”Vain päivittämällä olet turvassa!”, pohtii meidän ’consigliere’ Lauri Haveri ja viittaa sillä IT-ympäristön Microsoft Intune päätelaitehallintaan ja sillä toteutettavaan keskitettyyn sovellusten hallintaan. Kiristyvien tietoturvan vaatimusten myötä näkyvyydestä tietoturvan ja eri sovellusten tilaan on tullut entistä tärkeämpi seurattava asia tietohallintojen ihmisille.
Laitehallinta tietohallinnon tukena
Suurin osa nykyisten organisaatioiden ympäristöistä ovat Microsoftiin työasemiin pohjautuvia, näin ollen pilveen siirtyneitä laitteita hallitaan (ainakin osittain) Intune-laitehallinnalla. Se on kätevä ja lukuisia päivityksiä (sekä nimenvaihdoksia) kokenut pilvipohjainen hallintatyökalu. Microsoftin tuotteena se on luonnollisesti yhteensopiva Windowsin kanssa, mutta sitä kautta voi nykyään hallita lähes kaikkia päätelaitteita: Mac-koneita, iOS-laitteita ja Androideja.
Intunen avulla voi määrittää mm. Windowsin päivityksien asentumisia, sovellusjakeluita, tietoturva-asetuksia puhelimille (esim. Pin-koodin pituus), Outlookin ulkoasua ja aina Mac- ja Windows-koneiden kiintolevyn salaukseen asti. Vaikka Intunen kautta jaeltuja sovelluksia voi itsekin käsin päivittää Supersedence-toimintoa käyttämällä, on se hieman työlästä paketoimisineen, erityisesti suuremmissa organisaatioissa. Toki joissakin ohjelmissa on sisäänrakennettuna automaattinen päivittyminen, mutta kaikissa sitä ei ole – eivätkä nekään ole täydellisiä. Tästä syystä kolmannen osapuolen sovellusten päivittymiseen keskittyviä ratkaisuja on pilvin pimein, ja parhaimmat niistä integroituvat suoraan Intunen keskitettyyn sovellusten hallintaan.
Sovellusten päivitykset työllistävät
Harva edes IT-alan ammattilaisista käyttää samoja ohjelmistoja työssään, ihan alkaen selaimista (esim. Chrome, Edge tai FireFox), sähköpostisovelluksista (Outlook ja Gmail) ja taulukkosovelluksista (Excel tai Google Sheets). Kaikilla näillä sovelluksilla käytetään lähes varmasti arkaluontoista sisältöä tai vähintäänkin tietoa, jota ei välttämättä kaikille haluta jakaa. Siitä syystä myös kolmannen osapuolen sovellukset ovat merkittävä tietoturvariski lähes jokaisessa ympäristössä. Aiemmin luetellut sovellukset ovat usein automaattisten päivitysten piirissä, mutta mitä pienempi segmentti yrityksen työntekijöistä sovellusta käyttää, sitä vähemmälle huomiolle sovellusten päivitys voi jäädä.
Vakioitujen sovellusten lisäksi, tietoturvapolitiikassa voidaan määrittää sovellusten päivitykseen liittyviä asioita, mutta pienemmissä organisaatioissa esimerkiksi parin työntekijän taloushallinnossa käytössä olevan sovelluksen päivittämättä jättäminen voi johtaa pahimmillaan suuriin ongelmiin.
Jo sovelluksen hankintavaiheessa olisi hyvä kiinnittää huomiota säännöllisiin tietoturvapäivityksiin ja mahdollisiin tukipalveluihin. Mikäli kuukauden lopussa laskutukseen tai palkanmaksuun (tai molemmissa samanaikaisesti) käytettävässä sovelluksessa on palvelunalenema, voi siitä seurata vähintäänkin epämiellyttäviä tilanteita. Tuoreessa muistissa ovat Helsingin kaupungin palkanmaksujärjestelmän kauhutarinat.
