“Huomioi tietoturva kaikessa” on tietoturvallisuuden perusta
Loikan yleisluontoinen ohje tietoturvaan on, että tietoturva pitää huomioida aivan kaikessa. Tietoturvan tulisi olla kaikkien organisaation jäsenten työpöydällä ja mielessä säännöllisesti ja sen ei kuuluisi olla vain yhden ihmisen huoli.
Jos lähdetään liikkeelle perusasioista, niin Loikan yleisluontoinen ohje tietoturvaan on, että tietoturva pitää huomioida aivan kaikessa. Tietoturvan tulisi olla kaikkien organisaation jäsenten työpöydällä ja mielessä säännöllisesti ja sen ei kuuluisi olla vain yhden ihmisen huoli. Tämä kokonaisvaltainen vastuunkanto tietoturvasta jo lähtökohtaisesti parantaa sitä huomattavasti.
Loikalla liputamme Zero Trust -mallin puolesta, mitä tulee tietoturva-asioihin. Tämä tarkoittaa sitä, että ei anneta liikaa käyttöoikeuksia yksittäisille käyttäjille tai sovelluksille. Käyttöoikeus ja pääsy rajataan vain niihin palveluihin, mihin on tarkoituksenmukaista päästä. Eri järjestelmät voidaan pilkkoa hallittaviin kokonaisuuksiin, joihin vaaditaan erilliset ja tarkoin määritellyt käyttöoikeudet. Tällöin esimerkiksi tiettyyn tietokantaan ei ole pääsyä kuin valtuutetuilla.
Ajatus tämän Zero Trust -mallin taustalla on, että mihinkään käyttäjään, laitteeseen tai palveluun ei tulisi automaattisesti luottaa. Käyttöoikeuksien laatua ja määrää rajoittamalla mahdolliset hyökkäykset saadaan rajattua pienelle alueelle. Lisäksi tulee muistaa, että ihmiset ovat merkittävin tietoturvariski missä vain organisaatiossa ja jo rajaamalla pelkästään ihmisten käyttöoikeuksia eri järjestelmän osiin, saadaan vaikutettua tietoturvan tasoon merkittävästi.
Perinteisissä malleissa järjestelmän sisällä toimiviin käyttäjiin ja palveluihin on saatettu luottaa täysin raajamatta 'sen enempää' käyttöoikeuksia. Mahdollisissa murtautumistapauksissa hyökkääjällä on ollut vapaa pääsy kaikkeen järjestelmän sisällä. Loikankin käyttämä Zero Trust -mallissa puolestaan oletetaan, että käyttäjät ja palvelut ovat näitä potentiaalisia hyökkääjiä, ja siksi tunnistautumista vaaditaan ja käyttöoikeuksia rajataan mahdollisimman tarkasti.
Loppukaneettina siis: pidä tietoturva organisaation jokaisen henkilön pöydällä, rajaa riskiä käyttöoikeuksien kautta ja jos joku näistä asioista jäi mietityttämään, ota yhteyttä meihin niin keskustellaan!
Ota yhteyttä