Olette luultavasti kokeneet tämän tilanteen: olette viimeistelemässä sopimusta lupaavan yritysasiakkaan kanssa. Sopimus on valmis, hinnasta on sovittu, ja sitten keskustelu pysähtyy.

Syy? He pyysivät kyberturvallisuuden vaatimustenmukaisuusasiakirjojanne, ettekä voineet toimittaa niitä.

Se on turhauttava hetki. On ymmärrettävää ajatella, että kyberturvallisuuden vaatimustenmukaisuus on vain suurten, omilla tietoturvatiimeillä ja valtavilla budjeteilla varustettujen suuryritysten peliä. Kasvavalle starttiyritykselle tai pienyritykselle se voi tuntua ylivoimaiselta hallinnolliselta taakalta.

Hyvä uutinen on, että on olemassa yksinkertaisia tapoja osoittaa, että suhtaudutte tietosuojaan vakavasti.

Tässä oppaassa selvitetään, mitä vaatimustenmukaisuus todellisuudessa tarkoittaa yrityksellenne, mitkä ovat tärkeimmät kohtaamanne viitekehykset ja miten pääsette alkuun ilman IT-asiantuntijoiden tiimiä.

Mitä on kyberturvallisuuden vaatimustenmukaisuus?

Kyberturvallisuuden vaatimustenmukaisuudella osoitatte, että suojaatte arkaluonteisia tietoja tunnustettujen standardien mukaisesti. Kyse ei ole vain oikeista työkaluista, vaan myös oikeista prosesseista ja niiden tueksi tarvittavista asiakirjoista.

Ajatelkaa sitä yrityksenne tietoturvan ”todistuksena”. Se näyttää mahdollisille asiakkaille ja kumppaneille, että teillä on säännöt käytössä, noudatatte niitä ja pystytte todistamaan sen.

Se ei ole valinnaista. Säädökset, kuten GDPR(uusi ikkuna) ja HIPAA(uusi ikkuna), ovat juridisesti velvoittavia. Sakot, oikeusjutut ja toiminnalliset rajoitukset ovat kaikki mahdollisia. Kyberturvallisuusuhat eivät myöskään ole teoreettisia. Neljä viidestä pienyrityksestä(uusi ikkuna) on kokenut tietomurron viime aikoina.

Tietosuojan vaatimustenvastaisuuden riskit

Vaatimustenmukaisuuden ohittaminen saattaa vaikuttaa säästävän aikaa ja rahaa, mutta se on lyhytnäköistä peliä. Seuraukset iskevät kolmelle kriittiselle alueelle:

  • Taloudelliset seuraamukset: Yksi ainoa GDPR-rikkomus voi maksaa miljoonia. Pienyritykselle jopa keskitasoinen sakko voi tarkoittaa lomautuksia, kasvun pysähtymistä tai toiminnan lopettamista.
  • Toimintahäiriöt: Tietomurto voi viedä järjestelmät yhteydettömään tilaan viikoiksi. Henkilöstönne joutuu siirtymään tuottavasta työstä hallitsemaan kriisiä. Palautumiskustannukset voivat helposti ylittää 1 miljoonaa dollaria, kun otetaan huomioon käyttökatkot, oikeudenkäyntimaksut ja menetetyt sopimukset.
  • Mainevauriot: Asiakkaat, jotka ovat luottaneet tietonsa teille, eivät välttämättä anna toista mahdollisuutta. Tiiviillä toimialoilla sana kiertää nopeasti. Vaatimustenmukaisuuden laiminlyönti ei vahingoita vain brändiänne; se voi supistaa myyntiputkeanne vuosiksi.

Keskeisimmät kyberturvallisuuden viitekehykset, jotka jokaisen yrityksen tulisi tuntea

Nämä ovat standardeja, joista asiakkaanne, sääntelyviranomaiset ja yrityskumppaninne todennäköisesti kysyvät.

GDPR (yleinen tietosuoja-asetus)

Jos teillä on yksikin asiakas Euroopan unionissa tai jos keräätte sähköpostiosoitteita EU:sta tulevilta vierailijoilta verkkosivustollanne, GDPR(uusi ikkuna) koskee teitä – riippumatta siitä, missä yrityksenne sijaitsee. Vaatimustenvastaisuus voi johtaa jopa 20 miljoonan euron sakkoihin tai summaan, joka vastaa 4 % yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta (sen mukaan, kumpi on suurempi).

