Turvallinen missä tahansa:
tietojen suojaaminen
hybridityöympäristöissä

Kyberturvallisuudesta on tullut viime vuosikymmenen aikana yksi menestyneen liiketoiminnan avaintekijöistä, kun yritykset puolustautuvat lisääntyvää kyberrikollisuutta vastaan. Ammattihakkerit yrittävät jatkuvasti hyödyntää uusia haavoittuvuuksia, ja viimeaikainen harppaus kohti etä- ja hybridityöskentelyä osoittautui otolliseksi tilaisuudeksi.

Kehitys kohti joustavaa hybridityöskentelyä on kiihtynyt jo jonkin aikaa. Tästä huolimatta pandemian aiheuttama suhteellisen yllättävä kotona työskentelevien määrän kasvu tarkoitti sitä, että organisaatioiden oli pakko sopeutua ilman tavanomaisten suojauskäytäntöjen tukea. Tutkimuksen mukaan 90 % yritysjohtajista raportoi kyberhyökkäysten lisääntyneen yrityksessä pandemian alun jälkeen. Tutkimukseen osallistuneiden mukaan suurimmat haasteet liittyivät etätyöskentelyyn sekä uusien laitteiden ja sijaintien käytön hallintaan.

Nyt kun poikkeustoimenpiteiden aika on ohi, monet EMEA-alueen organisaatiot ovat päättäneet säilyttää hybridityömallin tai kehittää sitä edelleen. Tämä tuo mukanaan uusia haasteita, sillä turvallinen ja tehokas työskentely on turvattava useissa erilaisissa sijainneissa, kuten yrityksen toimistossa, jaetussa työtilassa, kotona tai tien päällä (kuten matkalla kokoukseen). Jopa täysin omalla toimistollaan toimivat organisaatiot ovat osana ketjua, jossa muut yritykset ovat tehneet mahdollisesti tietoturvaan vaikuttavia muutoksia.

Hybridityöskentelyyn sopeutuminen edellyttää, että IT-tiimit päivittävät tietoturvakäytännöt vahvoiksi mutta joustaviksi. Ensiksi arvioidaan organisaation liiketoimintaprosesseja ja niiden mahdollisia haavoittuvuuksia. Jos työntekijät esimerkiksi jakavat tietoja muissa toimipaikoissa työskentelevien tiimin jäsenten kanssa, onko tähän tarkoitukseen olemassa yrityksen hyväksymiä työkaluja? Ja mikä tärkeintä, käyttävätkö ihmiset niitä oikeasti?

Ennen pandemiaa tehdyn tutkimuksen mukaan lähes kaksi kolmasosaa työntekijöistä kertoi jakaneensa tietoja työkavereilleen ja 60 % kertoi jakaneensa tietoja organisaation ulkopuolisille henkilöille käyttämällä tiedostonjakotyökaluja, jotka eivät olleet yrityksen tarjoamia. Tärkein syy sääntöjen noudattamatta jättämiseen oli monimutkaisuus; henkilöstö valitsi helpoimman vaihtoehdon.

Toimistoverkon ulkopuolella käytettävät laitteet ja alustat voivat olla alttiimpia kyberhyökkäyksille alun perinkin, ennen kuin otamme huomioon ihmisten luonnollisen taipumuksen mennä sieltä mistä aita on matalin. Tämän vuoksi on tärkeää ottaa käyttöön suojatut ja keskitetyt asiakirjojen tietovarastot, joita kaikkien työntekijöiden on helppo ja nopea käyttää. Vaikka tietovarasto olisi käytössä, on pidettävä mielessä tahattoman tietovuodon mahdollisuus. Miten tärkeät asiakirjat suojataan? Tee tarvittavat toimenpiteet nyt, jotta välityt pahimmalta mahdolliselta lopputulokselta.

Verkkohyökkäysten ja tietojenkalasteluyritysten yleistymisen vuoksi (kehityskulku, jota INTERPOL on kutsunut "hälyttäväksi") on tärkeää tarjota koulutusta tietoturvan perusteista, mukaan lukien laitteiden valtuutuksista. Tällä tavoin tietojenkalasteluhyökkäyksiltä voidaan suojautua. Vuonna 2021 tehdyssä kyselyssä lähes 20 prosenttia vastaajista myönsi antaneensa työlaitteen perheenjäsenen käyttöön.

