Yrityksen tietoturva muodostuu monista tehdyistä ratkaisuista – ja myös niistä, jotka on jätetty tekemättä. Yrityksen tietoturva on kokonaisuus, joka käydään tietojärjestelmäkartoituksessa läpi kohta kohdalta.
Oikeaoppinen käyttäjänhallinta turvaa tiedot
Käyttäjätunnistuksessa on monia kohtia, jotka voidaan hoitaa hyvin. Tai huonosti. Tarkastelussa kiinnitetään huomiota siihen, noudatetaanko käyttäjäoikeuksien jakamisessa ja ylläpidossa yhtenäistä prosessia, jossa tekijöillä on selvät vastuut. Lisäksi käyttöoikeuksien muuttamisesta pitää jäädä näkyvä merkintä.
Toinen tarkasteltava asia on se, käytetäänkö käyttäjäntunnistuksessa yleisten standardien uusimpia mahdollisia versioita suositusten mukaisesti. Asiakkaalle pitää tarjota mahdollisuus kaksivaiheiseen tunnistautumiseen. Se vähentää tehokkaasti viime aikoina yleistyneiden käyttäjätunnuskalastelujen seurauksia. Käyttäjätunnuksen ja salasanan saaminen haltuun ei riitä järjestelmään pääsemiseen, kun käytössä on kaksivaiheinen tunnistautuminen. Kirjautuminen vaatii näiden lisäksi esimerkiksi tekstiviestinä lähetetyn koodin.
Käyttäjätunnistuksen pitää toimia niin, että jokainen järjestelmään pääsevä henkilö pääsee näkemään ja käsittelemään vain sellaista tietoa, jota hän tarvitsee omassa työssään.
Tietoturvahyökkäyksiin varautuminen
Sovellusinfrastruktuurin, esimerkiksi palvelinten, tietokantojen ja sovelluskehityskirjastojen, tietoturvapäivitysten ajantasaisuus tarkistetaan tietojärjestelmäkartoituksessa. Tietoturvapäivitykset on syytä ajaa mahdollisimman pian niiden julkaisun jälkeen, ja tämän varmistamiseen pitää olla jatkuva prosessi.
Sovellusten toteutuksessa pitää varautua yleisimpiin tietoturvahyökkäysmenetelmiin tunnettujen ohjeistusten, esimerkiksi OWASP-ohjeistuksen, mukaisesti. Säännöllisen tietoturva-auditoinnin pitää olla osa sovelluskehitysprosessia.
Hyökkääjät hyödyntävät tietosuoja-aukkoja yleensä heti, kun ne tulevat tietoon, joten nopea reagointi on suojautumisessa tärkeää. Siksi yrityksessä on oltava selkeä kokonaiskäsitys laitteista, ohjelmistoista ja teknologioista, jotka voivat olla uhille alttiina. Tietojärjestelmien lokitietojen tallennuksen on oltava riittävän tarkkaa, jotta hyökkäykset pystytään havaitsemaan helposti.
Esimerkiksi hiljattain paljastunut log4j-ohjelmointikirjaston tietoturva-aukko vaati yrityksiä käytännössä selvittämään, missä itse kehitetyissä tai ostetuissa sovelluksissa ja palveluissa log4j-kirjasto on käytössä, millä alustoilla näitä sovelluksia ajetaan, mitkä sovelluksista ovat auki internetiin ja niin edelleen.
Lue seuraavasta blogitekstistämme, mitä muita tietoturvariskejä tietojärjestelmäkartoituksissa löytyy! Lue tietojärjestelmäkartoituksista myös järjestelmien elinkaaren ja järjestelmäarkkitehtuurin näkökulmasta.
Jouni Ojanen
Tiimiesimies, arkkitehtuurit
Mtech Digital Solutions
jouni.ojanen@mtech.fi