Pk-yritysten tietoturvakysely <strong>2006</strong>4.2. Tietoturvallisuusosaamisen ja ylläpitämisen varmistaminen pkyrityksissäKysymys kuului: ”Miten yrityksessänne varmistetaan tietoturvallisuusosaaminen ja sen ylläpitäminen?”Kysymys oli ns. avoin kysymys ja mitään valmiita vastausvaihtoehtoja ei annettu.Seuraavassa saadut spontaanit vastaukset.Miten varmistetaan tietoturvallisuusosaaminen ja sen ylläpitäminen:hoidetaan omilla resursseilla/ hoidetaan itse (912 mainintaa)ulkoistettuna palveluna/ ostopalveluna (637 mainintaa)kouluttamalla/ kouluttautumalla/ kurssit (464 mainintaa)sisäinen tiedotus/ yhteiset palaverit/ keskustelemalla (170 mainintaa)omilla resursseilla ja ulkoistettuna palveluna (159 mainintaa)yrityksessä oma vastuuhenkilö/ tietoturva-vastaava/ tukihenkilö/ avainhenkilö (146 mainintaa)ammattiapua/ konsulttiapua käytetään tarvittaessa (71 mainintaa)ystävä/ kaveri/ sukulainen/ poika/ aviomies hoitaa/ auttaa (57 mainintaa)seuraamalla alan kehitystä (46 mainintaa)ammattilehtiä/ alan julkaisuja lukemalla (33 mainintaa)itseopiskelu/ omaehtoinen opiskelu (32 mainintaa)päivitysten kautta (15 mainintaa)tiedot ovat yhdellä henkilöllä/ vain yksi pääsee koneelle (12 mainintaa)konsernin kautta (10 mainintaa)luottamus/ keskinäinen luottamus (10 mainintaa)maalaisjärjellä (9 mainintaa)ajan tasalla pysymisellä (7 mainintaa)palomuuri, virustentorjunta (5 mainintaa)vain määrätyt saavat koskea tietokoneeseen (5 mainintaa)yhteistyökumppanin kanssa/ avulla (5 mainintaa)emoyhtiön kautta pidetään ajantasalla (4 mainintaa)kirjanpitäjä hoitaa (4 mainintaa)suullisilla ohjeilla (4 mainintaa)Keskon kautta/ Keskon koulutus (3 mainintaa)ketjun puitteissa (3 mainintaa)seuranta (3 mainintaa)ei ihmeemmin, työntekijät huolehtivat itse osaamisestaan (2 mainintaa)päämiehen kautta (2 mainintaa)salasanana vain (2 mainintaa)satunnaisesti (2 mainintaa)sopimuksilla (2 mainintaa)aina kun tulee uusi henkilö töihin hänet perehdytetään perusteellisesti talon tietoturvakäytäntöihinaina varahenkilö vastuuhenkilön takanaAina-Group hoitaa yrityksen tietoturvaosaamisen, hyvät palvelutainoastaan pankkiyhteysajantasalla oleminen, koulutus, kirjallisuusajantasolla pysyminen, uusien ratkaisujen tarkkailualan lehdet ja kirjallisuusalan tuntemus, ammattitaitoammattilaiset apuna, seurataan yleistä kehitystäannetaan muistioannetaan perehdytys, lisäksi kehityskeskustelujaapteekkari ja proviisori seuraavat Apteekkariliiton ja laitetoimittajien tietojaapteekkiohjelman tuottajalta apua puhelimitse ja kirjallisia ohjeitaasia hoidetaan konsernin toimesta, yrityksellä on oma vastuuhenkilö, joka ylläpitää tietoturvaosaamistaja välittää uusinta tietoaasiakkaiden ja omien järjestelmien päivitysasiakkuussopimuksiin liittyy keskinäinen luottamus asiakkaiden kanssa, itsestäänselvyysasiat kulkevat vain yhden henkilön kautta, omilla ja ostettuna31
