntekijät ovat usein tietojen katoamisen syynä, joten sisäisten käyttäjien riskin hallinta on välttämätöntä organisaatioille.

Jokaisella toimialalla on omat vaatimuksensa siitä, mitä tietoja on suojattava ja miten ne suojataan, mutta yleisiä suojattavia tietotyyppejä ovat esimerkiksi seuraavat:

  • Henkilökohtaiset tiedot työntekijöistäsi ja asiakkaistasi.
  • Taloudelliset tiedot, kuten luottokorttinumerot, pankkitiedot ja yritysten tilinpäätökset.
  • Terveystiedot, kuten saadut palvelut, diagnoosit ja testitulokset.
  • Immateriaalioikeudet, kuten liikesalaisuudet ja patentit.
  • Liiketoimintatiedot, kuten toimitusketjun tiedot ja tuotantoprosessit.

Tietoturvan uhat

Työssä ja kotona Internet antaa sinulle mahdollisuuden käyttää tilejä, viestintämenetelmiä sekä tapoja jakaa ja käyttää tietoa. Monenlaiset kyberhyökkäykset  ja sisäisten käyttäjien riskit voivat vaarantaa jakamasi tiedot.

  • Hakkerointi

    Hakkerointi tarkoittaa tietokoneen kautta tapahtuvaa yritystä varastaa tietoja, vahingoittaa verkkoja tai tiedostoja, vallata organisaation digitaalista ympäristöä tai häiritä sen tietoja ja toimintaa. Hakkerointimenetelmiä ovat esimerkiksi tietojen kalastelu, haittaohjelmat, koodimurrot ja hajautetut palvelunestohyökkäykset.

  • Haittaohjelmat

    Haittaohjelmilla tarkoitetaan matoja, viruksia ja vakoiluohjelmia, joiden avulla luvattomat käyttäjät voivat käyttää ympäristöäsi. Sisään päästyään nämä käyttäjät voivat häiritä IT-verkkoa ja päätepistelaitteita tai varastaa tiedostoihin mahdollisesti jätettyjä tunnistetietoja.

  • Kiristysohjelmat

    Kiristysohjelma on haittaohjelma, joka estää sinulta verkkosi ja tiedostojesi käytön, kunnes maksat lunnaat. Sähköpostin liitetiedoston avaaminen ja mainoksen napsauttaminen ovat muutamia tapoja, joilla kiristysohjelmat voidaan ladata tietokoneellesi. Se huomataan yleensä silloin, kun et enää voi käyttää tiedostoja tai näet viestin, jossa vaaditaan maksua.

  • Tietojen kalastelu

    Tietojen kalastelu tarkoittaa yksityishenkilöiden tai organisaatioiden huijaamista luovuttamaan tietoja, kuten luottokorttinumeroita ja salasanoja. Tarkoituksena on varastaa tai vahingoittaa arkaluonteisia tietoja esiintymällä hyvämaineisena yrityksenä, jonka uhri tuntee.

  • Tietovuoto

    Tietovuoto on tietojen tahallista tai tahatonta siirtymistä organisaation sisältä ulkopuoliselle vastaanottajalle. Tähän voidaan käyttää sähköpostia, Internetiä ja laitteita, kuten kannettavia tietokoneita ja kannettavia tallennuslaitteita. Toimitilojen ulkopuolelle viedyt tiedostot ja asiakirjat ovat myös eräänlainen tietovuoto. 

  • Huolimattomuus

    Huolimattomuudesta on kyse silloin, kun työntekijä tietoisesti rikkoo turvallisuuskäytäntöä, mutta ei yritä aiheuttaa yritykselle vahinkoa. Hän saattaa esimerkiksi jakaa arkaluonteisia tietoja työtoverille, jolla ei ole käyttöoikeuksia, tai kirjautua yrityksen resursseihin suojaamattoman langattoman yhteyden kautta. Toinen esimerkki on rakennukseen pääsyn salliminen ilman kulkulupaa.

