Salasanat ja MFA henkilöstölle: selkeät pelisäännöt, käyttöönotto ja valvonta

Miksi salasanat ja MFA ovat edelleen tärkein arjen suojauskerros

Yrityksen tietoturvassa iso osa arjen riskeistä tiivistyy yhteen asiaan: käyttäjätunnuksiin. Kun tunnus päätyy vääriin käsiin, hyökkääjä saa usein saman pääsyn kuin työntekijäkin – sähköpostiin, Teamsiin, pilvitiedostoihin, asiakasjärjestelmiin ja joskus jopa taloushallintoon. Siksi salasanakäytännöt ja monivaiheinen tunnistautuminen (MFA) ovat käytännönläheinen perusta, jonka kunto kannattaa varmistaa ennen monimutkaisempia ratkaisuja.

Pelkkä MFA ei kuitenkaan automaattisesti ratkaise kaikkea, eikä hyvä salasana-politiikka yksin riitä, jos käyttöönotto, poikkeamat ja käyttäjien arki jäävät huomioimatta. Toimiva malli syntyy, kun kolme asiaa yhdistyy:

  • selkeät pelisäännöt (mitä vaaditaan ja miksi)
  • tekninen toteutus (miten asetukset, hallinta ja valvonta tehdään)
  • koulutus ja toistuvat harjoitukset (miten varmistetaan, että käytännöt toteutuvat myös kiireessä)

Käpy A.I. Oy auttaa organisaatioita rakentamaan tämän kokonaisuuden käytännössä: henkilöstön tietoturvakoulutuksilla, nykytilan kartoituksilla ja konsultoinnilla, jossa salasanat ja MFA sidotaan rooleihin, riskeihin ja liiketoiminnan tarpeisiin. Tavoite on yksinkertainen: pienennetään todennäköisintä hyökkäysreittiä ilman, että arki muuttuu kohtuuttoman raskaaksi.

Selkeät pelisäännöt: mitä henkilöstön pitää tietää ja mitä organisaation pitää päättää

Salasanoissa ja MFA:ssa suurin ongelma ei usein ole teknologia, vaan epäselvyys: työntekijä ei tiedä, mikä on sallittua, IT ei tiedä mikä on liiketoiminnan kannalta välttämätöntä ja johto olettaa, että “tämä on jo kunnossa”. Käytännön pelisäännöt kannattaa kirjata lyhyiksi ja jalkauttaa koulutuksella.

Toimivat periaatteet voidaan kuvata esimerkiksi näin:

  • Yksi tunnus, yksi käyttäjä. Jaettujen tunnusten käyttö kielletään, ja poikkeamat hoidetaan erillisillä teknisillä ratkaisuilla.
  • Salasana on pitkä ja uniikki. Painotus siirtyy monimutkaisuusvaatimuksista pituuteen ja yksilöllisyyteen. Salasanan uudelleenkäyttö eri palveluissa kielletään.
  • Salasananhallintaohjelma on ensisijainen. Kun muistaminen poistuu vaatimuksena, laatu paranee käytännössä.
  • MFA on pakollinen kriittisissä palveluissa. Sähköposti, pilvipalvelut, etähallinta, taloushallinto ja järjestelmäylläpito ovat tyypillisiä minimitasoa.
  • Poikkeukset ovat hallittuja. Jos MFA ei ole mahdollista tietyssä integraatiossa, päätös dokumentoidaan ja riskin pienentäminen tehdään muilla kontrollikeinoilla.

Monessa organisaatiossa pelisäännöt kannattaa liittää osaksi laajempaa tietoturvakulttuurin kehittämistä, jossa käytännöt eivät jää “IT:n ohjeiksi” vaan näkyvät arjen toimintamalleina. Kun tavoitteena on mitattava muutos, pelisäännöt ja koulutus linkitetään myös seurantaan: esimerkiksi kuinka monella käyttäjällä MFA on käytössä, kuinka moni käyttää salasananhallintaa ja kuinka monta riskipoikkeamaa (esim. vanhat todennusmenetelmät) ympäristöstä löytyy.

Jos lähtötilanne on epäselvä, Käpy A.I. Oy toteuttaa tietoturvakartoituksia, joissa selvitetään, miten tunnistautuminen, käyttäjähallinta ja salasanakäytännöt todellisuudessa toimivat – ei vain paperilla.

