14 3.1 Käyttöoikeuksien hallinta Mitä? Käyttö- ja pääsyoikeuksien hallinta: Kenellä on oikeus päästä yrityksen käyttämissä järjestelmissä olevaan tietoon. Käyttöoikeuksien antaminen erilaisille käyttäjäryhmille on tapa rajoittaa tiedon saamista sellaisilta henkilöiltä, joilla ei ole tarvetta saada kyseistä tietoa työtehtävänsä puitteissa. • Päätä kuka tarvitsee mitäkin tietoa ja kenelle pääsyoikeus halutaan myöntää. • Mikäli yrityksessä on useampi työntekijä, määrittele eritasoisia käyttöoikeuksia järjestelmiin ja niissä oleviin tietoihin. • Valvo käyttäjäoikeuksien toteutumista. Miksi? Riskien vähentäminen – henkilöstö, jolla ei ole tarvetta tietoon, ei tarvitse pääsyoikeutta siihen. Usein pienyritykset ovat ulkoistaneet osan palveluistaan ulkoisille toimijoille, esimerkiksi verkkosivustojen ylläpitoyrityksille. Onkin hyvä pohtia, millaiset käyttöoikeudet omilla työntekijöillä tai ulkoistetuilla palveluntarjoajilla on yrityksen hallussa olevaan tietoon, kuten: • tietoverkkoihin • kansioihin • sovelluksiin • yrityssalaisuuksiin tai muihin arkaluonteisiin tietoihin. Huomioi yllä olevat esimerkit yrityksen omalla palvelimella ja/tai pilvipalvelimella. Kuka? Vähemmän oikeuden periaate Riippuen yrityksesi koosta ja luonteesta, on aihetta hyvä lähestyä rajatun käyttöoikeuden periaatteen kautta. Sen tarkoituksena on, että työntekijöiden tulee voida tehdä työnsä, mutta käyttöoikeuksien ei tarvitse olla laajat vaan kattaa ne osa-alueet, jotka mahdollistavat työn tekemisen tehokkaasti. Samalla voidaan vähentää ihmisten aiheuttamaa riskiä esimerkiksi sellaisessa tilanteessa, jossa organisaation sisältä tuleva henkilö haluaa vahingoittaa yrityksen toimintaa. Mikäli yritykseesi kohdennetaan tunnusten kalastelua ja rikollinen onnistuu yrityksessään, vähemmän oikeuden periaate voi suojata yritystäsi. Jos oikeudet ovat rajattuja, ei väärissä käsissä olevalla tilillä pystytä aiheuttamaan niin suuria vahinkoja. 14 Tarkista • Rajoita pääkäyttäjäoikeuksia – pääkäyttäjäoikeuksia ei tarvita päivittäisessä työssä. • Älä jaa kirjautumistietoja. • Älä käytä yhteiskäyttötunnuksia. • Muista poistaa käyttöoikeudet henkilöiltä, joilla ei ole niille enää tarvetta, kuten entiset työntekijät ja palveluntarjoajat.
RkJQdWJsaXNoZXIy Mjk0MTY=