  • Petos

    Petoksiin syyllistyvät kokeneet käyttäjät, jotka haluavat hyödyntää verkon anonymiteettiä ja reaaliaikaista saavutettavuutta. He saattavat luoda maksutapahtumia käyttämällä vaarannettuja tilejä ja varastettuja luottokorttinumeroita. Organisaatiot voivat joutua takuupetosten, hyvityspetosten tai jälleenmyyjäpetosten uhreiksi.

  • Varkaus

    Varkaus on sisäisten käyttäjien aiheuttama uhka, joka johtaa tietojen, rahan tai henkisen omaisuuden varastamiseen. Se tehdään henkilökohtaisen hyödyn tavoittelemista ja organisaation vahingoittamista varten. Luotettava myyjä voi esimerkiksi myydä asiakkaiden henkilötunnuksia pimeässä verkossa tai käyttää asiakkaita koskevia sisäpiiritietoja oman yrityksensä perustamiseen.

Tietoturvan teknologiat

Tietoturvateknologiat ovat keskeinen osa kattavaa tietoturvastrategiaa. Saatavilla on erilaisia tietojen menetyksen eston ratkaisuja, joiden avulla voit havaita sisäisen ja ulkoisen toiminnan, merkitä epäilyttävän tai riskialttiin tiedonjakotoiminnot ja valvoa arkaluonteisten tietojen käyttöä. Ota käyttöön tällaisia tietoturvatekniikoita, jotka auttavat estämään arkaluonteisten tietojen siirtämisen.

Tietojen salaus. Käytä salausta, eli tietojen muuntamista koodiksi, sekä levossa säilytettävissä että siirrettävissä tiedoissa, jotta luvattomat käyttäjät eivät voi tarkastella tiedostojen sisältöä, vaikka heillä olisikin tiedoston sijainnin käyttöoikeus.

Käyttäjän todentaminen ja valtuuttaminen. Tarkista käyttäjätiedot ja varmista, että käyttöoikeudet on annettu ja niitä käytetään oikein. Roolipohjainen käyttöoikeuksien hallinta auttaa organisaatiotasi myöntämään käyttöoikeuksia vain niille, jotka niitä tarvitsevat.

Sisäisten käyttäjien riskin havaitseminen. Tunnista toiminnot, jotka voivat viitata sisäisten käyttäjien riskeihin tai uhkiin. Selvitä tietojen käytön konteksti ja se, milloin tietyt lataukset, organisaatiosi ulkopuoliset sähköpostiviestit ja uudelleennimetyt tiedostot viittaavat epäilyttävään toimintaan.

Tietojen menetyksen estämisen käytännöt. Luo ja ota käyttöön käytäntöjä, jotka määrittelevät, miten tietoja hallitaan ja jaetaan. Määritä valtuutetut käyttäjät, sovellukset ja ympäristöt eri toimintoja varten, jotta tietojen vuotaminen tai varastaminen voidaan estää.

Tietojen varmuuskopiointi. Varmuuskopioi täsmällinen kopio organisaatiosi tiedoista, jotta valtuutetuilla järjestelmänvalvojillasi on keino palauttaa ne tallennusvian, tietomurron tai minkä tahansa katastrofin sattuessa.

Reaaliaikaiset hälytykset. Automatisoi ilmoitukset mahdollisesta tietojen väärinkäytöstä ja vastaanota hälytyksiä mahdollisista tietoturvaongelmista, ennen kuin ne aiheuttavat vahinkoa organisaatiosi tiedoille, maineelle tai työntekijöiden ja asiakkaiden tietosuojalle.

Riskiarviointi. Muista, että työntekijöillä, toimittajilla, alihankkijoilla ja kumppaneilla on tietoja tiedoistasi ja tietoturvakäytännöistäsi. Jos haluat estää tietojen väärinkäytön, sinun on tiedettävä, mitä tietoja sinulla on ja miten niitä käytetään organisaatiossasi.

