Teemu TiainenBlogin kirjoittaja on Centeron asiakassuhteista vastaava Teemu Tiainen.

Tietoturvaa parantamalla voi säästää rahaa

Väitän tässä aluksi, että yksittäistä tietoturvan osa-aluetta parantamalla 50 hengen organisaatio voi helposti säästää 700 € kuukaudessa. Kannattaa lukea, miten tämä on mahdollista.

Väitän lisäksi, että tietoturvassa petraamalla, IT-ympäristö voi samalla yksinkertaistua, IT-ylläpidossa voidaan säästää, työntekemisen välineet saattavat muuttua modernimpaan ja monipuolisempaan suuntaan, ja näin työntekijöiden tuottavuus kasvaa.

Voisiko ollakin niin, että tietoturva ei olekaan se pakollinen rahareikä, jonka suhteen on vaikea tehdä päätöksiä, koska 100 % turvallista ympäristöä ei saada kuitenkaan aikaiseksi? Voisiko ollakin niin, että tietoturvaa petraamalla voikin saavuttaa paljon hyötyjä – jopa säästää rahaa – paljon enemmän kuin 700 € kuukaudessa?

Tietoturva on monipiippuinen asia

Ihmisten osaaminen, langattomat signaalit, paperiroskiksissa lojuvat tulosteet, puhelinten muistikortit, fyysisten tilojen valvonta ja lista voisi jatku lähes loputtomiin. Tietoturvasta on vaikea puhua yksioikoisesti. Jos kuitenkin tietoturvaa tai -turvallisuutta yritetään avata lyhyesti, sillä yleensä tarkoitetaan sitä, että haluttu tieto on oikeiden käyttäjien saatavilla silloin, kun sitä tarvitaan, ja siinä muodossa, kun sen oletetaankin olevan. Tämän asian merkitys korostuu koko ajan enemmän ja enemmän, kun informaation merkitys organisaatioiden toiminnassa kasvaa.

Tietoturvasta puhuttaessa kuulee myös monesti kuluneen fraasin, jonka mukaan se on yhtä vahva kuin sen heikoin lenkki. Tämä pitää varmasti osittain paikkansa, mutta näkisin kuitenkin, että jos tietoturvaan vaikuttavia komponentteja lähdetään listaamaan, kuten tuossa yllä, ei listatut asiat varmasti aivan samanarvoisia ole.

Mitä toimenpiteitä kannattaa tehdä?

Kun tietoturva-asioita haluaa lähteä pistämään parempaan kuntoon, on selvää, että jokaista lenkkiä on mahdotonta pistää 100 % kuntoon. 100 % tietoturvallista ympäristöä ei varmasti ole olemassa käytännön maailmassa. Tietoturva nähdään usein kompromissien tekemisenä tietoturvan ja omien resurssien käytön välillä. Onkin järkevää valita itselleen sopivia toimenpiteitä esimerkiksi pohtimalla seuraavia asioita:

  1. Mihin asioihin joudumme käyttämään paljon omaa työaikaa?
  2. Mihin asiaan panostamalla saavutamme suurimman hyödyn? Hyöty tässä tarkoittaa saavutetun tilan ja nykytilan välistä erotusta eli parannusta tietoturvaan + muita välillisiä hyötyjä.
  3. Miten paljon kyseinen toimenpide vaatii resursseja eli aikaa ja/tai rahaa?

Varsinkin pk-sektorilla tilanne on usein se, että tietotaitoa varsinkaan teknisen tietoturvan osalta ei ole riittävästi. Vaikka tietoturvan kehitystä palasteltaisiinkin yllä olevan listan mukaisesti, voi ainakin kohtaan 2. olla haasteellista vastata.

Työkaluja toimenpiteiden valintaan

Yhtenä työkalun voi käyttää esimerkiksi Viestintäviraston Kyberturvallisuuskeskuksen vuosittaista tietoturvakatsausta. Tekemämme yhteenveto kyseisestä raportista löytyy täältä.

Lisäksi tarjoamme asiakkaillemme teknisen tietoturvan kehittämisen työkaluksi tietoturvan tilannekartoitusta, josta voit lukea lisää täältä.

Eräs kevyt tapa auditoida omaa toimintaansa kyberturvallisuuden näkökulmasta on FINCSC-kyberturvallisuussertifikaatti ja siihen liittyvät itsearviointi sekä arviointilaitoksen katselmointi. Tästäkin voit kysyä lisää meiltä tai lukea FINCSC:n sivuilta.

Miten voi säästää rahaa satsaamalla tietoturvaan?

