Tietoturva ja vaatimustenmukaisuus voivat tuntua liikkuvilta maaleilta. Ne ovat jatkuvassa muutoksessa: niihin vaikuttavat pienet tapahtumat, kuten tiimin uuden SaaS-työkalun käyttöönotto, ja suuremmat, kuten sääntelijän päivitys ohjeistukseensa. Samaan aikaan todellinen riski pysyy samana: arkaluonteisia tietoja voi paljastua, koska perusasiat ovat epäjohdonmukaisia, dokumentoimattomia tai vaikeasti valvottavia.

Yksi suuri haaste on, että monet yritykset ostavat erilaisia ratkaisuja, mutta eivät rakenna integroitua järjestelmää. Kun hallintakeinot on jaettu eri ohjelmistojen kesken ja prosessit riippuvat yksittäisistä ihmisistä, kenelläkään ei ole luotettavaa kokonaiskuvaa siitä, mitä tietoa on olemassa, minne se liikkuu ja kuka sitä voi käyttää.

ISO 27000 -standardiperhe käsittelee tätä ongelmaa tarjoamalla jotain, mitä monilta organisaatioilta puuttuu: jäsennellyn tavan hallita tietoturvaa ja vaatimustenmukaisuutta jatkuvana ohjelmana, ei kertaluonteisena projektina. Se auttaa määrittelemään suojattavat kohteet, arvioimaan riskit, ottamaan käyttöön hallintakeinot ja jatkamaan parantamista selkeän vastuunjaon myötä.

Tässä artikkelissa selitämme, mikä ISO 27000 on, mitkä ovat ne keskeiset hallinta-alueet, joita useimpien yritysten on käsiteltävä tietojen suojaamiseksi, ja kuinka Proton Pass for Business tukee ISO-yhteensopivia kirjautumistietojen ja pääsynhallinnan hallintakeinoja lisäämättä kitkaa.

ISO 27000 selitettynä

Miksi ISO 27000 on kriittinen tietoturvan ja vaatimustenmukaisuuden kannalta?

Mitä ISO 27000 -standardin keskeisiä hallinta-alueita yritysten on käsiteltävä?

Kuinka pääsyn- ja salasananhallinta tukevat ISO 27000 -standardia?

Kuinka Proton Pass for Business vastaa ISO 27000 -periaatteita?

ISO 27000 selitettynä

ISO 27000 on kansainvälinen standardiperhe tietoturvan hallintaan. Se auttaa organisaatioita rakentamaan tietoturvallisuuden hallintajärjestelmän (ISMS) tarjoamalla jäsennellyn sijainnin riskien tunnistamiseen, hallintakeinojen valitsemiseen ja todistamaan, että tietoturvatyötä tehdään johdonmukaisesti, ei vain auditointien aikana.

Käytännössä ISO 27000 voi tarkoittaa kahta asiaa:

  • ISO/IEC 27000 (itse standardi): Standardi, joka tarjoaa ISMS-järjestelmään liittyvän sanaston ja määritelmät.
  • ISO/IEC 27000 -sarja (perhe): Joukko toisiinsa liittyviä standardeja, jotka ohjaavat ISMS-järjestelmän suunnittelua, käyttöä ja parantamista.

Perheen keskiössä ISO/IEC 27001 määrittelee vaatimukset ISMS-järjestelmälle, ja sitä käytetään sertifiointiin. Sen ympärillä olevat standardit antavat ohjeita hallintakeinoista, riskienhallinnasta, auditoinnista, yksityisyydestä ja muusta.

ISO 27001: mikä se on ja mitä sertifiointi tarkoittaa

Jos asiakas on kysynyt, oletteko ISO-sertifioituja, hän viittaa yleensä ISO/IEC 27001 -sertifiointiin.

ISO/IEC 27001 asettaa vaatimukset ISMS-järjestelmän perustamiselle, toteuttamiselle, ylläpidolle ja jatkuvalle parantamiselle. Sillä on tarkoituksellisesti hallintakeskeinen lähestymistapa, joka edellyttää teitä:

  • Tietämään, mitä tietoja teidän on suojattava.
  • Ymmärtämään riskit omassa kontekstissanne.
  • Määrittelemään käytännöt ja vastuut.
  • Valitsemaan hallintakeinot, jotka vähentävät riskiä.
  • Mittaamaan, toimivatko nämä hallintakeinot.
  • Parantamaan niitä, kun ne eivät toimi.

