Rauhalan blogi
  • Etusivu
  • Blogi
  • Liikkuvan työn mahdollistaminen tietoturvallisesti
6.6.2017 13:23

Liikkuvan työn mahdollistaminen tietoturvallisesti

Liikkuva työ on nykypäivää ja työelämä muuttuu jatkuvasti joustavampaan suuntaan. Joustavista työtavoista ja –ajoista on hyötyä sekä työntekijöille että työnantajille, mutta valitettavan monet pelkäävät liikkuvan työn aiheuttavan vakavia tietoturvariskejä. Tekniset ratkaisut ovat kuitenkin kehittyneet niin paljon, että turvallisuuskysymykset eivät aiheuta enää päänvaivaa. Tässä artikkelissa valotan hieman, kuinka liikkuvan työn turvallisuus mahdollistetaan.

Jatkuvasti lisääntyvät tietoturvauhat aiheuttavat epävarmuutta

Työelämän muutos on nopeaa ja sen kyydissä pysyäkseen on oltava jatkuvasti pysyä hereillä. Liikkuva työ, etätyö, kiky-sopimukset, joustavat työajat, useat päätelaitteet ja työn tekemisen tavat tuovat paljon muuttujia työn hallintaan muutoinkin. Sitten täytyisi vielä miettiä turvallisuusasioita?

Totuus kuitenkin on, että tänä päivänä mikään tieto ei ole yhtään sen enempää turvassa olemalla toimiston seinien sisällä kuin kotona tai missään muuallakaan. Toki yrityksen sisäisten verkkojen ajatellaan olevan teknisesti paremmin suojattuja, mutta vastaavanlaisia suojauksia on mahdollista rakentaa myös "etäverkkoon".

Lähestulkoon kaikki roolit, joissa työskennellään esimerkiksi verkon välityksellä ja tietoteknisiä ratkaisuja hyödyntäen, voidaan muuntaa liikkuvaksi työksi - tietoturvallisesti ja suojatusti. Oikeilla askeleilla varmistat tietoturvalliset käytännöt missä tahansa.

 

5 askelta tietoturvalliseen liikkuvaan työhön

1) Tarvekartoitus

Ensimmäisenä täytyy tietää ja määritellä, mitä työntekijöiden täytyy pystyä näkemään ja tekemään jostain muualta kuin toimistolta. Tarvitseeko liikkuvaa työtä tekevän nähdä kaikki data, joka yrityksen järjestelmissä sijaitsee? Tuskinpa vain.

On siis tärkeää määritellä erilaisia liikkuvan työn rooleja ja pohtia, mihin tietoihin (dokumentit, data) tai järjestelmiin (CRM, asiakaspalvelujärjestelmä, varastonhallinta, talous) kelläkin on tarvetta päästä käsiksi. Myyjä tarvitsee todennäköisesti hieman eri tietoja kuin tuotantovastaava.

Monissa tapauksissa eri roolien tarpeita ei oteta riittävästi huomioon, vaan kaikilla työntekijöillä on pääsy lähestulkoon kaikkeen. Tämä on selkeä tietoturvariski. Koska määrittelyt ja rajaukset on mahdollista rakentaa, niitä on syytä myös hyödyntää.

2) Tiedon sijainnin määritys

On tärkeää tietää, missä tämä kullekin henkilölle tärkeä tieto sijaitsee. Tässä yhteydessä ei puhuta niinkään fyysisestä sijainnista, kuten pilvestä tai palvelimista tai konesaleista, vaan enemmänkin tiedostoista, kansioista tai työasemien osista. Monesti tämänkin määritteleminen osoittautuu yllättävän haastavaksi.

Mikäli koko organisaation työasemia tai kovalevyjä ei ole yhdistetty yhteen ja samaan verkkoon, tärkeää tietoa voi sijaita vaikkapa vain yksittäisen henkilön kannettavassa tietokoneessa, ja vain siellä. Esimerkiksi myyntityötä tekevät saattavat herkästi tallentaa asiakastietoja tai tilauksia omille työpöydilleen odottamaan niiden erillistä vientiä järjestelmään. Riittäisikö tässä tapauksessa siis, että myyjillä olisi pääsy CRM:ään mistä ja milloin tahansa? Kaikki tieto olisi tallessa ja välittömästi kaikkien saatavilla.

On hyvä huomioida, että pelkästään järjestelmiin ja tiedostoihin rajatut käyttöoikeudet eivät riitä, jos kriittinen tieto sijaitseekin jossain aivan muualla. Kaikki data olisi hyvä kerätä yhteen ja samaan paikkaan, jolloin sen käytettävyys ja kontrolli lisääntyvät.

3) Mitä päätelaitteita käytetään?

