PK-YRITYSTEN TIETOTURVAKYSELY 2006 Yhteenveto 8.2.2007

More documents

Recommendations

Info

6/93. Tietoturva-asioiden hoito pk-yriyksissäSelvityksen toisessa osiossa tarkasteltiin kuinka yritykset ovat hoitaneet tietoturvaasiathuomioiden edellisessä kappaleen antama taustainformaatio. Tietoturvaaselvitettiin teknisten valmiuksien ja teknisen tietoturvan, henkilöstöntietoturvaosaamisen ja hallinnollisen tietoturvan sekä tietojärjestelmiin liittyvänriskienhallinnan näkökulmasta.3.1. Tekniset valmiudet ja tekninen tietoturvaSelvityksen mukaan lähes kaikilla pk-yrityksillä on Internet – yhteys. 91 %vastanneista yrityksistä ilmoitti, että niillä on internet yhteys. Internet-yhteyksienyleisyys vaihteli mikroyritysten 86 %:sta keskisuurten yritysten 100 %:iin.Parhaiten kysytyistä tekniseen tietoturvaan liittyvistä asioista oli pk-yrityksissähoidettu internetyhteyksien suojaaminen palomuurilla (95 %), sekä automaattisestipäivittyvät virustentorjuntaohjelmistot (94 %). Sen sijaan heikoiten tekniseentietoturvaan liittyen oli hoidettu tietokoneiden käytön suojaus säännöllisestivaihdettavilla salasanoilla (47 % vastanneista) sekä tärkeimpien tietojärjestelmienvararatkaisujen hoitaminen (48 %). Pk-yrityksistä 78 % ilmoitti, että kannettavattietokoneet oli suojattu laitekohtaisilla palomuureilla, tosin 8 % vastanneista eiosannut sanoa vastausta tähän kysymykseen. 84 % yrityksistä ilmoitti, ettätietokoneiden käyttöjärjestelmät päivitetään säännöllisesti ja 68 % yrityksistä ilmoitti,että tietokoneille tallennetuista tiedoista otetaan varmuuskopiot säännöllisesti.Tietoturvan perusvalistuksen viesti näyttää menneen perille yrityksissä;virustentorjuntaohjelmat päivitetään säännöllisesti, internet – yhteydet on suojattupalomuureilla ja että tietokoneiden käyttöjärjestelmät päivitetään säännöllisesti.3.2. Hallinnollinen tietoturvaSelvityksen mukaan eniten kehittämisen varaa yrityksillä oli hallinnollisessatietoturvassa. Hallinnollisella tietoturvalla tarkoitetaan tietoturvallisuudentoimintapolitiikkaa, toiminnan linjauksia, organisointia, resursointia jatietoturvallisuuden vastuujakoa. Ainoastaan 14 %:lla yrityksistä oli kirjallinentietoturvasuunnitelma ja vain 21 % yrityksistä oli laatinut kirjallisentietoturvapolitiikan. Vain 43 % yrityksistä oli nimetty ja henkilöstölle tiedotettutietoturva-asioiden vastuuhenkilö.Kyselyyn vastanneiden mielestä yritysten työtekijät ymmärtävät kuitenkintietoturvavastuunsa. Yrityksistä 68 % ilmoitti, että niissä oli varmistettu, ettätyöntekijät ymmärtävät oman tietoturvavastuunsa ja 61 % ilmoitti, että yrityksenhenkilökunta oli perehdytetty tunnistamaan liiketoiminnan kannalta luottamuksellisettiedot. 82 % yrityksistä uskoi, että yrityksen työntekijät tietävät miten ja milloin voivatantaa ulkopuolisille yritystoiminnan kannalta luottamuksellisia tietoja.Yleisesti ottaen tietoturva-asiat oli hoidettu hallinnollisen tietoturvan näkökulmastaparhaiten keskisuurissa ja heikoiten mikroyrityksissä. Erot olivat kuitenkin joiltakinosin merkittävät ja osin hyvin luonnollisia. Esimerkiksi tietoturvapolitiikan oli laatinutvain 17 % mikroyrityksistä ja 37 % pienistä yrityksistä. Keskisuurista yrityksistä yli
7/9puolella, 56 %:lla yrityksistä oli laadittu tietoturvapolitiikka. Vastaavasti erot olivatsuuret myös kysyttäessä kirjallista tietoturvasuunnitelmaa tai että onko yrityksessänimetty ja tiedotettu tietoturva-asioiden vastuuhenkilö. Erot eri kokoluokan yrityksissäeivät olleet näin suuret esimerkiksi kysyttäessä onko yrityksissä varmistettu, ettähenkilöt ymmärtävät oman tietoturvavastuunsa tai onko yrityksen henkilökuntaperehdytetty tunnistamaan liiketoiminnan kannalta luottamukselliset tiedot.Yrityksiltä kysyttiin ns. avoimena kysymyksenä miten ne varmistavattietoturvaosaamisen