Paikkariippumaton työskentely on yhä useammalla alalla luonnollinen osa työkulttuuria. Läheskään jokaisessa yrityksessä ei kuitenkaan ole mietitty, mitä tämä merkitsee tietoturvan kannalta.
Identiteetin hallinta ja tietojen luokittelu ovat tärkeässä roolissa, kun mobiilin työntekijän käsittelemä tieto pyritään turvaamaan.
Liikkuvan työn tietoturvaan liittyvä problematiikka on Antti Kujamäen erikoisalaa. Antti työskentelee Elisalla Windows 10 – ja Enterprise Mobility & Security -konsulttina.
Hänen mukaansa tietoturva on tyypillinen haaste silloin, kun yrityksellä on kasvava paine nostaa mobiliteettia ja tarjota työskentelymahdollisuuksia paikkariippumattomasti.
”Kun tieto liikkuu yritysverkon ulkopuolelle, organisaatio löytää itsensä uusien kysymysten ääreltä. Mikäli työntekijä kokee, että yrityksen tarjoamat työvälineet eivät tue mobiilia työntekoa riittävän hyvin, hän kyllä keksii keinot ottaa sopivia työvälineitä käyttöön muualta kuin yrityksen tarjoamista palveluista”, Antti valottaa lähtötilannetta.
Dropbox, gmail ja muut vapaasti saatavilla olevat sovellukset ovat esimerkkejä henkilökohtaisista työvälineistä, joita käytetään myös yritystietojen säilyttämiseen ja liikutteluun. Samalla tieto ajautuu yrityksen omien järjestelmien – ja yrityksen oman tietoturvan – ulkopuolelle. Riskinä on arkojen tietojen päätyminen vääriin käsiin.
Ongelman aiheuttaja on valitettavasti kuitenkin lähtökohtaisesti yritys itse.
”Jos henkilöstöllä olisi käytössään monipuoliset työvälineet ja ratkaisut, ei henkilökohtaisille, hallitsemattomille palveluille olisi henkilöstön keskuudessa jatkuvaa kysyntää”, Antti toteaa.
Tiedostojen suojaamisesta identiteetin hallintaan
Mobiliteetti, yksityisten pilvipalveluiden käyttö ja monella eri päätelaitteella työskentely tuovat IT-hallinnolle uusia rajapintoja huolehdittavaksi. Ja mahdollisesti myös hieman uusia harmaita hiuksia.
”Tämän vuoksi koko suojausmalli pitäisi miettiä uudestaan. Kun ennen keskityttiin tiedostojen paikalliseen suojaamiseen, nyt pitäisi siirtyä vaiheeseen, jossa dataa voidaan käsitellä vain omalla identiteetillä, siinä laajuudessa kuin kyseiselle identiteetille annetut oikeudet mahdollistavat”, Antti sanoo.
Data voidaan suojata esimerkiksi niin, että kun se lähetetään yrityksen ulkopuolelle, on se vastaanottajan käytettävissä tietyn ajan. Aikaraja ulottuu myös datasta tehtäviin kopioihin.
Näin dataa voidaan suojata paikkariippumattomasti, eli yrityksen hallintaa voidaan venyttää kattamaan esimerkiksi mobiililaitteet, työntekijöiden henkilökohtaiset laitteet ja kumppaneiden laitteet.
Kaikki lähtee tietojen luokittelusta
Tietojen luokittelu kuulostaa teoriassa helpolta, mutta käytännön tasolle pääseminen on Antin mukaan monessa yrityksessä hidasta, puutteellista – tai molempia. Mobiilin työnteon mahdollisuuksiin tarttumisen ei kuitenkaan tarvitse tapahtua tietoturvan kustannuksella.
”Suurin ongelma on se, että organisaatioissa ei nykyisellään luokitella dataa. Työntekijän lomakuvat ovat samassa hallinnassa kuin vaikkapa yrityksen rahoitussuunnitelma ja viiden vuoden tiekartta. Luokittelu mahdollistaisi kategoriakohtaisten kontrollien määrittelemisen – kuka saa käyttää mitä tietoja ja missä.”
Jahkailun sijasta ketterästi toimeen
Vaikka Antti hieman suomiikin organisaatioita hitaudesta, hän ymmärtää, että kehityksen vauhdissa ei ole aivan helppo pysyä mukana. Toisaalta – liikkuvan työn tietoturvan kehittämistä edesauttaa se, että nykyteknologia mahdollistaa ketterät kokeilut ja uusien ratkaisujen vaiheittaisen käyttöönoton ilman suuria investointeja infraan.
Pilvipalvelut ovat siis sekä ongelma että ratkaisu.
”Pilvipalvelujen rivakka käyttöönotto on aiheuttanut sen, että IT-osastot ovat jääneet tietojen suojauksessa takamatkalle. Pilvipalvelut mahdollistavat yrityksille kuitenkin myös reipastahtisen reagoinnin. Omia järjestelmiä ei tarvitse rakentaa tai testata, ja esimerkiksi päivitykset hoituvat automaattisesti. Siksi juuri nyt olisi hyvä hetki miettiä, millä tasolla tietojen suojaus on omassa yrityksessä – ja millä tasolla se voisi olla.”
Lähtökohtaisesti yrityksen pitäisi tarjota työntekijöilleen riittävät liikkuvan työn ratkaisut sekä mahdollisuuden työskennellä niin, ettei tieto ole missään vaiheessa vaarassa.
Palvelujen on oltava helposti käyttöönotettavia ja hyödynnettäviä, niin etteivät ne tarpeettomasti vaikeuta tekemistä eivätkä käänny itseään vastaan.
”Kun perinteisesti on linnoittauduttu yrityksen oman verkon sisään, nyt työnteko siirtyy linnakkeen ulkopuolelle. Siksi työskentelyä tehostavien ratkaisujen ja niiden tietoturvan on väistämättä mukauduttava vastaamaan tämän päivän vaatimuksia”, Antti Kujamäki summaa.
Hyödylliset vinkit liikkuvan työntekijän tietoturvan parantamiseksi:
- Kartoita nykytila. Kuka käyttää dataamme, voidaanko dataan pääsyä kontrolloida? Voidaanko tietomurrot löytää, ja pystytäänkö niihin reagoimaan?
- Selvitä investoinnit – mitä on jo tehty ja miten sitä voidaan hyödyntää. Usein olemassa olevat lisenssit ja muut tehdyt investoinnit mahdollistaisivat jo todella tasokkaan suojan. Syystä tai toisesta mahdollisuuksia ei ole osattu ottaa käyttöön.
- Siirry yrityksen sisäisestä suojauksesta identiteetin suojaukseen sekä datan hallintaan, luokitteluun ja suojaukseen. Tämä mahdollistaa uusien päätelaitteiden ja sovellusten sekä pilvipalvelujen paremman hallinnan, ja luo mahdollisuuden liikutella dataa vapaammin.
Tutustu:
Elisan pilvipalvelut yrityksille
Elisa Kyberturvapalvelut ja SOC
Lue myös
Näillä keinoin parannat identiteetin- ja pääsynhallintaa
Miksi SASE on ylivoimainen tietoturvassa?
Katsaus toteutuneisiin kyberturvauhkiin ja vallalla oleviin trendeihin – onko mikään muuttunut?
Kuinka varautua poikkeamiin kyberturvallisuudessa? Näin varmistat toimintakyvyn harjoittelemalla