Tietoturva ja auditointi - työn tehostamisen hyödyt
Niin, siitä pilvitietoturvasta. Sen auditointi ei aina välttämättä ole vain kuluerä yritykselle. Tai tietoturvan auditointi yleensäkään.
Yleensä tietoturvan auditoinnit yhdistetään vain pelottaviin asioihin, jotka johtavat massiivisiin ja kallisiin projekteihin.
Entä jos asia olisikin niin, että aktuaalisesti nämä projektit lisäävätkin tehokkuutta ja tuottavuutta merkittävästi sen sijaan, että ne hankaloittaisivat yrityksen ja työntekijöiden arkea?
Tai moderniksi luultu ja markkinoitu IT-ympäristönne toimintamallinne ei olekaan aktuaalisesti moderni?
Miten tietoturvan auditointi voi lisätä tehokkuutta??
Varsin yksinkertaisesti. Se lisää autentikaation nopeutta, tehokkuutta ja yksinkertaisuutta.
Jaa että mitenkö? Tuomalla esiin olemassa olevan järjestelmän heikkoudet ja siitä aiheutuvat kustannukset yritykselle.
Maksaako teillä esimerkiksi salasanojen vaihto tai tunnusten alustaminen merkittävän paljon IT-kuluissa? Eli esimerkiksi näitä pitää erikseen pyytää joko sisäiseltä tai ulkoiselta taholta jos ne sattuvat unohtumaan? Tai että näitä pitää vielä vaihtaa teillä esimerkiksi 30 tai 90 päivän välein?
Entä jos vaikka jo olemassa olevan monivaiheisen tunnistautumisen koodi unohtuu tai ei toimi, ja käyttäjä joutuu olemaan IT-tukeen asian tiimoilta yhteydessä?
Entä mahdollinen tietokoneen sovelluksen asennus, joka vaatii admintunnuksia?
Tai tietokoneen uudelleenalustus joko uudelle työntekijälle tai uusi tietokone vanhalle työntekijälle?
Kaikista näistä toimenpiteistä kertyy yritykselle IT-kuluerä menetetyn työn määrässä, joka pitää olla tiedossa. Jos se ei ole tiedossa, niin se pitää erittäin nopeasti analysoida. Jokainen menetetty minuutti on yrityksen potentiaalisesti menetetty liikevaihtoa, jota ei koskaan voi saada enää takaisin.
Mene jo asiaan, kusipää.
No jotta toki!
Avataan kaikkia yllämainittuja asioita hieman.
Salasanojen vaihdosta. Kenenkään ei pitäisi enää vaihtaa salasanoja ajastetusti, jos siihen ei ole erityistä syytä. Koska kysyt että miksi, niin tässä on artikkeli asian tiimoilta:
Time to rethink mandatory password changes | Federal Trade Commission (ftc.gov)
Kuten yllä mainitaan, salasanojen määräaikainen vaihtaminen on erittäin suuri tietoturvariski, ja vie myös merkittävästi aikaa yrityksen myynti- ja asiantuntijatyöltä.
Niin, ja kun niitä pitää vaihtaa, niin kuinka moneen erinäiseen paikkaan ne pitääkään sitten vaihtaa, kun tulee vaihdon aika? Viiteen? Kymmeneen? Mahdollisesti vielä useampaan? Keskimäärin vaihdossa menee n. 1-5 minuuttia. Eli vuositasolla tämä kuluttaa aikaa käyttäjiltä 5 min x 4 kertaa vuodessa x (3 paikkaa) x 100 työntekijää = 100 tuntia laskutettavaa asiantuntijatyöaikaa. Eli keskimääräisesti n. 10 000€ vuodessa menetettynä tulona yritykselle. 1000 työntekijälle määrä onkin jo 100 000€.
Toki, pelkkä salasanan vanhenemisen poistaminen ei riitä. Myös salasanan vaihtamisen ja esimerkiksi Bitlocker -koodin tarkistamisen pitää olla mahdollista työntekijöiltä. Tätä varten on kuin luotu palvelu Microsoftilla:
Azure Active Directory Self-service Password reset | Microsoft Docs
Mitäkö tämä palvelu maksaa? No ei mitään, ja säästää tuon 100 tuntia vuodessa asiantuntijatyön määrässä.
Ai niin, se monivaiheinen tunnistautuminen. Tämä on yksittäinen TÄRKEIN tietoturvatoimi, mitä mikään yritys voi tällä hetkellä ottaa käyttöön. Yleensä se kuitenkin otetaan käyttöön hutiloiden tai nopeasti.
Tämä vie työntekijöiden aikaa merkittävästi, kun sitä joko:
A) vaaditaan joka paikassa
tai
B) Sitä ei ole toteutettu tehokkaasti.
