Syksyllä on hyvä siivota ympäristöä.

Ympäristön siivous yleisesti

Siivousprosessi kattaa kaiken tarpeettoman poistamisen, mikä samalla parantaa tietoturvaa. Ajan myötä syntyy uusia ympäristöjä, tunnuksia, laitetilejä ja muita vastaavia elementtejä, ja usein vanhojen resurssien siivous unohtuu. Kun siivous toteutetaan oikein, se tuo lisäarvoa ympäristön tietoturvan, hallinnan ja kustannusten näkökulmasta. Siivouksen laajuudessa tulisi huomioida kaikki ympäristön osat.

Nykytilan arviointi

Herätteleviä kysymyksiä:

• Kuinka usein tarkastuksia suoritetaan?
• Onko organisaation prosessit ja vuosikello päivitetty vastaamaan nykyisiä tarpeita ja vaatimuksia?
• Kuka on vastuussa siivoustoimenpiteiden suorittamisesta?
• Suoritetaanko siivous kaikissa ympäristöissä?
• Miten tilanteet raportoidaan?
• Miten tunnukset jotka eivät ole automaation piirissä?
• Ovatko kaikki identiteetit elinkaaren hallinnan piirissä?
• Siivoaako toimittajat omansa?
• Kuka on vastuussa?

Siivouksen kohteet

Tähän tulee listata kaikki mitä yrityksellä on käytössä. Yksinkertaistettuna puhutaan on-premises ja pilviympäristöstä sekä tähän liittyy usein myös rajapinnat IT/OT:n välillä.

Microsoft ekosysteemissä ne voidaan karkeasti listata seuraavasti:

• On-premises
• Azure alustan käytettävät palvelut
• Infrastruktuurin luonti koodina
• Käytännöt
• Entra ID
• DevOps
• Mobiililaitteet
• Työasemat
• Palvelimet
• Defender XDR
• Sentinel
• Ylläpito- ja käyttäjätunnukset
• Etäkäyttö – ja hallintaratkaisut
• Palomuurit
• Lisäksi kaikki muut eri verkoissa olevat laitteet

Vuosikello

Hyvin laadittu suunnitelma auttaa organisaatioita tässäkin asiassa. Toimenpiteet tulee aikatauluttaa ja niiden tulee olla toistuvia, jotta ne tuottavat todellista lisäarvoa. Vuosikelloon on suositeltavaa sisällyttää ylläpidollisia toimenpiteitä sekä siivous- ja vähennystoimenpiteitä, jotka tulisi suorittaa noin neljä kertaa vuodessa.

Vastuut

Omistajuus ja vastuu kaikesta on aina organisaatiolla itsellään. Sopimuksissa kuitenkin määritellään, että toimittaja A vastaa asiasta A. On tärkeää olla tarkkana sovituista käytännöistä ja niiden suorittamisesta, esimerkiksi käyttämättömien identiteettien siivouksen osalta tai lähtevän henkilön tilanteessa. On erittäin haitallista löytää tunnuksia, joilla on edelleen oikeuksia, vaikka henkilö olisi jo poistunut yrityksestä. Tämä tulee sopia kirjallisesti organisaation sisällä, erityisesti tämä korostuu, jos tapahtuu jotain ei-toivottua, sillä ympäristön omistava yritys kärsii haittavaikutukset. Tietoturvankäytäntöjen tulee olla ajan tasalla ja perusteellisesti ymmärretty, jotta toimittajat voivat liiketoiminnan vastuuttamana suorittaa oikeat toimenpiteet. Tämä varmistaa, että kaikki osapuolet toimivat yhtenäisesti ja tehokkaasti organisaation tietoturvan ylläpitämiseksi

Kokemuksia kentältä

Asiakasympäristössä oli useita eri toimittajia sekä lukuisia identiteettejä käytössä eri ympäristöissä. Oikeuksien määrittelystä ei ollut kattavaa kuvausta, eikä automaatiota hyödynnetty kaikissa prosesseissa. Historian saatossa luvituksia oli tehty liian joustavasti, ohittaen prosessit ilman valvontaa tai työpyyntöjä. Myöskään vuosikelloa tai jatkuvaa koordinoitua siivousta ei ollut sovittu tai ymmärretty vaatia toimittajilta.

Aluksi suoritin asiaympäristön katselmuksen hyvien hallintamallien ja käytäntöjen osalta, jonka pohjalta laadittiin raportti korjausta vaativista asioista. Korjaustoimenpiteiden lisäksi luotiin selkeä hallintamalli, joka kattoi toimenpiteet, hyvät käytännöt sekä jatkuvasti kehitettävän mallin. Tämä sisälsi sekä talon sisäiset että toimittajien vastuut ja erilaiset mittarit seurantaa varten. Kaiken keskiössä on siivoamisen ja valvonnan automatisointi, jota tukee tarkka ja automatisoitu raportointi.

Suositukset:

• Suorittakaa perusteellinen kartoitus
• Dokumentoikaa päätökset ja toimenpiteet
• Laatikaa vuosikello, jonka perusteella tehtävät ovat toistuvia
• Tarkastakaa siivoustarve myös ympäristön vanhimmasta päästä
• Poistakaa kaikki tarpeeton mahdollisimman nopeasti
• Hyödyntäkää automaatiota mahdollisimman paljon
• Käyttäkää työvälineiden tuottamia valmiita raportteja
  • Microsoft ympäristössä esimerkkeinä
    • Entra ID
    • Microsoft Defender XDR
    • Azure
• Ota ajoissa mukaan tekijä joka valvoo etujasi!