Uusi vuosi tuo uutta pontta panostaa yrityksen tietoturvaan. Selvitetään, mihin tämän vuoden IT-budjettia kannattaa käyttää ja mitä olisi hyvä nostaa käyttäjien tietoturvakoulutuksiin. Etenkin pilviteknologioiden valtakaudella datan suojaaminen kokonaisvaltaisesti on kaiken A ja O, ja vastuu siitä on sekä IT-johdolla että jokaisella työntekijällä.

Aloita vuosi 2022 varmistamalla tietoturvan perustukset

Tänäkin vuonna tärkeintä tietoturva-asioissa on huolehtia, että perusasiat ovat oikeasti kunnossa. Virustorjunta, salasanat ja organisaation tietoturvakoulutus kannattaa päivittää hyvälle tasolle ennen kuin käyttöön otetaan edistyneempiä ratkaisuja. 

Käytä alkuvuosi siis siihen, että varmistat helpoimmat ja nopeimmat tietoturvaparannukset kuosiin. Kun selusta on turvattu, voit siirtyä vaikeustasolla seuraavalle askelmalle.

Tutustu oppaassa lisää aiheeseen: Tunnista tietoturvariskit ja suojaudu niiltä 

Tietoturvauhkien rintamalla on paljon tuttua. Suurimmat yritysten tietoturvariskit liittyvät yhä tunnusten kalasteluyrityksiin ja niihin lankeamiseen. Näiltä suojautuminen on edelleen kriittisen tärkeää. Ei kannata tuudittautua siihen, että riskeihin on varauduttu joskus aiemmin.

Harvaan yritykseen kohdistetaan suoria hyökkäyksiä, vaan hyökkäysyritykset ovat pääsääntöisesti opportunistisia. Hyökkäyksiä tehdään vähän kaikkialle testaten, onko esimerkiksi palvelussa tai laitteessa oletussalasana (tai pahimmassa tapauksessa ei salasanaa ollenkaan) ja toivoen, että joku menisi lankaan ja luovuttaisi salasanansa. Sinun tehtäväsi on varmistaa, että yrityksesi tunnukset ja salasanat ovat turvassa erityisesti helpoimmilta ryöstöyrityksiltä. Kuten luultavasti muistatkin, nykyään päätelaitesuojaus ei riitä, vaan verkossa toimivia palveluita ja dataa on myös erittäin tärkeää suojata.

Näiden uhkien kannalta riskitekijät luultavasti tunnetkin: käyttäjien salasanat eivät usein ole tarpeeksi vahvoja tai ihmiset eivät tunnista kalasteluviestiä huijaukseksi. Huijausviesteistä tulee koko ajan yhä uskottavampia, joten jokaiselta vaaditaan tarkkaa ja kriittistä silmää. Näihin riskeihin voit varautua myös kouluttamalla ja tiedottamalla henkilöstöä – niin itsestäänselvältä kuin se ehkä tuntuukin. 

Oikeilla työkaluilla tietoturvauhkien minimoiminen ei ole työlästä tai muistinvaraista. Identiteetinhallintaan löytyy työkaluja kuten Active Directory, Azure AD ja Google IAM – etenkin oikein konfiguroituna ne auttavat esimerkiksi varmistamaan riittävän vahvat salasanat. Kalasteluyrityksiä vastaan tehokkaita filtteröintiominaisuuksia saat esimerkiksi Microsoft Defender for Officesta.

Tutustu myös näihin 3 tärkeään Microsoft 365 -ympäristön tietoturvatuotteeseen 

Pienimmän oikeuden kautta – rajaa käyttäjien oikeuksia, pienennä riskejä
Rajaa etenkin arkaluontoista dataa koskevan pääsyoikeudet niin tiukasti kuin toiminnan kannalta on mahdollista. Principle of least privilege ohjaa myöntämään oikeudet vain niille, ketkä niitä ehdottomasti tarvitsevat, mahdollisesti jopa niin, että oikeuksia laajennetaan aina vain hetkellisesti.

Microsoft 365 -palvelun lisäominaisuus
Privileged Identity Management tarjoaa sujuvan keinon hallita käyttöoikeuksia ja niiden elinkaarta.

 

Järjestelmät ja helppokäyttöiset ratkaisut auttavat käyttäjiäkin toimimaan tietoturvallisesti

Panosta siihen, että henkilöstö tietää, miksi tietoturvakäytäntöjä uusitaan ja kehitetään. Jos olette siirtymässä esimerkiksi zero trust -malliin (josta voit lukea lisää esimerkiksi täältä), muista selittää sen perimmäinen syy. Taustalla ei ole varsinainen epäluottamus työntekijöitä kohtaan, eikä etenkään tarkoitus ole tehdä työn tekemisestä vaikeampaa. Oikeuksien rajaamisella turvataan kaikkea dataa, myös työntekijöiden henkilötietoja. 

Pidä tietoturvaohjeistukset ajan tasalla, järjestä säännöllisesti koulutuksia ja huolehdi omavalvonnasta. Muista konkretisoida myös, mitä esimerkiksi kaksivaiheinen tunnistautuminen tarkoittaa henkilöstölle ja kuinka usein sitä heiltä vaaditaan.

Yrityksen IT:n tulee pienentää käyttäjien tekemien virheiden riskiä. Tietoturva ei koskaan ole vain käyttäjien ongelma, vaan heikkoudet tulee ensisijaisesti ratkaista yrityksessä oikein konfiguroitujen järjestelmien kautta. 

Eräs huomionarvoinen asia tietoturvaratkaisuissa on, että varsin usein käytettävyys ja vaivattomuus riippuvat ratkaisun hinnasta. Jos valitset säästöversion, voi lopputulos olla sellainen, että se käyttäjiä ärsyttäessään saa heidät vain kiertämään mahdolliset rajoitukset, ei noudattamaan niitä. Uskalla siis käyttää IT-budjettia niihin tietoturvatuotteisiin, jotka ovat aidosti helppokäyttöisiä jokaiselle loppukäyttäjälle.

Tietoturva on jatkuva prosessi – voimmeko auttaa sinua?

Yrityksen datan turvallisuus ja oikeellisuus ei ole vain projekti, jonka voi kerralla saada valmiiksi. Tietoturva on jatkuva prosessi. Siksi sinun täytyy kehittää sitä systemaattisesti, ei yksittäisinä pyrähdyksinä. Voi olla jopa tärkeämpää käyttää budjettia perustason rutiiniin kuin huitaista yksi suuri IT-uudistus kerran vuodessa.

Ilmoittaudu myös mukaan Triuvaren ja F-Securen yhteiswebinaariin kuulemaan, millaisilla tuotteilla voit parhaiten varautua tietoturvariskeihin. Erityisesti esittelyssä on EDR eli endpoint detection and response, joka auttaa sinua nostamaan yrityksesi tietoturvan erinomaiselle tasolle.

 

Sakari Jokinen

Sakari Jokinen