Azuren kautta nämä molemmat hommat hoituvat ns. “token” -pohjaisen ja Conditional Access / Riskipohjaiseen autentikoinnin kautta. Näin vain tietyissä tilanteissa vaaditaan erikseen monivaiheista tunnistautumista. Tämä vähentää autentikointii käytettyä aikaa joka päivä vähintään 1-5 minuuttia.
Tästä vielä tehokkaampi tapa toimia on keskitetty salasana ja monivaiheisen tunnistautumisen sovellus, kuten esimerkiksi tarjoamme Myki -salasanasovellus.
Kun kyseinen sovellus synkronoidaan sekä tietokoneelle että puhelimelle, voi käyttäjä automatisoida 2FA -koodien kautta tehtävän autentikoinnin. Tämä tehostaa kirjautumisnopeutta vielä reilusti, ja mahdollistaa erittäin korkean tietoturvan vaatimustason (MFA vaaditaan jokaisessa kirjautumisessa) ilman että se merkittävästi hidastaa käyttäjien työpäivää.
Jo pelkästään tämän tehostamisesta tulee vuositasolla 5-15 minuuttia PÄIVÄSSÄ per käyttäjä.
Eli lasketaanpa taasen:
(5 minuuttia x 100 käyttäjää x 226 työpäivää) / 60 minuuttia = 1883 TUNTIA
1883 tuntia x 100€ / h asiantuntijatyö = 188 333€ vuodessa
15 minuutin säästöllä = 188 333 x 3 = 565 000€ vuodessa.
Ja tämä syntyy pelkän autentikaation ja monivaiheisen tunnistautumisen modernisoinnin ja tehostamisen kautta.
Niin, sen koodin unohtuessa voidaan Azuren PIM -järjestelmän kautta (Privileged Identity Management) kautta sallia koodien alustus vastaavalta työntekijältä yksinkertaisella Request -periaatteella. Sen jälkeen tätä varten voidaan tehdä esimerkiksi skripti, tai ohjeistaa miten alustus tämän jälkeen onnistuu asiakkaan vastaavalta managerilta. Näin kaikesta jää raportti ja data talteen ja työ tehostuu.
Seuraava esimerkki.
Sovelluksen asennus. Käyttäjä tarvitsee sopivan sovelluksen asennuksen tietokoneelleen. Käyttäjä on ollut jo noheva ja ladannut vaaditun sovelluksen tietokoneelleen, eli vain elevaatio tarvitaan, että asennus onnistuu.
Tässä IT-tuki suorittaa asennuksen X -aikavälillä. Kyseiseltä asiantuntijalta kuluu monta tuntia tai päivää pitkän SLA:n takia. Heitetään arvioksi vaikka se 8 tuntia, eli yksi työpäivä.
Samanlainen tilanne tulee vastaan n. kertaalleen vuodessa / käyttäjä. Eli potentiaalisesti tämä tehostaisi työtä 8 tuntia x 100 työntekijää = 800 tuntia vuositasolla. Eli 800 x 100€ = 80 000€ vuodessa.
Azure PIM -moduulin kautta voidaan antaa teidän kyseisestä tiimistä vastaavalle edustajalle oikeus elevoida tälle käyttäjälle esimerkiksi tunniksi admin-oikeudet hänen tietokoneelleen-> käyttäjä voi asentaa sovelluksen itsenäisesti -> asennuksen jälkeen oikeudet katoavat tunnin päästä. Tämä tapahtuu roolin “Azure AD Joined Device Local Administrator” sekä PIM -moduulin kautta.
Ja tämäkään ei maksa mitään, vaan kuuluu palvelupakettiimme.
Ok, Lopeta jo...
Nein!
Se tietokoneen uudelleenalustus. Tässähän useat organisaatiot haluavat / vaativat jo “tietoturvallista tuhoamista” ja “elinkaaripalveluita”. Yleisesti tämä tarkoittaa vain laitteen wipeämistä varastolla ja sen jälkeen laitteen jälleenmyymistä seuraavalle uhrille. Esimerkiksi Ruotsin poliisille. Älkää kysykö.
Tai jos laitetta vain alustetaan “takuun jälkeen” jatkokäyttöön tai uudelle käyttäjälle, niin on tässä usein tietoturva koetuksella, sekä myös prosessit hieman harmaita.
Tyypillisesti asennukset tehdään joko manuaalisesti (pls stop), puoliautomaatiolla (MDT) tai täydellä pilviautomaatiolla (AutoPilot).
Näistä ensimmäinen vaihtoehto kuluttaa aikaa työntekijöiltä n. 3 tuntia per työasema. MDT kuluttaa aikaa n. tunnin verran.
Entä AutoPilot? No, se säästää vähintään päivän verran rahdeissa (laite suoraan käyttäjälle) ja asennuksen aikana sen nopeus on samaa luokkaa kuin MDT:llä.
