Etätyöarviointiprotokolla tietoturvan ja kyberturvallisuuden osalta

Maailman digitalisoituessa vauhdilla työntekijät luovat arvoa etäsijainneista käsin. Kun työpaikasta tulee yhä joustavampi, tietosuojan ja kyberturvallisuuden sekä vahvan tietosuojakulttuurin korostaminen on tärkeää tuottavuuden ja jatkuvuuden turvaamiseksi. Kun työntekijöiden sallitaan työskennellä mistä tahansa käsin, siihen tarvitaan oikea infrastruktuuri ja oikeanlaiset tietosuojatoimenpiteet.

Kriisin, kuten COVID-19-epidemian, aikana yritysten voi olla välttämätöntä harjoittaa liiketoimintaansa täysin etänä. Tällöin työntekijät hajautuvat koteihinsa. Monet yritykset pohtivat, tehdäänkö työtä niiden omien tietosuoja- ja kyberturvallisuuskäytäntöjensä mukaisesti.

Tietoverkkorikollisuus lisääntyy jatkuvasti. Se on kasvanut 600 % maailmanlaajuisesti COVID-19-epidemian aikana. Kotona olevat yksilöt ovat helpompia kohteita. Uusia sopimuksia on ehkä solmittava pikaisesti kolmansien osapuolten toimittajien kanssa liiketoiminnan jatkuvuuden takaamiseksi. Tämä edellyttää uusia käytäntöjä tai olemassa olevien käytäntöjen vaatimustenmukaisuus on tarkastettava nopealla aikataululla. Näissä olosuhteissa yritysten tuottavuuteen ja liiketoiminnan jatkuvuuteen kohdistuu mittavia vaikutuksia ja tappioita, jos yritys ei tunne tietosuoja- ja kyberturvallisuusriskejään tarkasti.

Etätyön turvallisuuden varmistaminen ja vahvan tietosuojakulttuurin luominen työntekijöiden keskuuteen ovat ennakkoehtoja. Testausajat tekevät siitä kuitenkin kriittistä.

Mahdolliset riskit

Yritysten on hallittava erilaisia riskejä, joita ovat esimerkiksi:

• Yrityksen hallintatoimenpiteet eivät aina ulotu etätyöhön, mistä aiheutuu tietosuojariskejä sekä tuottavuuden ja jatkuvuuden vaarantavia riskejä.
• Infrastruktuuririskien / tietosuoja- ja kyberturvallisuusriskien aiheuttamia vaatimuksia ovat:
  
  
  • Tarvittavat lisäinvestoinnit etätyön mahdollistamiseen (kannettavat laitteet, yhteydet, työkalut jne.)
  • Vähittäismyynnin kaistanleveyden käytön kasvu ja yrityksen kaistanleveyden käytön väheneminen
  • Nykyisestä tilanteesta hyötyä hakevilta kyberrikollisilta suojautuminen
  • Tieto-/laitesuoja ja suojautuminen kyberhyökkäyksiltä
  • Suojautuminen tietojen kalastelulta, tietovarkauksilta, kiristys-/haittaohjelmilta jne. Tietojen kalasteluyritykset ovat lisääntyneet yli 600 % maailmanlaajuisesti COVID-19-epidemian aikana.

• Kolmannen osapuolen toimittajien hallinta.
• Työntekijöiden toteuttama vahva tietosuojakulttuuri.

Miten voimme olla avuksi?

DNV GL:n etätyöarviointiprotokollan mukaisella riippumattomalla arvioinnilla mitataan yrityksen kypsyyttä. Arvioinnissa huomioidaan eri tekijöitä, kuten hallintatoimenpiteitä, yhteyksiä, tietosuojaa, kolmannen osapuolen toimittajia ja työntekijöiden tietosuojakulttuuria. Kypsyyden arvioinnin avulla voit hallita ja toteuttaa kohdennettuja ja tehokkaita riskien vähentämistoimenpiteitä. Arviointiprotokollaan kuuluu:

• Kypsyyden mittaaminen hallintaa koskevien kysymysten avulla protokollan mukaisesti.
• Hallintatoimenpiteiden olemassaolo ja tehokas toteutus arvioidaan etänä:
  
  
  • keskustelemalla käyttäjien kanssa
  • tarkastelemalla asiakirjoja
  • prosessin/käytännön varmennuksella.

• Hallintatoimenpiteet luokitellaan ja arvioinnin tulokset pisteytetään toteutuksen tehokkuuteen perustuvalla asteikolla.
  
  
  • Tulokset yhdistetään kumulatiiviseen säännönmukaisuuden kypsyysindeksiin parannustavoitteiden asettamista varten
  • Yhdistetty hallintaraportti tärkeimmistä tuloksista
  • Välittömät toimenpiteet ja riskit
  • Parhaat käytännöt, varteenotettavat toimet ja johtopäätökset.

Etätyöarviointi voidaan toteuttaa etänä mille tahansa organisaatiolle. Siinä käytetään parhaita käytäntöjä, jotka on määritetty standardeissa, suunnitelmissa ja ohjeissa, kuten:

• NIST 800 – 53, ISO 27001:2013, ISO 22301:2019 ja BCI-standardit
• DSCI ja DNV GL:n omat ohjeasiakirjat.

DNV GL voi myös ehdottaa parhaita käytäntöjä IT-henkilöstön ja muun kuin IT-henkilöstön koulutuksen kehittämiseksi ja toteuttamiseksi.