Organisaatioiden on linjattava suhteensa älylaitteisiin, sillä muuten tietoturvan varmistaminen on vaikeaa.

Millaiselta näyttää älylaitteiden marssi, Jan Mickos?
– Murros on meneillään tai jo tapahtunut ja älylaitteet yleistyvät. Kyse on nyt siitä, miten niihin organisaatiossa suhtaudutaan.

Miten älylaitteisiin pitäisi suhtautua?
– Päättämällä muun muassa se, sallitaanko BYOD-toimintamalli, jossa työntekijät voivat käyttää töissä omia tablettejaan ja älypuhelimiaan. Toinen selkeä mutta jo hieman vanhahtava linjaus on, että organisaatio hankkii älylaitteet ja niitä käytetään vain työtehtäviin.

Ennen päätöksiä on kuitenkin analysoitava tietoturva­riskit ja tehtävä tietoinen strateginen päätös toimintatavoista, joita laitteiden kohdalla noudatetaan. On siis selvitettävä se, mikä osa tiedosta on erityisesti suojattavaa ydintä, mikä osa taas palvelun nimissä jaettavissa olevaa sekä erotettava nämä toisistaan eri keinoin.

Jos organisaatio sallii omien älylaitteiden käytön, pitää tyypillistä sisäverkkoa modifioida niin, että laitteet voi kytkeä organisaation verkkoon. Ei niistä muuten ole hyötyä. Samoin verkossa pitää pystyä erottamaan omat laitteet yrityksen laitteista. Ja siitäkin pitää päättää, sallitaanko organisaation omistaman tiedon tallennus päätelaitteille vai pelkkä palveluiden käyttö verkon ylitse. Mikäli tallentaminen päätelaitteille sallitaan, tulee esimerkiksi tiedon salausratkaisut miettiä, jotta maailmalla liikkuva sensitiivinen tieto pystytään turvaamaan.

Millaisin käytännön toimin älylaitteiden käyttö organisaatioissa voitaisiin järjestää?
– Esimerkiksi sandbox-tyyppiset ratkaisut yleistyvät. Jos työntekijä käyttää omaa tablettiaan, rakennetaan laitteelle erilaisen salauksen ja virtualisoinnin keinoin yrityksen oma kulma. Tieto pysyy siellä ja hiekkalaatikon tavoin sen voi pyyhkiä tasaiseksi tarpeen tullen.

Miten yleinen BYOD-malli jo tätä nykyä on?
– Ei kovin yleinen. Ja muun muassa monissa julkishallinnon organisaatioissa täysin kielletty. Tiukka linjaus johtuu siitä, ettei haluta ottaa pienintäkään riskiä vaikkapa kriittisen viranomaistiedon livahtamisesta kyberavaruuteen. Yleisesti ajatellen yrityksissä ollaan joustavampia omille älylaitteille kuin julkisella puolella. Haasteet ovat toki molemmilla sektoreilla samat.

Mistä perimmäinen haaste tulee?
– Siitä, että organisaatioiden sisäverkot ovat tietoteknisesti rajattuja alueita ja edustavat eri aikakautta kuin uudet älylaitteet. Mikäli organisaation sisällä toimii monia erilaisia laitteita, pitäisi sisäverkot myös suojella uudella tavalla. Tähän asti tietoturva on keskittynyt pitkälti suojautumiseen ulkomaailmalta palomuureineen. Nyt kun erilaiset älylaitteet ovat jo ”pakasta vedettyinä” yhteydessä erinäisiin pilvipalveluihin, on tämä varmuus pitkälti murtunut. Myös organisaation hallussa olevan tietopääoman tunnistaminen, luokittelu ja hallinta kaipaa päivitystä muuttuvassa maailmassa.

– Ja lopulta kaiken tietoturvallisen toiminnan perusedellytys on turvallisuustietoisuus ja tähän kannustava toimintakulttuuri sekä tietoturvatavoitteisiin aidosti sitoutuneet ihmiset, vahvistaa Jan Mickos.

Jan Mickos vastaa CGI:ssä tietoturvallisuuden asiantuntijapalveluista.

Juttu on alun perin julkaistu Ratkaisu-lehdessä 1/2013