IT-turvallisuus

Valmistaudu kovempaan arkeen

Pandemia voi tulla ja kääntää kaiken ylösalaisin. Tai myynti voi laskea. Tai ampaista nousukiitoon. Tai ehkä kollegasi klikkaavat kaikkia näkemiään linkkejä. IT:n pitää selviytyä kaikista tilanteista.

“Meillä on turvallisuusongelmia.” Mathias Törnblom, Dustinin customer technology evangelist, ei edes silmäänsä räpäyttänyt. Oltiinhan workshopissa, jonka tarkoituksena oli parantaa yrityksen tietoturvaa. Ei ollut yllättävää, että yrityksellä oli ongelma. Mathias pyysi puhujaa jatkamaan.

”Meidän työntekijämme klikkailevat mielellään kaikkia linkkejä, jotka tulevat mailissa. He klikkaavat kaikkea! Voimmeko asentaa jotakin suojaksi?”

Tietenkin yritys voisi ottaa käyttöön erilaisia turvallisuusratkaisuja. Mutta vastakysymys kuului: Saivatko työntekijät koulutusta kyberuhkia vastaan? Tiesivätkö he, kuinka heidän tulisi toimia?

– Pöydän toisella puolella tuli kuolemanhiljaista. Sitten joku vastasi varovasti: ”eivät”, kertoo Mathias.

– Se on sama kuin autokoulun opettaja ei opettaisi ollenkaan liikennesääntöjä ja sitten suuttuisi, kun oppilas ajaa kolarin. Teknologia yksin ei ole ratkaisu. Jos haluat, että IT on vastustuskykyinen, pitää koko organisaation olla vastustuskykyinen.

Ole valmiina muutoksiin

Vastustuskykyä tarvitaan nyt. Mutta siinä ei ole kyse vain sähköpostitse tulevista kalasteluyrityksistä tai kopiokoneen korjaajiksi naamioituneista rikollisista, jotka yrittävät päästä sisään toimistolle.

Vastustuskyky merkitsee myös sitä, että aiemmin näkymättömien terveysviranomaisten täytyy yhtäkkiä viestiä digitaalisesti miljoonille ihmisille. Ja että valtava kysyntä kaatoi keväällä 2020 verkkokauppojen sivuja, tai että hotelli- ja ravintola-alan piti katkaista kaikki vireillä olevat kehitysprojektit.

– Moni miettii IT-uhkia, mutta vastustuskykyisessä IT:ssä on kyse monesta muustakin asiasta: skaalautuvuudesta ja valmiudesta siihen, että mitä tahansa voi tapahtua, Mathias kertoo.

Kuinka siinä voi onnistua? Kuinka valmistautua odottamattomaan – mielellään niin, etteivät IT-kustannukset kasva moninkertaisiksi?

Hyödynnä uudet todellisuudet

Vanhempi asiantuntija Måns Wallin nostaa esille skenaariosuunnittelun tärkeyden tutkimuslaitos Radarin ”Återstart Sverige” (”Käynnistetään Ruotsi uudelleen”) -raportissa.

– Vastustuskyky tarkoittaa nykypäivänä sitä, että täytyy olla valmistautunut kaikkeen. Pitää olla suunnitelma sekä normaalitilaan että katastrofin varalle. Tärkeää vastustuskyvylle on se, että ei ole täysin valmistautumaton. Kun pohjasuunnittelu on tehty, pystytään reagoimaan poikkeustilanteisiin.

Kaikkien skenaarioiden ei myöskään tarvitse olla negatiivisia.

– Pandemian aikana vastaan tuli tilanteita, jossa asiantuntijoita oli yhtäkkiä vapaana. Kuinka tästä voisi hyötyä? Måns kysyy.

Vastustuskykyisen IT:n rakentaminen ei ole yhden IT-johtajan show.

Måns Wallin, vanhempi neuvonantaja konsulttiyrityksessä Radar.

IT-päälliköiden työ ei ole mitään yhden henkilön show’ta

Suunnittelu ei yksin riitä. Tarvitaan myös työkaluja suunnitelmien toteuttamiseen. Pilvipalveluita ja niiden tuomaa joustavuutta on tuotu esille paljon viime vuosina. On-demand-palvelut mahdollistavat tilauksen muuttamisen tarpeen vaatiessa, mutta Måns kehottaa varovaisuuteen.