Poikkileikkaavan luonteensa vuoksi ISO 27001 -standardiin viitataan laajasti hankinnoissa, tietoturva-arvioinneissa ja vaatimustenmukaisuusohjelmissa. Se antaa myös sidosryhmille yhteisen kielen luottamukselle.

ISO 27000 -standardien luettelo

ISO/IEC 27000 -perheessä on monia standardeja. Niitä ei tarvitse opetella ulkoa, mutta on hyödyllistä ymmärtää, miten ne liittyvät toisiinsa. Yksinkertaistetussa muodossa monet organisaatiot käyttävät perhettä seuraavasti:

  • ISO/IEC 27000: Yleiskatsaus ja sanasto (jaetut määritelmät).
  • ISO/IEC 27001: ISMS-vaatimukset (sertifioitava standardi).
  • ISO/IEC 27002: Hallintakeinojen ohjeistus (käytännöllinen luettelo hallintakeinoista ja toteutusohjeista).
  • ISO/IEC 27005: Riskienhallinnan ohjeistus (kuinka rakentaa tietoturvan riskienhallinta).
  • ISO/IEC 27007 ja TS 27008: Auditointiohjeistus (kuinka arvioida ISMS-järjestelmää ja kontrolleja).
  • ISO/IEC 27017: Pilviturvallisuuden ohjeistus (lisäkontrollit ja selkeytys pilviympäristöihin).
  • ISO/IEC 27701: Yksityisyyden laajennus (kuinka rakentaa yksityisyyden hallinta ISMS:n päälle).

Toimialastanne ja säädöksiin liittyvistä vastuistanne riippuen saatatte nähdä kyselyissä viittauksia myös alakohtaisiin ohjeistuksiin ja muihin ISO-standardeihin. Jokaista asiakirjaa ei tarvitse ottaa käyttöön. Tärkeintä on sen sijaan omaksua johdonmukainen lähestymistapa.

Miksi ISO 27000 on kriittinen turvallisuuden ja vaatimustenmukaisuuden kannalta?

Turvallisuutta ja vaatimustenmukaisuutta käsitellään usein erillisinä työvirtoina:

  • Turvallisuustiimit keskittyvät uhkiin, poikkeamiin ja teknisiin kontrolleihin.
  • Vaatimustenmukaisuustiimit keskittyvät käytäntöihin, auditointeihin ja dokumentaatioon.

ISO 27000 auttaa teitä yhdistämään ne, sillä ISMS-lähestymistapa käsittelee riskienhallintaa, kontrollien toteutusta ja todisteita osana samaa järjestelmää.

Tässä ovat ISO 27000:n integroidun näkökulman tärkeimmät edut.

Se korvaa pirstoutuneet kontrollit järjestelmällä

Yleinen vikatila näyttää tältä:

  • Salasanasäännöt ovat osa henkilöstöhallinnon perehdytyslistaa.
  • Käyttöoikeuksien tarkistukset tehdään tilapäisesti säännöllisen sijaan.
  • Omaisuusluettelot ovat vanhentuneita.
  • Poikkeamien reagointitilaukset ovat olemassa, mutta kukaan ei testaa niitä.
  • Työntekijät saavat koulutusta, mutta se ei muuta heidän käyttäytymistään.

Vaikka jokainen kohde olisi olemassa, järjestelmä epäonnistuu, koska se ei ole johdonmukainen, mitattu tai asianmukaisesti omistettu. Sen sijaan ISO-mukainen turvallisuus luo hallintasilmukan, joka johtaa pitkäkestoisiin kontrolleihin.

Koko järjestelmä toimii seuraavien vaiheiden mukaisesti:

  1. Määritä laajuus ja tieto-omaisuus.
  2. Arvioi riskit.
  3. Valitse ja toteuta kontrollit.
  4. Seuraa ja mittaa tuloksia.
  5. Paranna jatkuvasti.

