Siirrä Google-tilit yrityksen hallintaan keskitetysti
Väitämme, että harmillisen monessa organisaatiossa Googlen palveluita on käytössä keskitetyn IT-hallinnan ulkopuolella. Jos käytössänne on esimerkiksi Google Analytics tai Google Ads, onhan tilien hallinta varmasti tietoturvan näkökulmasta kunnossa?
Service Lead, Google Cloud Platform
Ovatko Google-palvelut IT:n hallinnassa?
Olemme käyneet tämän kaltaisen keskustelun harmillisen usein:
Onko teidän organisaatiossa Google Cloud Platform tai muita Googlen palveluita käytössä?
Ei käytetä Googlea, ollaan enemmän kilpailijoiden alustalla.
Tämä on yleinen tilanne yrityksissä, joissa Googlen palveluita ei olla otettu systemaattisesti käyttöön. Sen myötä usein uskotaan, ettei Googlen palveluita käytetä organisaatiossa lainkaan. Useimmiten tilanne on kuitenkin toinen: Googlen palveluita on lähestulkoon aina käytössä keskitetyn IT-hallinnan ulkopuolella.
Palvelut, kuten Google Analytics, Google Ads, Google Maps API, Google Play kauppa ja Google Datastudio ovat esimerkkejä näistä palveluista. Näissä tapauksissa kyseisten palveluiden hallintaan kirjaudutaan usein Google-tunnuksilla, jotka on sidottu yrityksen yksittäisen käyttäjän sähköpostiosoitteeseen tai jopa henkilökohtaiseen @gmail.com-tiliin.
Riskit tietoturvalle ja liiketoiminnalle
Yllä kuvattu tilanne luo yrityksen tietoturvalle ja liiketoiminnalle merkittäviä riskejä:
- Tilien tietoturvan taso ei ole riittävä eikä tilejä pystytä auditoimaan
- Tilit voidaan menettää kokonaan ihmisten vaihtaessa työpaikkaa
- Luottokortilla maksettavat palvelut voivat katketa yllättäen luottokortin vaihtuessa tai kadotessa
Lisääntynyt etätyö luo omat haasteensa tilien tietoturvalle, kun palveluita käytetään eri lokaatioista ja mahdollisesti myös eri koneilta. Google-tilien tietoturva on kuitenkin helppo ottaa hallintaan matalin kustannuksin.
Kuinka ottaa Google-palvelut hallintaan keskitetysti?
- Keskitä Google Cloud Platform -projektien hallinta yrityksen domainin alle.
- Toteuta käyttäjätilien keskitetty hallinta esimerkiksi maksuttomilla Google Cloud Identity -tileillä.
- Laita tilien tietoturva kuntoon (esim. 2-step kirjautumisen pakotus ja turvallisemmat salasanakäytänteet).
- Siirry tiettyjen palveluiden kohdalla pois käyttäjäkohtaisista tileistä keskitettyihin hallintatileihin (admin-tilit).
- Siirrä laskutus pois luottokorteilta.
Tietoturvan systemaattinen kehittäminen
Kun perusteet Google-tilien hallinnassa on laitettu kuntoon, kannattaa tietoturvan jatkokehitykseen panostaa systemaattisesti. Jos käytössä on paljon kehittäjien käyttämiä Googlen API-palveluita, kannattaa käyttäjien hallinnoimien salausavainten (User-managed keys) hallinta suunnitella kokonaisuudessaan turvallisesti.
Tarvittaessa käyttäjähallinta voidaan integroida kokonaan organisaation muuhun, keskitettyyn käyttäjähallintaan (LDAP:n yli sekä halutessa salasanojen synkronointi), ja myös kirjautuminen voidaan valjastaa yrityksen käytössä olevalle SAML-kertakirjautumiselle (esim. Azure AD tai Okta). Näiden lisäksi tietoturvaa voidaan jatkokehittää Google Cloud Identity Premium -tilien avulla.
Siirrä siis Google-tilit ja -palvelut keskitetysti yrityksen hallintaan, ennen kuin on liian myöhäistä.