Asianajajaliitto päivitti kesäkuussa tietoturvaohjeistuksena, joka tulee voimaan 1.1.2024. Ohjeistus sisältää keskeisiä tekijöitä, joiden avulla pyritään varmistamaan asianajotoimistojen toiminnan tietoturvallisuus ja pitämään huolta niin salassa pidettävän tiedon suojaamisesta kuin toiminnan jatkuvuudesta digitalisoituvassa ympäristössä. Kokonaisuudessaan asianajajaliiton ohjeistus toimii hyvänä ohjenuorana tietoturvan haltuun ottamiseen ja uhkien torjumiseen alasta riippumatta.
Mitä tietoturvaohjeistus pitää sisällään?
Asianajajaliiton tietoturvaohjeistus ottaa kantaa siihen, miten tietoturvaa tulisi lähestyä koko organisaation tasolla liittyen niin työntekijöiden osaamisen kehittämiseen kuin toimintaa ohjaavan tietoturvapolitiikan laatimiseen. Ohjeistus sisältää 18 kohtaa tietoturvakoulutuksista liiketoiminnan jatkuvuuden turvaamiseen. Huomioitavaa on kuitenkin, että tietoturva on jatkuva prosessi eikä yksittäisen tietoturvaohjelmiston käyttöönotto riitä, vaan se vaatii jatkuvaa seurantaa valvontaa ja kehitystä.
Vähintään 10 henkeä työllistävän asianajotoimiston on muun muassa laadittava tietoturvapolitiikka, huolehdittava säännöllisistä ulkoisista tietoturva-auditoinneista, varmistettava, että päätelaitteet ovat keskitetyn hallinnan piirissä ja otettava käyttöön pääsynhallintaratkaisu.
Lisäksi yrityksien tulee suojata fyysiset toimitilat ja varmistettava, että käytössä olevat tietoturvaohjelmistot ja palomuurit ovat tietoturvavaatimusten mukaisia sekä sovelluspäivitykset ajan tasalla.
Tiedon ja laitteiden suojaaminen
Laitteiden, ohjelmistojen ja asiakastietoja sisältävien tietokantojen ja dokumenttien suojaukseen ohjeistus käsittää useita keskeisiä toimenpiteitä. Laitteet ja välineet, sekä asiakastietoja sisältävät tietokannat ja pilvipalvelut on salattava, eikä toiminnassa käytettyjä laitteita saa koskaan luovuttaa ulkopuolisten käyttöön. Yli 10 henkeä työllistävissä toimistoissa laitteiden tulee olla laitehallinnan piirissä. Laitteet on myös kyettävä tyhjentämään ja poistamaan käytöstä tietoturvallisesti. Ohjeistus ottaa kantaa myös pääsynhallintaan ja asiakirjoihin tulisikin olla pääsy vain niillä henkilöillä, jotka tarvitsevat tai saattavat tarvita salassa pidettäviä tietoja.
Viestinnän turvallisuus ja ihminen tietoturvan keskiössä
Kuten tiedämme, tietoturva ei liity ainoastaan ulkopuolisiin uhkiin, vaan työntekijöiden päivittäiseen toimintaan ja käytäntöihin, kuten viestintään. Tähän liittyen asianajajaliiton ohjeistus sisältää useita tärkeitä huomioita. Henkilöstön käyttämien viestintäkanavien on oltava tietoturvavaatimusten mukaisia ja esimerkiksi sähköpostin kautta lähetettävä tieto pitää salata. Lisäksi henkilökunnan tulee käyttää vain salattua langatonta verkkoyhteyttä, johon ulkopuolisilla tahoilla ei ole pääsyä. Itsestään selvästi myös vaatimusten mukaiset salasanat ovat olennainen osa tietoturvaa. Salasanojen on oltava riittävän pitkiä ja monimutkaisia, ja ne on voitava vaihtaa tarpeen vaatiessa. Vaatimus vahvaan kaksivaiheiseen tunnistautumiseen on aina suositeltavaa. Henkilöstön toimintaan liittyy olennaisesti myös kouluttautuminen ja niin organisaatio kuin yksittäinen työntekijä vastaa siitä, että tietoturvaosaaminen pysyy ajan tasalla.
Liiketoiminnan jatkuvuus osana tietoturvaa
Osa tietoturvaa on toiminnan jatkuvuuden turvaaminen. Tähän liittyy keskeisesti varmuuskopiointi, mikä koskee kaikkia olennaisia tiedostoja, ohjelmistoja ja myös pilvipalveluita (esim. Microsoft 365 -ympäristö). Varmuuskopioinnilla ehkäistään kriittisten tietojen menettäminen, ja sitä seuraavat riskit ja kustannusvaikutukset. Palauttaminen varmuuskopioista tulisi myös testata säännöllisesti. Toiminnan jatkuvuuden turvaamisen takaa myös tietojen systemaattinen dokumentointi.
Bitmoren jatkuvilla palveluilla yrityksenne tietoturva kuntoon
Asianajajaliiton ohjeistus on hyvin linjassa sen kanssa, mitä suosittelemme tietoturvallisen toiminnan avaintekijöiksi. Kannustamme asianajotoimistoja ja kaikkia muitakin eri aloilla toimivia organisaatioita ottamaan tietoturva-asiat haltuun ja tässä haluamme toimia teidän luotettavana kumppanina.
Tutustu kattavaan ja toimialariippumattomaan tietoturvakokonaisuuteen ja palveluihimme oheisesta linkistä!