Tietojen valvonta. Tarkastele tärkeimpiä seikkoja, kuten tietosuojaa, tarkkuutta ja saatavuutta, säännöllisin väliajoin tehtävällä tietojen valvonnalla. Siten saat selville, kuka käyttää tietojasi ja miten niitä käytetään.

Tietoturvan hallinnan strategiat

Tietoturvan hallinnan strategiat sisältävät käytännöt, menettelyt ja hallinnoinnin, jotka auttavat sinua pitämään tietosi turvassa ja suojattuina.

  • Ota käyttöön parhaat salasanojen hallintakäytännöt

    Ota käyttöön helppokäyttöinen salasanojen hallintaratkaisu. Se poistaa muistilappujen ja taulukkolaskentataulukoiden tarpeen ja vapauttaa työntekijät yksilöivien salasanojen muistamisesta.
    Käytä salasanojen sijasta tunnuslauseita. Tunnuslause voi olla työntekijöille salasanaa helpompi muistaa ja kyberrikollisille vaikeampi arvata.
    Ota kaksiosainen todentamismenetelmä (2FA) käyttöön. 2FA:n avulla sisäänkirjauksen suojaus säilyy, vaikka tunnuslause tai salasana olisi vaarantunut, koska luvaton käyttäjä ei pääse sisään ilman toiseen laitteeseen toimitettua lisäkoodia. 
    Vaihda kaikki salasanasi tietomurron jälkeen. Niiden vaihtamisen useasti ajatellaan johtavan siihen, että salasanat heikkenevät ajan mittaan.
    Vältä tunnuslauseiden tai salasanojen uudelleenkäyttöä. Kun ne ovat vaarantuneet, niitä käytetään usein muihin tileihin murtamiseen.

  • Luo puolustussuunnitelma

    Suojaa arkaluonteiset tiedot. Etsi ja luokittele tiedot skaalautuvasti, jotta tiedät tietojen määrän, tyypin ja sijainnin riippumatta niiden olinpaikasta koko niiden elinkaaren ajan.
    Hallitse sisäisten käyttäjien riskit.Selvitä käyttäjien toiminta ja tietojen käyttötarkoitus sellaisten mahdollisesti riskialttiiden toimintojen tunnistamiseksi, jotka voivat johtaa tietoturvatapauksiin.
    Ota käyttöön asianmukaiset käyttöoikeuksien hallintatoiminnot ja -käytännöt. Auta estämään esimerkiksi arkaluonteisten tietojen virheellistä tallentamista, säilyttämistä tai tulostamista.

  • Käytä salausta tietojen suojaamiseen

    Tietojen salaus estää luvattomia käyttäjiä lukemasta arkaluonteisia tietoja. Vaikka he pääsisivätkin sisään tietoympäristöösi tai näkisivät tiedot niiden ollessa siirrettävinä, tiedot ovat hyödyttömiä, koska niitä ei voi helposti lukea tai ymmärtää.

  • Asenna ohjelmisto- ja tietoturvapäivitykset

    Ohjelmisto- ja tietoturvapäivityksillä korjataan tunnettuja haavoittuvuuksia, joita kyberrikolliset usein käyttävät hyväkseen varastaessaan arkaluonteisia tietoja. Säännölliset päivitykset auttavat poistamaan nämä haavoittuvuudet ja estämään järjestelmien vaarantumisen.

  • Kouluta työntekijöitä tietoturvasta

    Organisaation tietojen suojaaminen ei ole vain IT-osaston tehtävä, vaan myös työntekijät on koulutettava tietoisiksi tietojen paljastamisesta, varastamisesta ja vioittumisesta. Tietoturvan parhaat käytännöt koskevat verkossa olevia ja paperikopioina tulostettavia tietoja. Virallista koulutusta olisi järjestettävä säännöllisesti joko neljännesvuosittain, puolivuosittain tai vuosittain.