Käyttöönotto käytännössä: mitä MFA-projekti vaatii, jotta se onnistuu

MFA:n käyttöönotto epäonnistuu harvoin siksi, etteikö se olisi teknisesti mahdollista. Tyypillisempi syy on, että käyttöönotto ei huomioi rooleja, vanhoja sovelluksia ja arjen poikkeuksia. Kun MFA tehdään hallitusti, lopputulos on turvallisempi ja käyttäjäkokemus parempi.

Käytännön toteutuksessa kannattaa huomioida vähintään seuraavat osa-alueet:

1) Rajaus ja priorisointi

Aloitus tehdään kriittisimmistä palveluista ja käyttäjäryhmistä: ylläpitäjät, taloushallinto, myynti (sähköpostihuijaukset), johto ja kaikki etäkäyttö. Tämä tuottaa nopeasti merkittävän riskin pienenemisen ja antaa mallin laajennukseen.

2) Vanhat todennukset ja protokollat

Monessa ympäristössä löytyy edelleen perusautentikointia, vanhoja sähköpostiohjelmia tai integraatioita, jotka kiertävät vahvaa tunnistautumista. Nämä eivät poistu pelkällä ohjeistuksella, vaan vaativat teknisiä päätöksiä ja usein myös muutoksia toimintatapoihin. Konsultoinnissa nämä tunnistetaan ja priorisoidaan: mitä korjataan heti, mitä siirtymäajalla ja mitä korvataan kokonaan.

3) Käyttäjäkokemus ja tukikuorma

Jos käyttöönotto tehdään “kaikille kerralla” ilman ohjeita, IT-tuki ruuhkautuu ja henkilöstön asenne kiristyy. Kun käyttöönotto tuetaan lyhyillä, roolipohjaisilla ohjeilla ja koulutuksella, suurin osa ongelmista ratkeaa ennen kuin ne syntyvät. Käpy A.I. Oy:n tietoturvakoulutuksissa tunnistautuminen ja tiliturva käsitellään konkreettisina arjen toimintamalleina, ei abstrakteina vaatimuksina.

4) Varamenettelyt (”entä jos puhelin katoaa?”)

Hyvä MFA vaatii myös suunnitelman tilanteisiin, joissa todennuslaite rikkoutuu, työntekijä vaihtaa puhelinta tai matkustaa. Varamenettelyt voivat sisältää esimerkiksi palautuskoodit, hyväksytyt varatodennusmenetelmät ja selkeän prosessin henkilöllisyyden varmistamiseen helpdeskissä. Tämä on samalla tietoturvakysymys: liian löysä palautusprosessi tekee MFA:sta näennäisen.

5) Valvonta ja jatkuva parantaminen

MFA-käyttöönotto ei ole “valmis”, kun nappi on painettu. Sen jälkeen seurataan poikkeamia: kirjautumisyrityksiä epätyypillisistä sijainneista, estettyjä kirjautumisia, tunnistautumismenetelmien heikkouksia ja käyttäjäryhmiä, jotka ovat jääneet ulkopuolelle. Tämä yhdistyy luontevasti myös laajempaan nykytilan arviointiin, jossa kontrollien toimivuutta tarkastellaan kokonaisuutena.

Salasanat, MFA ja tietoturvakulttuuri: miten saadaan pysyvä muutos

Tekniset kontrollit ovat tehokkaita vain, jos henkilöstö ymmärtää niiden tarkoituksen ja osaa toimia poikkeustilanteissa. Todellisessa arjessa riskit syntyvät usein tilanteista, joissa prosessi on epäselvä tai kiire ohittaa varovaisuuden: “MFA-kysely tuli, painoin hyväksy”, “kollega pyysi koodia puhelimessa”, “kirjauduin sisään lainalaitteella”.

