Etätyöpolitiikka – pk-yrityksille

P09S – Etätyöpolitiikka on kyberturvallisuuden vaatimustenmukaisuusohjeistus, joka on räätälöity pienille ja keskisuurille yrityksille (pk-yrityksille) yrityksen tietojen suojaamiseksi, kun henkilöstö työskentelee perinteisten toimistoympäristöjen ulkopuolella. Kuten pk-yritysmerkintä (P09S) ja toimitusjohtajan rooliin kohdistuva painotus osoittavat, politiikka on rakennettu organisaatioille, joilla ei ole omia IT- ja tietoturvatiimejä tai muodollisia tietoturvajohtajaroolia, mutta se säilyttää tiukan linjauksen kansainvälisiin standardeihin, erityisesti ISO/IEC 27001:2022:een. Politiikan tarkoitus on asettaa selkeät, toimeenpantavat tietoturvavaatimukset koko henkilöstöryhmälle, joka käyttää yrityksen järjestelmiä tai tietoja etänä, olipa kyseessä koti, jaetut työtilat tai matkustaminen. Sen painopiste on liiketoimintatietojen luottamuksellisuuden, eheyden ja saatavuuden periaatteiden suojaamisessa. P09S koskee työntekijöitä ja urakoitsijoita, konsultteja ja määräaikaisia työntekijöitä, ja se kattaa sekä yrityksen omistamat että henkilökohtaiset laitteet (sallituissa tapauksissa), kaikki etäkäyttötavat (VPN, etätyöpöydät, pilvi) sekä erityissäännöt tietojen käsittely- ja seurantatoiminnoille. Keskeisiä tavoitteita ovat luvattoman pääsyn ehkäisy järjestelmiin, sen varmistaminen, että kaikki etälaitteet täyttävät perustason tietoturvan (kuten salasanasuojauksen, ajantasaisen virustorjunnan ja salauksen), sekä etäkäyttöoikeuksien valvonnan ylläpito. Politiikka korostaa erityisesti pk-yrityksille sovitettua hallintotapamallia: toimitusjohtaja valtuuttaa etätyön, seuraa vaatimustenmukaisuutta, katselmoi poikkeukset ja koordinoi IT-tuen (sisäisen tai ulkoistetun) kanssa teknistä täytäntöönpanoa ja tietoturvapoikkeamiin reagointitoimia. Toimistopäälliköt tai henkilöstöhallinto vastaavat kirjanpidosta ja politiikan hyväksyntäkuittausten keräämisestä, kun taas etätyöntekijät ovat vastuussa fyysisestä ja digitaalisesta turvallisuudesta, mukaan lukien poikkeamien, kuten kadonneiden laitteiden tai politiikkarikkomusten, välitön raportointi. Erilliset hallintovaatimukset edellyttävät, että kaikki etäkäyttö saa muodollisen hyväksynnän ja että ylläpidetään rekisteriä, että suojattuja yhteyksiä (esim. VPN ja monivaiheinen todennus) käytetään aina, ja että henkilökohtaisia laitteita saa käyttää vain, jos ne täyttävät yrityksen tietoturvastandardit ja ne on rekisteröity IT:lle. Politiikka määrittää myös tiukat kontrollit arkaluonteisille tiedoille: kotitulostus on kielletty ilman suojatoimia, pilvitallennus on ensisijainen paikalliseen tallennukseen nähden, ja asiakirjat on lukittava tai silputtava. Fyysisen turvallisuuden toimet ehkäisevät varkauksia ja luvatonta pääsyä laitteisiin ja asiakirjoihin etätyön aikana. Käyttöönotto-osuudet kattavat poikkeamien raportoinnin määräajat, pistokokeet tai seurannan toimitusjohtajan tai IT-tuen toimesta, sallittujen ohjelmistojen ja työkalujen rajoitukset, välittömän käyttöoikeuksien perumisen ja vaatimustenmukaisuustarkistukset poistumisen yhteydessä sekä väliaikaisten poikkeusten tiukan käsittelyn. Politiikka sisältää selkeän viitekehyksen etätyöriskien hallintaan ja määrittää hallintakeinot, kuten VPN:n pakottamisen, päätelaitesuojaustoimet ja tulostus- tai tallennusrajoitukset. Kaikki poikkeukset edellyttävät kirjallista hyväksyntää, dokumentoitua arviointia ja väliaikaisia lieventämistoimenpiteitä. Toistuvat tai merkittävät rikkomukset voivat johtaa käyttöoikeuksien päättämiseen, kurinpitotoimiin tai sopimuksen irtisanomiseen. Katselmointi- ja päivityssyklit ovat vuosittaisia tai ne käynnistyvät merkittävistä poikkeamista tai sääntelyvaatimusten tai etätyöteknologian muutoksista. Tämä varmistaa jatkuvan vaatimustenmukaisuuden johtavien viitekehysten sekä muuttuvien liiketoiminta- ja oikeudellisten tarpeiden kanssa. P09S on nimenomaisesti kartoitettu ISO/IEC 27001:2022:een ja ISO/IEC 27002:2022:een, NIST SP 800-53:een, GDPR:ään, NIS2:een, DORA:an ja COBIT 2019:ään, tarjoten vahvan vaatimustenmukaisuuden perustan pk-yrityksille, jotka tarvitsevat varmuutta ilman yritystason tietoturvan hallinnan monimutkaisuutta.