Kyberhyökkäyksiin varautuminen alkaa liiketoiminnan riskien analyysilla ja arvokkaimman datan suojaamisella.
“Monet yritykset parantavat kykyään vastata kyberuhkiin. Yritysten on kuitenkin haastava pysyä mukana nopeassa muutoksessa, jossa digitaalinen maailma on hyvin verkottunut, organisaatiot kompleksisia, kyberuhat kehittyviä ja erittäin automatisoituja. Näiden lisäksi haastetta lisäävät EU:n lainsäädäntö ja yritysten kasvun aiheuttama paine.”
”Nykymaailmassa tietoturva tarvitsee kokonaisvaltaista, integroitua ja automatisoitua lähestymistapaa, joka perustuu Zero Trust -strategiaan. Tämä tarkoittaa, että tietoturvassa fokusoidaan uhkien sijaan liiketoimintaan ja sen riskeihin”, sanoo Fred Streefland, Palo Alto Networksin kyberturvallisuusstrategi.
“Verkkorikolliset tulevat koko ajan ovelimmiksi. Samaan aikaan organisaatiot ovat yhä kompleksisimpia. Niiden data on omien servereiden lisäksi pilvipalveluissa ja mobiililaitteissa, siis kaikkialla”, Streefland sanoo. Streefland työskentelee Palo Alto Networkissä, joka on nopeasti kasvava uuden sukupolven tietoturvayhtiö.
Fred Steefland on aikaisemmin työskennellyt useiden yritysten tietoturvajohtajana sekä Hollannin Ilmavoimien turvallisuus- ja tiedusteluyksikössä. Hän vieraili Suomessa pääpuhujana Santa Monica Networksin järjestämässä ICT Technology Day 2017 -tapahtumassa.
Keskity liiketoiminnan riskeihin kyberuhkien sijaan
Kuinka yritys voi vastata monimutkaistuvan maailman haasteeseen ja turvaamaan itsensä?
Kyberuhkien sijaan Streefland kehottaa yrityksiä keskittymään ensimmäisenä liiketoiminnan riskeihin. “Uhat ovat olemassa. Emme voi niille mitään, ne ovat annettu asia. Jos keskitymme niihin, reagoimme aina yhden askeleen jäljessä. Se ei paranna yritysten tietoturvan tasoa.”
Tietohallinnon tärkein tehtävä on suojata liiketoimintaa riskeiltä ja alentaa riskien todennäköisyyttä.
“Tietoturvan parantaminen alkaa yrityksen liiketoiminnan riskien identifioinnista ja analysoinnista. Kun yritys keskittyy liiketoiminnan riskien alentamiseen, tietoturvainvestoinnit tehdään oikeisiin paikkoihin. Näin kustannuksetkin ovat kokonaisuudessaan pienemmät” Streefland sanoo.
“Yrityksen kannattaa katsoa tietoturvaa kokonaisvaltaisesti. Jokainen tietoturvan osa-alue kannattaa käydä läpi ja arvioida millä tasolla se on.” Streefland kertoo.
Zero Trust -malli apuun
Fred Streefland on käyttänyt Zero Trust -mallia tietoturvan parantamisessa ollessaan tietohallintojohtajan ennen Palo Alto Networksin uraansa. Mallissa tunnistetaan ensin liiketoiminnan kannalta arvokkain ja tärkein data. Datan suojaamiseksi yrityksen sisällä määritellään, kenellä ja millä ohjelmistolla on käyttöoikeus tärkeimpään dataan. Lisäksi jokainen datan käsittelykerta on tarkistettava ja tallennettava.
Zero Trust -malli on hyvä lähtökohta liiketoiminnan kruununjalokivien suojaamiseen. Sen avulla tietohallinto ja yrityksen muu johtoryhmä puhuvat samaa kieltä. ”Tietohallintojohtajan on ymmärrettävä bisnestä ja puhuttava sen kielellä. Hän on epäonnistunut tehtävässään, jos yritysjohto ei ymmärrä tietoturvan merkitystä liiketoiminnan jatkuvuuden turvaajana. Yleensä tämä johtuu siitä, että tietohallinto puhuu teknologiaa ja yritysjohto bisnestä.”
Streefland harmittelee, että valitettavan usein yritys herää tietoturva-asioihin vasta sitten, kun tietovuoto tai muu kyberhyökkäys on jo tapahtunut.
Bisneskriittinen data ja pilvipalvelut vuoden 2018 asialistalla
Vuonna 2018 Streefland suosittelee yritys- ja tietohallintojohtajia keskittymään nopeisiin tietoturvaparannuksiin ja alentamaan suurimpia liiketoimintariskejä.
”Nopein parannus saavutetaan ennaltaehkäisevällä strategialla, jonka tavoitteena on estää kyberhyökkäyksiä olemasta onnistuneita, ennen kuin hyökkäyksillä on vaikutuksia. Ennaltaehkäisevän strategian alkupiste on päätelaitteiden suojauksen laittaminen mahdollisimman hyvään kuntoon. Peräti 81 prosenttia kyberhyökkäyksistä tapahtuu päätelaitteiden kautta.”
Streefland muistuttaa, että yritys on itse vastuussa kaikesta datasta pilvipalveluissa ja datan käytöstä. ”Tietoturvaratkaisut ja palomuurit tulisikin ulottaa koko tietoverkkoon, päätelaitteisiin ja pilvipalveluihin.”
“Kun liiketoiminnan kannalta oleelliset riskit ovat hallinnassa, tietoturvapolitiikka dokumentoitua ja data suojattua, EU:n tietosuoja-asetus GDPR on helppo asia”, Streefland tiivistää.
Streeflandin vinkit: Laita nämä ensin kuntoon
”Kaikkia mahdollisia uhkia vastaan ei voi koskaan suojautua sataprosenttisesti. Siksi kannattaa keskittyä suojaamaan liiketoiminnan kannalta tärkeimmät toiminnot ja data ja parantaa tietoturvaa helpostikin toteutettavilla keinoilla.“, Streefland sanoo ja antaa seitsemän vinkkiä, mistä lähteä liikkeelle oman yrityksen tietoturvan parantamiseksi.
- Opi tuntemaan yrityksesi IT-ympäristö. Selvitä, miten ja mihin sitä käytetään, ja millaista dataa siellä liikkuu.
- Kouluta koko yrityksen henkilöstö tietoiseksi turvallisuudesta. Toista koulutus vuosittain.
- Luo ja kommunikoi dokumentoitu tietoturvapolitiikka ja toimintasuunnitelma tietovuotojen ja kyberhyökkäyksien varalta.
- Ota käyttöön moderni palomuuri ja segmentoitu tietoverkko.
- Ota käyttöön kaksivaiheinen tunnistus.
- Suojaa ja hallitse kaikkia päätelaitteita.
- Varmista pilvipalveluissa olevan datan turvallisuus.
Lue myös
Harjoittelu on tärkeä osa kyberuhkiin varautumista
Zero Trust – Nollaluottamus modernin turvallisen ICT-ympäristön perustana