– Pilvipalvelut voivat olla toimivia, mutta täytyy tietää, mitä ostaa ja keneltä.

Missä palvelimet sijaitsevat? Millaisia perusvaatimuksia ratkaisussa on? Eikä vähiten: millaista palvelua saat pienenä asiakkaana näiltä jättiläisiltä, kun kakka osuu tuulettimeen?

– Jos käytät pilvipalveluja, panosta toimittajienhallintaan. Vastustuskykyisen IT:n rakentaminen ei ole yhden IT-johtajan show. Siinä on kyse yhteistyöstä sekä yrityksen sisällä että palveluntarjoajien kanssa. Vuonna 2020 parhaiten pärjänneissä yrityksissä toimittajienhallinta on tärkeässä roolissa. Oikean teknologian valitseminen on tärkeää, mutta hyvä johtajuus on avain vastustuskykyiseen IT:hen.

Tee turvallisuuden kotiläksyt

”Oli valittu teknologia mikä hyvänsä, sen käyttötapa vaikuttaa vastustuskykyyn”, sanoo Mathias Törnblom.

– Onni suosii hyvin valmistautuneita. Järjestelmällinen turvallisuustyö on hyvä alku vastustuskykyisen IT:n rakentamiseen, sanoo Mathias Törnblom, Dustinin customer technology evangelist.

Hyviä neuvoja saa Traficomin Kyberturvallisuuskeskuksen kotisivuilta kyberturvallisuuskeskus.fi. Sieltä löytyy tietoa organisaation tietoturvan parantamiseksi ja esimerkiksi arviointikriteerit pilvipalveluiden tietoturvan analysoimiseen.

– Jos tarvitset henkilökohtaisempaa ohjausta, voit tietenkin pyytää apua meiltä Dustinilla ja varata workshopin, jossa käymme läpi yrityksesi tarpeet. Kun tämän lisäksi koulutetaan henkilöstöä jatkuvasti, päästään jo pitkälle.

Hyödynnä myös jo olemassa olevia työkaluja mahdollisimman tehokkaasti.

– Otetaan esimerkiksi Microsoft 365. Sen Secure Score -mittaus auttaa käymään läpi satoja toimintapisteitä. Kun teet kotiläksyt huolella, otat aimo harppauksen eteenpäin yhdellä kertaa.

Zero Trust on aihe, josta Törnblom saa paljon kysymyksiä. Se on ajattelutapa, jossa IT-vastaavat eivät voi luottaa keneenkään. Tilit voidaan hakkeroida ja salasanat varastaa. Strategiassa varmistetaan kerta toisensa jälkeen, että käyttäjät oikeasti ovat oikealla asialla.

Zero Trust ei ole mikään asennettava tuote vaan filosofia, jonka pohjana on turvattu sisäänkirjautuminen.

– Moni asiakkaistamme on kuullut puhuttavan tästä ja saamme paljon kysymyksiä sen toiminnasta. Teknologian sijaan vastustuskyky syntyy siitä, miten kyseistä teknologiaa käytetään.

Mathias TörnblomMathias Törnblom, Dustinin customer technology evangelist.
Mathias TörnblomMåns Wallin, vanhempi neuvonantaja konsulttiyrityksessä Radar.

Näin Zero Trust toimii

Aiemmin tietoturva oli kuin linnaa ympäröivä muuri, joka piti ystävät sisäpuolella ja viholliset ulkona. Pelkkä muuri ei enää riitä, vaan sitä pitkin on partioitava jatkuvasti ja tarkastettava kaikki sisään pyrkivät.

Zero Trust pähkinänkuoressa:

  1. Oletus on, että sinut yritetään hakkeroida.
  2. Jokainen pyyntö IT-järjestelmään verifioidaan ja analysoidaan ennen hyväksyntää.
  3. Vahva IAM-järjestelmä yhdistetään uusimpaan tietoturvaan. Ihmiset pääsevät käsiksi tarvittaviin tietoihin mutta eivät mihinkään muuhun.
  4. IT-ympäristöön on joustava pääsy, ja turvallisuusjärjestelmät reagoivat nopeasti ja dataohjautuvasti.

25 elokuuta 2021

Aihealue