  • Tietoturvaprotokollien käyttöönotto etätyössä

    Etätyöntekijöiden tietoturvaprotokollien käyttöönotto aloitetaan selventämällä käytännöt ja menettelyt. Tämä tarkoittaa yleensä pakollista tietoturvakoulutusta ja sen määrittelyä, mitä ohjelmistosovelluksia on luvallista käyttää ja miten. Protokollien olisi myös sisällettävä prosessi kaikkien työntekijöiden käyttämien laitteiden suojaamista varten.

Säädökset ja vaatimustenmukaisuus

Organisaatioiden on noudatettava asianmukaisia tietosuojastandardeja, -lakeja ja -määräyksiä. Niihin kuuluu esimerkiksi se, että keräät asiakkailta tai työntekijöiltä vain tarvitsemasi tiedot, pyrit säilyttämään niitä turvallisesti ja hävität ne asianmukaisesti. Esimerkkejä yksityisyyden suojaa koskevista laeista ovat yleinen tietosuoja-asetus (GDPR), Yhdysvaltain sairausvakuutuksen siirrettävyyttä ja vastuuvelvollisuutta koskeva laki (HIPAA) ja Kalifornian kuluttajansuojalaki (CCPA).

GDPR on ankarin tietosuojaa ja tietoturvaa koskeva laki. Se on Euroopan unionin (EU:n) laatima ja hyväksymä, mutta organisaatioiden kaikkialla maailmassa on noudatettava sitä, jos ne keräävät henkilötietoja EU:n kansalaisilta tai asukkailta tai jos ne tarjoavat heille tavaroita ja palveluja.

HIPAA auttaa suojaamaan potilaan terveystietoja niiden paljastamiselta potilaan tietämättä tai ilman hänen suostumustaan. HIPAA-tietosuojasäännöillä suojataan henkilökohtaisia terveystietoja, ja ne on otettu käyttöön HIPAA-vaatimusten täyttämistä varten. HIPAA-tietosuojasäännöt auttavat suojaamaan tunnistettavia terveystietoja, joita terveydenhuollon tarjoaja luo, vastaanottaa, ylläpitää tai lähettää sähköisesti.

Yhdysvaltain Kalifornian kuluttajansuojalaki (California Consumer Privacy Act, CCPA) auttaa turvaamaan kalifornialaisten kuluttajien yksityisyydensuojaa koskevat oikeudet, kuten oikeuden saada tiedot kerätyistä henkilötiedoista ja siitä, miten niitä käytetään ja jaetaan, oikeuden poistaa kuluttajista kerätyt henkilötiedot ja oikeuden kieltäytyä henkilötietojensa myynnistä.

Tietosuojavastaavat ovat johtotason henkilöitä, jotka seuraavat sääntöjen noudattamista ja auttavat varmistamaan, että organisaatio käsittelee henkilötietoja tietosuojalakien mukaisesti. He esimerkiksi tiedottavat ja neuvovat sääntöjen noudattamisesta vastaaville tiimeille, miten sääntöjä tulee noudattaa, järjestävät koulutusta organisaatiossa ja ilmoittavat sääntöjen ja määräysten noudattamatta jättämisestä.

Kun noudattamatta jättäminen johtaa tietomurtoon, se maksaa organisaatioille usein miljoonia dollareita. Seurauksia ovat muun muassa identiteettivarkaudet, tuottavuuden menetys ja asiakkaiden poistuminen.

Johtopäätökset

Tietoturva ja tietoturvan hallinta auttavat sinua tunnistamaan ja arvioimaan tietoihin kohdistuvia uhkia, noudattamaan säädösvaatimuksia ja säilyttämään tietojesi eheyden.

Sitoudu varmuuskopioimaan tietosi usein, tallenna kopio varmuuskopiosta ulkopuoliseen paikkaan, laadi tietoturvanhallintastrategiat ja ota käyttöön vahvat salasanat tai tunnuslauseet sekä 2FA.