Ero tulee kuitenkin siinä, että AutoPilot mahdollistaa laitteen uudelleenalustuksen suoraan käyttäjän kotitoimistolla ja mahdollisen ryöstötilanteen kohdalla. Tämä on KORVAAMATON lisätoiminnallisuus.
Mutta luodaan sillekin tuntiarvio. 8 tuntia x 100 käyttäjää / 3 vuotta (laitteen takuuaika) = 800 tuntia / 3 = 266 tuntia / vuosi.
266 x 100€ = 26 600€ vuodessa.
Tässä arviossa ei oteta kantaa esimerkiksi sovellusasennuksiin, joita ei välttämättä kaikkia automatisoida MDT:n kautta. Tämä kuitenkin vaihtelee merkittävästi yrityskohtaisesti.
Sitten alustuksen säästö. Oletetaan, että n. 10 konetta vaihtaa omistajaa vuoden aikana. Tästä normaalisti prosessi etenee niin, että IT alustaa koneen erikseen uudelleen ja sen jälkeen laittaa sen uudelle käyttäjälle. Tässä aikaa menee sekä rahtiin että alustukseen. Eli säästö on n. 1-3 työpäivää, parhaassa tapauksessa jopa viikon. Vedetään keskiarvo 3 työpäivään.
10 tietokonetta x 24 tuntia x 100€ = 24 000€ tehostusta vuodessa.
Entäs sitten, kun laite varastetaan. Noh, GDPR -lasku on n. 1-10% yrityksen liikevaihdosta. 100 työntekijän yritykset ovat n. 5-10 miljoonan vuosiliikevaihdon laitoksia, joten tässä tapauksessa GDPR-sakko olisi 50 000€ – 1 000 000€ välillä.
Voi tulla siis kalliiksi tuo sakko. Ja sakkoakin suurempi menetys on kasvojen menetys yritysmaailmassa. Kuka haluaa tehdä yhteistyötä yrityksen kanssa, joka viis veisaa omien asiakkaidensa tiedoista?
No mut täähän on vain raporttipohjainen, käsinföönattu kikkare siltikin!? Samaa paskaa ne ovat kaikki ja pelkkää rahastusta!
Pitää, ja ei pidä paikkaansa. Annas kun avaan asiaa.
Yleisesti nämä auditoinnit ovat aina paskaa, kuten arvelitkin.
Väsynyt IT-jantteri tekee jonkin mukavan kyselyn ja sen jälkeen tietoturvaraportin “kirjoittelun” asian tiimoilta. Ja tämä maksaa sitten 1-10 HTP riippuen yrityksen logosta ja myyntimiesten määrästä. Tähän heiltä kuluu työaikaa n. 1 – 2 tuntia.
Tässä tapauksessa meidän auditointimme on poikkeus. Se kun ei ole meistä riippuvainen, vaan on kolmannen osapuolen (QS Solutions) SOVELLUSPOHJAINEN auditointityökalu. Se tuottaa meistä riippumattoman tuloksen, joka kuitenkin on tehty kuin nenä päähän juuri siihen ympäristöön, mitä tuemme ja mille teemme auditointeja. Eli O365 -pilvitoteutukseen sekä (Azure AD +) AD ja Windows -pohjaiseen ympäristöön.
Ja kun kyseessä on työkalu, niin se asennetaan asiakkaan ympäristöön, eli datakaan ei mene ulos asiakkaidemme haluamasta lokaatiosta. Muissa tilanteissa auditointiraportit voivat joutua esimerkiksi sellasien tahojen käyttöön, joille ette niitä haluaisi antaa. Tässä data pysyy koko ajan teidän haluamallanne palvelimella.
Niin, se meidän laskutus on läpinäkyvästi myös esillä sivustollamme.
Acsionin Pilvitietoturvan auditoinnin hinnastorakenne
Yleisesti tämä vaatii tuon laskutuksen verran työtä, sekä yksittäislisenssin auditointia varten (joka on jo sivustolla mainituissa hinnoissa mukana).
Kyllä, myös meidän auditointeihin sisältyy kysely, kuten ym. linkissä mainitaan. Se on kuitenkin integraalinen osa tietoturvan sekä IT:n auditointia. Se tuo esille ongelmakohdat, missä esimerkiksi pääsyoikeuksia tai jatkuvuussuunnitelmia pitäisi arvioida tarkemmin. Tai että onko jo olemassa oleva, moderniksi luultu IT-ympäristö laisinkaan modernilla tasolla.
Tästä asiakasyrityksemme voi sitten lähteä joko itsenäisesti tai kanssamme lähteä toteuttaamaan oikean modernisaation suunnitelmaa IT-ympäristössään.