HR ja tietoturva: näin vältät tahattomat tietovuodot

Digitalisaation lisääntyminen sekä uudet teknologiat tuovat helppoutta työntekoon ja vähentävät virheiden määrää, mutta samalla ne myös lisäävät uhkakuvia. HR-alan ammattilaisten tulee ottaa tietoturva huomioon niin digitaalisella puolella kuin fyysisessä muodossa. SD Worxin Information Security Manager Jussi Wallendahr listaa, mitä kaikkea tulisi ottaa huomioon, jotta tietoturva säilyisi mahdollisimman tehokkaana. 

Tekoälystä puhutaan tällä hetkellä valtavasti, ja se tuokin mukanaan paljon hyvää. Tekoälyn avulla voidaan automatisoida esimerkiksi palkka-ajoja HR-puolella, ja se myös vähentää virheiden määrää. 

Tekoäly havaitsee palkanlaskennan poikkeamat ja osaa korjata itse virheet. Valitettavasti samalla tekoälyn myötä erilaiset tietojenkalasteluviestit yleistyvät. 

Keskittyminen on nyt olennaisempaa kuin koskaan 

– Tekoälyn avulla kielioppivirheet vähenevät ja kieltä taitamaton voi kirjoittaa hyvinkin ammattimaisen viestin, Wallendahr sanoo. 

Tekoälyn avulla voidaan luoda uskottavaa puhetta ja luoda sähköposteja, jotka vaikuttavat täysin aidoilta. Viesti, joka näyttää tulleen esimieheltä, saattaakin olla kalasteluviesti. 

– Keskittyminen on avainsana. Tietotulva ja viestien määrä on yleensä valtava, mutta jokaista viestiä pitäisi pysähtyä tutkimaan sen verran, että huomaa, onko se aito.

Huomattava on myös se, ettei tekoälypalveluihin kuten ChatGPT:n tulisi milloinkaan syöttää luottamuksellista tietoa, sillä nämä tiedot päätyvät vähintään palvelun ylläpitäjän varastoon. On yleensä mahdotonta tietää, kuinka moni kolmas osapuoli pääsee tietoihin käsiksi. 

Käytä harkintaa sähköpostin ja tiedostojen tallentamisen kanssa 

Sähköpostin mukana tulevat liitteet ja linkit kannattaa aina avata harkintaa käyttäen. Jos rikolliset saavat niiden kautta murrettua salasanan, se on usein pääsy moneen muuhunkin ohjelmaan. Sähköpostista saattaa löytyä esimerkiksi erilaisten ohjelmien salasanapyyntöjä, joiden kohdalla salasanaa ei olekaan koskaan vaihdettu. 

HR-ammattilaisen on myös syytä muistaa, ettei luottamuksellisia tietoja tulisi koskaan tallentaa mihinkään yksityisiin palveluihin, kuten Gmailin tarjoamaan Drive-tiedostoon. 

Tällaiset listaukset ja tiedostot muodostavat helposti ylimääräisiä rekistereitä. Ne voivat aiheuttaa tahattoman tietovuodon, jos henkilökohtainen laite varastetaan tai se katoaa, eikä se ole yrityksen tietoturvan piirissä. 

– Vaikka toimisi vain työkoneella, ei sielläkään tulisi kopioida tiedostoja esimerkiksi työpöydälle niin, että luottamuksellisista tiedostoista löytyy monta kopiota, Wallendahr huomauttaa. 

Pitkä salasana on parempi kuin lyhyt 

Wallendahrin mukaan ehdottoman tärkeää on suojata salasanansa. Moni käyttää samaa salasanaa erilaisiin ohjelmiin, ja salasanojen muuntelu olisikin tärkeää.  

Salasanojen tulisi olla pitkiä, ja käytössä tulisi olla myös monivaiheinen tunnistautuminen, eli salasanan lisäksi tulee kirjautumisessa käyttää esimerkiksi tekstiviestissä kertaluonteisena tulevaa koodia. 

– Meillä SD Worxin alustoilla käytetään aina monivaiheista tunnistautumista. Vaihtoehtoina on SSO eli single sign-on, jossa palvelu tunnistaa käyttäjän asiakkaan oman käyttäjätunnistusjärjestelmän kautta, tai OTP eli one-time password, jossa käyttäjälle lähetetään kertakäyttöinen salasana, Wallendahr kertoo. 

Käyttäjien pääsy järjestelmään tulee aina perustua henkilön työtehtäviin ja varsinaiseen tarpeeseen käsitellä tietoa. Ylimääräisiä admin- tai muuten laajoja käyttöoikeuksia tulisi aina välttää, niistä muodustuu Wallendahrin mukaan aina tietoturva- ja tietosuojariski. 

Salasanojen hallintatyökalu lisää osaltaan tietoturvaa ja on ehdottomasti suositeltava. Se antaa mahdollisuuden siihen, ettei lukuisia erilaisia salasanoja tarvitse muistaa tai esimerkiksi kirjoittaa mihinkään ylös. 

Some voi olla reitti rikollisille 

Sosiaalinen media ei yleensä ole HR-puolella suoranainen ongelma, mutta sosiaalinen media voi olla sisääntuloreitti rikollisille. Sitä kautta voidaan huijata ihmisiä luovuttamaan tunnuksia yhtä lailla kuin sähköpostin kautta tai onnistua saamaan esimerkiksi sähköpostin salasana.  

Sosiaalisessa mediassakin toimiessa täytyy siis olla tarkkana ja käyttää monivaiheista tunnistautumista. 

Puhelimen kadottaminen tarkoittaa nykypäivänä lähes samaa asiaa kuin jos hukkaisi tietokoneensa. SD Worxilla on käytössään päätehallintasovellus, joka suojaa puhelinta. 

– Puhelin tulisi sulkea mahdollisimman pian, jos se katoaa. Lisäksi puhelimen tiedostoista olisi tärkeää ottaa aika ajoin varmuuskopio, jotta puhelimen mahdollisesti kadotessa tiedot voidaan siirtää uuteen puhelimeen, Wallendahr muistuttaa. 

Tietoturva on yhtä tärkeää niin etätöissä kuin toimistolla 

Fyysisen tietoturvan taso ei saisi muuttua riippumatta siitä, tehdäänkö työt toimistolla vai kotona etätöinä. Työt tulisi hoitaa työkoneella, joka on tietoturvan piirissä kotonakin. Mitään luottamuksellisia asiakasmateriaaleja ei tulisi kotioloissa tulostaa. 

– Jokaisen tulee toki ottaa huomioon, missä työskentelee etätöissä, eikä perheenjäsenillä saa olla pääsyä työkoneelle.  

– Ihminen on yleensä tietoturvassa heikoin lenkki, mutta samalla ihminen voi olla vahvin lenkki, jos hän keskittyy tarkastelemaan esimerkiksi vastaanottamiaan tiedostoja. Tarkkaavaisuus ja keskittyminen lisäävät tietoturvaa, Wallendahr summaa.

Lue myös: Näin asiakkaan sensitiivistä dataa voi käsitellä tietoturvallisesti