Tietoturva 23-08-2023

Hyppysellinen hyvää hygieniaa – Tietoturvan ytimessä

Olen mielenkiinnolla seurannut tietoturvavalmistajien viestiä jo jonkin aikaa: teknologiatermit viuhuvat ja järjestelmien väliset integraatiot mullistavat asioita. Samanaikaisesti tietoturvaan liittyviä uhkakuvia ei tarvitse enää pahemmin keksiä, riittää kun avaa uutisvirran ja seuraa otsikoita.

Vaaleaan puseroon ja tummanvihreään neuletakkiin pukeutunut Linda Sinisalo katsoo hymyillen kohti kameraa.
Linda Sinisalo
Account Manager
Suojakäsineisiin puetut kädet kirjoittavat näppäimistöllä vaaleassa toimistoympäristössä.

Tietoturvaan ja laatuajatteluun investoidaan entistä enemmän ja myynti-ihmisenä on pakko pysähtyä miettimään, mikä tietoturvassa on aidosti olennaista. Katsotaan onnistuisiko tietoturvan ytimen järkeistäminen terminologian kautta.

Oma napa, paras napa

Superlatiivit, nuo valmistajaviestinnän kukkaset ovat vahvasti esillä IT-valmistajien markkinoinnissa. Riippumattomien tutkimuslaitosten mukaan lähes jokainen on joko paras tai vähintäänkin lähes täydellinen. En syytä valmistajia valehtelusta tai tiedon vääristämisestä, mutta pelkästään valmistajien omaa viestintää seuraamalla ja vertaamalla voi asiakas (ja joskus myyjäkin) olla ihmeissään. Mihin pitäisi panostaa ja miten 24/7 365 kaikki kaikesta voidaan saada aikaan ilman, että toteutetaan lähes kaikki tietoturvatarpeet yhden valmistajan kautta? Tulen väkisinkin siihen tulokseen, että jotenkin tätä himmeliä on avattava ja määriteltävä -mielellään ymmärrettävällä tavalla.

Hygieniaa pandemian aikana ja tietoturvan juurilla

Covid-19 opetti meille jälleen kerran hygienian tärkeyden. Perusasioissa kuten maskin käytössä, käsien pesussa ja käsidesin lotrauksessa oli valtava voima. Tietoturvassa on minusta keksitty loistava termi ja osuva määrittely: tietoturvahygienia. Tämäkään määrittely ei ole yksiselitteinen (niin kuin ei näemmä tietoturvassa juuri mikään), mutta pitää sisällään käytännössä seuraavat kokonaisuudet:

  • Backup / Disaster Recovery – Menetelmät, joilla palaudutaan, jos tietoturva vuotaa
  • Vahva todentaminen (MFA) – Pelkät salasanat eivät ole riittävä todentamisen muoto
  • Asset Management – Käytännössä inventaario siitä, mitä minulla on
  • Keskitetty hallinta – Menetelmä, jolla voidaan päivittää inventoituja laitteita
  • Päivitykset – Päätelaitteita ja ohjelmistoja pitää pystyä päivittämään, mielellään keskitetysti
  • Käyttäjien ohjeistaminen – Tietoturvapolitiikasta sopiminen ja dokumentointi, perehdyttäminen jne.

Osa valmistajista kertoo, että tällä perushygienialla torjutaan yli 90 % tietoturvaongelmista. Se on hieno alku, mutta vielä hienompaa tässä on se, että kerrankin joku sanoo, mikä on olennaista ja mikä ei. Tämä helpottaa investointeja ja ennen kaikkea avaa käsitystä siitä, mikä mielestäni tietoturvassa on olennaisinta.

Digitaaliset maskit ja käsidesit

Nyt kun olen mielestäni saanut (ainakin itselleni ja toivottavasti myös asiakkailleni) selväksi, mitä hygienia tarkoittaa tietoturvassa, niin olkaa avoimesti yhteydessä. Meiltä Atealta löytyy tietoturvahygieniaan kaikki olennainen sekä ratkaisuna tai palveluna.

Joskus yksi termi voi selkeyttää asiaa paremmin kuin kymmenen superlatiivia.