Pk-yritysten tietoturvakysely <strong>2006</strong>asiat käydään läpi työntekijöiden kanssa, kirjallinen vaitioloon sitoutuminen, töiden seurantaasioista keskustellaan ja koneelle on pääsy vain hyvin harvoilla henkilöilläasioita täytyy seurata, esim. internet ja lehdet hyvät lähde, esim. netissä alan foorumeita, jossaalan ekspertit keskustelevat, sieltä hyvä poimia, samoin hyvä seurata uusi viruksia, mitä tulee jamiten haavoittuvainen Windows onatk-kurssit, perheenjäsenet auttavatatk-tieto-osaamiskartoitus vuosittain, omilla resursseillaatk-tukihenkilö omasta takaa sekä toinen tukihenkilö ostetaan ulkoisen palveluna, koulutusta sekäomin resurssein että ulkoistettuna palvelunaauditointi sekä henkilökunnaille että asiakkailleautomaattisilla päivityksilläavaimet vain tietyillä henkilöilläavainhenkilöiden jatkuvalla kouluttamisella ja asioista sisäisesti ohjeistamalla, omilla resursseillaei esitellä salaisia asioita, pidetään tiedot ajantasallaei käytä kukaan muuei millään suunnitelmallisella tavallaei oikeastaan millään, ehkä sillä että ainoastaan yksi henkilö pääsee tietokoneelleei ole koneella mitään sellaista "salaista", kaikki sellainen paperilla, tietokoneelle tulee vain sähköpostija kuvia töistäei puhuta asioista ulkopuolisilleei sen kummallisemmin, yrittäjä tekee kirjanpidon itse, vain tilitoimisto ja verottaja saavat tiedotei sitä ole varmistettu, viidakkorumpu paras tietolähdeei sitä ole varmistettu, yrittäjä itse hoitaaei sitä varsinaisesti mitenkään varmistetaemme käytä pc-koneita lainkaan, vaan ainoastaan Mac-koneitaemoyhtiö auttaa, paikallinen konsultti tarvittaessaemoyhtiö hoitaa, yrityksellä ei ole kovin arkaluontoisia asioita kun vaan tavara kulkee tätä kauttaerilaisia asiantuntijakäyntejä ja koulutusta ulkoistettuna palvelunaerilaisin koulutuksin ja tarkennuksinfiksuja ihmisiä töissäF-Securehammashoito-ohjelman toimittaja tulee pitämään koulutusta, tekninen tuki johon voi ottaa tarvittaessayhteyttäharvojen käsissä: omistaja tahoilla, varovaisuusheillä ei ole mahdollisuutta mennä tietokoneelle, estettyhenkilökohtainen puhuttelu, kun henkilö tulee palvelukseen, ohjelmissa on kohtia, joihin muu kuinvastuuhenkilökunta ei pääse henkilökohtaisella jatkuvalla seuraamisella - yrittäjä hoitaahenkilökohtaisesti, virusturvalla ja palomuurillahenkilökohtaisten kokemusten ja muun ammatin tuomien, ammatillisten taitojen kautta, mitä tullutesiinhenkilökunnalla vaitiolovelvollisuushenkilökunta ei käytä yrityksen tietokoneitahenkilökunta keskenään keskustelemalla ja Postilta tulee kirjallista infoa ja ohjeita miten tulee toimiatietoturvan suhteen, Posti aika hyvin hoitaa kaiken tietoturvallisuusosaamisenhenkilökunta on ollut töissä niin pitkään että asioihin on tullut rutiinithenkilökunta on pieni ja tunnetaan toiset, yrityksessä luotettu henkilöiden omaan harkintakykyynhenkilökunta seuraa tilannetta, miten kehittyyhenkilökunta tietää hyvin vähän yrityksen asioista, tiedot ovat vain kahden omistajan hallussahenkilökunta tietää ulospäin ei ole lupa antaa tietojahenkilöt, jotka tulevat tuotantoon, allekirjoittavat paperit, jossa sitoutuvat asioihinhoitaa tietotekniikka-asiat itse, henkilökunta ei käytä koneitahuonostihyvä henkilökunta, johon voi luottaahyvät systeemit, poika ja pojan kaverit hoitaa tai alanasiantuntijahälytysjärjestelmät, palomuuri, virustentorjuntahän ainoa joka käyttää, hänen vastuulla, luottaa F-Secureenit-osasto kouluttaa ja kouluttautuuitse ainoa työntekijä ja käyttää konetta yksin, lisäksi tuttava hoitaa teknistä tietoturvaa, esim. palomuurejaja päivityksiäitsellä ja vaimolla hallussa kaikki tärkeät tiedot, kukaan muu ei niitä tiedä32