Se auttaa teitä todistamaan, mitä teette, eikä vain väittämään sitä

Monet säädökset ja asiakkaiden odotukset noudattavat samaa teemaa: näytä työnne.

  • Kuka käyttää arkaluontoisia tietoja?
  • Kuinka estätte luvattoman käytön?
  • Kuinka reagoitte poikkeamiin?
  • Kuinka vähennätte tietomurtojen todennäköisyyttä?
  • Kuinka varmistatte, että työntekijät noudattavat turvallisia prosesseja?

ISO 27000 kannustaa dokumentoituihin käytäntöihin, jaettuihin vastuisiin ja toistettaviin prosesseihin, mikä luo auditoinneissa ja ulkopuolisten tahojen arvioinneissa tarvitsemanne todistusketjun. Toisin sanoen se ohjaa yritystänne ottamaan käyttöön tietomurtojen estämisen parhaita käytäntöjä.

Se skaalautuu organisaationne mukana

Yksilöiden muistiin luottava turvallisuus ei skaalaudu. ISO-mukainen turvallisuus kuitenkin skaalautuu, koska se on rakennettu seuraavien asioiden ympärille:

  • Määritetyt tehtävät ja vastuut.
  • Vakioprosessit, jotka kestävät henkilöstömuutokset.
  • Kontrollien omistajuus (joku on vastuussa jokaisesta kontrollialueesta).
  • Jatkuva parantaminen (turvallisuus kehittyy liiketoiminnan mukana).

Tästä syystä ISO 27001 on ajankohtainen sekä nopeasti kasvaville pienyrityksille että vakiintuneille organisaatioille, jotka hallitsevat monimutkaisia toimintoja.

Se parantaa hallintoa ja päätöksentekoa

Vahva ISMS tarjoaa johdolle tavan tehdä tietoon perustuvia päätöksiä riskeistä. Sen sijaan, että tehtäisiin rakenteettomia tilauksia investoida enemmän turvallisuuteen, ISO-mukaiset ohjelmat tukevat selkeämpiä ja jäsennellympiä päätöksiä:

  • Mitkä riskit merkitsevät eniten liiketoiminnallemme ja asiakkaillemme?
  • Mitkä kontrollit vähentävät kyseisiä riskejä tehokkaasti?
  • Missä olemme alttiina, koska käyttö on hallitsematonta?
  • Mitä todisteita voimme tarjota sidosryhmille tänään?
  • Mitä meidän on parannettava ensi vuosineljänneksellä?

Mitä ISO 27000 -standardin ydinvalvonta-alueita yritysten on käsiteltävä?

ISO 27000 ja ISO 27001 eivät pakota teitä käyttämään yhtä tarkistuslistaa, jota käytetään jokaisessa organisaatiossa. Ne edellyttävät teitä tunnistamaan riskit ja valitsemaan asianmukaiset valvontatoimet. Useimpien yritysten on kuitenkin käsiteltävä yleisiä valvonta-alueita tietojen suojaamiseksi ja vaatimustenmukaisuusodotusten tukemiseksi.

Alta löydätte seitsemän peruskäytäntöä, jotka sopivat saumattomasti yhteen ISO-yhteensopivien turvallisuusohjelmien kanssa. Käyttäkää niitä käytännönläheisenä lähtökohtana riippumatta siitä, valmistaudutteko sertifiointiin vai rakennatteko vahvempaa tietosuojaa.

1. Tietäkää, mitä tietoja teillä on ja mistä ne löytyvät

Ette voi suojata sitä, mitä ette näe. Tieto-omaisuuden hallinta alkaa näkyvyydestä:

  • Mitä arkaluonteisia tietoja tallennamme (asiakastiedot, kirjautumistiedot, taloustiedot, immateriaalioikeudet)?
  • Missä ne sijaitsevat (laitteet, pilvisovellukset, jaetut levyt, sähköposti, salasanaholvit)?
  • Kuka ne omistaa (mikä tiimi on vastuussa)?
  • Miten ne siirtyvät (jakaminen, viennit, integraatiot, toimittajat)?

