BYOD - kuinka valmistautua OLIOihin

BYOD (Bring Your Own Device) ja CYOD (Choose Your Own Device) – Suurin osa meistä IT-ammattilaisista on jo törmännyt näihin vierailta kuulostaviin termeihin työssämme. Käytännössä asia on tullut esille esimerkiksi, kun joululahjaksi saatua iLaitetta on yritetty yhdistää yrityksen järjestelmiin. Ensisijaisena motiivina tietysti on ollut uusi kiva laite, toisena luontainen piirre kokeilla kaikkea uutta ja kolmantena, tärkeimpänä, yritys löytää keinoja työskentelyn helpottamiseen “kivoilla laitteilla”.

Termit aiheuttavat jo sellaisenaan pahoinvoinnin kaltaisen reaktion suomeksi lausuttaessa. Reaktio ei johdu niiden merkityksestä. Mahdollisuudet liike-elämälle ovat erittäin positiivisia. Reaktio on ainoastaan kieleen ja sen taipumattomuuteen liittyvä ilmiö, joten kutsuttakoon tässä jutussa näitä trendikäsitteitä termillä OLIO(Oma Laite Infran Osana).

OLIO-trendin yleistyminen ja edut
Omat laitteet työskentelyn osana tulevat yleistymään, halusimme sitä tai emme. Tiukasti standardoidut laiteympäristöt tulevat olemaan vähemmistönä seuraavien parin kolmen vuoden aikana yhä useammassa yrityksessä. Jo nyt palveluntarjoajat voivat tarjota ratkaisuja ja tietoteknisiä palveluja kaikille laitealustoille keskitetysti. Tarjonta tulee laajenemaan lähitulevaisuudessa, jolloin myös palvelujen kustannukset tulevat houkuttelevammiksi.

Mahdollisuudet ovat moninaiset. Mitä pikemmin tietohallinnosta ja erityisesti tietoturvasta vastaavat tahot oppivat tutkimaan ilmiötä oikealta kantilta, sitä helpommin on mahdollista luoda liiketoiminnalle ja käyttäjille toimivat työkalut ja ekosysteemi turvalliselle työskentelylle. Oikealla strategialla ja toimenpiteillä työn tehokkuus ja tietoturvallisuus tulee jopa parantumaan nykyiseen verrattuna.

Haasteet
Perinteisesti yksi tietohallinnon suurimpia haasteita ovat olleet työasemat, joille käyttäjillä on paikalliset hallinnointioikeudet. Alunperin standardoitua työasemaa voidaan käytännössä pitää “menetettynä” heti, kun se luovutetaan asennus- ja hallinnointioikeudet omaavalle loppukäyttäjälle. OLIOiden kanssa tilanne on saman tyylinen.

Mitä paremmin IT omaksuu sen tosiasian, että laitteiden kontrolli on menetetty, sitä paremmat ovat edellytykset kunnollisen ja oikein mitoitetun OLIO-ajattelun luomiselle. Samalla käytössä olevat voimavarat voidaan kohdentaa paremmin tukemaan OLIO-ajattelua ja ratkaisujen kehittämistä.

OLIO-keskeisen ympäristön rakentamisessa tulee oikeuksien lisäksi olemaan perinteisistä poikkeavia haasteita. Jo pelkästään laitteiden ja käyttöjärjestelmien kirjo on laaja ja se laajenee koko ajan. Oletuksena on oltava, ettei laitteissa ole mitään tietoturvaominaisuuksia. Joko toimittaja ei ole niitä mahdollistanut tai käyttäjä on itse ne poistanut käytöstä. Loppukäyttäjät hakevat vaistomaisesti työskentelyä helpottavia keinoja ja esimerkiksi PIN-koodin ottaminen pois käytöstä on yksi sellainen.

Laitekirjon monimuotoisuus tuo myös haasteita niiden hallinnalle. Käytännössä keskitetty laitehallinta on, jos ei mahdotonta, niin ainakin erittäin vaikeaa ja kallista. Yksinkertaisia ratkaisuja ei ole.

Edellä mainitun vuoksi on erityisen tärkeää ymmärtää miten ja mihin laitteita käytetään ja erityisesti millaisesta käytöstä on etua liiketoiminnalle. Väkisin läpiviedyt byrokraattiset käyttömallit eivät tue varsinaisia liiketoiminnan tai edes IT:n etuja eivätkä ole nykyaikaa. OLIO-ajattelun käyttöönotossa on ensiarvoisen tärkeää saada käytännöistä loppukäyttäjän kannalta houkutteleva kokonaisuus. Kokonaisuuden tulee pitää sisällään sekä laitteiden tietoturvallinen käyttö että niiden tuomat edut.

Tavoitteena tulee olla tasapaino tietoturvallisen käytön ja tiedon käytettävyyden välillä.

Riskienhallinta
OLIOita tulee käsitellä enemmän liiketoiminnan riskienhallinnan kuin laitehallinnan kannalta. Mitä paremmin riskit ymmärretään, sitä paremmin löydetään keinot ja ratkaisut OLIOiden tietoturvalliselle käytölle liiketoiminnan eduksi. Riskien ymmärtäminen koskee erityisesti loppukäyttäjiä ja asian tulee olla olennaisena osana perehdytyksessä ja käytön ohjeistuksessa.

