“Huomioi tietoturva kaikessa” on tietoturvallisuuden perusta

Loi­kan yleis­luon­toi­nen oh­je tie­to­tur­vaan on, et­tä tie­to­tur­va pi­tää huo­mioi­da ai­van kai­kes­sa. Tie­to­tur­van tu­li­si ol­la kaik­kien or­ga­ni­saa­tion jä­sen­ten työ­pöy­däl­lä ja mie­les­sä sään­nöl­li­ses­ti ja sen ei kuu­lui­si ol­la vain yh­den ih­mi­sen huo­li.

Jos läh­de­tään liik­keel­le pe­rus­asiois­ta, niin Loi­kan yleis­luon­toi­nen oh­je tie­to­tur­vaan on, et­tä tie­to­tur­va pi­tää huo­mioi­da ai­van kai­kes­sa. Tie­to­tur­van tu­li­si ol­la kaik­kien or­ga­ni­saa­tion jä­sen­ten työ­pöy­däl­lä ja mie­les­sä sään­nöl­li­ses­ti ja sen ei kuu­lui­si ol­la vain yh­den ih­mi­sen huo­li. Tä­mä koko­nais­val­tai­nen vas­tuun­kan­to tie­to­tur­vas­ta jo läh­tö­koh­tai­ses­ti pa­ran­taa si­tä huo­mat­ta­vas­ti. 

Loi­kal­la li­pu­tam­me Ze­ro Trust -mal­lin puo­les­ta, mi­tä tu­lee tie­to­tur­va-asioi­hin. Tä­mä tar­koit­taa si­tä, et­tä ei an­ne­ta lii­kaa käyt­tö­oi­keuk­sia yk­sit­täi­sil­le käyt­tä­jil­le tai so­vel­luk­sil­le. Käyt­tö­oi­keus ja pää­sy ra­ja­taan vain nii­hin pal­ve­lui­hin, mi­hin on tar­koi­tuk­sen­mu­kais­ta pääs­tä. Eri jär­jes­tel­mät voi­daan pilk­koa hal­lit­ta­viin koko­nai­suuk­siin, joi­hin vaa­di­taan eril­li­set ja tar­koin mää­ri­tel­lyt käyt­tö­oi­keu­det. Täl­löin esi­mer­kik­si tiet­tyyn tie­to­kan­taan ei ole pää­syä kuin val­tuu­te­tuil­la.

Aja­tus tä­män Ze­ro Trust -mal­lin taus­tal­la on, et­tä mi­hin­kään käyt­tä­jään, lait­tee­seen tai pal­ve­luun ei tu­li­si au­to­maat­ti­ses­ti luot­taa. Käyt­tö­oi­keuk­sien laa­tua ja mää­rää ra­joit­ta­mal­la mah­dol­li­set hyök­käyk­set saa­daan ra­jat­tua pie­nel­le alu­eel­le. Li­säk­si tu­lee muis­taa, et­tä ih­mi­set ovat mer­kit­tä­vin tie­to­tur­va­ris­ki mis­sä vain or­ga­ni­saa­tios­sa ja jo ra­jaa­mal­la pel­käs­tään ih­mis­ten käyt­tö­oi­keuk­sia eri jär­jes­tel­män osiin, saa­daan vai­ku­tet­tua tie­to­tur­van ta­soon mer­kit­tä­väs­ti.

Pe­rin­tei­sis­sä mal­leis­sa jär­jes­tel­män si­säl­lä toi­mi­viin käyt­tä­jiin ja pal­ve­lui­hin on saa­tet­tu luot­taa täy­sin raa­ja­mat­ta 'sen enem­pää' käyt­tö­oi­keuk­sia. Mah­dol­li­sis­sa mur­tau­tu­mis­ta­pauk­sis­sa hyök­kää­jäl­lä on ol­lut va­paa pää­sy kaik­keen jär­jes­tel­män si­säl­lä. Loi­kan­kin käyt­tä­mä Ze­ro Trust -mal­lis­sa puo­les­taan ole­te­taan, et­tä käyt­tä­jät ja pal­ve­lut ovat näi­tä po­ten­ti­aa­li­sia hyök­kää­jiä, ja sik­si tun­nis­tau­tu­mis­ta vaa­di­taan ja käyt­tö­oi­keuk­sia ra­ja­taan mah­dol­li­sim­man tar­kas­ti.

Lop­pu­ka­neet­ti­na siis: pi­dä tie­to­tur­va or­ga­ni­saa­tion jo­kai­sen hen­ki­lön pöy­däl­lä, ra­jaa ris­kiä käyt­tö­oi­keuk­sien kaut­ta ja jos jo­ku näis­tä asiois­ta jäi mie­ti­tyt­tä­mään, ota yh­teyt­tä mei­hin niin kes­kus­tel­laan!