Tämä ei ole turhaa työtä; se on perusta kaikille muille valvontatoimille. Jos yrityksenne käsittelee arkaluonteisia asiakastietoja, mikä on yleistä konsulttiyrityksille, oikeudellisille palveluille, toimistoille ja turvallisuuspalvelujen tarjoajille, näkyvyys on ero hallitun käytön ja vahingossa tapahtuvan altistumisen välillä.

Tässä on joitakin käytännön vaiheita:

  • Rakentakaa yksinkertainen omaisuusluettelo: järjestelmät, tietotyypit, omistajat ja käyttösijainnit.
  • Määrittäkää tietoluokitukset (esimerkiksi julkinen, sisäinen, luottamuksellinen).
  • Sitokaa käyttöpäätökset luokitukseen (luottamukselliset tiedot saavat tiukemmat valvontatoimet).

2. Määrittäkää käytönvalvonta liiketoimintaprosessina, ei teknisenä asetuksena

Käytönvalvonta on yksi vaikuttavimmista valvonta-alueista, koska se vähentää suoraan luvattoman käytön, sisäpiirin väärinkäytösten ja tilihakkeroinnin todennäköisyyttä.

Vahva ISO-yhteensopiva käytönvalvontamalli sisältää yleensä seuraavat:

  • Määritetty käyttökäytäntö (kuka saa käyttöoikeuden, miten hyväksynnät toimivat, miten poikkeuksia käsitellään).
  • Tehtäväpohjainen käyttöoikeus, joka vastaa työtehtäviä.
  • Perehdytys-, poistumis- ja tehtävänmuutosprosessit.
  • Säännölliset käyttöoikeuksien tarkistukset korkeariskisille järjestelmille.
  • Vahvat tunnistautumisstandardit.

Usein vika ei ole käytännössä, vaan toiminnoissa. Käyttöoikeusmuutokset tapahtuvat helposti: alihankkijat ja entiset työntekijät jäävät järjestelmiin, tai jaetut salasanat elävät keskusteluketjuissa. Nämä aukot muuttuvat tietoturvapoikkeamiksi. Mutta voitte noudattaa näitä käytännön vaiheita:

  • Määrittäkää tehtävät ja kullekin tarvittava vähimmäiskäyttöoikeus.
  • Keskitä henkilöllisyys mahdollisuuksien mukaan (kertakirjautuminen tai SSO auttaa).
  • Käsitelkää poistumisprosessia turvallisuuskriittisenä prosessina, ei HR-tehtävänä
  • Määrittäkää turvalliset jakamissäännöt ja pakottakaa ne yrityskäytännöillä.

3. Käsitelkää salasananhallintaa valvontatoimena, ei tapana

Heikot salasanat eivät ole peruskäyttäjien ongelma. Ne ovat ennakoitavissa oleva tulos, kun tiiminne käyttää kymmeniä liiketoimintatyökaluja ilman kätevää salasananhallintaa. Tässä kontekstissa näette:

  • Uudelleenkäytettyjä salasanoja eri tileillä.
  • Salasanoja tallennettu selaimiin ilman hallintoa.
  • Salasanoja jaettu sähköpostitse tai chatissa.
  • Kirjautumistietoja tallennettu tilapäisesti asiakirjoihin.
  • Entisiä työntekijöitä, joilla on edelleen käyttöoikeus, koska kukaan ei kiertänyt jaettuja kirjautumistietoja.

ISO-yhteensopivat turvallisuusohjelmat käsittelevät salasananhallintaa muodollisena valvonta-alueena. Tämä tarkoittaa, että määritätte, miten organisaatio luo, tallentaa, jakaa ja mitätöi kirjautumistiedot.

Yrittäjäsuuntautunut salasananhallinta tukee tätä valvontaa mitattavalla tavalla, myös pakottavilla tiimikäytännöillä, kaksivaiheisella tunnistautumisella (2FA), Salasanaterveys-tarkistuksella ja käyttölokeilla:

  • Se poistaa salasanojen uudelleenkäytön tekemällä uniikkien salasanojen luomisesta helppoa.
  • Se parantaa käyttöönottoa tekemällä kirjautumisesta nopeampaa automaattitäytön ja intuitiivisen käyttöliittymän avulla.
  • Se tekee turvallisesta jakamisesta mahdollista paljastamatta salaisuutta.
  • Se tarjoaa hallinnollisen näkyvyyden (ratkaisusta riippuen).
  • Se tukee työntekijän poistumista organisaatiosta keskittämällä käyttöoikeuksien hallinnan.

