Kun IT-infra, data ja ihmisten töissään käyttämät sovellukset siirtyvät pilveen, myös tietoturvan on muututtava. Tietoturva pilviaikakaudella kannattaa suunnitella ihmisten tarpeista lähtien. Tässä artikkelissa kerromme miksi.
Pilvipalvelut ja tietoturva
Pilven ja aivan erityisesti SaaS palveluiden hyödyntäminen yleistyy koko ajan. Organisaatioiden eri yksiköt ottavat SaaS-palveluita käyttöön itsenäisesti, ja niitä voi olla käytössä jopa satoja. Hybridityön yleistymisen myötä ihmiset tekevät töitä mistä tahansa ja monilla erilaisilla laitteilla.
Kun organisaation tärkein suojattava omaisuus ei ole enää yritysverkon suojissa ja IT:n kontrollissa, myös tietoturva pitää ajatella uusiksi. Pilvipalveluiden tietoturvaa ei voi ratkaista ainoastaan teknologialla, vaikka sekin on tärkeää.
On olennaista, että organisaation ihmiset ymmärtävät keskeiset riskit ja osaavat toimia turvallisesti sovittujen toimintamallien mukaan. Teknologian ja tietoturvapalveluiden tulee tukea ihmisiä oman työn tekemisessä.
Pilvipalvelujen hyödyt käyttöön tietoturvariskit tiedostaen
Pilvisiirtymä tuo valtavasti etuja yrityksille, kuten skaalautuvuutta, kustannussäästöjä, joustavuutta, parempaa käytettävyyttä ja palvelut saataville missä vain, milloin vain.
Kontrollin menettämisen tai tietoturva- ja tietosuojahaasteiden pelon ei kannata antaa rajoittaa pilvipalvelujen käyttöönottoa, vaikka niiden luomista uusista riskeistä onkin hyvä olla tietoinen. Vaikka pilvipalvelut luovat uusia vaatimuksia tietoturvalle, keinot ovat kyllä olemassa ja suojautumisen ei tarvitse olla vaikeaa.
Ihmiset osana organisaation puolustusta
Pilvisiirtymässä keskeiseen rooliin nousevat ihmisten digitaaliset identiteetit, usein siis käyttäjätunnukset ja salasanat. Yksittäiset käyttäjät ovat hyökkääjien suosikkikohde, koska pääsy yhteen järjestelmään voi pilvimaailmassa olla avain koko organisaation tietoihin.
Siksi onkin tärkeätä hallita identiteettien elinkaaria automaattisesti, luoda sekä poistaa tunnukset oikea-aikaisesti, myöntää käyttöoikeuksia vain tarpeen mukaan ja pääkäyttäjäoikeuksia jopa vain sessio-kohtaisesti. Kaksivaiheisen tunnistuksen (MFA) käytön välttämättömyys lienee sanomattakin selvää.
Jos tietoturva ei ole ajan vaatimuksien tasolla, voi inhimillisten heikkouksien hyväksikäyttö olla hyökkääjien kannalta helppoa ja toimivaa. Kuitenkin tuttu hokema ”ihmiset ovat tietoturvan heikoin lenkki” joutaisi jo roskikseen. Jos työntekijät nähtäisiinkin heikkouden sijaan tärkeänä osana organisaation puolustusta, käytössä voisi olla valtava voimavara.
Tietoturvan ei kuulu olla jarru, vaan mahdollistaja
Valitettavasti tietoturva nähdään monessa organisaatiossa hidasteena, esteenä tai asioiden vaikeuttajana. Tällainen ajatusmaailma on vanhentunut ja vaarallinen, sillä se saattaa kannustaa ihmiset toimimaan ”IT:n selän takana”, tietoturvaohjeistukset kiertäen. Näin ei tarvitse olla.
Moderneilla ratkaisuilla voidaan samaan aikaan parantaa tietoturvaa ja käytettävyyttä. Tietoturvan on sopeuduttava ihmisten muuttuneisiin työtapoihin. Kun tietoturva on toteutettu niin, että politiikan noudattaminen käy ihmisiltä vaivattomasti ja omia tapoja liikaa muuttamatta, se on myös tehokasta.
Esimerkiksi uusien, entistä näppärämpien SaaS-palveluiden käyttöönottaminen käyttäjälähtöisesti voi olla hyvä tapa parantaa työn tuottavuutta, mutta vain kun käytössä on tarvittavat tekniset kontrollit huolehtimaan tietoturvasta, tietosuojasta sekä käytettävyydestä.
Vastaavasti käyttäjän saadessa yhdellä salasanattomalla kirjautumisella pääsyn kaikkiin tarvitsemiinsa sovelluksiin, ei tule tilaisuutta tai tarvetta käyttää itsekeksittyjä, usein heikkoja salasanoja. Tämä on jo arkipäivää monella asiakkaallamme ja otettavissa helposti käyttöön.
Tietoturvaa ihmisille
Tehokkain tietoturva lähtee ihmisistä ja ihmisten käyttäytymisen ymmärtämisestä. Jos organisaation tietoturva toteutetaan ihmisten ehdoilla ja liiketoiminnan todellisista tarpeista lähtien, ei teknologia edellä, päästään parhaisiin tuloksiin. ”People-first security” keskittyy pitämään ihmiset ja heidän käyttämänsä sovellukset ja näiden sisältämät tiedot turvassa ajasta ja paikasta riippumatta, ihmisten käyttäytymistä, työtapoja ja tarpeita kunnioittaen.
Pilvisiirtymässä helpoin ja nopein tapa saada tietoturva kuntoon on kokeneen ja laaja-alaisen osaajan käyttö. Asiantuntija kartoittaa nykytilanteen, muodostaa tavoitetilan yhdessä kanssasi ja suunnittelee organisaatiollesi kehityksen tiekartan sekä kartoittaa tarvittavat ratkaisut.
Ota yhteyttä, jos tarvitset apua pilvipalveluiden tietoturvaan liittyvissä asioissa. Me turvaamme organisaatioita pilvisiirtymän keskellä, keskittyen ihmisiin.
