Kirjoitetut tietoturvapolitiikat ovat olennaisen tärkeitä organisaation tietoturvan kannalta. Tämä pätee sekä suuriin että pieniin yrityksiin, sillä löyhät tietoturvastandardit voivat aiheuttaa tietojen ja henkilötietojen katoamista tai varastamista. Kirjalliset käytännöt antavat työntekijöille, vierailijoille, urakoitsijoille tai asiakkaille takeet siitä, että yrityksesi suhtautuu vakavasti heidän tietojensa turvaamiseen.
Tietoturvakäytännöt ovat kirjallisia ohjeita tietojen suojaamiseksi. Politiikkojen tulisi sisältää ohjeita salasanoista, laitteiden käytöstä, Internetin käytöstä, tietojen luokittelusta, fyysisestä turvallisuudesta – kuten tietojen fyysisestä turvaamisesta – ja raportointivaatimuksista.
Salasana- ja henkilötunnuskäytäntö
Salasana- ja henkilötunnuskäytäntöjen laatiminen auttaa varmistamaan, että työntekijät luovat kirjautumis- tai käyttöoikeustietonsa turvallisella tavalla. Yleinen ohjeistus on, että ei saa käyttää syntymäpäiviä, nimiä tai muita helposti saatavissa olevia tietoja.
Laitteiden valvonta
Tietoihin pääsyn valvomiseksi olisi otettava käyttöön asianmukaiset menetelmät tietokoneiden, tablettien ja älypuhelinten käyttöä varten. Menetelmiä voivat olla esimerkiksi kulkukortinlukijat, salasanat ja PIN-koodit.
Laitteet olisi lukittava, kun käyttäjä poistuu paikalta. Pääsykortit olisi poistettava, eikä salasanoja ja PIN-koodeja saisi kirjoittaa muistiin tai säilyttää sellaisessa paikassa, jossa niihin voitaisiin päästä käsiksi.
Arvioi, pitäisikö työntekijöiden sallia tuoda ja käyttää omia laitteitaan työpaikalle tai työaikana. Henkilökohtaiset laitteet voivat häiritä työntekijöitä heidän työtehtävistään sekä aiheuttaa tahattomia tietoturvaloukkauksia.
Kun suunnittelet henkilökohtaisten laitteiden käyttöä koskevia käytäntöjä, ota huomioon työntekijöiden hyvinvointi. Perheet ja läheiset tarvitsevat yhteyden työntekijöihin, jos kotona on tilanne, joka vaatii heidän huomionsa. Tämä voi tarkoittaa sitä, että perheille on tarjottava keino saada viestejä läheisilleen.
On kehitettävä menettelyt yritykseen liittyvien laitteiden katoamisesta ja vahingoittumisesta ilmoittamista varten. Voit halutessasi sisällyttää siihen tutkimusmenetelmiä, joiden avulla voidaan määrittää syyllisyys ja tietojen katoamisen laajuus.
Internetin/verkon käyttö
Internet-yhteys työpaikalla tulisi rajoittaa vain liiketaloudellisiin tarpeisiin. Henkilökohtainen verkkokäyttö ei ainoastaan sido resursseja, vaan se myös aiheuttaa virusten riskin ja voi antaa hakkereille pääsyn tietoihin.
Sähköpostin tulisi kulkea vain yrityssähköpostipalvelimien ja -asiakkaiden kautta, ellei yrityksesi ole rakentunut sellaisen mallin varaan, joka ei sitä salli.
Monet huijausyritykset ja yritykset tunkeutua yrityksiin aloitetaan sähköpostin välityksellä. Suositellaan ohjeita linkkien, ilmeisten phishing-yritysten tai tuntemattomista lähteistä tulevien sähköpostiviestien käsittelyyn.
Kehitä työntekijöiden kanssa sopimuksia, joilla minimoidaan riski työpaikan tietojen paljastumisesta sosiaalisen median tai muiden henkilökohtaisten verkostosivustojen kautta, elleivät ne liity yritystoimintaan.
Salaus ja fyysinen tietoturva
Voi olla, että haluatte kehittää tietojenne salauskäytäntöjä. Jos yrityksessäsi on tietokantaan tallennettuja tietoja, kuten asiakkaiden luottokorttinumeroita, tiedostojen salaaminen lisää lisäsuojaa.
Avainten ja avainkorttien valvontamenettelyt, kuten avainten myöntämislokit tai erilliset avaimet eri alueille, voivat auttaa hallitsemaan pääsyä tietojen säilytystiloihin.
Jos tunnistaminen on tarpeen, kehitä menetelmä tunnistamisen myöntämistä, kirjaamista, näyttämistä ja säännöllistä tarkastamista varten.
Valmistele vierailumenettely. Vierailijoiden sisäänkirjautuminen, kulkuluvat ja lokit pitävät tarpeettomat vierailut kurissa.
Turvapolitiikan raportointivaatimukset
Työntekijöiden on ymmärrettävä, mitä heidän on raportoitava, miten heidän on raportoitava ja kenelle heidän on raportoitava. Selkeät ohjeet tulisi julkaista. Koulutus olisi sisällytettävä käytäntöön ja sitä olisi järjestettävä, jotta varmistetaan, että kaikki työntekijät ymmärtävät raportointimenettelyt.
Empower Your Team
Yksi avain tehokkaiden käytäntöjen luomiseen on varmistaa, että käytännöt ovat selkeitä, helposti noudatettavia ja realistisia. Liian monimutkaiset tai kontrolloivat käytännöt rohkaisevat ihmisiä kiertämään järjestelmän. Jos kommunikoit tietoturvan tarpeesta ja valtuutat työntekijät toimimaan, jos he havaitsevat tietoturvaongelman, kehität turvallisen ympäristön, jossa tiedot ovat turvassa.