Tietojen suojaaminen niiden elinkaaren aikana, tietojen käytön ymmärtäminen, tietovuodon estäminen ja tietojen menettämisen estämistä koskevien käytäntöjen luominen ovat organisaatiosi vahvan puolustuksen peruspilareita.

Tutustu tietojesi suojaamiseen pilvipalveluissa, sovelluksissa ja päätepisteissä tietoturvamenettelyjen ja -työkalujen avulla.

Lue lisää Microsoft Securitysta

Microsoft Purview

Tutustu organisaatiosi tietojen hallintaan, suojaukseen ja vaatimustenmukaisuuteen liittyviin ratkaisuihin.

Lue lisää

Auta estämään tietojen menetykset

Tunnista riskialttiit tai sopimattomat arkaluonteisten tietojen jakamiset ja käytöt päätepisteissä, sovelluksissa ja palveluissa.

Lue lisää

Hallitse sisäisten käyttäjien riskjeä

Tutustu siihen, miten voit tunnistaa mahdolliset riskit työntekijöidesi ja toimittajiesi toiminnassa.

Lue lisää

Tietojen suojaus

Etsi, luokittele ja suojaa arkaluonteisimmat tietosi kaikissa digitaalisissa resursseissasi.

Lue lisää

Usein kysytyt kysymykset

  • Tietoturva auttaa suojaamaan arkaluonteisia tietoja koko niiden elinkaaren ajan, ymmärtämään käyttäjän toiminnan ja tietojen asiayhteyden sekä estämään tietojen luvattoman käytön. Siihen kuuluu tietämys siitä, mitä tietoja sinulla on ja missä ne sijaitsevat, sekä siitä, mitä uhkia näihin tietoihin kohdistuu.

  • Tietoturvan tyyppejä ovat seuraavat:

    • Käyttöoikeuksien valvonta, joka edellyttää kirjautumistunnuksia paikallisten ja pilvipalveluissa olevien tietojen käytössä.
    • Käyttäjien todennus salasanojen, kulkukorttien tai biometristen tunnisteiden avulla.
    • Varmuuskopiot ja palautus, jotta tiedot ovat käytettävissä järjestelmävian, tietojen vioittumisen tai katastrofin jälkeen.
    • Tietojen vikasietoisuus ennakoivana menettelytapana järjestelmäpalautusta ja liiketoiminnan jatkuvuutta varten.
    • Tietojen poistaminen niiden asianmukaista hävittämistä ja palauttamiskelvottomiksi tekemistä varten.
    • Tietojen peittämisohjelmisto, joka piilottaa kirjaimet ja numerot luvattomilta käyttäjiltä välittäjämerkkien avulla.
    • Tietojen katoamisen estämisen ratkaisut arkaluonteisten tietojen suojaamiseksi luvattomalta käytöltä.
    • Salaus, jolla tiedostot tehdään lukukelvottomiksi luvattomille käyttäjille.
    • Tietojen suojaaminen, joka helpottaa tiedostoissa ja asiakirjoissa olevien arkaluonteisten tietojen luokittelemista.
    • Sisäisten käyttäjien riskin hallinta käyttäjien riskialttiin toiminnan vähentämistä varten.

  • Esimerkki tietoturvasta on teknologian käyttö sen selvittämiseen, missä arkaluonteiset tiedot sijaitsevat organisaatiossasi, ja sen ymmärtäminen, miten näihin tietoihin päästään ja miten niitä käytetään.

  • Tietoturva on tärkeää, koska se auttaa organisaatiotasi suojautumaan kyberhyökkäyksiltä, sisäisten käyttäjien uhilta ja inhimillisiltä virheiltä, jotka kaikki voivat johtaa tietomurtoihin.

  • Tietoturvan neljä avainkysymystä ovat luottamuksellisuus, eheys, käytettävyys ja vaatimustenmukaisuus.

Seuraa Microsoft 365:tä