Klikkaa, kun tarvitset teknistä tukea tai huoltoa! Service Desk Canon-huolto Etätuki

 

Yhteenveto webinaarista:
Tietoturva vs. käytettävyys - hyvän ja pahan taistelu?

Maailmassa ei ole sellaista tietoliikenneverkkoa, mihin ulkopuolinen tunkeutuja ei pääsisi. Tietoturvallinen toiminta on nykymaailmassa yritysten toimintaan selkeästi vaikuttava asia, joka on syytä olla vähintäänkin kunnossa. Yrityksen käytössä oleva verkko ja palvelut tulee rakentaa niin, että tunkeutuja ei pääse aiheuttamaan vahinkoa tai hyökkäystapauksissa aiheutuu mahdollisimman vähän vahinkoa. Luonnollisesti tietoturvallisen toiminnan on silti oltava käyttäjälleen vaivatonta, eikä aiheuttaa ylimääräistä päänvaivaa tai hukattuja työtunteja.

Modernissa maailmassa tietotyötä tehdään hyvin paljon ajasta ja fyysisestä ympäristöstä riippumatta kannettavilla laitteilla ja liikkuvien yhteyksien avulla. On sanomattakin selvää, että tällöin myös tietoturvariskit kasvavat, eikä käyttäjä välttämättä tiedä tai edes osaa huomioida, onko yhteys suojattu ja palvelujen käyttö turvallista.

Fortinet Finland Oy:n Timo Lohenojan mukaan yrityksen tehtävänä on varmistaa, että työntekijöiden yhteydet ja laitteet ovat tietoturvallisia ja tietomurtojen tekeminen niiden kautta on mahdollisimman vaikeaa. 

”Tätä voidaan parantaa käytännössä kolmella tasolla: identiteettiin liittyvällä tietoturvalla, VPN-tunneliratkaisuilla sekä Zero Trust -periaatetta hyödyntämällä”, Lohenoja listaa.

Ensimmäinen vaihtoehto, joka on myös yksittäisille käyttäjille tutuin tietoturvaratkaisu, on vahva kolmivaiheinen tunnistautuminen, jolloin palvelujen käyttäminen vaatii aina käyttäjätunnuksen, salasanan ja kolmannen vahvistuksen esimerkiksi toisen laitteen kautta. Kolmivaiheisella tunnistautumisella sekä käyttäjä että yritys varmistuvat siitä, että palvelun käyttö on sallittua ja kyseinen henkilö käyttää itse palvelua.

”Yrityksen näkökulmasta tietoturvaa kasvattaa myös se, että admin-oikeuksia on ainoastaan tarpeellinen määrä ja jokaiselle tunnukselle osoitetaan vielä UEBA (User Entity Beahvior Analytics) -ohjelma, jolla seurataan käyttäjämalleja. Nämä eivät vielä poissulje laitteiden ja käyttäjien haavoittuvuuksia”,
Lohenoja jatkaa ja toteaa, että yrityksen tietoturva on sekä yrityksen että jokaisen käyttäjän vastuulla. 

Toinen vaihtoehto on rakentaa VPN-tunneli käyttäjän, laitteen ja palveluiden välille. VPN-tunneli mahdollistaa liikennöinnin suojatulla yhteydellä ja tunnelin sisälle syntyy lisäksi turvalliset yhteydet verkkoselaimen ja palveluiden välille.   

Kolmas vaihtoehto Zero Trust eli nollaluottamuksen periaatemalli on käytännössä hybridi näistä edellä mainituista vaihtoehdoista. 

Zero Trust – tietoturvallinen toiminta (etä)työssä 

Printcomin myyntijohtaja Kai Herranen nostaa esiin yhden tärkeimmistä nykymaailman tietoturvanäkökulmista:

”Sellaista yritysverkkoa ei ole olemassa, mihin ei ulkopuolinen pääsisi sisälle, joten yrityksen verkot on rakennettava niin, ettei ulkopuolisen sisäänpääsy hyödytä häntä mitenkään”.

Yksi tehokkaimmista keinoista suojautua tietoturvamurroilta on Zero Trust -malli. Malli on kehittynyt nykyaikaisen työn vaatimuksiin, kun yritysten työntekijät eivät enää ole yrityksen porttien ja ovien sisäpuolella, vaan työtä tehdään ajasta ja paikasta riippumatta. Tällöin käytettävät laitteet, yhteydet ja palvelut on turvattava. 

