Päätelaitesuojaus ja haittaohjelmapolitiikka – pk-yrityksille

Tämä Päätelaitesuojaus – haittaohjelmapolitiikka (P20S) on suunniteltu erityisesti pienille ja keskisuurille yrityksille (pk-yrityksille), jotka tarvitsevat vahvan, käytännöllisen ja standardien mukaisen suojan päätelaitteisiin kohdistuvia haittaohjelmauhkia vastaan. Asiakirjanumeron ”S”-merkintä ja ensisijaisen vastuun delegointi toimitusjohtajalle heijastavat virtaviivaistettua lähestymistapaa organisaatioille, joilla ei ole omistautunutta tietoturvajohtaja (CISO) -roolia, tietoturvaoperaatiokeskus (SOC) -toimintoa tai kokopäiväisiä IT-toiminnot-tiimejä, mutta jotka haluavat pysyä täysin ISO/IEC 27001:2022 -viitekehyksen mukaisina. Politiikan tarkoitus on asettaa selkeät, täytäntöönpantavat vähimmäisstandardit kaikkien päätelaitteiden suojaamiseksi, mukaan lukien kannettavat ja pöytätietokoneet, tabletit, älypuhelimet ja irrotettavat tallennusvälineet. Käsittelemällä päätelaiteturvallisuuden tekniset, menettelylliset ja käyttäytymiseen liittyvät osa-alueet politiikka pyrkii lieventämään yleisiä riskejä, kuten kiristyshaittaohjelmia, vakoiluohjelmia, näppäilyntallentimia ja USB-pohjaisia haittaohjelmia. Politiikka tukee organisaation kyberresilienssitavoitteita ja helpottaa sääntelyvaatimusten noudattamista, erityisesti GDPR:n, NIS2:n, DORA:n ja COBIT 2019:n osalta. Soveltamisala on kattava: se koskee organisaation laitteita ja omien laitteiden käyttö (BYOD) -laitteita riippumatta siitä, ovatko ne omissa tiloissa, etäkäytössä, pilveen liitetyssä omaisuuseräympäristössä tai offline-tilassa. Koko henkilöstö, hallitut palveluntarjoajat, urakoitsijat ja harjoittelijat kuuluvat vaatimusten piiriin. Politiikka kuvaa hallintotavan sekä yrityksen omistamille että henkilökohtaisille laitteille ja painottaa erityisesti omien laitteiden käyttö (BYOD) -kontrolleja, kuten pakollisia virustorjunta- tai MDM-agentteja, ajantasaista paikkaustoimintaa, salattua tallennusta ja näytön lukituksen täytäntöönpanoa. Keskeisiin operatiivisiin vaatimuksiin kuuluu hyväksyttyjen virustorjunta- tai päätelaitteiden havainnointi ja reagointi (EDR) -ratkaisujen käyttö kaikissa päätelaitteissa, viikoittaiset täydet järjestelmäskannaukset, automaattiset allekirjoituspäivitykset, epäilyttävien tiedostotyyppien estäminen, käyttämättömien palveluiden poistaminen käytöstä sekä reaaliaikainen USB-skannaus. Jos haittaohjelma havaitaan, välitön irtikytkentä, IT-ilmoitus, rajaaminen, korjaavat toimenpiteet ja poikkeamien raportointimenettelyt on kuvattu selkeästi. Lisäksi politiikka edellyttää säännöllistä tietoturvatietoisuuskoulutusta ja jatkuvia simuloituja tietojenkalastelukampanjoita käyttäjistä johtuvien tartuntariskien vähentämiseksi. Politiikka edellyttää myös, että kriittiset tapahtumat (kuten suojauksen poistaminen käytöstä tai toistuvat tartuntayritykset) kirjataan lokitietoihin ja niistä tuotetaan automaattiset hälytykset, että auditointinäyttö säilytetään auditointia varten vähintään 12 kuukautta sekä että poikkeukset dokumentoidaan tiukasti ja ovat aikarajoitettuja. Vuosittainen katselmointi ja heräteperusteiset päivitykset varmistavat politiikan tehokkuuden muuttuvien uhkien ja sääntelymuutosten myötä. Nämä hallintakeinot soveltuvat pk-yrityksille ja tarjoavat toimitusjohtajille ja IT-tukipalveluntarjoajille toteutettavat ja hallittavat tietoturvatoimet, jotka täyttävät keskeisten viitekehysten odotukset.