Mobiililaitteiden turvallisuuskäytännöt ja niiden valvonta

Organisaatio on määritellyt toimintatavat, joiden mukaisesti toimien tarpeettomaksi jääneet kannettavat tietokoneet hävitetään turvallisesti.

Mobiililaitteiden varkautta tai katoamista varten on laadittu menettelytavat.

Käyttäjää voidaan velvoittaa:

• vaihtamaan verkon käyttötunnukset
• ilmoittamaan IT-osastolle tilanteesta (ja tarvittaessa poliisille tai mobiililiittymän tarjoajalle)
• vaihtamaan muita tarvittavia käyttötunnuksia, jotka ovat voineet vaarantua

Organisaation prosessiin laitteen kadotessa voi sisältyä mm. laitteen tyhjentäminen (vähintään organisaation sisällön) etänä.

Mobiililaitteiden käyttöä varten on luotu omat ohjeistukset henkilöstölle. Ohjeissa käsitellään:

• rajoituksia ohjelmistojen asentamiselle sekä eri palvelujen käyttämiselle organisaation laitteilla
• toimintatapoja uusien laitteiden rekisteröintiin
• vaatimuksia laitteiden fyysisestä suojaamisesta ja päivitysten asentamisesta
• pääsynhallintaa koskevia vaatimukset
• organisaation tietojen suojausta salauksen, haittaohjelmasuojauksen sekä varmuuskopioinnin avulla
• organisaation mahdollisuuksia etähallita laitetta

The organization should have measures to ensure that teleworking and use of private endpoint devices are secured enough to not cause an impact to the organizations critical activities.

Kaupallisesti lisensoidun ohjelmiston asentaminen voi aiheuttaa ohjelmiston käyttöoikeusehtojen rikkomisen. Organisaatiolla tulee olla menettely lisensointivaatimusten tunnistamiseksi ennen kuin se sallii lisensoidun ohjelmiston asentamisen.

Erityistä huomiota tulee kiinnittää tapauksiin, joissa tietojärjestelmä on joustava ja skaalautuva ja sitä voidaan käyttää useammilla järjestelmillä tai prosessoriytimillä kuin lisenssiehdot sallivat.

Organisaatiolla on oltava lista hyväksytyistä sovelluksista sekä sovellusten lähteistä, joita saa käyttää organisaation päätelaitteella.

Organisaation tulisi mahdollisuuksien mukaan toteuttaa sallittujen sovellusten valvonta automatisoidusti esimerkiksi mobiililaitteiden hallintajärjestelmässä määriteltyjen käytäntöjen kautta.

Huonosti konfiguroidut päätelaitteet aiheuttavat sekä resurssihukkaa mutta myös mahdollisia tietoturvaongelmia.

Organisaation on määriteltävä prosessi, jonka kautta pyritään havaitsemaan mahdolliset yhteensopivuusongelmat käytettyjen päätelaitteiden sekä käyttöjärjestelmien, tietojärjestelmien tai sovellusten välillä.

Organisaation kaikkien päätelaitteiden suojana tulisi olla oikein konfiguroitu ohjelmistopalomuuri, joka tarkkailee liikennettä, hyväksyy säännöt täyttävän liikenteen sekä toteuttaa käyttäjien valvontaa.

Palomuuri suojaa haittaohjelmilta ja hyökkäyksiltä, jotka tulevat organisaation verkon sisä- tai ulkopuolelta.

Organisaation on mahdollistettava etäpaikantaminen kaikissa organisaation hallitsemissa mobiilipäätelaitteissa (esim. puhelimet, kannettavat, tabletit).

Etäpaikantamisen avulla laitetta ja sen sisältämää tietoa voidaan suojata laitteen katoamis- tai varkaustapauksissa.

Organisaation on mahdollistettava etäpyyhkiminen kaikissa sen hallitsemissa mobiilipäätelaitteissa (esim. puhelimet, kannettavat, tabletit).

Etäpyyhkimisen avulla laitetta ja sen sisältämää tietoa voidaan suojata laitteen katoamis- tai varkaustapauksissa. Etäpyyhkimistä on kuitenkin käytettävä erittäin harkiten.

Organisaatiolla on oltava määritellyt toimintatavat kolmansien osapuolten päätelaitteiden turvallisuuden valvomiseksi. Toimintavat voivat sisältää sekä teknistä että sopimuksellisia käytäntöjä.

Organisaation on yleisesti harkittava tilannetta huolellisesti, ennen kuin kolmansille osapuolille sekä heidän päätelaitteilleen annetaan pääsyä organisaation dataan.

Päätelaitteiden tietoturvanhallintajärjestelmän avulla voidaan vaatia päätelaitteilta haluttuja kriteerejä, ennen kuin niille sallitaan yhteys verkon resursseihin. Päätelaitteet voivat olla kannettavia tietokoneita, älypuhelimia, tabletteja tai alakohtaista erikoislaitteistoa.

Kriteerejä verkkoresurssien käytölle voivat olla mm. hyväksytty käyttöjärjestelmä, VPN- ja antivirus-järjestelmät sekä näiden päivitysten ajantasaisuus.

Laitteet olisi suojattava siten, ettei niihin tallennettua tai niissä käsiteltävää tietoa kyetä käyttämään tai paljastamaan luvattomasti. Laitteiden pakollinen suojaaminen esim. 5-numeroisella PIN-koodilla ennen jokaista käyttökertaa sekä laitteiden automaattinen lukittuminen esim. 5 minuutin käyttämättömyyden jälkeen voivat auttaa.

Mobiililaitteiden hallintajärjestelmä (Mobile Device Management, MDM) auttaa turvaamaan ja hallinnoimaan henkilöstön mobiililaitteita, olivatpa ne iPhoneja, iPadeja, Android-laitteita tai Windows-laitteita. Microsoft 365 -tilaus sisältää mobiililaitteiden hallinnan perusteet.

Mobiilaitteiden hallintajärjestelmällä voidaan määrittää laitteiden turvallisuuskäytäntöjä, pyyhkiä laita etänä ja saada tarkkaa raportointia laitteiden käytöstä.

Mobiilaitteiden hallintajärjestelmässä määriteltävien turvallisuuskäytäntöjen avulla pyritään suojaamaan organisaation dataa. Pienentääksesi riskejä laitteiden häviämisen hetkellä, voit esimerkiksi määrittää, että laite lukitaan 5 minuutin passiivisuuden jälkeen tai että laite pyyhitään täysin 3 epäonnistuneen kirjautumisyrityksen jälkeen.

Uusia käytäntöjä voi olla järkevää ensin testata pienellä käyttäjäryhmällä. Käytännöt vaativat myös valvontaa. Käytännöille voi aluksi valita asetuksen, jossa pääkäyttäjää tiedotetaan käytännön vastaisista asetuksista, mutta käyttöä ei täysin estetä.

Laitteet on kirjattava mobiilailaitteiden hallintajärjestelmään, jotta laitteelle saadaan oma tunniste ja hallintaominaisuuksia voidaan käyttää. Uusien laitteiden hankinnan yhteydessä laitteet kirjataan aina mobiilaitteiden hallintajärjestelmään.