To ensure authorized access and to prevent unauthorized access to information and other associated assets, organisation has defined and implemented clear rules for controlling control physical and logical access to information.

Rules are implemented and monitored through multiple tasks, but they are also combined into an access management policy for clear communication and reviewing.

Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

• kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
• kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
• onko muilla sovelluksilla pääsyä tietoihin
• voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän

Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.

Organisaatio on ennalta määritellyt tunnistautumistavat, joita työntekijöiden tulisi suosia tietojärjestelmiä käytettäessä.

Useita pilvipalveluita käyttäessään käyttäjä voi itse määritellä, millä tavalla hän palveluun tunnistautuu. Yksittäinen keskitetty tunnistautumistili (esim. Google- tai Office365-tili) voi auttaa sulkemaan iso määrä pääsyoikeuksia kerralla, kun tunnistautumistapana toimiva käyttäjätili suljetaan.

Tärkeää tietoa sisältäviin järjestelmiin olisi kirjauduttava useita tunnistamiskeinoja käyttävällä kirjautumisella, jota kutsutaan englanniksi joko "two-factor", “multi-factor” tai “dual factor” tunnistautumiseksi. 

Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus). 

Kaksivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.

Esimiehiä on ohjeistettu ilmoittamaan etukäteen tietojärjestelmien omistajille merkittävistä muutoksista alaisten työsuhteissa, kuten ylennyksistä, alennuksista, työsuhteen päättymisestä tai muista muutoksista työroolissa.

Ilmoituksen perusteella henkilön pääsyoikeuksia voidaan päivittää joko keskitetystä hallintajärjestelmästä tai yksittäisistä tietojärjestelmistä.

Ylläpito-oikeuksia hallitaan muodollisen prosessin avulla, jonka tavoitteena on rajata ylläpito-oikeuksien jakamista ja valvoa käyttöä.

Ylläpito-oikeuksiin liittyen:

• on määritely vanhenemista koskevat vaatimukset
• ylläpito-oikeudet myönnetään vain muille normaaliin arkikäyttöön käytettäville käyttäjätunnuksille
• normaalia arkikäyttöä ei saa suorittaa ylläpito-oikeuksilla varustetulla käyttäjätunnuksella

Organisaatio ylläpitää keskitettyä tallennetta käyttäjätunnukselle tietojärjestelmiin ja -palveluihin myönnetyistä pääsyoikeuksista. Tätä tallennetta hyödynnetään pääsyoikeuksien katselmoimiseksi työsuhteen muutoshetkillä tai samaan rooliin liittyvien uusien kollegoiden onboarding-prosessissa.

Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:

• Käyttäjien rekisteröinti ja poistaminen
• Pääsyoikeuksien jakaminen
• Pääsyoikeuksien uudelleenarviointi
• Pääsyoikeuksien poistaminen tai muuttaminen

Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.

Estämällä vanhentuneiden tunnistautumistapojen käytön voi vaikeuttaa selvästi hyökkääjien pääsyn hankkimista. Esimerkiksi Microsoft 365 -ympäristössä 2013-mallin toimistosovellukset tukevat oletuksena vanhentuneita tunnistautumistapoja (esim. Microsoft Online Sign-in Assistant), mutta tämän voi estää luomalla nämä tunnistautumistavat estävän käytännön.

Monivaiheinen tunnistautuminen (multi-factor authentication, MFA) auttaa suojaamaan laitteita ja tietoja. Sen soveltamiseksi käyttäjistä on oltava identiteetinhallintajärjestelmässä muutakin tietoa kuin vain sähköpostiosoite - esimerkiksi puhelinnumero tai liitetty Authenticator-sovellus (esim. Microsoft, Google tai LastPass Authenticator).

Etenkin identiteettien hallinnan pääjärjestelmissä (esim. Microsoft 365, Google), pääkäyttäjätileillä on hyvin merkittävät oikeudet. Nämä tilit ovat usein huijareiden ja hyökkäysten kohteina arvonsa takia. Tämän takia pääkäyttäjätilit on hyödyllistä dedikoida vain hallintakäyttöön, eikä samoja tilejä tulisi hyödyntää jokapäiväisessä käytössä tai esimerkiksi muihin verkkopalveluihin rekisteröidyttäessä.

Tunnistautumistiedot olisi välitettävä käyttäjille turvallisesti. Salasanan toimittamista ulkopuolisen osapuolen välityksellä tai suojaamattomana (selväkielisenä) sähköpostiviestinä olisi vältettävä.

Organisaation tärkeimmissä järjestelmissä pääkäyttäjinä toimivilta vaaditaan useita tunnistamiskeinoja käyttävää kirjautumista (engl. multi-factor authentication, MFA).

Esimerkiksi kirjautuessaan ensin salasanalla, käyttäjälle voidaan lähettää lisäksi kertakäyttöinen tunnistautumiskoodi tekstiviestinä. Tällöin hänet on tunnistettu kahden tekijän avulla (salasanan tietäminen ja puhelimen omistajuus).

Monivaiheisessa tunnistautumisessa voidaan käyttää apuna myös biometrisiä tunnisteita (esim. sormenjälki) ja muita laitteita. Kannattaa kuitenkin huomioida kustannukset ja vaikutukset yksityisyydensuojalle.

Salasanojen hallintajärjestelmä antaa käyttäjän rekisteröitymistilanteessa päättää, mitenkä monimutkainen salasana tällä kertaa laitetaan, ja muistaa sen käyttäjän puolesta.

