Miten organisaation tieto suojataan laitteesta tai omistusmuodosta riippumatta – haastattelussa Centeron Tuukka Tiainen

Yritysten ja organisaatioiden laiteympäristössä on tapahtunut merkittävä muutos, jota on ajanut eteenpäin työn tekemisen murros. Liikkuvan työn lisääntyminen on tuonut omat vaatimuksensa laitteiden ominaisuuksille – ja suojaamiselle. Tässä kirjoituksessa Centeron MDM-asiantuntija Tuukka Tiainen avaa kannettavien laitteiden hallintaan ja suojaamiseen liittyviä haasteita.

Työympäristön muutos on jo tapahtunut, IT:n pitää pysyä mukana

Vielä 10–15 vuotta sitten organisaatioiden IT-ympäristöt olivat paikallisesti rakennettuja ja omiin palvelimiin luottavia. Käytännössä organisaatioiden koko IT hyrräsi paikallisen IT-infrastruktuurin ja yrityksen oman sisäverkon sisällä. Työpaikka oli siis sananmukaisesti se paikka, jossa töitä pystyttiin tekemään. Nykyaikainen tapa tehdä töitä ja järjestää organisaation IT-ympäristö on kuitenkin ihan jotain muuta.

– Nykyään työntekijät eivät ole tiettyyn fyysiseen työpisteeseen sidottuja, vaan töitä pitäisi pystyä tekemään periaatteessa ihan mistä tahansa ja milloin tahansa, toteaa Tuukka Tiainen.

Tämä asettaa kuitenkin omat vaatimuksensa niin käytössä olevien laitteiden ominaisuuksille kuin sen varmistamiselle, että työn tekeminen laiturin nokassa suomalaisessa järvimaisemassa tai riippumatossa Balilla on tietoturvan näkökulmasta ihan yhtä turvallista kuin siellä kotikonttorin työpisteellä sisäverkon suojissa. Pelkkä perinteinen organisaation oman sisäverkon ja oman paikallisen IT-ympäristön suojaaminen ei siis enää riitä, kun työntekijät ja laitteet liikkuvalla kaikkialla.

– IT:n rooli on nykyään hyvin pitkälti olla mahdollistamassa työhön liittyvät muutokset ja murrokset. Tästä huolimatta kaikki työssä käytettävät laitteet ja niiden läpi kulkeva sisältö on pysyttävä turvaamaan. Koska työelämä muuttuu niin hurjaa vauhtia, eivät kaikki organisaatiot välttämättä pysy suojauksen näkökulmasta mukana.

Ratkaisu piilee MDM-ratkaisuissa ja laitepolitiikoissa

Ratkaisu nykypäivän työn vaatimuksiin vastaavan, mutta tietoturvallisen IT-ympäristön rakentamiseen löytyy erilaisista pilvipohjaisista hallintajärjestelmistä, joiden avulla organisaatiolla on jatkuva hallintayhteys laitteisiin – sijaisivatpa laitteet sitten missä tahansa. Laitteiden ja organisaation tiedon suojaamisessa käytettävät pilvipohjaisilla hallintajärjestelmillä tarkoitetaan tässä tapauksessa erilaisia MDM-ratkaisuja (mobile device management).

– Suojauksen järjestämiseen ei ole olemassa yhtä selvää vastausta ja yleensä suojaus tehdäänkin monitasoisesti erilaisia ratkaisuja ja menetelmiä yhdistellen. Työntekijän laitetta voidaan hallita ja tietoturvan tasoa nostaa muun muassa lataamalla sille tietyt tekniset tietoturvapolitiikat, kuten PIN-koodien kyselyt, kryptaamalla laitteen kovalevy sekä hyödyntämällä muita MDM-ratkaisujen tarjoamia mahdollisuuksia, Tiainen luettelee.

– On kuitenkin hyvä muistaa, että pelkkä laitteen suojaus ei yleensä riitä. Myös laitteella pyöritettävän tiedon ja sisällön tulee olla suojattua. Tämä voidaan toteuttaa esimerkiksi Azure Information Protection -yritysratkaisun avulla siten, että haluttujen dokumenttien avaus vaatii käyttäjältä aina tunnistautumisen.

Entä kun yritys ei omistaja työntekijän laitteita?

