Organisaation on tiedettävä, mitä IT-ympäristössä tapahtuu, jotta kyberturvallisuudesta voidaan huolehtia. Käytännössä se edellyttää monipuolista kyberturvallisuuden valvontaa.
Kyberturvallisuuden valvonta muodostuu usean eri näkökulman kautta. Esittelen ohessa muutamia näkökulmia. Blogipostauksen toisessa osassa käsittelen asiaa tietojärjestelmien ja tietoturvapäällikön työn kautta.
Kyberturvallisuuden valvonnan näkökulmia:
Päätelaitteiden valvonta
Mitä organisaation päätelaitteilla eli työasemilla, palvelimilla ja puhelimissa tapahtuu?
Päätelaitteen tietoturvasovellus analysoi laitteen toimintaa, tapahtumia, komentoja ja muutoksia tiedostoissa. Lisäksi se voi tarkastella onko päivitykset asennettu, mitä ohjelmistoja koneelta löytyy ja millaisia asetuksia on käytössä.
Tietoturvasovelluksen tarkoituksena on estää haittaohjelmia ja haitallisia toimintoja tapahtumasta.
Ohjaa päätelaitteen havainnot keskitettyyn pisteeseen, josta ylläpitäjät näkevät ne, ja voivat ryhtyä tarvittaviin toimenpiteisiin.
Hälytyksiin voidaan kytkeä myös automaatiota. Esimerkiksi jos työasemalla havaitaan jotain haitallista, niin se eristetään välittömästi verkosta.
Käyttäjätunnusten valvonta
Miten työntekijöiden ja yhteistyökumppanien käyttäjätunnuksia käytetään?
Valvotaan onnistuneita ja epäonnistuneita kirjautumisia. Valvotaan myös epäilyttäviä kirjautumisaikoja ja -sijainteja. Esimerkiksi kirjauduttiinko tunnuksella sisään ulkomailta tai keskellä yötä?
Jos organisaatio toimii vain Suomessa ja voidaan varmuudella sanoa, että ulkomailta ei tehdä töitä, niin organisaatio voi valvoa kirjautumisia, jotka tapahtuvat ulkomailta ja päättää miten niiden kanssa tehdään. Esim. estetäänkö kirjautuminen kokonaan ja nostetaan hälytys asiasta.
Tai yritetäänkö käyttäjätunnuksella kirjautua sisään sellaiselta laitteelta, joka ei ole organisaation hallinnassa? Tämä voi olla merkki murtautumisyrityksestä – tai ihan vaan IT-järjestelmien käyttösääntöjen rikkomisesta.
Verkon valvonta
Mitä organisaation tietoverkossa tapahtuu?
Verkon valvonnalla voidaan selvittää, millaista tietoliikennettä verkossa liikkuu. Valvontajärjestelmillä voidaan tunnistaa tunkeutumisyrityksiä ja analysoida liikennettä.
Palomuurilla pidetään ilkimykset ulkopuolella, ja mahdollistetaan turvalliset VPN-etäyhteydet omille työntekijöille.
Hyödyntämällä verkkoliikenteen lokeja voidaan tarkastella, onko yrityksen verkosta oltu yhteydessä esimerkiksi haitalliseksi luokiteltuihin IP-osoitteisiin.
Laitetilojen valvonta
Yrityksesi IT-palvelut vaativat jonkinlaista taustainfraa, kuten palvelimia ja verkkoyhteyksiä. Vaikka konesalipalvelut olisi ulkoistettu, tai palvelut rakennettu julkipilveen, niin perinteistä ”rautaa” tarvitaan edelleen.
Se, että konesali on ulkoistettu IT-palvelutoimittajalle, ei poista perinteisiä ongelmia. Laitteet voivat edelleen vikaantua, lämpötilat nousta tai konesalissa syttyä tulipalo tms.
Ole kiinnostunut, miten IT-palvelutoimittajasi valvoo konesalinsa ja siellä olevien palvelinten toimintaa ja turvallisuutta.
Pilvipalveluiden valvonta
Mitä organisaation pilvipalveluresursseissa tapahtuu?
Pilvipalvelu on käytännössä jonkun toisen yrityksen ylläpitämä IT-ympäristö.
Se, miten laajasti organisaatiosi hyödyntää pilvipalvelua, vaikuttaa valvonnan tarpeeseen.
Jos hankit tietojärjestelmää SaaS-palveluna, on sinun valvottava sovelluksen käyttöä.
Jos hankit pilvipalvelusta myös ICT-infraa, on valvottava koko ympäristöä eli käytännössä samoja näkökulmia kuin tässä blogipostauksessa on kuvailtu.
Kameravalvonta ja kulunvalvonta
Mitä toimitiloissa ja piha-alueella tapahtuu?
Kulunvalvonnan tarkoituksena on huolehtia, että toimitiloihin ja sen eri osiin pääsevät vain asianmukaiset henkilöt. Kulunvalvonnan tiedoista voidaan havaita esimerkiksi se, että organisaation ulko-ovea on avattu erikoisiin kellonaikoihin.
Kameravalvonnan avulla tapahtumista saadaan tallenteita ja livekuvaa. Kameravalvonnan avulla voidaan muodostaa hälytyksiä esimerkiksi siitä, jos organisaation tiloissa tai piha-alueella on liikuttu keskellä yötä.
Blogipostauksen toisessa osassa käsitellään mm. SIEMiä, SOCia, saatavuutta ja kyberturvallisuuden valvontaa tietoturvapäällikön työn näkökulmasta.
Vastaa