Pysyvä muutos rakentuu kolmesta käytännön elementistä:

  • Roolitettu koulutus: johto, esihenkilöt, IT ja koko henkilöstö tarvitsevat eri painotukset. Esimerkiksi taloushallinnolle korostuu maksuliikenteen huijausten torjunta, IT:lle ylläpitotilien suojaus ja lokitus.
  • Toistuvat muistutukset ja mikrokoulutus: lyhyet, säännölliset teemat pitävät käytännöt mielessä. Erityisen hyödyllistä on käsitellä tunnistautumiseen liittyviä huijauksia, kuten MFA-väsytystä ja tietojenkalastelua.
  • Mittarit: ilman mittareita kehitys jää tuntemukseksi. Hyödyllisiä mittareita ovat esimerkiksi MFA-kattavuus, riskipoikkeamien määrä, salasananhallinnan käyttöönottoaste ja palautusprosessin läpimenoaika.

Käpy A.I. Oy:n lähestymistapa on käytännönläheinen: koulutuksessa käydään läpi juuri ne tilanteet, joissa tunnukset tyypillisesti vaarantuvat, ja harjoitellaan toimintamalli. Tavoite ei ole lisätä ohjeita intranetiin, vaan varmistaa, että ihmiset osaavat toimia oikein myös silloin kun viesti näyttää kiireiseltä, linkki houkuttelevalta tai pyyntö tulee “tutulta”.

Miten Käpy A.I. Oy auttaa: kartoitus, koulutus ja konsultointi samaan kokonaisuuteen

Salasanojen ja MFA:n kehittäminen onnistuu parhaiten, kun se tehdään hallitusti ja organisaation tilanteeseen sovitettuna. Käpy A.I. Oy yhdistää kolme käytännön osa-aluetta:

  • Kartoitus: tunnistetaan nykytila, puutteet ja riskit. Samalla syntyy toimenpidelista ja selkeä priorisointi. Kartoitus voidaan toteuttaa osana tietoturvan nykytilakartoitusta tai rajattuna tunnistautumisen ja käyttäjähallinnan arviointina.
  • Koulutus: henkilöstön arjen toiminta, huijausten tunnistaminen ja oikeat käytännöt. Tavoite on vähentää inhimillisiä virheitä ja parantaa reagointia poikkeustilanteissa. Koulutukset löytyvät koottuna sivulta tietoturvakoulutukset.
  • Konsultointi: tekniset linjaukset, käyttöönoton suunnittelu, poikkeamien käsittely ja mittarointi. Tarvittaessa mukana on myös laajempi hankintojen ja muutosten tietoturva-arviointi, jotta tunnistautuminen ei jää irralliseksi projektiksi.

Kun nämä tehdään yhteen sovitettuna, organisaatio saa sekä paremman suojauksen että selkeämmän toimintamallin: kuka päättää, kuka toteuttaa, miten poikkeamat hyväksytään ja miten onnistumista seurataan.

CTA: Aloita tunnistautumisen kehittäminen hallitusti

Jos organisaatiossa on epävarmuutta siitä, ovatko salasanakäytännöt ja MFA oikeasti kunnossa, seuraava askel on selvittää nykytila ja sopia yhteiset pelisäännöt. Käpy A.I. Oy auttaa tekemään tästä konkreettisen ja mitattavan kokonaisuuden.

Tutustu palveluihin ja ota yhteyttä: yhteystiedoista voi varata ajan kartoituksen läpikäyntiin tai pyytää ehdotuksen koulutuksesta ja käyttöönoton tueksi.

Pyydä tarjous

This contact form is deactivated because you refused to accept Google reCaptcha service which is necessary to validate any messages sent by the form.

Kysy lisää

Harri Juntunen

Toimitusjohtaja
Tietoturvakonsultti ja -kouluttaja

046 920 1509
[email protected]

Räätälöityjä tietoturvapalveluita yrityksesi digitaalisten resurssien suojaamiseen.

Yhteystiedot

[email protected]

Käpy A.I. Oy
Y-tunnus: 3118566-9

Tietosuojaseloste

Ota yhteyttä

Verkkolaskutus

verkkolaskuosoite
003731185669001

Operaattoritunnus
003714377140

Sivut

Etusivu
Tuotteet
Palvelut
Palvelutuotteet
Ota yhteyttä

Sopimusehdot

Yleiset sopimusehdot

Kumppanit

Veeam Data Platform
Admin By Request
Tehtris XDR AI Platform
Heimdal Security

Palvelut

Koulutukset
Kartoitukset

Lataa etäyhteysohjelma