”Zero Trust tarkoittaa sitä, että lähtökohtaisesti yhteenkään käyttäjään ei luoteta aukottomasti, vaan jokaisen tulee tunnistautua vahvasti, jotta saa yhteydet ja palvelut käyttöönsä”, Lohenoja kertoo. Mallissa jokainen käyttäjä on tekemässä tietomurtoa, kunnes toisin todistetaan.

Käytännössä yritykset voivat hyödyntää mallia omassa toiminnassaan eri -alueilla:

    1. Päätelaitteiden sertifioinnit sekä tietoturva kuntoon, joilla varmistetaan, että kyseisellä laitteella ylipäätään saadaan käyttää palveluja
    2. Vahva tunnistautuminen kaikille käyttäjille, jolloin tiedetään, kuka henkilö on ja minkälaiset valtuudet hänellä on palveluita käyttää
    3. Palveluille vaatimustason mukaiset tarkistusmenetelmät, kuten palomuurit tai ns. access proxy -laitteet, jotka tarkistavat käyttäjän ja liikenteen

Käyttäjien koulutus yrityksen tietoturvan iso tekijä

Käyttäjien osaaminen ja kouluttautuminen tietoturvalliseen työntekoon ja ajatteluun on yritykselle tärkeä tietoturvatekijä ja usein helppo varmistus jouhevaan ja tietoturvalliseen toimintaan. Tietoturvakoulutukset tulisi olla yrityksen tietohallinnon vastuulla, mikä oikein toteutettuna mahdollistaa sen, että käyttäjä ei pysty toimimaan väärin. 

Käyttäjän näkökulmasta tärkeintä onkin siis kehittää omaa ajattelua ja ymmärrystä suhtautumalla terveen kriittisesti esimerkiksi sähköpostiviestihin ja niissä jaettuihin linkkeihin tai liitetiedostoihin”, Lohenoja korostaa, miten jokainen työntekijä voi tehdä työstään tietoturvallista. 

Usein tietomurtoyritykset näyttäytyvät epäilyttävinä lähettäjinä, näennäisen lähettäjän epätavallisena viestinä tai kirjoitusvirheinä viestissä. Ole siis erityisen tarkkana, vaikka arkesi olisikin hektistä!

Arkiesimerkkinä käytetään monesti sähköpostia. Sähköpostin salasana on yksi suurimmista tietoturvariskeistä, kun sähköpostiin pääsyllä voidaan hallinnoida kaikkia muita henkilön käytössä olevia palveluita – salasanan vaihtolinkillä päästään käsiksi kaikkiin kyseisen henkilön käyttämiin palveluihin. 

On siis syytä korostaa jokaiselle työntekijälle myös sitä, että samaa salasanaa ei tule käyttää useassa palvelussa, eikä salasanoja tule koskaan luovuttaa toiselle henkilölle. 

Kärsiikö käytettävyys?

”Fakta on se, että jos palveluiden käyttäminen olemassa olevilla laitteilla on monimutkaista, palvelut jäävät käyttämättä tai pahimmassa tapauksessa käyttäjä etsii ohjeet, kuinka kiertää päätelaitteen tietoturvaa ja täten helpottaa omaa työntekoaan”, Herranen linjaa. 

Samaa mieltä on myös Fortinetin Timo Lohenoja.

”Loppukäyttäjälle tietoturvallisen työn tulee näyttäytyä sellaisena, että hän ottaa päätelaitteen ja aloittaa työnteon. Hyvin toteutettu tietoturva yhdistettynä käytännön tekemiseen ei siis ole sujuvan käytettävyyden esteenä. Koulutus on tässä hyvin tärkeässä roolissa.”

Viimeistään nyt on siis se hetki, kun tietoturvallinen toiminta, etä- ja lähityössä, tulee ottaa jokaisessa yrityksessä liiketoimintaan mukaan ja omaksua mahdollisimman korkean luokan suojausmenetelmät – laitteista, sovelluksista ja yhteyksistä aina yksittäiseen käyttäjään asti. 


Haluatko tietää, missä kunnossa yrityksesi oma verkko on?

Tarjoamme webinaariin osallistuville verkontilan selvittävän Atlas-kartoituksen -30 %. Etu voimassa 31.3.2022 saakka ja koskee vain uusia tilauksia. 

Kysy lisää: myynti@printcom.fi