Tämän vuoksi salasananhallinta esiintyy toistuvasti turvallisuuskyselyissä ja vaatimustenmukaisuuden arvioinneissa. Kirjautumistiedot ovat usein ensimmäinen askel tietomurrossa. Esimerkiksi LastPass-murto on muistutus siitä, että kirjautumistietoihin liittyvä riski ei ole teoreettinen.

4. Suorita riskienarviointi toistettavana syklinä

ISO-standardien mukainen turvallisuus ei vaadi teiltä täydellisyyttä. Itse asiassa se vaatii teitä olemaan harkitsevia. Riskienarvioinnissa on kyse siitä, miten päätätte, mitä tehdä ensin ja miksi:

  • Tunnistakaa organisaatiollenne oleelliset uhat.
  • Havaitkaa haavoittuvuudet ja hallintatoimien puutteet.
  • Arvioikaa todennäköisyys ja vaikutukset.
  • Päättäkää, miten riskiä käsitellään (pienentäminen, siirtäminen, hyväksyminen, välttäminen).
  • Seuratkaa toimenpiteitä ja tarkistakaa edistyminen.

Riski ei ole jotain, mikä dokumentoidaan kerran ja unohdetaan. Yrityksenne kasvaessa myös työkalunne kehittyvät. Uusien uhkien ilmaantuessa riskienarviointinne on pysyttävä ajan tasalla säännöllisellä aikataululla (neljännesvuosittain tai kahdesti vuodessa) ja vaatii ylimääräisen tarkistuksen aina suurten muutosten tapahtuessa.

Aloittakaa keskittymällä kaikkein arkaluonteisimpiin tietoihinne ja kriittisimpiin järjestelmiinne, ja käyttäkää sitten johdonmukaista pisteytystapaa, jonka avulla tiimit voivat vertailla riskejä ajan mittaan. Käsitelkää lopuksi riskien poistamista kuten mitä tahansa muuta liiketoimintaprojektia, jolla on selkeä omistaja, eräpäivä ja näkyvyys edistymiseen.

5. Valmistautukaa vaaratilanteisiin ennen kuin teidän on reagoitava niihin

Vaaratilanteet eivät ole valinnaisia, mutta se on, kuinka vakavasti varaudutte niihin. Vaaratilanteiden hallinnan on sisällettävä seuraavat asiat:

  • Selkeät määritelmät (mikä lasketaan vaaratilanteeksi, kuka päättää).
  • Tehtävät ja eskalaatio (kuka johtaa, kuka viestii, kuka dokumentoi).
  • Rajoittamistoimet (kuinka pysäyttää vahingot).
  • Palautustoimet (kuinka palauttaa järjestelmät ja käyttöoikeudet).
  • Vaaratilanteen jälkeinen arviointi (mitä muutatte toistumisen estämiseksi).

Käyttöoikeudet ja kirjautumistiedot ovat monien vaaratilanteiden keskiössä. Kun hyökkääjä pääsee käsiksi tiliin, reaktionne riippuu usein siitä, kuinka nopeasti voitte:

  • Mitätöidä käyttöoikeudet.
  • Vaihtaa kirjautumistiedot.
  • Tunnistaa, mitä järjestelmiä on käytetty.
  • Vahvistaa kuka teki mitä ja milloin.

Jos nämä toimenpiteet ovat manuaalisia, hitaita tai epäjohdonmukaisia, vaaratilanne laajenee. Jos ne on sisällytetty hallintatoimiinne, vaaratilanne pysyy hallinnassa.

6. Sisällyttäkää työntekijöiden tietoisuus päivittäiseen työhön

Turvallisuuskulttuurilla on merkitystä, sillä useimmat turvallisuuspuutteet eivät ole hienostuneita, vaan inhimillisiä virheitä. Salasanan uudelleenkäyttö, käyttöoikeuksien jakaminen silloin kun se ei ole asianmukaista, pyyntöjen hyväksyminen tarkistamatta todellista tarvetta sekä kohdennettujen tietojenkalasteluhuijausten uhriksi joutuminen ovat esimerkkejä toiminnasta, joka voi vaarantaa turvallisuuden.