Riskienhallinnan tärkein elementti on yrityksen informaatio. Tiettyjä riskejä voidaan hallita teknisesti, mutta tärkeimmässä osassa on kuitenkin käyttäjien ohjeistus silloin, kun teknisiä keinoja ei ole käytettävissä.

Riskienhallinnan osana tulee olla myös käytön arviointi vaatimustenmukaisuuden kannalta.

Mitä ovat riskitekijät ja uhkat?
Käyttäjät ovat tässäkin tapauksessa eturintamassa. Yritysten tulee heti alkajaisiksi kiinnittää huomiota loppukäyttäjien ohjeistukseen, perehdytykseen ja koulutukseen. Sekä laatia laitteiden käyttöä koskeva OLIO-politiikka ja -ohjeistus.

Uhkia ovat muun muassa:

• Laitteisiin tallennettu yrityksen tieto joutuu vääriin käsiin.
• Autentikointitieto (salasanat, käyttäjätunnukset, sertifikaatit, avaimet ym) joutuvat vääriin käsiin.
• Tietoa jaetaan tietämättään ulkoisille tahoille (esim. tiedon tallennus pilvipalveluihin).
• Laitteiden sovellukset tallentavat tietoa salaamattomana.
• Laitteiden haittaohjelmat ja oikeuksien lisäys (jailbreaking) mahdollistavat laitteiden väärinkäytön.
• Laitteiden suojausmekanismien puute.
• Käyttäjien toiminta ja paikka laitteita käytettäessä.
• Laitteiden poistaminen käytöstä ilman tyhjennystä.

Tietojen suojauksessa tulee kiinnittää huomiota kuinka tietoa käytetään ja missä se sijaitsee. Lisäksi tiedon luokituksen ja luokituksen mukaisen käsittelyohjeistuksen tulee olla ajan tasalla. Loppukäyttäjillä tulee olla selkeä tietämys millä edellytyksillä ja miten järjestelmissä olevaa tietoa voidaan käyttää ja mitä tietoa voidaan tuottaa.

Kun tietojen suojaus on tavalla tai toisella saatu ratkaistua, ei laite sinällään enää ole uhkatekijä. Jos tiedon suojaus on hoidettu kunnolla, ei baari-illan jälkeen hävinneellä laitteella ole muuta arvoa kuin laitteen oma arvo.

OLIO-trendin vakiintuessa myös laitevalmistajat ja sovellustoimittajat herännevät ja kiinnittänevät huomiota tietojen suojaukseen jo kehitysprosessissa. Laitteissa ja sovelluksissa tulisi jo oletuksena olla riittävät mekanismit käytön ja tiedon suojaamiseen vaikka se tehtäisiin suorituskyvyn kustannuksella. Tämä on ehdoton edellytys OLIOiden yleisemmälle käytölle.

Muistilista

Tietoturvaohjeistus ja loppukäyttäjät

• Tunnista käyttäjien tarpeet OLIOille.
• Tunnista käyttäjien tarpeet koulutukselle, tiedotukselle ja perehdytykselle.
• Määrittele hyväksytyt työskentelykäytännöt.
• Määrittele käyttäjien riskiprofiili käyttötarpeiden mukaisesti.
• Määrittele käyttöpolitiikat ja edellytykset käytölle: vahvat salasanat, suojatut yhteydet sekä käyttäjien ja laitteiden tunnistaminen infrastruktuurin rajapinnalla.

Data ja sovellukset:

• Tunnista
  • Mitä dataa käytetään?
  • Miten dataa käytetään?
  • Missä data sijaitsee?
  • Kuinka dataan pääsee käsiksi?
  • Millaista dataa tuotetaan?
• ​Määrittele datan luokitus ja luokituksen mukainen käyttöohjeistus.
• Varmista datan suojaus (kryptaus).
• Ohjeistus ja määritykset mihin dataan on pääsy OLIOilla
• Ohjeistus ja määritykset mitä dataa luodaan OLIOilla.
• Hyväksy vain testattuja OLIO-sovelluksia

Infrastruktuuri
Käyttäjillä on useita keinoja ja kanavia käyttää tietoa ja olla yhteydessä yrityksen järjestelmiin.

• Määrittele mitä kanavia voidaan käyttää kunkin datan ja sovelluksen yhteydessä.
• Ota käyttöön vahva käyttäjätunnistus ja tunnista sekä laitteet että käyttäjät infrastruktuurin rajapinnalla.
• Ota käyttöön suojatut yhteydet.
• Määrittele lista hyväksytyistä laitteista ja prosessi laitteiden ja mobiilisovellusten arvioimiseksi ja hyväksymiseksi.
• Ota käyttöön laitteiden suojausmekanismit.
• Ota käyttöön 24/7 monitorointi poikkeamien havaitsemiseksi.

Loppukäyttäjän hyväksyntä tietoturvalliselle käytölle
OLIOn turvallinen käyttö tulee tulla loppukäyttäjän selkäytimestä. Työskentelutapojen ja käyttäytymisen tulee olla osa päivittäistä hyvää tapaa toimia. Terveen harkinnan käyttö on sallittu myös OLIOiden osalta.

Tämän vuoksi loppukäyttäjät tulee ottaa mukaan kehittämään oikeita ja tietoturvallisia työskentelytapoja jo varhaisessa vaiheessa. Tietoturvallisten käytäntöjen ja ohjeistuksen käyttöönotossa tarvitaan puolestapuhujia alusta lähtien.