Väite siitä, että tietoturvaa parantamalla voisi säästää rahaa, saattaa tuntua absurdilta. Tämä on kuitenkin tietyissä tapauksissa varsin mahdollinen lopputulos.

Isommassa mittakaavassa ajateltuna esimerkiksi itse ylläpidettyjen palvelinalustojen ja ohjelmistojen korvaaminen palvelumallilla hankittuna vie ympäristöä usein huomattavasti yksinkertaisempaan suuntaan. Kun IT-ympäristössä olevia erillisiä komponentteja on aiempaa huomattavasti vähemmän, myös tietoturvaa heikentäviä kohteita on vähemmän. Näin tietoturvan taso kohentuu tai sitä on vähintäänkin helpompi parantaa. Samalla myös IT-ylläpidon kustannukset vähenevät merkittävästi.

Kokeile ihmeessä säästölaskuriamme, joka kertoo, kuinka paljon voisit säästää euroissa, mikäli korvaisit itse ylläpitämänne palvelun Centeron Seremoniamestari-palvelulla, joka pohjautuu Microsoftin turvallisiin pilvipohjaisiin työkaluihin. Laskuriin pääset tästä.

Paljon softapäivityksiin palaa aikaa?

Sen lisäksi, että IT-ylläpito helpottuu, ja säästätte kustannuksissa, modernit ja monipuoliset ryhmätyöskentely- ja viestintätyökalut saattavat parantaa työn tuottavuutta huomattavasti. Me kerromme ja demoamme mielellämme työkalujen ominaisuuksia ja hyötyjä teille tarkemmin.

Kyberturvallisuuskeskuksen tuoreen vuosiraportin mukaan organisaatioiden tärkein tietoturvauhka on päivitysten laiminlyönti. Tämä on helppo ymmärtää, koska ohjelmistojen ja järjestelmien päivittäminen saattaa olla erittäin työlästä. Ajatellaanpa vaikka kyberrikollisesti suosikkien eli laajalti käytettyjen ja useasti päivittyvien pikkusovellusten päivittämistä. Organisaatiosta riippuen, käytettyihin ohjelmistoihin ilmestyy päivityksiä päivittäin. Tästä asiasta vastaavalla IT-organisaatiolle tämä aiheuttaa paljon vaivaa:

  1. Päivittäin pitää rutiininomaisesti käydä läpi organisaation käyttämien sovellusten toimittajien sivustot tai vastaavat lähteet, josta selviää, onko sovelluksiin tullut uusia päivityksiä. Aikaa tähän kuluu tapauksesta riippuen noin 15 minuuttia.
  2. Niiden sovellusten osalta, joihin on tullut päivityksiä, pitää päivityspaketit tietysti ladata. Siihenkin menee oma aikansa. Lasketaan keskimäärin 5 minuuttia.
  3. Uudet versiot on myös syytä testata, koska ei ole ennen kuulumatonta, että päivitykset eivät toimisikaan halutusti. Testaamiseen on syytä varata 10 minuuttia.

Kun uudet sovellusversiot on ladattu ja testattu, riippuu jatkovaiheet tyypillisesti siitä, onko käytössä jotakin sovellusten jakelujärjestelmää, jonka avulla uudet versiot saadaan päivitettyä tietokoneille keskitetysti, vai pitääkö päivitykset asentaa työasemille manuaalisesti tietokone kerrallaan.

Ympäristöissä, joissa jokin sovellusten jakelujärjestelmä on, päivittäinen homma jatkuu seuraavasti:

  1. Sovelluksen asennuspakettia muokataan vastaamaan yritysympäristön tarpeita. Asennuspaketista esimerkiksi poistetaan ylimääräiset selainlaajennukset, kuten Google Toolbar ynnä muut vastaavat. Turha käyttäjiä ihmetyttävät ilmoitukset, kuvakkeet ja muut poistetaan. Tämä sovellusten uudelleenpaketointiin tai pakettien muokkaamiseen kuluva aika voi vaihdella paljonkin riippuen tarpeesta ja sovelluksesta, mutta keskiarvona voitaneen käyttää tuntia eli 60 minuuttia.
  2. Kun sovelluksen asennuspaketti on muokattu ammattilaiskäyttöön soveltuvaksi, se pitää ladata sovellusten jakelujärjestelmään. Tähän operaatioon menee arviolta 10 minuuttia.
  3. Sen jälkeen pitää määritellä jakeluprosessi eli yrityksen mahdolliset jakeluvaiheet eli esimerkiksi pilotti- ja testiryhmät, joille sovellus asennetaan ennen kuin se asennetaan kaikille työasemille. Tyypillisesti testiryhmiä on vähintään yksi tai kaksi. Testiryhmiä käytetään siksi, että havaitaan päivityksen mahdolliset yhteensopivuusongelmat yrityksen muiden järjestelmien kanssa, ennen kuin sovellus asennetaan kaikille koneille. Prosessin määrittelyyn on syytä varata aikaa 30 minuuttia.
  4. Kun jakeluprosessi on määritelty ja käynnistetty, on vielä hyvä seurata, että jakelut etenevät ja tietokoneille asentuu oikeasta uusi päivittynyt versio sovelluksesta. Tähän voinee varata 10 minuuttia.