Vinkkejä sovellusten ja päivitysten hallintaan
Aina kaikki päivitykset eivät välttämättä ole hyvä asia, vaan päivityksessä voi olla jokin virhe ja laajamittaisesti päivitysten yhteydessä se jaetaan kaikille käyttäjille. Hyvinkin tuoreena esimerkkinä tästä CrowdStrike tietoturvasovelluksen kesän 2024 tilanne. Päivityspakettien testaamiseen tuleekin kiinnittää huomiota, etteivät ne aiheuta lisää ennalta-arvaamatonta työtä!
Pienemmissä organisaatioissa sovellusten pitäminen ajan tasalla, uusien päivitysten testaaminen voi olla vielä tehtävissä. Mutta mitä suuremmaksi ja monimutkaisemmaksi sovelluskatalogi kasvaa, sitä enemmän se syö IT-osaston työaikaa. Pahimmillaan se voi muuttaa koko IT-osaston pelkästään testausosastoksi. Automatisointi maksaa tyypillisesti itsensä takaisin.
Hyvinä ohjenuorina kolmannen osapuolen ohjelmistoihin voidaan seuraavia:
1. Sovellukset kannattaa yritystasolla vakioida mahdollisimman pitkälle. Pienempi sovelluskatalogi on helpommin hallittavissa.
2. Käyttöjärjestelmät ja sovellukset tulee päivittää automaattisesti ja pakotetusti, mutta käyttäjille voidaan tarvittaessa myöntää oikeudet viivästyttää käyttöjärjestelmäpäivitysten asennusta.
3. Käyttöjärjestelmät ja sovelluspäivitykset on hyvä ensiksi asentaa pilottiryhmälle, joka testaa (tuotannossa) niiden toimivuuden ja mahdolliset uudet toiminnallisuudet.
4. Kehittäjästä on hyvä tietää perusasiat. Esimerkiksi jos kyseessä on ilmainen ohjelma, jolla vielä käsitellään liiketoiminnan kannalta kriittistä tietoa tai arkaluontoista materiaalia. Erityisesti mikäli sovellukseen tallennetaan tietoa, on hyvä ottaa selvää GDPR:ään liittyviä asioita: missä konesalit fyysisesti sijaitsevat ja lähteekö data EU/ETA:n ulkopuolelle. Tietoturvasta ja sen vaatimuksista on kirjoitettukin aiemmassa blogissamme kattavammin.
Yhteenveto
Intune-laitehallinta on nykyaikaiselle IT-ympäristölle tärkeä keskitetyn hallinnan ominaisuus. Se on kätevä ja suoraviivainen hallintakokonaisuus, jonka avulla saadaan myös näkyvyyttä tietoturvamielessä, niin haittaohjelmien havaitsemisen kuin käyttöjärjestelmäpäivitysten tiimoilta. Unohtamatta vaatimuksenmukaisuutta, sillä paraskaan tietoturvapolitiikka ei pelasta, jos sen määrittelemät toiminnallisuudet eivät ole ajan tasalla tai jos niitä ei noudateta.
Tietohallinnolle on huomattavasti helpompaa keskittyä ajankohtaisiin ja tärkeisiin työtehtäviin automatisoimalla kolmannen osapuolen sovelluspäivitykset ja saamalla ajankohtaista tietoa organisaatiossa käytettävien laitteiden yleisestä tilasta. Oikean suuntaisia päätöksiä voidaan tällöin tehdä aitoon tietoon perustuen. Tässä kohtaa PilviCapo hallitun pilven palvelumme toimii tietohallintosi voimavarana, sillä työasemaympäristö ja sen ohjelmistot pysyvät ajan tasalla ja tietohallinnon elämä helpottuu, Win-win!
PilviCapo hallitun pilven palvelumme Microsoft 365 ympäristöille tuo juuri oikean tyyppistä tietoa tietohallinnon ihmisten omien päätösten tueksi. Ottamalla Above IT:n ’consigliere’ kaverit tukemaan tietohallintoasi varmistat, että työasemaympäristösi pysyy tietoturvallisena ja loppukäyttäjät tyytyväisinä. Varaa alta napista klikkaamalla 15minuutin aika kalenteristamme keskustelulle, niin tutustutaan!