VINKKI

     DIGITAALISEN TURVALLISUUDEN KOULUTUKSESTA

Säännöllisen ja pakollisen digitaalisen turvalisuuden koulutuksen tavoitteena on antaa organisaation työntekijöille paremmat valmiudet toimia tietoturvallisesti organisaation omaisuuden ja tietojen kanssa. Koulutus tulisi järjestää uusille työntekijöille heidän aloittaessaan ja kaikille organisaation työntekijöille vähintään vuosittain.

Digitaalisen turvallisuuden koulutus voi kattaa muun muassa seuraavia teemoja:

• Manipulointihyökkäysten, kuten tietojen kalastelu tai toimitiloihin luvatta sisäänpääsemisen (tailgating), tunnistaminen
• Parhaat käytännöt, kuten monivaiheinen tunnistaminen (MFA), vahvat salasanat ja käyttäjätunnusten oikeaoppinen käyttö
• Luottamuksellisten tietojen tietoturvallinen käyttö, mukaan lukien puhtaan työpödän periaate, näytön lukitseminen työpisteeltä poistuttaessa sekä fyysisten ja virtuaalisten taulujen pyyhkiminen kokousten lopuksi
• Tahattomien tietovuotojen yleisimmät syyt, kuten luottamuksellisten tietojen toimittaminen virheellisesti, loppukäyttäjän laitteen katoaminen tai tietojen julkaiseminen väärälle kohderyhmälle
• Digitaalisen turvallisuuden poikkeamien tunnistaminen ja raportointi
• Etätyön huomioitavat digitaalisen turvallisuuden seikat, kuten turvattomiin verkkoihin kytkeytymiseen ja tietojen välittämiseen niiden kautta liittyvät riskit

VINKKI

     KUMPPANISOPIMUKSISTA

• Organisaation tekemien kumppanisopimuksien tulisi sisältää riittävät turvallisuusvaatimukset. Näitä vaatimuksia ovat esimerkiksi kumppani digitaalisen turvallisuusohjelman vähimmäisvaatimukset, tietoturvaloukkauksista ja -murroista ilmoittaminen ja niihin reagoiminen, tietojen salausvaatimukset ja tietojen hävittämissitoumusket. Näiden vaatimusten tulisi olla johdonmukaisia organisaation kumppanihallintapolitiikan kanssa ja kumppanisopimusten vaatimukset tulisi arvioida aina uusia sopimuksia tehtäessä ja olemassa olevia sopimuksia uusittaessa, ettei sopimuksista puutu turvallisuusvaatimuksia.