Nykyään monilla tietovaltaisilla työpaikoilla työntekijöiden laitteet eivät välttämättä ole yrityksen suorassa omistuksessa, vaan työntekijä tekee töitä omalla kannettavallaan ja soittelee työpuhelut omalla puhelimellaan. Tähän viitataankin usein lyhenteellä BYOD (Bring Your Own Device). Se, että yritys ei omistakaan työntekijöidensä laitteita, asettaa omat haasteensa laitteiden hallinnalle.

– Lähtökohtaisesti voidaan sanoa, että mitä enemmän organisaatio omistaa työntekijöidensä laitteita, sitä helpompi ne on suojata. Omalla laitteellaan töitä tekevä työntekijä ei ehkä halua antaa organisaation ulottaa lonkeroitaan omiin henkilökohtaisiin laitteisiinsa. Näin ollen yrityksellä ei siis ole välttämättä täyttä hallintaa laitteeseen, Tiainen huomauttaa.

Ja vaikka työntekijöillä olisikin omat työkoneensa omilla kiinteillä työpisteillään, haluaa kuitenkin moni päästä käsiksi sähköposteihinsa myös kotoa käsin. Tällöin työsähköpostia saatetaan käyttää perheen yhteisellä tietokoneella, jossa ei ole mitään PIN-koodeja tai suojauksia asetettu. On kuitenkin olemassa erilaisia tapoja rakentaa suojaus niin, että organisaation lonkerot eivät ulotu kovin syvälle laitteen syövereihin.

– Microsoft Intune -hallintajärjestelmän avulla voidaan esimerkiksi suojata tietyt yksittäiset työasioissa käytettävät sovellukset. Ja vaikka laite ei olisikaan yrityksen omistuksessa, voidaan yrityksen kannalta kriittisen tiedon suojaamiseksi kuitenkin asettaa erilaisia ehtoja laitteelle, jotka täytyy olla kunnossa että laitteella päästään käsiksi tuohon tietoon. Puhutaan siis käytännössä compliance-puolen asioista.

Mitä laiteympäristön muutos tarkoittaa yrityksen tietoturvan kannalta?

Kun työntekijät ja laitteet ovat alkaneet olla yhä liikkuvaisempaa sorttia, on IT-osaston vain osattava pysyä perässä ja varmistettava, että tarjottavat IT-ratkaisut ovat ennemminkin muutosta edistäviä kuin estäviä. On kuitenkin selvää, että aika ajoin vaakakupin vastakkaisille puolille ajautuvat yrityksen tietoturvan tason turvaaminen ja työnteon sujuvuus.

– Nykyään tietoturvauhilta suojautumisen pitää olla aiempaa monitasoisempaa ja koska laitteet eivät sijaitse vain yrityksen yksityisessä verkossa, tekee se asiasta vielä hiukan hankalampaa. Ei voi siis sanoa, että tietoturvan näkökulmasta asiat olisivat hirveästi helpottuneet työn murroksen myötä. Mutta vaikka resursseja ehkä joudutaankin käyttämään hiukan enemmän tietoturva-asioihin, on toisaalta organisaation toimintakyky aiempaa parempi ja työnteko on aiempaa sujuvampaa, Tiainen pohtii.

MDM-ratkaisut kannattaa ottaa käyttöön vähitellen

Centeron MDM-guru Tuukka Tiainen kehottaa yrityksiä ja organisaatioita lähtemään laitteiden ja organisaation tiedon hallinnassa liikkeelle pienin askelin.

– Ensin kannattaa ottaa käyttöön esim. Microsoft Intune ja aloittaa ihan yksinkertaisista asioista, kuten PIN-koodin pakottamisesta laitteille ja kovalevyjen kryptauksesta. Pääasia on, että tämä työ aloitetaan ja sitten myöhemmin voidaan edetä kohti monimutkaisempia juttuja.

Microsoft Intunen käyttöönotto ja laitteiden etähallinta voidaan sisällyttää Centero Seremoniamestari -palveluun. Tutustu palveluumme täällä.

Laske säästösi

Automatisoi sovelluspäivitykset ja lopeta pikkusoftien kanssa painiminen. Centero Software Manager säästää aikaa, rahaa ja hermojasi.

« Edellinen artikkeli: Microsoft pakottaa monivaiheisen tunnistautumisen Azure AD -järjestelmänvalvojille
»