Etätyön tietoturva: ohjeet työntekijöille kotitoimistoon ja matkalle

Arjen etätyötilanteet, joissa tietoturva tyypillisesti pettää

Etätyössä tietoturva ei yleensä romahda yhdestä “isosta” asiasta, vaan pienistä toistuvista valinnoista. Kun työpäivä tehdään kotitoimistossa, asiakkaan tiloissa, junassa tai hotellissa, ympäristö vaihtuu nopeammin kuin käytännöt. Samalla hyökkääjän ei tarvitse murtaa vahvoja teknisiä suojauksia, jos työntekijä ohjataan vahingossa luovuttamaan tunnukset tai käsittelemään tietoa väärässä paikassa.

Yrityksen näkökulmasta tärkeintä on luoda malli, jossa työntekijä tietää mitä tehdä, miksi tehdä ja milloin pysähtyä kysymään. Käpy A.I. Oy:n tietoturvakoulutuksissa etätyön tilanteet käydään läpi konkreettisesti ja roolikohtaisesti, ja tietoturvakartoituksissa varmistetaan, että ohjeet vastaavat oikeasti käytössä olevia työkaluja ja toimintatapoja.

1) Työvälineiden sekoittuminen: oma laite, yrityksen tili, asiakkaan data

Etätyössä “vain nopeasti” -tilanteet ovat yleisiä: sähköpostiin vastataan omalta laitteelta, tiedosto avataan puhelimella, asiakkaan liite tallentuu vahingossa henkilökohtaiseen pilveen. Riskinä on, että yrityksen hallinta ja lokitus eivät kata laitetta tai tallennuspaikkaa, jolloin tietovuodon jäljittäminen ja rajaaminen vaikeutuu.

Käytännön ohje työntekijälle:

  • Käytä työasioihin ensisijaisesti yrityksen hallitsemia laitteita ja tilejä.
  • Älä tallenna työaineistoja henkilökohtaisiin pilvipalveluihin tai muistitikuille ilman erillistä ohjetta.
  • Jos työn tekeminen edellyttää poikkeusta, tee poikkeus näkyväksi: ilmoita ja sovi käytäntö etukäteen.

Kun Käpy A.I. Oy tekee tietoturvakartoituksen, arvioidaan käytännössä, missä yrityksen data liikkuu etätyössä, ja mitä hallintakeinoja (esim. laitehallinta, pääsynhallinta, lokitus, varmistus) puuttuu tai on epäjohdonmukainen.

2) Wi-Fi ja jaetut tilat: näkyykö työ ruudulla, kuuluuko puhelu muille?

Etätyö ei ole aina kotitoimisto. Julkinen verkko ja jaettu tila tuovat riskit, joihin ei liity vain verkkohyökkäys, vaan myös sivulliset katseet ja kuuloetäisyys. Luottamuksellista tietoa voi vuotaa näytöltä, puheesta tai pöydälle jätetystä paperista ilman, että mitään “hakkeroidaan”.

Käytännön ohje työntekijälle:

  • Vältä luottamuksellisten asioiden käsittelyä julkisissa tiloissa. Jos se on pakko, käytä näkösuojaa ja pidä tauot tietoisesti.
  • Älä käy luottamuksellisia puheluita kaiuttimella tai tilassa, jossa sivulliset voivat kuulla.
  • Kun käytät julkista Wi-Fiä, varmista että yhteys on suojattu (yrityksen ohjeen mukaisesti) ja että laitteessa on palomuuri päällä.

Etätyön koulutuksessa nämä tilanteet puretaan esimerkkien kautta: mikä on “liian luottamuksellista” avattavaksi junassa, ja milloin taas riskitaso on hyväksyttävä, kun suojatoimet ovat kunnossa.

Kotitoimiston tietoturva: selkeät perusvaatimukset ilman byrokratiaa

Kotitoimisto on usein teknisesti yrityksen ulkopuolella, mutta tietoturvariski on silti yrityksen. Hyvä malli on sopia minimitaso, jonka jokainen pystyy toteuttamaan, ja täydentää sitä roolikohtaisilla vaatimuksilla (esim. HR, talous, johto, asiakasdataa käsittelevät).

3) Lukitus, päivitykset ja suojaus: kolme asiaa, jotka estävät suurimman osan vahingoista

Etätyön perustaso ei vaadi erikoistyökaluja, mutta vaatii kurinalaisuutta. Suuri osa haittaohjelmista ja tilikaappauksista onnistuu, koska laite on päivittämättä, lukitsematta tai suojaukset ovat puutteelliset.

Käytännön ohje työntekijälle:

  • Lukitse laite aina, kun poistut sen luota (myös kotona).
  • Hyväksy päivitykset ajoissa: käyttöjärjestelmä, selaimet, VPN/etäyhteysohjelmistot ja toimistosovellukset.
  • Pidä haittaohjelmasuojaus ja palomuuri käytössä yrityksen ohjeen mukaan.