Mitä se tarkoittaa: Teidän on oltava avoimia siitä, miten keräätte ja käytätte tietoja. Teidän on annettava ihmisille oikeus tarkastella, korjata tai poistaa heidän tietojaan.

HIPAA (Health Insurance Portability and Accountability Act)

Oletteko SaaS-yritys, joka palvelee yhdysvaltalaista terveydenhuollon tarjoajaa? Tai kenties klinikka, joka hallitsee ajanvarauksia? Heti kun potilastiedot koskettavat järjestelmiänne, HIPAA(uusi ikkuna) tulee sovellettavaksi. Seuraamukset vaihtelevat tuhansista miljooniin dollareihin riippuen rikkomuksen vakavuudesta ja siitä, oliko kyseessä laiminlyönti.

Mitä se tarkoittaa: Tarvitsette tiukkoja suojatoimia, kuten tietojen salausta, valvottua pääsyä ja selkeitä menettelyjä tietomurtojen ilmoittamiseen.

NIS2 (verkko- ja tietoturvadirektiivi)

Tämä on EU-direktiivi, jolla vahvistetaan kyberturvallisuutta keskeisillä aloilla, kuten energia-, liikenne- ja digitaalisessa infrastruktuurissa. Vaikka teitä ei suoraan säänneltäisikään, yritysasiakkaanne saattavat vaatia teitä täyttämään NIS2(uusi ikkuna)-standardit osana toimittaja-arviointejaan.

Mitä se tarkoittaa: Se edellyttää riskienhallintakäytäntöjä ja tiukkaa poikkeamien raportointia.

ISO 27001 ja SOC 2

Nämä ovat kansainvälisiä standardeja, joilla arvioidaan sitä, miten hallitsette ja suojaatte tietoja. Panokset ovat suuret: yritysasiakkaille ISO 27001(uusi ikkuna) -sertifiointi tai SOC 2 -raportti on merkittävä luottamuksen osoitus. Se kertoo heille: ”Riippumattomat asiantuntijat ovat auditoineet meidät, ja tietoturvamme on vakaalla pohjalla.”

Mitä se tarkoittaa: Teidän on otettava käyttöön dokumentoituja tietoturvavalvontatoimia, alistuttava riippumattomille auditoinneille ja ylläpidettävä kyseistä sertifiointia jatkuvasti.

Miten päästä alkuun kyberturvallisuuden vaatimustenmukaisuudessa

Vaatimustenmukaisuus voi tuntua pitkältä tarkistuslistalta, mutta perusasiat tiivistyvät viiteen käytännön vaiheeseen.

  1. Kartoittakaa, mitä tietoja teillä on, missä ne sijaitsevat ja kenellä on pääsy niihin. Saatatte yllättyä huomatessanne, että asiakasluettelo on tallennettu alihankkijan henkilökohtaiseen Dropboxiin tai että arkaluonteisia tietoja sisältävä jaettu laskentataulukko on kenen tahansa muokattavissa.
  2. Kirjoittakaa käytäntönne ylös. Kuka voi käyttää mitäkin tietoja? Miten ilmoitatte tietomurrosta? Miten hävitätte vanhat tiedot? Jos sitä ei ole kirjoitettu ylös, sitä ei ole olemassa. Pitäkää nämä asiakirjat selkeinä ja ajan tasalla ja varmistakaa, että tiiminne todella noudattaa niitä.
  3. Antakaa tiimillenne yrityskäyttöön tarkoitettu salasananhallinta(uusi ikkuna). Se luo vahvoja kirjautumistietoja, tallentaa ne turvallisesti ja tekee hyvistä tavoista oletusarvon. Se poistaa vaivan monimutkaisten salasanojen muistamisesta.
  4. Käyttäkää yritys-VPN:ää(uusi ikkuna). Se salaa kaiken tiiminne internet-tietoliikenteen ja varmistaa, että tiedot pysyvät suojattuina riippumatta siitä, mistä he kirjautuvat sisään. Tämä on suoraviivainen tapa täyttää verkkoturvallisuusvaatimukset lähes kaikissa suurimmissa viitekehyksissä.
  5. Nimeätkää tietty henkilö (vaikka se olisi vain osa hänen tehtäväänsä) vastaamaan vaatimustenmukaisuudestanne. Hänen tulisi seurata säädösmuutoksia, pitää dokumentaatio päivitettynä ja varmistaa, että johto pysyy ajan tasalla.

Miten pysyä kyberturvallisuussäädösten mukaisena

Säädökset muuttuvat, tiiminne kasvaa ja käyttämänne työkalut kehittyvät. Siksi se vaatii jatkuvaa huomiota.

  • Tarkistakaa käytännöt säännöllisesti: Tehkää neljännesvuosittaisia tarkistuksia varmistaaksenne, että dokumentaationne vastaa sitä, miten todellisuudessa työskentelette.
  • Tarkkailkaa tietovuotoja: Älkää odottako tietomurtoa saadaksenne tietää, että kirjautumistietonne ovat vuotaneet. Käyttäkää työkaluja, jotka valvovat pimeää verkkoa ja varoittavat teitä, jos yrityksenne tietoja näkyy tietomurrossa.
  • Tehkää sisäisiä auditointeja: Testatkaa valvontatoimenne ennen kuin tarkastaja tekee sen. Etsikää puutteet itse – se on aina halvempaa kuin niiden paljastuminen ulkopuolisille.
  • Kouluttakaa tiimienne: Käytännöt toimivat vain, jos ihmiset noudattavat niitä. Lyhyt ja käytännöllinen tietojenkalastelua ja tietojen käsittelyä koskeva koulutus pitää tietoturvatottumukset kunnossa.
  • Käyttäkää työkaluja, jotka mahdollistavat hyvän tietoturvan: Vaatimustenmukaisuus on helpompaa, kun tietoturva on oletusarvo. Valitkaa työkaluja, jotka salaavat yrityksenne tiedot, antavat teille yksityiskohtaisen käyttöoikeuksien hallinnan ja ilmoittavat automaattisesti riskeistä, kuten heikoista salasanoista.

Tehkää kyberturvallisuuden vaatimustenmukaisuudesta osa jokapäiväistä toimintaanne

Vaatimustenmukaisuuden ei tarvitse olla hätäistä ponnistelua. Oikeiden työkalujen avulla siitä tulee osa yrityksenne toimintaa, mikä antaa teille konkreettisia vastauksia tietoturvakyselyihin ja auditointeihin.

Proton Pass(uusi ikkuna) ja Proton VPN(uusi ikkuna) on luotu tätä varten. Asennus vie vain minuutteja, ettekä tarvitse IT-tiimiä niiden hallitsemiseen.

  • Proton VPN salaa kaiken yrityksen verkkoliikenteen ja rajoittaa pääsyn vain hyväksytyille laitteille täyttäen tiukat verkkoturvallisuusvaatimukset.
  • Proton Passin avulla voitte ottaa käyttöön kaksivaiheisen tunnistautumisen, hallita kirjautumistietoja turvallisesti ja hakea toimintalokit suoraan ylläpitäjän paneelista auditointeja varten. Kun uusi työntekijä aloittaa, voitte myöntää käyttöoikeudet muutamalla napsautuksella; kun joku lähtee, voitte mitätöidä ne välittömästi.

Voitte myös hyödyntää meidän vaatimustenmukaisuuttamme omanne tukena. Kun yritysasiakkaat kysyvät käyttämänne ohjelmiston turvallisuudesta, voitte viitata meidän sertifiointeihimme.

Proton on ISO 27001 -sertifioitu ja SOC 2 Type II -varmennettu, sen kotipaikka on Sveitsissä, ja se on täysin avointa lähdekoodia. Tämä antaa teille todennettavissa olevan, ulkopuolisen tahon todistuksen siitä, että tietonne on suojattu korkeimpien maailmanlaajuisten standardien mukaisesti.

Proton for Business(uusi ikkuna) tarjoaa teille työkalut, joita tarvitsette paitsi vaatimustenmukaisuustaipaleenne aloittamiseen, myös sen ylläpitämiseen pitkällä aikavälillä.