ISO-standardien mukainen tietoisuus ei ole vain kerran vuodessa tapahtuvaa koulutusta. Se tarkoittaa myös seuraavaa:

  • Selkeät säännöt, jotka vastaavat todellisia työnkulkuja.
  • Yksinkertaista ohjeistusta, jota ihmiset voivat noudattaa tulematta tietoturva-asiantuntijoiksi.
  • Vahvistamista perehdytyksen, muistutusten ja johtamiskäyttäytymisen kautta.

Turvallisuusohjelmanne tulisi tehdä turvallisesta valinnasta pienimmän vastuksen tie.

7. Käsitelkää parantamista osana turvallisuutta, ei reaktiona

ISO-pohjainen turvallisuus rakentuu jatkuvan parantamisen ympärille. Tämä on yksi viitekehyksen arvokkaimmista osista, sillä paikoillaan pysyvä turvallisuus vanhentuu.

Jatkuva parantaminen sisältää seuraavaa:

  • Sen mittaamisen, toimivatko hallintatoimet (eikä vain sitä, ovatko ne olemassa).
  • Prosessien auditoinnin ja puutteiden tunnistamisen.
  • Korjaavien toimenpiteiden seurannan.
  • Teknologiassa, toimittajissa ja uhissa tapahtuvien muutosten arvioinnin.
  • Käytäntöjen päivittämisen, kun todellisuus muuttuu.

Tässä ISO 27000 -standardista tulee pikemminkin perusta kuin pelkkä sertifiointiprojekti. Vaikka ette koskaan hakisi sertifiointia, hallintasykli parantaa häiriönsietokykyänne ajan myötä.

Tapahtumat, kuten OpenAI-toimittajan tietomurto, näyttävät, miksi toimittajariskejä on arvioitava jatkuvasti – ei ainoastaan auditointien yhteydessä.

Miten käyttöoikeuksien ja salasanojen hallinta tukevat ISO 27000 -standardia?

Käyttöoikeuksien valvonta ja salasanojen hallinta voivat kuulostaa suppeilta laajempiin turvallisuusaiheisiin verrattuna. Käytännössä ne ovat yksi eniten hyödynnetyistä kontrolleista, joita voitte parantaa, sillä ne vaikuttavat seuraaviin asioihin:

  • Tietojen luottamuksellisuus (kuka voi nähdä arkaluonteisia tietoja).
  • Eheys (kuka voi muuttaa tai poistaa niitä).
  • Saatavuus (kuka voi estää pääsynne kaappaamalla tilit).
  • Vaatimustenmukaisuus (kuka voi todistaa, että käyttöoikeuksia valvotaan).

Käyttöoikeuksien valvonta tekee tietosuojasta todellista

Useimmat tietosuojan epäonnistumiset johtuvat siitä, että käyttöoikeudet ovat suunniteltua laajemmat. ISMS-lähestymistapa ohjaa teitä vastaamaan konkreettisiin kysymyksiin:

  • Mitkä tehtävät vaativat pääsyn mihin järjestelmiin?
  • Miten hyväksytte käyttöoikeudet?
  • Miten mitätöitte käyttöoikeudet nopeasti?
  • Miten tarkistatte arkaluonteisten järjestelmien käyttöoikeudet?
  • Miten varmistatte, että tunnistautuminen on riittävän vahva?

Salasanojen hallinta tukee näitä vastauksia vähentämällä kirjautumistietojen hallitsematonta leviämistä, erityisesti jaettujen kirjautumistietojen ja tilapäisen tallennuksen osalta.

Salasananhallinta vähentää piilokäyttöoikeuksien ongelmaa

Kertakirjautumisesta huolimatta teillä on aina kirjautumistietoja henkilöllisyydentarjoajanne ulkopuolella:

  • Toimittajaportaalit, jotka eivät tue SSO-kirjautumista.
  • Jaetut tilit operatiivisia työkaluja varten.
  • Tiimien ilman IT-osaston osallistumista luomat tilit.
  • Tilit, jotka jäävät käyttöön projektin päätyttyä.

