Pöytä täynnä muistilappuja, eikä mitään hajua mihin asiaan ne liittyvät. Kuulostaako tutulta?
Tätä näkee paljon. Joillekin tapa voi olla tuttu ja turvallinen, ja toiset taas pysyvät tässä, kun paremmasta ei ole tietoa. Lapuilla saattaa olla salaista tietoa, salasanoja ja niin edelleen. Tässä piilee tietoturvariski, kun yksinkin henkilö, joka on liian kiinnostunut tai haittaa haluava, niin tämä tekee asian hänelle helpoksi. Nykyään, kun miltei kaikki asiat tehdään digitaalisesti, niin on hyvä tiedostaa, miten asiat kannattaa hoitaa.
Muistilaput siis pois viestintäkäytöstä ja organisaation sisäinen viestintä esimerkiksi Microsoft Teamsin kautta. Näin kaikesta jää varmasti jälki, ja myöskin nähdään, onko viestit luettu vastaanottajan toimesta. Tällöin saadaan jätettyä viesti välittömästi, vaikka vastaanottaja ei olisikaan kyseisellä hetkellä tavoitettavissa. Asia ei pääse silloin unohtumaan ja kaikesta jää jälki, mistä asian etenemistä voi seurata.
Microsoft Teams ei ole ainoa pikaviestintäsovellus maailmassa, mutta ainakin WhatsApp kannattaa unohtaa yrityksien viestinnässä. Tästä enemmän tietoa seuraavaksi ilmestyvässä Henri Kurvisen blogissa.
Avokonttorit ovat nykyään yleisiä ja niissä kannattaa muistaa, että suullisesti kerrotuille asioille on paljon kuulevia korvia. Tämä voi olla etu, mutta myös haitta. Tietyt asiat on parempi käsitellä suljetussa tilassa tai sitten sähköisesti. Vaikka monesti olisi kiusaus mennä vain sanomaan kollegalle asia, niin kannattaa muistaa, että tästä ei jää jälkeä, ja asia saattaa unohtua vastaanottajalta. Kaikkia asioita ei saa edes kertoa niin, että asian ulkopuoliset kuulevat. Käsiteltävä asia voi olla salassapitosopimuksen alaista tietoa ja tällöin on oltava erittäin tarkka siitä, kuka sen kuulee. Tämä kannattaa myös pitää mielessä sähköpostiviestinnässä, kun järjestelmissä voi olla käytössä ryhmäosoitteita, mutta tällöin kannattaa miettiä, onhan kaikki ryhmän jäsenet oikeutettuja näkemään viestin sisältö. Tai muutenkin, onko niin sanottu tiedoksi viesti luottamuksellisista asioista aina tarpeen mukainen.
Miten sitten yhteinen materiaaliarkisto, onhan sen oikeudet kohdillaan? Pääseekö joku käsiksi materiaaliin, mihin ei pitäisi olla oikeuksia ja vaikka olisi oikeudet, niin voi olla hyvä sulkea tietty materiaali uteliailta silmiltä. Ihmisiä on erilaisia, jotkin puhuvat hyvinkin luottamuksellisista asioista vapaasti ja toiset taas ovat todella tarkkoja näiden asioiden suhteen.
On tietenkin totta, että liika salailu ja ”korvaan kuiskiminen” pilaa työympäristöä. Eli tietyissä rajoissa oleva, avoin viestintä on kuitenkin suositeltua.
Ennen kaikkea on muistettava henkilöstön koulutus tietoturva-asioista. Mikäli käytössä on jonkinlainen tervetulokansio tai perehdytysopas intranetissä, niin siihen on hyvä liittää osio tietoturva-asioista. Tässä voidaan käsitellä esimerkiksi sitä, miten yrityksessä hoidetaan tietoturva-asiat ja miten toimitaan. Asiat on helpoin sisäistää alkuun, ennen kuin väärät työtavat pinttyvät käyttöön ja kukaan ei voi ainakaan vedota ”kukaan ei kertonut, että täällä toimitaan näin”. Suurin osa tietomurroista johtuu käyttäjän tekemästä virheestä.