Käpy A.I. Oy:n tietoturvakoulutuksissa nämä vaatimukset käännetään arjen teoiksi: mitä työntekijä tekee maanantaiaamuna, mitä tehdään päivitysikkunan tullessa ja mitä ei koskaan ohiteta “koska kiire”.

4) Perhe, vieraat ja jaetut laitteet: kuka pääsee vahingossa käsiksi työasioihin?

Kotona riskit ovat usein tahattomia: lapsi käyttää samaa konetta, puoliso lainaa laturia, vieras näkee ruudun, tulosteet jäävät pöydälle. Näissä tilanteissa yrityksen data voi altistua ilman mitään pahantahtoista aikomusta.

Käytännön ohje työntekijälle:

  • Pidä työlaite erillään muusta käytöstä. Älä anna työkonetta lainaan.
  • Suojaa työtila: näytön sijoittelu, lukittava tila, paperien hävittäminen.
  • Vältä tulostamista. Jos tulostat, säilytä ja tuhoa aineisto ohjeen mukaan.

Ohjeet matkalle: miten toimia hotellissa, lentokentällä ja asiakkaalla

Matkustaminen lisää hyökkäyspintaa: laite on mukana, ympäristö on vieras ja työ tehdään poikkeusoloissa. Siksi matkalle kannattaa antaa työntekijälle yksinkertainen “tee näin” -runko, joka kattaa todennäköisimmät tilanteet.

5) Laiteturva liikkeellä: katoaminen, varastaminen ja sivulliset

Kadonnut tai varastettu laite on sekä tietoturva- että jatkuvuusriski. Vahva kirjautuminen ja levyn salaus pienentävät riskiä, mutta kriittistä on myös toimintamalli: mitä tehdään heti, kenelle ilmoitetaan ja miten pääsyt katkaistaan.

Käytännön ohje työntekijälle:

  • Pidä laite aina hallussa tai lukitussa tilassa. Älä jätä näkyville autoon tai hotellihuoneeseen ilman suojausta.
  • Älä käytä tuntemattomia latauspisteitä, jos yrityksen ohjeistus kieltää ne. Käytä omaa laturia ja tarvittaessa dataestintä estävää adapteria.
  • Jos laite katoaa: ilmoita välittömästi sovitun kanavan kautta. Ajoitus ratkaisee, kuinka nopeasti pääsyt voidaan sulkea.

Käpy A.I. Oy:n tietoturvakonsultoinnissa varmistetaan, että organisaatiolla on käytännönläheinen toimintamalli laitekadon varalle: vastuut, yhteystiedot, tekniset toimet (tilien sulku, etätyhjennys, lokien tarkistus) ja viestintä.

6) Asiakkaan ympäristössä työskentely: roolit, rajat ja tietojen minimointi

Moni tekee etätyötä asiakkaan tiloissa tai käyttää asiakkaan verkkoa. Tällöin riski syntyy usein epäselvistä rajoista: mitä saa tallentaa, mihin saa kirjautua, missä järjestelmässä tieto kuuluu olla ja miten se palautuu takaisin yrityksen hallintaan.

Käytännön ohje työntekijälle:

  • Käsittele vain se data, jota tarvitset tehtävän hoitamiseen. Minimoi kopiointi ja paikallinen tallennus.
  • Kysy etukäteen, mitä verkkoa ja mitä laitteita saa käyttää.
  • Älä sekoita asiakkaan ja oman organisaation tunnuksia tai tallennuspaikkoja.

Tunnistautuminen, jakaminen ja poikkeamat: ohjeet, jotka henkilöstö muistaa

Etätyössä tietoturva pysyy kasassa, kun työntekijä tunnistaa kolme asiaa: miten kirjaudutaan, miten jaetaan tietoa, ja miten toimitaan poikkeamassa. Käytännöt kannattaa kuvata lyhyesti ja toistaa koulutuksissa säännöllisesti, jotta ne eivät jää “intran ohjeeksi”.

7) MFA ja kirjautuminen: peruskäytäntö, joka estää tilikaappauksia

Tilikaappaus on yhä yleinen reitti yrityksen järjestelmiin. Siksi monivaiheinen tunnistautuminen (MFA) ja selkeät kirjautumiskäytännöt ovat etätyön ydinasioita. Pelkkä vaatimus ei riitä, jos työntekijä ei tiedä, miten toimia vahvistuspyynnön tullessa väärään aikaan.