Nämä tilit luovat piilokäyttöoikeuksia: henkilöt pääsevät järjestelmiin normaalin hyväksyntäprosessinne ulkopuolella, työntekijöiden poistuminen jättää aukkoja ja auditoinnit muuttuvat sekaviksi. Yrityksen salasananhallinta tuo nämä kirjautumistiedot takaisin hallintaan, jolloin jakaminen on oletuksena turvallista ja käyttöoikeuksien muutokset tapahtuvat tarkoituksella.

Kirjautumistietojen hallinta tukee vaatimustenmukaisuuden odotuksia eri viitekehyksissä

Vaatimustenmukaisuusviitekehykset voivat erota rakenteeltaan ja terminologialtaan, mutta ne tähtäävät yleensä samoihin tuloksiin: vahvaan tunnistautumiseen, vähimpien oikeuksien periaatteeseen, suojautumiseen luvattomalta pääsyltä arkaluonteisiin tietoihin, selkeisiin todisteisiin kontrollien toimivuudesta sekä sitoutumiseen jatkuvaan parantamiseen puutteita havaittaessa.

ISO-yhteensopivat käyttöoikeuksien hallinta ja salasanojen hallinta tukevat näitä odotuksia suoraan. Ne tekevät myös turvallisuusarvioinneista helpompia, koska voitte näyttää, miten käyttöoikeudet toimivat käytännössä, ettekä vain kuvata niitä paperilla.

Miten Proton Pass for Business on linjassa ISO 27000 -periaatteiden kanssa?

ISO 27000 tarjoaa tarvitsemanne rakenteen. Vaikea osa on muuttaa tämä rakenne tavoiksi, joita tiiminne voi noudattaa joka päivä – erityisesti käyttöoikeuksien suhteen, missä pienet oikotiet (uudelleenkäytetyt salasanat, chatissa jaetut kirjautumistiedot, tilit, joita ei koskaan poisteta) voivat vähin äänin heikentää muuten vankkaa turvallisuusohjelmaa.

Yrityksen salasananhallinta auttaa teitä ottamaan salasanojen turvallisuuden hallintaan koko yrityksessänne, viemällä ISO-yhteensopivat käyttöoikeuksien ja kirjautumistietojen kontrollit käytäntöön hidastamatta tiimiänne. Tiiminne voi luoda vahvoja, yksilöllisiä salasanoja ja tallentaa ne päästä päähän -salattuihin holveihin, jotta salaisuudet eivät päädy hajalleen selaimiin, laskentataulukoihin tai saapuneet-kansioihin. He voivat myös käyttää sisäänrakennettua kaksivaiheista tunnistautumista (2FA) ja jakaa käyttöoikeuksia turvallisesti kopioimatta salasanoja viesteihin.

Jakaminen ja tärkeimmät tilin toiminnot voidaan tarkistaa käyttöraportoinnin ja toimintalokien avulla, mikä tukee sitä vastuullisuutta, jota ISO-ohjelmat on suunniteltu luomaan organisaationne kasvaessa – ei vain auditointien aikana, vaan osana normaalia toimintaa.

ISO palkitsee myös turvallisuuden, johon voitte luottaa ja jonka voitte todentaa. ISO 27001 -sertifioidun ISMS:n, avoimen lähdekoodin ja riippumattomien auditointien ansiosta Proton Pass on rakennettu organisaatioille, jotka haluavat turvallisuutta, jonka he voivat validoida. Sitä tukevat Sveitsin lainsäädäntö ja ydin infrastruktuuri, joka on yrityksen omassa omistuksessa ja hallinnassa.

Jos rakennatte ISO 27000 -yhteensopivaa lähestymistapaa tietosuojaan, käyttöoikeudet ovat yksi parhaista paikoista aloittaa, koska ne vaikuttavat jokaiseen järjestelmään, jota tiiminne käyttää.

Lataa Protonin käytännönläheinen turvallisuuse-kirja kasvaville yrityksille nopeiden onnistumisten toteuttamiseksi ja sellaisen pitkäkestoisen turvallisuusstrategian rakentamiseksi, joka skaalautuu tiiminne mukana.