Pääsy järjestelmiin on oma lukunsa, toinen luku on erilaiset päätelaitteet. On läppäreitä, pöytäkoneita, kännyköitä ja tabletteja. Kaikkia näitä laitteita käytetään hyvin vaihdellen, välillä jopa samanaikaisesti.

Onkin syytä tarkastella, miten tiedostoja liikutellaan paikasta ja laitteesta toiseen, miten tietty ohjelmisto tai sovellus käyttäytyy eri päätelaitteilla, ja miten saadaan mahdollistettua käyttäjäkokemus siitä riippumatta, mitä laitetta käytetään tai missä sijainnissa ollaan. Liikkuvaa työtä tekeville on monesti kriittisen tärkeää päästä samoihin tiedostoihin käsiksi päätelaitteesta riippumatta, joten sovellukset ja mobiiliversiot on syytä ottaa huomioon jo esimerkiksi ohjelmistoja ja järjestelmiä valittaessa.

Usko tai älä, mobiilin käyttö todella lisääntyy jatkuvasti ja tulee lisääntymään entisestään myös tulevaisuudessa. Ei voida enää olettaa, että työpöytäversio riittää.

4) Käyttöoikeuksien määritys

Näiden edellä esitettyjen määritysten jälkeen tulee tehdä päätös, kenen ylipäätään pitää päästä tietoon käsiksi muualta kuin sisäverkosta, ja mihin tietoon kenenkin täytyy päästä käsiksi. On teknisesti mahdollista toteuttaa esimerkiksi niin sanottua kerroksellisuutta.

Kerroksellisuuden avulla voidaan määrittää erilaisia rajaavia tekijöitä, joiden perusteella pääsyä tietoihin rajataan. Esimerkiksi sisäverkossa työasemalla päästään käsiksi tiettyyn määrään tietoa, mutta jos kirjautuminen tapahtuukin kotiverkossa, oikeudet rajoittuvat automaattisesti vain tiettyyn tietojen osaan tai esimerkiksi vain lukuoikeuteen. Rajausmahdollisuuksia on hyvin monia, tyypillisimmin rajauksia tehdään esimerkiksi IP-osoitteeseen, sijaintiin, päätelaitteeseen tai käyttäjätunnukseen perustuen.

5) Sopivien ratkaisujen kartoitus

Esimerkiksi Citrix-ratkaisujen avulla on mahdollista varmistaa tietojen turvallisuus monin eri tavoin. Eri päätelaitteiden sisään voidaan rakentaa esimerkiksi erilaisia "siiloja" ja itse rakennettuja ympäristöjä natiivien mobiilisovellusten sijaan. Tällöin tiedon käsittely on samaan tapaan mahdollista kuin normaalistikin, mutta väliin on lisätty yksi tietoturvakerros lisää.

Ympäristöön on mahdollista myös asettaa tietyt, ennalta tunnetut ja tunnistetut laitteet, sijainnit ja IP-osoitteet, joiden kautta käyttö onnistuu mutkattomasti. Jos taas kirjautuminen yritetään tehdä muilla laitteilla ja uusissa sijainneissa, käyttäjän täytyy tunnistautua erityisin toimenpitein, jotta hän saa pääsyn tietoihin.

Liikkuvan työn turvallisuuden rakentamiseen on pilvin pimein erilaisia teknisiä mahdollisuuksia. Myös käyttäjiä ja itse liikkuvaa työtä tekeviä on tärkeää kuunnella ja selvittää, mikä helpottaisi heidän työtään ja nostaisi tuottavuutta. Toisaalta on tärkeää myös miettiä johdon tasolla, millaiset toimintatavat ovat järkeviä ja mitä kaikkia toiveita on syytä toteuttaa.

 

Lisätietoja aiheesta

Opaskuva_liikkuva_työ

Mikäli haluat lukea lisää liikkuvan työn mahdollistamisesta, suosittelen sinua lataamaan maksuttoman pikaoppaamme aiheeseen liittyen.

 "Liikkuvan työn mahdollistaminen" -oppaastamme saat lisätietoa käytännön toimenpiteistä sekä tietoturvasta liikkuvaan työhön liittyen. 

Liikkuvan työn ratkaisuja mietittäessä on hyvä kääntyä asiantuntijan puoleen, jotta löydetään juuri oikeat ja yrityksen tarpeisiin parhaiten soveltuvat ratkaisut. Mahdollisuuksia on monia, jopa liian monia, ja juuri ne sopivimmat voi olla vaikea tunnistaa omin voimin. On myös paljon sellaista, jossa asiantuntija voi mahdollisesti tuoda lisänäkemystä ja ehdotuksia yrityksen tarpeita vastaavien ratkaisujen rakentamiseen, jotka eivät muutoin välttämättä olisi tiedossakaan.

Ota rohkeasti yhteyttä asiantuntijaamme, niin tarkastellaan yhdessä teille sopivia ratkaisuja.

Takaisin blogiin