Salasanojen hallintajärjestelmän käytössä voidaan noudattaa mm. seuraavia periaatteita:

• järjestelmä pakottaa käyttämään jatkossa yksilöllisiä salasanoja
• järjestelmä varoittaa käyttäjää vaihtamaan vanhat toistuvat salasanat
• järjestelmä pakottaa valitsemaan tarpeeksi monimutkaisia, laadukkaita salasanoja
• järjestelmä pakottaa käyttäjän vaihtamaan tilapäisen salasanan ensimmäisellä kirjautumiskerralla
• järjestelmä pakottaa vaihtamaan mahdollisesti tietovuodossa vaarantuneen salasanan
• järjestelmä estää samojen salasanojen uudelleen käyttämisen
• järjestelmä säilyttää salasanatiedostot erillään muista tiedoista ja vahvasti salattuina

Jaetut käyttäjätunnukset olisi sallittava vain, jos ne ovat tarpeellisia liiketoiminnallisista tai toiminnallisista syistä, ja ne olisi hyväksytettävä ja dokumentoitava.

Mikäli jaettuja käyttäjätunnuksia käytetään ylläpitokäyttöön, salasanat on vaihdettava mahdollisimman pian sen jälkeen, kun ylläpitooikeuksin varustettu käyttäjä jättää työnsä.

Yksi tapa hallita jaettuihin käyttäjätunnuksiin liittyviä riskejä on jaetun salasanan ja sen käyttäjien hallinnoiminen suoraan salasanojen hallintajärjestelmän kautta. 

Tällöin voidaan toimia niin, että esimerkiksi ainoastaan yksittäinen henkilö tietää varsinaisesti salasanan ja sitä käyttävät henkilöt.

Järjestelmän tai sovelluksen kirjautumismenettelyn olisi oltava suunniteltu siten, että mahdollisuus luvattomaan pääsyyn on mahdollisimman pieni.

Kirjautumismenettelyn olisi siksi paljastettava mahdollisimman vähän tietoa järjestelmästä tai sovelluksesta, jotta luvatonta käyttäjää ei avustettaisi tarpeettomasti. Kriteerejä hyvälle kirjautumismenettelylle ovat mm.:

• kirjautumisesta ei paljastu liittyvä sovellus, ennen kuin yhteys on luotu
• kirjautuminen ei näytä ohje- tai virheviestejä, jotka avustaisivat luvatonta käyttäjää
• kirjautuminen osoittaa tiedot kelvollisiksi vasta, kun kaikki tiedot on syötetty
• kirjautumisessa on estetty väsytyshyökkäysten käyttäminen
• kirjautuminen lokittaa epäonnistuneet ja onnistuneet kirjautumisyritykset
• epäilyttävistä kirjautumisyrityksistä kerrotaan käyttäjälle
• salasanoja ei lähetetä selväkielisenä tekstinä verkossa
• istunto ei kirjautumisen jälkeen jatku ikuisesti

Tarve tietää -periaatteella pääsyoikeus myönnetään ainoastaan sellaiseen tietoon, jota yksilö tarvitsee tehtävänsä suorittamiseen. Eri tehtävillä ja rooleilla on erilaiset tietotarpeet ja täten erilaiset pääsyprofiilit.

Tehtävien eriyttäminen tarkoittaa sitä, että ristiriidassa olevat tehtävät ja vastuualueet on eriytettävä, jotta vähennetään organisaation suojattavan omaisuuden luvattoman tai tahattoman muuntelun tai väärinkäytön riskiä.

Organisaatio on määritellyt roolit, joissa toimivat henkilöt voivat hyväksyä käyttöoikeuspyyntöjä. Organisaatio on lisäksi määritellyt, kuinka dokumentoidaan muut henkilöt, jotka voivat hyväksyä käyttöoikeuspyyntöjä.

Poikkeamat roolikohtaisista oikeuksista tulee asianmukaisesti hyväksyä ja dokumentoida.

Organsaation on käytettävä datakeskuksen pääsynvalvontajärjestelmää turvallisuuden ulkokehällä. Sitä on käytettävä myös kaikilla sisääntulo- ja poistumispisteillä luvattoman sisääntulon ja poistumisen havaitsemiseksi.

Organisaation on käytettävä järjestelmien yksilöllistä tunnistamista datakeskuksen yhdistämisen keinona.

Organisaation on vaihdettava kaikkien tietekoneiden, tietoverkko- ja yms. laitteiden oletussalasanat vaikeasti arvattaviin salasanoihin.

Organisaation on hallittava kaikki sen käyttäjät ja niiden käyttöoikeudet. Tähän kuuluu myös kolmannen osapuolen käyttäjät, joilla on pääsyoikeuksia organisaation tietoihin tai järjestelmiin.

Organisaation on poistettava kokonaan tai poistettava käytöstä käyttöoikeuksia, kun niitä ei enään tarvita tehtävän täyttämiseen. Esimerkiksi silloin, kun työntekijän työtehtävä vaihtuu.

Organisaation on käytettävä salasanapohjaisissa palveluihin kirjautumisessa seuraavia salasanakäytäntöjä. Suojautuakseen mm. "brute-force" salasananmurtohyökkäystä vastaan organisaation täytyy käyttää vähintään yhtä alla olevista käytännöistä:

• käyttäjä lukkiutuu 10 epäonnistuneen kirjautumisyrityksen jälkeen
• Asettaa raja viiden minuutin aikana tehtyihin kirjautumisyrityksiin kymmeneen

Lisäksi seuraava salasanakäytännöt tulisi olla käytössä:

• Salasanan vähimmäispituus 8 merkkiä
• Salasanalla ei ole maksimipituutta
• Salasana on vaihdettava, jos tiedetään tai epäillään sen vaarantumisesta