On hyvä laatia myös Wi-Fi-käytäntö etätyötä tekeville. Jotkin organisaatiot voivat velvoittaa käyttäjät yhdistämään työaseman tai kannettavan tietokoneen reitittimeen verkkokaapelilla tai määrittämään VPN-yhteyden julkisiin verkkoihin.

Kun uusia suojaustoimia otetaan käyttöön, on tärkeää paitsi omaksua turvalliset toimintatavat myös varmistaa, että raskaat suojauskäytännöt eivät houkuttele käyttäjiä hyödyntämään luvattomia ratkaisuja tai alustoja ongelmatilanteissa. Tuottavuuden, tehokkuuden ja yhteistyön maksimointi ovat menestyvän hybridityöskentelyn avaintekijöitä. Jos rajoitteita asettaa liikaa, työntekijät voivat rikkoa yrityksen käytäntöjä yrittäessään saavuttaa näitä tavoitteita.

Toisaalta voi tuntua houkuttelevalta antaa toimiston ulkopuolella työskentelevän henkilökunnan käyttää henkilökohtaisia laitteitaan. Kuluttajatason laitteet voivat olla edullisempia ja nopeampia ottaa käyttöön, sillä ne ovat työntekijöille jo entuudestaan tuttuja. Ne eivät kuitenkaan tarjoa yhtä perusteellista suojaa kuin yrityskäyttöön suunnitellut laitteet.

Hybridityökäytännöistä vastaavien olisi siksi asetettava rajoituksia ja suosituksia varjo-IT:n käytön rajoittamiseksi. Keskustele henkilökunnan kanssa hyväksytyistä laitteista, sovelluksista ja ohjelmistoista, ja pysy ajan tasalla ongelmista. Vahva tietoturvainfrastruktuuri on välttämätön, mutta sitä rakentaessa on myös tärkeää huomioida ihmisille ominaiset toimintatavat ja työtapojen jatkuva kehittyminen.

Yrityksen tietojen suojaaminen ei tietenkään rajoitu pelkästään laitteistoon. Hybridityöympäristöön siirtyvät yritykset ovat todennäköisesti jo sisällyttämässä lisää digitaalisia ratkaisuja työnkulkuihinsa turvatakseen toimintansa kaikissa sijainneissa. Yrityksille suunnatut työnkulkuohjelmistot tarjoavat yleensä myös sisäänrakennettuja tietoturvatoimintoja, kuten siirrettäviä asiakirjoja suojaavia mukautettavia automaattisia sääntöjä tietojen käytöstä ja jakamisesta. Lisäksi näiden työnkulkua ohjaavien työkalujen avulla on helpompi valvoa sääntöjä ja osoittaa, että niitä noudatetaan. Työkalujen avulla IT-tiimit voivat helposti hallita käyttöoikeuksia, seurata tietojen liikkumista ja tunnistaa tietoturvariskejä.

On tärkeää soveltaa samaa perusteellisuutta pilvipalveluihin. Kyberhyökkäysten määrä kasvaa yhä useampien yritysten siirtyessä käyttämään pilvipalveluita, joten on tärkeää investoida parannettuun tietoturvaan. Pilvipalvelun (kolmannen osapuolen alustan) käyttäminen ei kuitenkaan poista käyttäjän vastuuta tietojensa suojaamisesta.

Hybridityöskentely asettaa IT-ammattilaisille enemmän haasteita ihmisten ja tietojen liikkuessa sijaintien välillä. Tarkistuslistan avulla asiat voidaan kuitenkin asettaa oikeisiin mittasuhteisiin:

• Varmista, että vain valtuutetut henkilöt voivat käyttää laitteita ja sähköposti- ja pilvitallennustilejä.
• Valvo tapahtumia ja käyttöä hälytysten avulla.
• Varmista, että vanhat tiedostot poistetaan ja käyttämättömät sovellukset poistetaan käytöstä.
• Tee säännöllisiä tarkastuksia, jotta hakkereille ei jää mahdollisia sisäänpääsykohtia.
• Kerro työntekijöille, miten tärkeää on suojata tulostetut asiakirjat ja kannettavat tietolaitteet toimiston ulkopuolella.

Hybridityöskentelyn aikakaudella IT-tiimit voivat auttaa organisaatioitaan menestymään pysymällä ajan tasalla mahdollisista tietoturvariskeistä.