Ympäristöissä, joissa ei ole sovellusten jakelujärjestelmää, täytyy sovelluspäivitykset tehdä erikseen jokaiselle tietokoneelle. Tällöin pitää huomioida IT-ylläpitäjän liikkumiseen kuluva aika, itse päivitystapahtuma sekä myös käyttäjältä kuluva aika, koska työnteko keskeytyy päivityksen ajaksi. Voitaisiin kuvitella, että keskimäärin päivitykseen menee aikaa noin 20 minuuttia per kone, kun huomioidaan myös työntekijältä turhaan kulunut työaika.

Voit laskea päivityslaskuriltamme, paljon teidän organisaatiossanne menee työaikaa hukkaan näiden useasti päivittyvien pikkusovellusten päivittämiseen. Laskuri löytyy täältä.

Lopeta kompromissit – älä vaaranna tietoturvaa!

Yhtä kaikki, keskikokoisessa tietotyötä tekevässä organisaatiossa sovelluspäivityksiä ilmestyy päivittäin. Yllä olevaan laskelmaan pohjautuen aikaa tähän tuhrautuu päivittäin jopa reilut pari tuntia ja aika kasvaa lähes saman verran aina, kun sovelluksia on päivittynyt useampia. Kuukaudessa tämä tarkoittaa n. 40 tuntia . 50 hengen organisaatiossa, missä ei ole sovellusten jakelujärjestelmää, yhden päivityksen asentamiseen kaikille konelle voi tuhraantua aikaa reilusti yli 16 tuntia.

Jos lasketaan 50 € omakustannetuntihinnalla homma hoitaminen esimerkkiyrityksessä voi kuukaudessa maksaa 400 eurosta 800 euroon.

Kuten tekstin alkupuolella kerrottiin, tietoturvan ylläpitämisessä tehdään usein kompromisseja. Meidän kokemuksemme ja Kyberturvallisuuskeskuksen mukaan ohjelmistojen päivittäminen on yksi isoimmista asioista, jonka suhteen tehdään liikaa kompromisseja, eli päivityksiä laiminlyödään. Tämän takia monessakaan organisaatiossa ei oikeasti käytetä paria tuntia päivässä asian hoitamiseen, mutta eipä silloin ole tietoturvakaan parhaalla mahdollisella tasolla.

On toki olemassa myös työkaluja, joilla tätä asiaa voidaan kustannustehokkaasti petrata. Yksi tapa siihen on Centero Software Manager -palvelu, jonka muun muassa automatisoi näiden ohjelmistopäivitysten tekemisen täydellisesti. Lue lisää Software Managerista täältä tai tsekkaa esittelyvideo alta. Centero Software Managerin hinta 50 hengen yritykselle riippuu käytössä olevien sovellusten määrästä, mutta puhutaan 60 € – 100 € kuukausikustannuksesta, joten säästö on huomattava, jos kustannusta vertaa manuaalisesti toteutettuun päivitystapaan.

Jos haluat käydä kimpassa läpi muita tapoja säästää rahaa parantamalla tietoturvaa, älä epäröi ottaa meihin yhteyttä. Jos voit yhtä erityistä tietoturvan aluetta paranamalla säästää 700 € kuukaudessa, useita asioita toteuttamalla säästöjen summa voi nousta jo todella merkittäväksi.

Lisää luettavaa aiheesta:

Yleisön pyynnöstä – toivottu task sequence -liitos on täällä!

Task sequence -liitos on yksi toivotuimmista ominaisuuksista, ja nyt se on saatettu preview-vaiheeseen. Kun keväällä tuli uusi SCCM-versio, niin aloimme rajapinnan avauduttua kehittämään tätä asiakkaittemme toivomaa ominaisuutta. Task sequence -liitos mahdollistaa sovelluspäivitysten viennin task sequenceen automaattisesti ilman manuaalista työtä.

Patch Management -ratkaisut vertailussa – Osa 3/12 – Itarian

Tämä blogisarja pohjautuu Centeron vuonna 2019 tekemään patch management -työkalujen vertailuun. Blogisarjan kolmannessa osassa käymme läpi Itarian-ratkaisun ominaisuuksia ja toimintaa.