Microsoft 365 Business Premium: PK-yrityksen tietoturva kuntoon osa 1
Kyberturvallisuus on juuri nyt usean yrityksen asialistalla. Monessa yrityksessä on jouduttu miettimään viime vuosien aikana liiketoiminnan periaatteet uusiksi muuttuneiden työkäytänteiden ja työskentelytapojen vuoksi mutta tietoturvaan saatetaan vielä suhtautua ajattelumallilla joka on periytynyt vanhasta maailmasta. Viimeistään nyt on hyvä hetki ottaa uuden työelämän vaatimat tietoturvakäytänteet ja tekniikat käyttöön.
Heti alkuun on hyvä ottaa yksi fakta pöydälle. Sinun ja yrityksesi asiat kiinnostavat hyökkääjiä. Piste. Nykyajan yhteiskunnan rakenteet ovat kytketty toisiinsa lukemattomalla määrällä dataa, päätelaitteita ja palveluita. Näitä palveluita ja laitteita käytetään tuottavaan liiketoimintaan mutta toisaalta ne kiinnostavat myös verkkorikollisia. Ja koska tänä päivänä me kaikki olemme kytkettyinä toisiimme maailmanlaajuisessa tietoverkossa tavalla tai toisella, hyökkääjän ei edes tarvitse tietää olemassaolostasi löytääkseen sinut. Sinä olet hyökkääjän näkökulmasta joko kohde tai välikappale kohteen saavuttamiseen. Pelkkä virustorjunta tietokoneessa ei enää riitä vaan kyberturvallisuus on otettava osaksi liiketoimintaa ja arvioitava teknisiä ratkaisuja joilla tietoturva saadaan nykyajan vaatimalle tasolle.
Mutta helppohan se on puhua! Mistäs käytännössä sitten löydetään henkilöstö, palvelut ja budjetti uusien tietoturvavaatimuksien toteuttamiseen?
Hyvät uutiset ovat että tänä päivänä myös pienien yrityksien on helpompaa kuin koskaan saada käyttöönsä tekniikoita jotka aikaisemmin olivat vain isompien pelaajien budjetissa. Nykyaikaiset pilviratkaisut mahdollistavat tehokkaan, proaktiivisen tietoturvan toteuttamisen kustannustehokkaasti.
Tietoturvan kolminaisuus
Kyberturvallisuuteen ja tietoturvaan liittyen löytyy useita malleja ja hallintatapoja mutta tässä sarjassa keskitymme kolmeen keskeiseen osa-alueeseen tietoturvassa:
Identiteetti
Modernissa ympäristössä identiteetti ei ole enää vain tunnus jolla kirjaudutaan tietokoneelle, se on avain yrityksen sähköiseen valtakuntaan. Tästä syystä yrityksien käyttäjiä pommitetaankin toinen toistaan edistyneemmillä huijausviesteillä: Pahimmillaan väärään paikkaan annettu tunnus antaa hyökkääjälle välittömän pääsyn yrityksen tietoihin.
Laitteet
Työskentelymme tapahtuu harvoin enää vain yhdellä laitteella. Saatamme tehdä työtä toimistolla yrityksen tietokoneella ja jatkaa sitä kotimatkalla älypuhelimella sekä kotona omalla henkilökohtaisella tietokoneella.
Vaikka modernit työskentelytavat ovat vapauttaneet meidät tekemään vapaasti valitsemallamme laitteella töitä, kolikon kääntöpuolena on laitteiden väärinkäyttömahdollisuus. Älypuhelin saattaa kadota tietoineen kaikkineen ja kotikoneessa saattaa siihen asennetun pelin mukana tullut kylkiäisenä vakoiluohjelma joka tallentaa yrityksen käyttämät kirjautumistiedot. Eikä myöskään yrityksen hallussa olevat laitteet ole turvassa: Epähuomiossa avattu haitallinen liitetiedosto saattaa antaa jalansijan hyökkääjälle josta päästään kartoittamaan yrityksen verkkoa ja resursseja.
Data
Mitä yrityksenne tekisi jos menettäisitte kaiken datanne? Usealle yritykselle datan menettäminen on haavoittava isku josta selviytyminen voi viedä pitkään jos se edes on mahdollista. Tähän esimerkiksi ransomware nojaa lukitsemalla yrityksen tiedot ja/tai järjestelmät. Yrityksen tiedot voidaan myös varastaa jolloin ne voidaan myydä tai käyttää muuten hyökkääjän tarkoituksiin.
Microsoft 365 Business Premium
Ja nyt päästään itse aiheeseen jota sarjamme käsittelee:
Kuinka PK-yritys pystyy helposti parantamaan omaa tietoturvaansa moderneilla työkaluilla? Vastaus saattaa olla lähempänä kuin luuletkaan.
Microsoft 365 Business Premium on PK-yrityksille tarkoitettu pilvipohjainen palvelu joka tarjoaa tuottavuutta parantavia moderneja sovelluksia. Monessa yrityksessä onkin esimerkiksi Teams, Onedrive for Business ja Sharepoint Online tulleet tutuiksi käsitteiksi viime vuosina.
Tuottavuusratkaisujen lisäksi Microsoft 365 Business Premium tarjoaa myös kattauksen moderneja, globaalisti skaalautuvia tietoturvatuotteita. Näitä ovat esimerkiksi identiteetin parempi suojaaminen, pilvipohjainen laitehallinta ja pilvessä sijaitsevan datan turvaaminen.
Identiteetin suojaamiseen löytyy useita työkaluja kuten kirjautumisen suojaaminen käyttämällä monivaiheista kirjautumista (MFA), pääsynhallinnan rakentaminen käyttäminen Conditional Accessia tai epäilyttävien kirjautumisten havaitseminen Risky Usersin avulla.
Laiteturvallisuuteen puolestaan voidaan esimerkiksi ottaa kantaa käyttämällä edellä mainitun Conditional Accessin lisäksi pilvipohjaista laitehallintaa Intunea sekä tarkkailla laiteympäristöä Defender for Businessilla.
Datan suojaamiseen puolestaan voidaan käyttää tuotteita kuten Data Loss Prevention (DLP) tai Sensitivity labels joiden avulla pilvessä sijaitsevaa dataa voidaan suojata paikasta riippumatta.
Microsoft 365:n haaste on että toisin kuin kaikkien työntekijöiden saatavilla olevat tuottavuusratkaisut, tietoturvan hallinta on vain ylläpidon nähtävissä ja useat ominaisuudet täytyy erikseen ottaa käyttöön. Varsinkin pienemmissä yrityksissä tietoturvaominaisuuksien käyttöönotto saattaakin jäädä puolitiehen vaikka niiden avulla yrityksen suojamuureja hyökkääjiä ja tietoturvauhkia vastaan voitaisi parantaa merkittävästi. Tietoturvaominaisuuksien käyttöönotto on myös taloudellisesti järkevää: tuotteen lisenssi maksaa saman verran käytti ominaisuuksia tai ei, parantamalla tietoturvaa pilviratkaisujen kautta saadaan myös parempaa vastetta rahalliselle sijoitukselle.
Tässä sarjassa tullaan käymään läpi kuinka PK-yritys voi parantaa tietoturvaansa niin identiteetin, laitehallinnan kuin datankin suojaamisen suhteen käyttäen Microsoft 365 Business Premiumia. Jatkamme seuraavalla kerralla tutustumalla kuinka identiteetin suojaaminen onnistuu helposti käyttäen pilvestä saatavia työkaluja. Ensi kertaan!
