++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Organisaatioissa on herätty mm. mediauutisoinnin ansiosta huolehtimaan entistä paremmin tietoturvasta ja -suojasta. Osa yrityksistä tekee perusteellista työtä kartoittaen kaikki tietoturvan osa-alueet omatoimisesti ja/tai IT-kumppanin avulla. Myös Prog-It on ollut mukana useissa kartoituksissa, joiden perusteella teemme asiakkaiden kanssa toimenpidesuunnitelmia. Suunnitelman mukaisesti korjataan ensin kriittisimpiä tietoturvapuutteita ja pidemmällä tähtäimellä kaikkia tietoturvan osa-alueita.
Suhtautuminen tietoturvaan vaihtelee kuitenkin merkittävästi organisaatiosta riippuen. Jossakin ehkä uskotaan teknologian kaikkivoipaisuuteen eikä muisteta, että merkittävät riskit liittyvät organisaaton käyttäjien toimintatapoihin.
Käyttäjä- ja laitehallinnassa voi olla aukkoja. Niitä aiheutuu usein siitä, että prosessit ja linjaukset esimerkiksi uusien tai poistuvien käyttäjien oikeuksien hallintaan ja laitteiden turvalliseen tyhjentämiseen ja kierrättämiseen eivät ole kunnossa. Laitehallinnan piirissä saattaa olla vain osa laitteista. Mobiililaitteet ovat tyypillisesti keskitetyn hallinnan ulkopuolella.
Monivaiheinen tunnistautuminen on yhä yleisemmin käytössä. Toisaalta käyttöönotto on saattanut koskea vain osaa organisaatiosta eli käytännössä halutut turvallisuusominaisuudet eivät toteudu. Liiketoimintakriittistä tai arkaluonteista henkilötietoa lähetetään suojattuna tai suojaamattomalla sähköpostilla – käyttäjästä riippuen.
Tämä on vähän sama kuin lukitsisi kotinsa oven kuutena päivänä viikossa, mutta jättäisi lukitsematta yhtenä päivänä. Tietoturvassa ei voi luottaa osaratkaisuihin.
Ns. Zero Trust -käsite on ollut jo vuosien ajan käytössä, mutta nyt se on herännyt jälleen henkiin. Zero Trust tarkoittaa tietoturvamallia, jonka lähtökohtana on se, että mikään ei ole turvassa eikä mihinkään voi luottaa. Mallin periaatteet ovat:
Kyse on muun muassa siitä, että saadaan laaja-alainen näkymä IT-ympäristöön, tunnistetaan riskejä ja ennaltaehkäistään murtoja. Ja minimoidaan vahingot sitten, kun murto tapahtuu. Niitä nimittäin tapahtuu joka organisaatiossa ja monesti organisaation tietämättä. Zero Trust -mallin mukaista tietoturvaa voidaan toteuttaa erilaisilla teknisillä ratkaisuilla ja toimintatavoilla – se on siis ylätason konsepti, ei jokin tietty teknologiaratkaisu.
Tulemme julkaisemaan loppukevään aikana neliosaisen videosarjan, jossa avaamme tarkemmin Zero Trust -mallia ja sitä, miten mallia voi käytännössä toteuttaa. Pysy siis kanavalla! Videoita odotellessa voit tutustua vaikka PK-yrityksen tietoturvaoppaaseemme.