Nykyään on mahdollista myös pakottaa tietyt käytännöt tietokoneille/mobiililaitteille keskitetysti. Tällä saadaan esim. vaatimusten mukainen pääsykoodi laitteelle. Tämänkin pitäisi nykypäivänä olla oletuksena kaikilla päällä, kun puhelimissa on pankkisovelluksista lähtien kaikenlaista, mutta näin ei kuitenkaan aina ole. Microsoft 365 palvelut mahdollistavat myös dokumenttien luokittelun sekä tietojen vuotamisen estämiskäytännöt. Mikäli dokumentit on luokiteltu esimerkiksi sisäiseksi, niin silloin yrityksen ulkopuoliset eivät voi avata niitä. Tämä lisää dokumenteille tunnisteen, mikä vaatii niiden avaamiseen yrityksen sisäisen Microsoft 365-tilin. Luokittelu olisi varsin hyvä tehdä niille dokumenteille, mitkä ovat salassapitosopimuksen alaisia. Tällä varmistetaan, ettei luvattomat pääse avaamaan niitä. Käytännön voi tehdä myös niin, että dokumentin voi avata vain tietyt henkilöt, esimerkiksi vain sähköpostin vastaanottaja. Tietojen vuotamisen estämiskäytännöt taas tarttuvat tiettyihin muotoihin tekstissä. Mikäli tekstissä on esimerkiksi Suomen sosiaaliturvatunnuksen muotoinen teksti xxxxxx-xxxx niin tähän voidaan tarttua halutulla tavalla. Voidaan joko tiedottaa henkilökuntaa, että laitoit tämänlaista tietoa, ja oliko tämä tarkoituksellista tai sitten voidaan kokonaan estää toiminto.
Tietyt asiat pitäisi muistaa laittaa salattuna sähköpostina. Mikäli sähköposti sisältää arkaluontoista tietoa kuten henkilötietoja, palkkatietoja, pankkitietoja ja niin edelleen niin tällöin viesti tulisi lähettää salattuna. Kannattaa muistaa, että tätä edellyttää myös lainsäädäntö.
Sähköpostiin tuleviin viesteihin kannattaa suhtautua aina vähän epäillen. Mikäli yhtään epäilyttää, niin kannattaa kysyä lähettäjältä varmennus ”onhan varmasti näin?. Lähettäjänä saattaa näkyä tuttu henkilö, mutta viesti ei kuitenkaan ole tullut häneltä. Varsinkin väärennetyt laskut ja SharePointin niin sanottu jaettu materiaali ovat yleisiä esimerkkejä tästä. Syötät tunnukset sähköpostissa saapuneeseen linkkiin ja ihmettelet, että auenneella sivulla ei ole mitään järkevää ja asia unohtuu saman tien. Rikolliset saavat sitten käyttäjän tunnukset haltuun ja lähettävät huijausviestin seuraavalle käyttäjän nimissä. Näin sama rutiini jatkuu ja jatkuu.
Myös kyseenalaisen tiedoston lataus saattaa päästää haittaohjelman tekemään tuhoja koneelle ja tämän poistamisesta saadaan 100 % varmuus vain koneen täydellä tyhjennyksellä, mikä ei ole ihan pieni operaatio. Tätä voidaan kyllä lieventää, mikäli käyttäjällä ei ole järjestelmänvalvojan oikeuksia koneeseen ja vaikka olisi, niin voi olla hyvä käyttää konetta pienemmillä oikeuksilla ja vain tarpeen mukaan syöttää järjestelmänvalvojan tunnukset asennuksien yhteydessä. Tällöin tunnuskysely pistää miettimään, että onko varmasti tekemässä jotain, mitä tarvitsee, vai voiko kyseessä ollakin haittaohjelma.
Uusien käytäntöjen käyttöönotto aiheuttaa varmasti muutosvastarintaa osassa työntekijöistä, mutta näin käy yleensä kaikessa pinttyneiden työtapojen muutoksessa. Hetki menee ja uudet työtavat on sisäistetty ja asiat ovat taas paljon paremmin. Marskidata pystyy auttamaan teitä näiden asioiden käyttöönotossa ja koulutuksessa, mutta tahto näiden läpivientiin on tultava yritysten omalta henkilöstöltä.
