Pilven palveluita käyttävän organisaation tietoturva lähtee liikkeelle identiteettien hallinnasta. Oman verkon suojaus voi edelleen olla tärkeää, mutta pilvessä ei ilman identiteettien hallintaa pärjää: On tunnettava ja hallittava kaikki digitaaliset käyttäjät olivat ne sitten omia työntekijöitä, konsultteja, toimittajia tai asiakkaita. On kontrolloitava, että kuka pääsee mihinkin ja seurattava kenelle on annettu mitkäkin tunnukset. Moni muukin moderni tietoturvakontrolli nojaan käyttäjän tunnistamiseen. Ja ennen kaikkea, on varmistettava, että digitaalisia palveluita käyttävä asiakas pysyy tunnuksineen turvassa ja saa palveluistasi parhaan mahdollisen asiakaskokemuksen.
Miksi identiteetit ovat niin tärkeitä?
Gartnerin arvion mukaan jopa 80%:ssa kaikista yritysten tietomurtoihin, ransomware ja haittaohjelmiin liittyvissä tapauksissa on käytetty hyväksi oikeaa käyttäjätiliä. Oikeiden käyttäjätilien käyttö on voinut olla se ensimmäinen askel, jolla on päästy hiipimään sisään tai se on saattanut olla viimeinen ratkaiseva askel, jolla on liikuttu lateraalisesti ja pahuus on päässyt valloilleen. Tämähän on täysin ymmärrettävää: Miksi murtaa ovi, jos käytössä on avain tai sellaisen saa helposti hankittua. Onneksi tilannetta ei tarvitse hyväksyä sellaisenaan ja asialle voi tehdä paljon.
Ihminen on heikoin lenkki
Identiteetit ja niihin liittyvät käyttäjätunnukset ja salasanat ovat “portteja” inhimillisten käyttäjien ja digitaalisten palvelujen välillä. Käytännössä aina digitaalisten palveluiden heikoin lenkki ei löydykään teknologiasta, vaan inhimillisestä käyttäjästä. Katso Youtube-video mitä Jimmy Kimmel Live:ssä tapahtui jo vuonna 2015 ja miten helppoa salasanat on urkkia. On täysin luonnollista, että hyökkääjien mielenkiinto kohdistuu käyttäjiin ja heidän digitaalisiin identiteetteihin sekä todisteisiin kunkin käyttäjän digitaalisesta identiteetistä eli käyttäjätunnuksiin ja salasanoihin. Suomen Kyberturvakeskus nostaa esiin kolme tärkeintä uhkaa toisaalta käyttäjälle ja toisaalta organisaatiolla. Molempien ryhmien 3/3 uhkaa liittyi puhtaasti identiteetteihin, tunnuksiin tai näiden hallintaan.
Mitä tarkoittaa sanonta “Identity is the new perimeter”?
Myös Gartner mainitsee raportissaan marraskuulta 21 The Top 8 Security and Risk Trends We’re Watching, Identiteetti-keskeisen tietoturvan jo sijalla 4. Mutta mitä tarkoittaa tietoturva identiteetit edellä? Ainakin se tarkoittaa sitä, että identiteettien hallinta on vähintään yhtä tärkeää ja kriittistä, kuin yrityksen vielä jäljellä olevan fyysisen IT-infrastruktuurin suojaaminen palomuureilla ja muilla vastaavilla hidasteilla. Identiteettien kriittisyyttä omalle kohdalle voisi arvioida vaikka kysymällä itseltään, missä yrityksen suojattava omaisuus on (käytännössä siis data ja tiedostot), oman verkon suojissa vai pilvessä ja monessako eri palvelussa? Tai tarkastelemalla asiaa käyttäjän näkökulmasta ja kysymällä moneenko eri palveluun minulla on tunnukset työasioiden hoitamiseksi? Jos laskemiseen tarvitaan enemmän kuin yhden käden sormet, kannattaa identiteettien hallintaa miettiä toisenkin kerran.
Toisaalta identiteettien ja perinteisen verkon reunan vertaaminen tarkoittaa myös sitä, että identiteetteihin liittyviä ongelmia ei saa hoidettua pois päiväjärjestyksestä yhdellä vempaimella. Identiteettien ja pääsyhallinta on monen eri tekijän ja kontrollin summa. Organisaatiosta riippuen saatetaan tarvita mm. identiteettien konsolidointia ja identiteettien elinkaaren hallintaa, pääsynhallintaa, monivaiheista tunnistusta, käyttövaltuuksien hallintaa, pääkäyttäjäoikeuksien hallintaa. Yhä useammin se kaikkein tärkein on kuitenkin asiakkaiden digitaalisten identiteettien ja pääsyoikeuksien hallinta yhdistettynä käyttäjäkokemuksen kehittämiseen.
Käytettävyys vai tietoturva – Ota molemmat!
Usein kuulee tarinoita siitä, miten jotain ei voi tehdä “koska tietoturva” tai johonkin järjestelmään pääseminen on vaikeaa “koska MFA”. Näin ei kuitenkaan tarvitse olla. Suurista SaaS-toimijoista Salesforce otti monivaiheisen tunnistautumisen eli MFA:n pakolliseksi helmikuusta 2022 lähtien (lue blogi). Moderneilla ratkaisuilla voidaan samaan aikaan parantaa tietoturvaa ja käytettävyyttä. Vai mitä mieltä olet ratkaisusta, jossa yhdellä salasanattomalla kirjautumisella saa pääsyn kaikkiin tarvitsemiinsa sovelluksiin? Tällainen on jo tätä päivää ja käytössä usealla asiakkaallamme.
Tekniikkaa, prosesseja ja osaavia ihmisiä
Digitaalisten identiteettien hallinnassa ei ole kyse pelkästään tekniikasta, vaikka sitäkin usein tarvitaan. Identiteettien hallinnassa on nimensä mukaisesti kyse erilaisista hallinta-asioista, joiden käytännöt, prosessit ja johtaminen olisi syytä olla myös ajan tasalla. Teknologian ja prosessien lisäksi olisi tietysti hyvä, jos organisaation ihmiset osaisivat toimia prosessien mukaan ja käyttää tähän tarkoitettua teknologiaa. Kun siis valitset identiteettien hallinnan kumppaniasi, vaadi muutakin osaamista kuin teknologian jälleenmyyntikykyä.
Jos tietoturva on organisaatiollesi tärkeää ja haluat ottaa identiteetit haltuun, niin kannattaa ensiksi olla yhteydessä kokeneeseen asiantuntijaan, joka auttaa sinua eteenpäin ja juuri sinun tarpeidesi ja valmiutesi mukaan. Secure Cloudin asiantuntijoilla on vuosien kokemus tietoturvasta ja digitaalisista identiteeteistä eli IAM:sta. Edustamme alan parhaita päämiehiä, joiden pilvestä tuotetut palvelut ovat helppo ottaa käyttöön. Teknologian toimituksen lisäksi autamme tekemään tarvittavat toimintamallit ja politiikat. Varmistamme yhdessä, että organisaatiosi tietoturva saadaan askel kerrallaan ajan tasalle ja saat vastinetta panostukselle nopeasti ja täysimääräisesti.
Ota yhteyttä niin kerromme miten pääset johtamaan tietoturvaa identiteetit edellä.