ja sen ylläpitämisen. Alla on listattuna kymmenen enitenmainintoja saaneet vastaukset:o hoidetaan omilla resursseilla/hoidetaan itse (912 mainintaa)o ulkoistettuna palveluna/ostopalveluna (637 mainintaa)o kouluttamalla/kouluttautumalla/kurssit (464 mainintaa)o sisäinen tiedotus/yhteiset palaverit/keskustelemalla (170 mainintaa)o omilla resursseilla ja ulkoistettuna palveluna (159 mainintaa)o yrityksessä on oma vastuuhenkilö /tietoturvavastaava/tukihenkilö/avainhenkilö (146 mainintaa)o ammattiapua/konsulttiapua käytettään tarvittaessa (71 mainintaa)o ystävä/kaveri/sukulainen/poika/aviomies hoitaa/auttaa (57 mainintaa)o seuraamalla alan kehitystä (46 mainintaa)o Ammattilehtiä/alan julkaisuja lukemalla (33 mainintaa)3.3. Tietojärjestelmien riskienhallintaYritykset ovat varautuneet huonosti tietoturvariskeihin. Vain joka toisessa yrityksessä(52%) oli arvioitu luottamuksellisiin tietoihin liittyvät riskit ja vain joka toinen yritys(51 %) oli arvioinut menetykset, jotka seuraavat tietojärjestelmientoimimattomuudesta tai häiriötilanteesta. Kaikkein huonoimmin yritykset olivatvarautuneet väärinkäytöstilanteisiin - vain joka kolmannella yrityksistä olisuunnitelma tilanteisiin, jossa havaitaan tietoihin liittyviä väärinkäytöksiä.Niin ikään vain joka toisella yrityksellä oli suunnitelma miten palauttaa tilanteetnormaaliksi häiriötilanteen jälkeen.Vain hieman paremmin oli yrityksissä ennakoitu tilanteet, jotka voivat aiheuttaatietojen muuttumisen tai häviämisen: Yrityksistä 63 % ilmoitti ennakoivansa nämätilanteet. Samoin hieman paremmin, 60 % yrityksistä, oli arvioinut riskit, jotkaliittyvät tietojärjestelmien toimivuuteen ja siitä seuraaviin liiketoiminnankeskeytyksiin.Myös riskienhallinnassa olivat erot mikro-, pienten- ja keskisuurten yritysten välilläselvät. Esimerkiksi riskien arviointi liittyen tietojärjestelmien toimimattomuuteen jasiitä seuraaviin liiketoiminnan keskeytyksiin oli mikroyrityksissä suoritettu 57 %:ssayrityksistä. Pienten yritysten vastaava osuus oli 71 % ja keskisuurten 84 %.Kysyttäessä pk-yrityksiltä ns. avoimena kysymyksenä elintärkeäksi ja arvokkaaksikokemastaan tiedosta (avoin kysymys), saatiin vastaukseksi seuraavat maininnat (yli50 mainintaa):
Page 1 and 2: PK-YRITYSTENTIETOTURVAKYSELY 2006Yh
Page 4 and 5: 4/92. Liiketoiminnan riippuvuus tie
Page 8: 8/9• asiakastiedot• asiakasreki
Page 12 and 13: Pk-yritysten tietoturvakysely 2006Y
Page 14 and 15: Pk-yritysten tietoturvakysely 20062
Page 18 and 19: Pk-yritysten tietoturvakysely 2006K
Page 20: Pk-yritysten tietoturvakysely 2006K
Page 33 and 34: Pk-yritysten tietoturvakysely 2006k
Page 41 and 42: Pk-yritysten tietoturvakysely 2006a
Page 43 and 44: Pk-yritysten tietoturvakysely 2006k
Page 45 and 46: Pk-yritysten tietoturvakysely 2006t
Page 51 and 52: Pk-yritysten tietoturvakysely 2006h
Page 53 and 54: Pk-yritysten tietoturvakysely 2006a
Page 55 and 56: Pk-yritysten tietoturvakysely 2006h
Page 57 and 58:
Pk-yritysten tietoturvakysely 2006k
Page 59 and 60:
Pk-yritysten tietoturvakysely 2006m
Page 61 and 62:
Pk-yritysten tietoturvakysely 2006p
Page 63 and 64:
Pk-yritysten tietoturvakysely 2006t
Page 65 and 66:
Page 67 and 68:
Pk-yritysten tietoturvakysely 20065
Page 69 and 70:
Pk-yritysten tietoturvakysely 2006h
Page 71 and 72:
Pk-yritysten tietoturvakysely 2006l
Page 73 and 74:
Pk-yritysten tietoturvakysely 2006s
Page 75 and 76:
Page 77 and 78:
KYSYMYS: "Onko yrityksenne käytös
Page 79 and 80:
»»» JOS YRITYKSELLÄ ON KÄYTÖS
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
»»»KYSYMYS:"Miten yrityksessänn
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
KYSYMYSLOMAKEPk-yritysten suhdantee
show all

PK-YRITYSTEN TIETOTURVAKYSELY 2006 Yhteenveto 8.2.2007

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?