The organisation's wireless access points shall be secured.
Guidance
Consider the following when wireless networking is used:
- Change the administrative password upon installation of a wireless access points.
- Set the wireless access point so that it does not broadcast its Service Set Identifier (SSID).
- Set your router to use at least WiFi Protected Access (WPA-2 or WPA-3 where possible), with the Advanced Encryption Standard (AES) for encryption.
- Ensure that wireless internet access to customers is separated from your business network.
- Connecting to unknown or unsecured / guest wireless access points, should be avoided, and if unavoidable done through an encrypted virtual private network (VPN) capability.
- Manage all endpoint devices (fixed and mobile) according to the organization's security policies.
Usage restrictions, connection requirements, implementation guidance, and authorizations
for remote access to the organization’s critical systems environment shall be identified, documented, and implemented.
Guidance
Consider the following:
- Remote access methods include, for example, wireless, broadband, Virtual Private Network (VPN) connections, mobile device connections, and communications through external networks.
- Login credentials should be in line with company's user authentication policies.
- Remote access for support activities or maintenance of organizational assets should be approved, logged, and performed in a manner that prevents unauthorized access.
- The user should be made aware of any remote connection to its device by a visual indication.
Remote access to the organization’s critical systems shall be monitored and cryptographic mechanisms shall be implemented where determined necessary.
Guidance
This should include that only authorized use of privileged functions from remote access is allowed.
The organization's networks when accessed remotely shall be secured, including through multi-factor authentication (MFA).
Guidance
Enforce MFA (e.g. 2FA) on Internet-facing systems, such as email, remote desktop, and Virtual Private Network (VPNs).
The security of connections with external systems shall be verified and framed by documented agreements.
Guidance
Access from pre-defined IP addresses could be considered.
Organisaation tietoja voi käsitellä ainoastaan ennalta määritellyssä, luotetussa verkossa, tai hyödyntäen organisaation määrittämään VPN-palvelua.
Esimerkiksi kahvilan Wi-Fi -verkko on usein joko täysin salaamaton tai salasana on kaikille helposti saatavilla. Tällöin verkossa lähetetyt tiedot ovat alttiita vakoilulle. VPN-yhteys salaa tiedot verkon asetuksista riippumatta.
Etätyötä tekevälle henkilöstölle on luotu omat toimintaohjeet, joiden noudattamista seurataan. Lisäksi henkilöstölle järjestetään säännöllisesti koulutusta, jossa selvitetään mobiililaitteiden käytöstä ja etätyöstä aiheutuvia uhkia tietoturvallisuudelle ja kerrataan toimintaohjeita.
Tärkeää tietoa sisältäviin järjestelmiin olisi kirjauduttava useita tunnistamiskeinoja käyttävällä kirjautumisella, jota kutsutaan englanniksi joko "two-factor", “multi-factor” tai “dual factor” tunnistautumiseksi.
Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).
Kaksivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.
Langattoman verkon käyttö on suojattu riittävillä avaimilla ja yhteysliikenne verkon reitittimeen on salattu. Vieraskäyttöön tarkoitettu langaton verkko on eristetty yrityksen omasta sisäisestä verkosta.
Verkon käytöstä syntyy asianmukaista lokia, jotta mahdollistetaan tietoturvallisuuden kannalta olennaisten toimenpiteiden havaitseminen.
Verkkoliikenteen normaali tila (liikennemäärät, protokollat ja yhteydet) on tiedossa. Poikkeamien havaitsemiseksi on olemassa menettely, jolla verkkoliikenteen normaaliin tilaan nähden eroavat tapahtumat (esimerkiksi poikkeavat yhteydet tai niiden yritykset) pyritään havaitsemaan.
Organisaation on huolehdittava, että etäyhteyksien valvonta ja hallinta on automatisoitu, etäyhteydet on suojattu salauksella niiden eheyden ja luotettavuuden varmistamiseksi ja etäyhteydet kulkevat vain hyväksyttyjen ja hallittujen NAC (Network access control) kautta.
Organisaation on myös mahdollistettava etäyhteyksien sulkeminen määritellyssä ajassa.
Varmista ulkoisten järjestelmien yhteyksien turvallisuus tarkistamalla ja dokumentoimalla ne virallisilla sopimuksilla. Tarkista nykyiset yhteydet ja niiden turvatoimenpiteet dokumentoitujen sopimusten puitteissa, kuten esimerkiksi:
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