Käytännön ohje työntekijälle:

  • Hyväksy MFA-pyyntö vain, jos olet itse kirjautumassa.
  • Jos saat odottamattomia vahvistuspyyntöjä: hylkää, vaihda salasana ohjeen mukaan ja ilmoita.
  • Älä jaa tunnuksia. Jos työ vaatii yhteiskäyttöä, ratkaisu on roolit ja oikeudet, ei yhteinen käyttäjä.

Organisaatiotasolla Käpy A.I. Oy auttaa rakentamaan käyttöönoton ja ohjeistuksen niin, että henkilöstön tietoturvakoulutus tukee teknistä ratkaisua: miksi MFA on käytössä, miten se suojaa ja mitä tehdä, kun jokin tuntuu epäilyttävältä.

8) Tiedostojen jakaminen ja yhteistyö: “minne tämä kuuluu” -sääntö

Etätyössä tiedostot liikkuvat helposti sähköpostissa, chatissa ja linkkeinä. Suurin riski on epäselvä omistajuus: dokumentti jää väärään paikkaan, jakolinkki jää voimaan tai oikeudet eivät vastaa luottamuksellisuutta. Hyvä sääntö on, että jokaiselle tiedostotyypille on ensisijainen säilytyspaikka ja jakamisen tapa.

Käytännön ohje työntekijälle:

  • Jaa ensisijaisesti linkillä hallitusta ympäristöstä, älä liitteinä, ellei ohje toisin sano.
  • Tarkista oikeudet ennen jakamista: kenelle, kuinka kauaksi aikaa ja onko edelleenjakaminen sallittu.
  • Poista tarpeettomat jaot ja vanhat linkit säännöllisesti.

9) Poikkeamat ja epäilyt: ilmoitusmalli, joka toimii myös kiireessä

Hyvä tietoturvakulttuuri näkyy siinä, että epäilyistä ilmoitetaan matalalla kynnyksellä. Etätyössä työntekijä saattaa epäröidä, koska “ei halua häiritä”. Siksi ilmoittamisen pitää olla helppoa ja syyllistämätöntä. Tavoite ei ole etsiä syyllisiä, vaan katkaista ketju ajoissa.

Käytännön ohje työntekijälle:

  • Ilmoita heti, jos klikkasit epäilyttävää linkkiä, annoit tunnuksen sivulle tai laite käyttäytyy oudosti.
  • Jos et ole varma, ilmoita silti. Väärä hälytys on parempi kuin myöhästynyt oikea.
  • Pidä mukana “poikkeamakortti”: kenelle soitetaan, mihin kanavaan ilmoitetaan ja mitä tietoja kerätään (aika, laite, tapahtuma).

Käpy A.I. Oy:n kartoituksissa ja konsultoinnissa tarkastetaan myös prosessit: onko poikkeamien käsittelylle selkeä omistaja, onko lokit saatavilla ja miten tilanne rauhoitetaan niin, että liiketoiminta jatkuu hallitusti.

10) Miksi pelkkä ohje ei riitä: koulutus + kartoitus tekee mallista totta

Etätyön tietoturvaohjeet ovat hyödyttömiä, jos ne eivät vastaa arkea: käytössä olevia työkaluja, rooleja, työn rytmiä ja todellisia tilanteita. Siksi toimiva kokonaisuus syntyy kahdesta osasta:

  • Tietoturvakoulutus, jossa työntekijä ymmärtää käytännöt ja harjoittelee päätöksentekoa arjen tilanteissa.
  • Nykytilan kartoitus, jossa johto ja IT saavat realistisen kuvan puutteista, riskeistä ja tärkeimmistä korjausaskelista.

Kun nämä yhdistetään, saadaan yhteinen kieli ja prioriteetit: mitä korjataan ensin, mitä voidaan hyväksyä riskinä, ja missä tarvitaan teknisiä muutoksia. Käpy A.I. Oy:n tietoturvan nykytilakartoitus tuo päätöksenteon tueksi myös dokumentoitavat havainnot ja suositukset, joita voi hyödyntää kehitysprojektien suunnittelussa ja vaatimustenmukaisuuden edistämisessä.

CTA: Ota etätyön tietoturva hallintaan käytännönläheisesti

Jos etätyön tietoturvaohjeet ovat hajallaan, vanhentuneita tai henkilöstö ei ole varma toimintatavoista, tilanne kannattaa selkeyttää ennen kuin vahinko sattuu. Käpy A.I. Oy auttaa rakentamaan etätyöhön sopivan käytännön mallin koulutuksen, kartoituksen ja konsultoinnin yhdistelmällä.

Ota yhteyttä ja kerro lyhyesti, millainen etätyöympäristö organisaatiossa on (työkalut, roolit, matkustaminen). Sovitaan kartoitus ja koulutuskokonaisuus, jolla etätyön riskit pienenevät ja työn tekeminen pysyy sujuvana.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma