Etätyö on monessa pk-yrityksessä uusi normaali, mutta samalla se on laajentanut tietoturvan rajaa toimiston ulkopuolelle koteihin, juniin, hotelleihin ja asiakkaan tiloihin. Kun työntekijä käyttää yrityksen tietoja omalla verkkoyhteydellään ja joskus myös omalla laitteellaan, riskit muuttuvat nopeasti hyvin konkreettisiksi: väärään paikkaan tallentunut tiedosto, suojaamaton Wi‑Fi, liian laajat käyttöoikeudet tai entisen työntekijän aktiiviseksi jäänyt tunnus.
Tässä artikkelissa käymme läpi, mitä ISO 27001 tarkoittaa etätyön näkökulmasta, mitkä ovat yleisimmät riskit ja miten voit rakentaa käytännöllisen hallintajärjestelmän niiden hallintaan. Saat myös selkeän etenemismallin, jonka avulla viet etätyön tietoturvan käytäntöön ilman raskasta byrokratiaa.
Miksi etätyö on ISO 27001:n näkökulmasta erityinen riski?
ISO 27001 on standardi, jonka avulla organisaatio rakentaa systemaattisen tavan tunnistaa, hallita ja seurata tietoturvariskejä. Etätyössä haaste ei ole vain teknologia, vaan se, että työympäristö ei ole enää täysin organisaation hallinnassa.
Kun työ tehdään hajautetusti, samat tiedot liikkuvat useamman verkon, laitteen ja palvelun kautta kuin ennen. Tämä kasvattaa hyökkäyspintaa eli niitä kohtia, joista virhe, väärinkäyttö tai tietomurto voi päästä syntymään.
Tyypillisiä etätyön riskejä ovat esimerkiksi:
- yrityksen tiedostojen tallentaminen paikallisesti ilman salausta
- kirjautuminen palveluihin ilman monivaiheista tunnistautumista
- käyttöoikeuksien jääminen voimaan työsuhteen päätyttyä
- luottamuksellisten keskustelujen käyminen julkisissa tiloissa
- ohjelmistopäivitysten viivästyminen yli 14 päivän ajan
- varmuuskopioinnin puutteet työntekijän paikallisilla tiedostoilla
Etätyön tietoturvassa yksi keskeinen kysymys kuuluu: tiedättekö oikeasti, missä kriittinen tieto sijaitsee ja kuka siihen pääsee käsiksi? Jos vastaus on epäselvä, ensimmäinen kehityskohde on jo löytynyt.
Huomio
ISO 27001 ei tarkoita sitä, että kaiken pitäisi olla lukittua ja hidasta. Standardin idea on sovittaa suojaustoimet riskin tasoon, jotta arki pysyy sujuvana mutta kriittiset tiedot ovat hallinnassa.
Mitä tietoja etätyössä pitää suojata?
Moni ajattelee etätyön tietoturvaa vain kannettavan tietokoneen suojaamisena. Todellisuudessa suojattavia kohteita on vähintään neljä: tiedot, laitteet, käyttäjätunnukset ja työskentelytavat.
Käytännössä kannattaa luokitella tiedot vähintään 3 tasoon, jotta suojaustoimet voidaan mitoittaa oikein. Esimerkiksi julkinen markkinointimateriaali ei tarvitse samaa suojausta kuin asiakasrekisteri, tarjouslaskelmat tai henkilöstödata.
Alla yksinkertainen malli tiedon luokitteluun etätyössä:
| Tietoluokka | Esimerkki | Vähimmäissuojaus etätyössä | Vastuutaso |
|---|---|---|---|
| Julkinen | Verkkosivun sisältö, julkaistut esitteet | Normaali käyttö, ei erityisrajoituksia | Tiiminvetäjä |
| Sisäinen | Sisäiset ohjeet, projektimuistiot | Tallennus vain hyväksyttyihin pilvipalveluihin | Prosessin omistaja |
| Luottamuksellinen | Sopimukset, asiakasdata, henkilötiedot | Monivaiheinen tunnistautuminen, rajatut käyttöoikeudet, salattu laite | Johto / tietoturvavastaava |
| Erittäin kriittinen | Palkkatiedot, tuotekehityksen ydinmateriaali | Erillinen käyttöoikeushyväksyntä, lokiseuranta, pääsyn tarkistus kvartaaleittain | Johto |
Kun luokittelu on tehty, voit määrittää selkeät pelisäännöt. Esimerkiksi:
- luottamuksellista tietoa ei saa lähettää henkilökohtaiseen sähköpostiin
- tiedostoja ei tallenneta paikalliselle työpöydälle ilman hyväksyttyä salausta
- erittäin kriittisiin tietoihin pääsy tarkistetaan 4 kertaa vuodessa
- paperitulosteet hävitetään tietoturvallisesti myös kotitoimistolla
Tämä on juuri sitä käytännön tasoa, jossa hallintajärjestelmä alkaa näkyä arjessa.
Etätyön yleisimmät tietoturvakontrollit
ISO 27001 puhuu kontrolleista, eli käytännön suojaustoimista, joilla riskejä pienennetään. Etätyössä tärkeintä ei ole ottaa käyttöön mahdollisimman montaa kontrollia, vaan valita ne, jotka vähentävät suurimmat riskit nopeasti.
Pk-yritykselle hyvä lähtökohta on rakentaa etätyön perustaso 30–60 päivän aikana. Usein jo muutama oikein valittu toimenpide pienentää riskiä merkittävästi.
Tässä taulukossa on etätyön kannalta keskeisiä kontrollialueita:
| Kontrolli | Mitä se tarkoittaa käytännössä? | Suositeltu mittari |
|---|---|---|
| Laitteiden hallinta | Yrityksen laitteet rekisteröidään ja suojataan keskitetysti | 100 % työlaitteista laiteluettelossa |
| Monivaiheinen tunnistautuminen | Kirjautuminen vaatii salasanan lisäksi toisen vahvistuksen | 100 % pilvipalveluista MFA:n piirissä |
| Käyttöoikeuksien hallinta | Oikeudet annetaan roolin mukaan ja poistetaan nopeasti | tunnukset poistetaan 24 tunnin sisällä työsuhteen päättymisestä |
| Päivitysten hallinta | Käyttöjärjestelmät ja sovellukset päivitetään säännöllisesti | kriittiset päivitykset asennetaan 7 päivän sisällä |
| Tiedon tallennus | Tiedot tallennetaan hyväksyttyihin palveluihin, ei hajalleen | 90 %+ tiedostoista keskitetyn tallennuksen piirissä |
| Lokitus ja seuranta | Poikkeavat kirjautumiset ja tapahtumat havaitaan | poikkeamat käsitellään 48 tunnin sisällä |
Jos mietit, mistä aloittaa, aloita näistä 3–5 keskeisestä riskistä:
- tunnusten väärinkäyttö
- suojaamattomat laitteet
- tiedostojen hallitsematon tallennus
- puutteellinen poistumisprosessi
- henkilöstön epäselvät toimintatavat
Varoitus
Yleinen virhe on kirjoittaa etätyöohje, jota kukaan ei lue tai noudata. Jos ohje ei mahdu noin 1–2 sivuun tai sitä ei käydä läpi perehdytyksessä, se jää helposti irralliseksi dokumentiksi.
Pelkkä tekniikka ei riitä: ihmiset ja toimintatavat ratkaisevat
Etätyön tietoturvassa suurin osa poikkeamista ei johdu huippuhakkeroinnista vaan tavallisista arjen tilanteista. Työntekijä lähettää tiedoston väärälle vastaanottajalle, käyttää samaa salasanaa useassa palvelussa tai jättää näytön näkyville yhteiskäyttötilassa.
Siksi ISO 27001 korostaa myös rooleja, ohjeita, koulutusta ja jatkuvaa seurantaa. Kun työntekijä tietää, mitä häneltä odotetaan ja miksi, tietoturva muuttuu helpommin osaksi normaalia työtä.
Toimiva etätyön tietoturvakäytäntö sisältää vähintään nämä asiat:
- mitä laitteita saa käyttää työssä
- missä palveluissa tiedostoja saa säilyttää
- miten toimitaan julkisissa verkoissa ja matkustaessa
- miten tietoturvapoikkeama ilmoitetaan, kenelle ja missä ajassa
- miten esihenkilö tarkistaa käyttöoikeudet ja poistuvat työntekijät
Konkreettinen esimerkki: jos työntekijä epäilee tietojenkalastelua, ilmoitus tehdään Teams-kanavaan tai tikettijärjestelmään 30 minuutin sisällä havainnosta. Tämän jälkeen IT arvioi tilanteen ja tarvittaessa vaihtaa salasanan, sulkee istunnot ja tarkistaa lokit saman työpäivän aikana.
Rajaa etätyön soveltamisala ja kriittiset tiedot
Listaa ensin, ketkä tekevät etätyötä, mitä järjestelmiä he käyttävät ja mitä tietoja he käsittelevät. Rajaa mukaan erityisesti luottamukselliset ja liiketoiminnan kannalta kriittiset tiedot, jotta et yritä suojata kaikkea samalla tavalla.
Tee nopea riskiarvio etätyön tilanteista
Käy läpi 5–10 yleisintä etätyötilannetta, kuten kotiverkko, matkustaminen, henkilökohtainen laite, pilvipalveluun kirjautuminen ja työsuhteen päättyminen. Arvioi jokaiselle tilanteelle todennäköisyys, vaikutus ja nykyiset suojaustoimet, jotta näet missä riskitaso on korkein.
Ota käyttöön minimikontrollit 30 päivän sisällä
Varmista vähintään monivaiheinen tunnistautuminen, laitteiden salaus, keskitetty tiedostojen tallennus ja selkeä käyttöoikeusprosessi. Jos resursseja on vähän, priorisoi kontrollit niihin järjestelmiin, joissa käsitellään asiakasdataa, henkilötietoja tai sopimuksia.
Kirjaa etätyön pelisäännöt lyhyesti ja kouluta henkilöstö
Tee käytännönläheinen ohje, jonka lukemiseen menee enintään 10 minuuttia. Käy ohje läpi perehdytyksessä, toista se vähintään kerran vuodessa ja testaa ymmärrystä lyhyellä 5 kysymyksen tietoturvakyselyllä.
Seuraa mittareita ja korjaa puutteet kuukausittain
Valitse 3–5 mittaria, kuten MFA-kattavuus, poistettujen tunnusten vasteaika, kriittisten päivitysten toteutumisaste ja raportoitujen poikkeamien määrä. Käy luvut läpi kuukausittain ja päätä jokaisessa katselmuksessa vähintään yksi korjaava toimenpide.
Miten johto varmistaa, että etätyön tietoturva toimii oikeasti?
Monessa yrityksessä etätyön tietoturva jää IT:n vastuulle, vaikka todellisuudessa kyse on johtamisesta. Johto päättää riskitasosta, resursseista, hyväksyttävistä toimintatavoista ja siitä, seurataanko toteutumista vai ei.
Hyvä käytäntö on käsitellä etätyön tietoturvaa osana johtoryhmän tai kuukausipalaverin vakioagendaa. Tähän riittää usein 15–30 minuuttia kuukaudessa, kunhan käsittely on säännöllistä.
Johdon kuukausikatsauksessa kannattaa seurata ainakin näitä:
| Mittari | Tavoitetaso | Hälytysraja | Toimenpide |
|---|---|---|---|
| MFA-kattavuus | 100 % | alle 95 % | puuttuvat palvelut käyttöön heti |
| Poistuvien käyttäjien tunnusten sulku | 24 h | yli 48 h | poistumisprosessi korjataan |
| Kriittisten päivitysten toteuma | 95 % | alle 85 % | laitehallinnan priorisointi |
| Raportoidut tietoturvapoikkeamat | trendi seurannassa | äkillinen nousu | juurisyyanalyysi |
| Koulutuksen kattavuus | 100 % vuosittain | alle 90 % | lisäkoulutus ja muistutus |
Kun mittarit ovat näkyvissä, tietoturva ei jää mielipiteiden varaan. Silloin voidaan keskustella faktoista: missä riski on kasvanut, mikä toimenpide toimii ja mihin kannattaa käyttää seuraavat kehitystunnit.
Missä Tietoturvapankki auttaa?
Pk-yrityksen haaste ei yleensä ole se, etteikö tietoturvan tarvetta ymmärrettäisi. Haaste on se, että kokonaisuus on hajallaan: riskit yhdessä Excelissä, ohjeet toisessa kansiossa, vastuut epäselviä ja seuranta satunnaista.
Tietoturvapankki auttaa kokoamaan ISO 27001 -työn yhteen paikkaan niin, että etätyön tietoturva ei jää irralliseksi projektiksi. Kun riskit, kontrollit, vastuut, dokumentit ja seuranta ovat samassa palvelussa, eteneminen on huomattavasti helpompaa ja johdolle näkyvämpää.
Jos organisaatiossasi on jo käytössä esimerkiksi ISO 9001 tai laadunhallinnan työkaluja, etätyön tietoturvan kehittäminen kannattaa kytkeä osaksi olemassa olevia johtamiskäytäntöjä. Tietoturva toimii parhaiten silloin, kun se ei ole erillinen saareke vaan osa normaalia johtamista, aivan kuten Laatupankki-ajattelussa laadunhallinta tuodaan osaksi arkea. Tietoturvapankin taustalla toimivat Softapankki Oy ja QMClouds Oy, joiden ratkaisuissa painottuu käytännönläheinen tekeminen, ei paperin makuinen hallinto.
Vinkki
Varaa kalenteriin jo tälle viikolle 45 minuuttia ja käy läpi kolme asiaa: missä kriittiset tiedot ovat, kenellä niihin on pääsy ja poistuvatko oikeudet varmasti 24 tunnin sisällä. Saat nopeasti näkyviin suurimman osan etätyön perustason puutteista.
Yhteenveto
- ISO 27001 auttaa hallitsemaan etätyön tietoturvaa systemaattisesti, ei vain yksittäisillä teknisillä ratkaisuilla.
- Aloita tunnistamalla 3–5 keskeistä riskiä, kuten tunnukset, laitteet, tiedostojen tallennus ja poistumisprosessi.
- Ota käyttöön selkeät minimikontrollit: MFA, laitesalaus, keskitetty tallennus, nopeat käyttöoikeusmuutokset ja henkilöstön ohjeistus.
- Seuraa etätyön tietoturvaa konkreettisilla mittareilla, kuten 24 h tunnusten poistolle ja 7 päivän vasteella kriittisiin päivityksiin.
- Tietoturvapankki auttaa kokoamaan riskit, kontrollit, vastuut ja seurannan yhdeksi hallittavaksi kokonaisuudeksi.
Tarvitsetko apua tietoturvan hallinnassa?
Asiantuntijamme auttavat sinua eteenpäin.