Vaikka Applen tapa suunnitella laitteet ja ohjelmistot ovat hyvin tietoturvakeskeisiä, tulee näitä ominaisuuksia hyödyntää asiantuntevasti. Tämän lisäksi välillä tarvitaan myös kolmannen osapuolen ohjelmistoja paikkaamaan niitä aukkoja johon Apple ei ole vielä ottanut kantaa.
Helpoin tapa tietoturvan hallintaan työasemilla ja mobiililaitteilla on käyttää Mobile Device Management (MDM) -ratkaisua. MDM:n avulla voidaan hallita lähes kaikkia etälaitteen asetuksia ja ominaisuuksia.
Tietoverkot ja laitteet eivät ole sellaisinaan turvallisia, vaan vaativat varotoimia ja suunnittelua eli mahdollisia tulevia tietoturvariskejä kohtaan varautumista. Jos yrityksellänne ei ennestään ole tietoturvakäytäntöä tai ohjeita tietoturvan vähimmäisvaatimuksista, on ensin määriteltävä kriteerit ja tämän jälkeen voidaan selvittää, kuinka kriteerit voidaan täyttää. Olemme koonneet yleisimmät tietoturvavaatimukset ja niihin vastaavat toimenpiteet.
Tietokoneen kovalevyn salaaminen voi olla tarpeen, kun työntekijä kuljettaa tietokonetta mukanaan ja käyttää sitä etätyöskentelyyn. macOS:n FileVault2 vastaa Windowsin BitLocker-tekniikkaa ja suojaa levyn sisällön niin, että siihen ei pääse käsiksi ilman vahvaa salasanaa. FileVaultia käytettäessä on muistettava, että datan pelastaminen kovalevyltä ei ole mahdollista, jos salasana häviää tai unohtuu. Suosittelemme siitä huolimatta kaikille yrityksille FileVaultin käyttöä, mutta kehoitamme myös tallentamaan purkuun vaadittavan salasanan turvallisesti niin, että salasana on löydettävissä, jos tietokone lakkaa toimimasta. Salasanojen turvallisesta tallentamisesta lisää alempana.
Tietokoneen käynnistäminen ulkoisilta levyiltä ja verkkolevyiltä voidaan estää asettamalla laitteelle firmware-salasana. Ilman firmware-salasanaa tietokonetta ei voida käynnistää miltään muulta levyltä kuin käynnistyslevyksi asetetulta laitteen sisäiseltä käynnistyslevyltä. Firmware-salasanaa ei voida poistaa käytöstä ilman purkuun tarkoitettua vahvaa salasanaa. Jos siis laite joutuisi vääriin käsiin, ei koneen käynnistäminen olisi mahdollista ilman salasanaa. PC-maailmassa tämä vastaa käytännössä BIOS-salasanaa. Kolmansien osapuolien ohjelmilla voidaan myös rajoittaa/estää fyysisten porttien käyttöä. Firmware-salasanan kanssa suosittelemme käytettäväksi myös FileVaultia, josta kerroimme ylempänä.
Jos turvallisuussyistä halutaan pakottaa tietokone käyttämään langattoman verkon sijaan Ethernet-verkkoa, voidaan langattomat yhteydet poistaa käyttäjältä kokonaan käytöstä, niin että niiden sallimiseen vaaditaan erikseen järjestelmän ylläpitäjän eli administrator-tasoisen käyttäjän hyväksyntä. Tämä voidaan toteuttaa määrittämällä loppukäyttäjälle käyttäjä-tason tilin oikeudet ylläpitäjä-tason sijaan ja poistamalla Järjestelmäasetuksien verkkoasetuksista halutut langattomat yhteydet.
Klassisesti VPN-yhteyden tarkoituksena on ollut luoda suojattu yhteys etäpisteen ja toimiston sisäisten palvelujen välille. Nämä ovat yrityksen sisäisiä ja niiden itsensä ylläpitämiä yhteyksiä. Tällaisen yhteyden tarkoituksena on sallia esim. tiedostonjakojen käyttö etänä työskenteleville. On myös yleistä, että yrityksen politiikka on vaatia VPN-yhteyden käyttöä tietoturvasyistä aina kun ollaan yrityksen verkon ulkopuolella, erityisesti jos käytetään avoimia langattomia verkkoja. Nykyään rinnalle on tullut myös erilaisia VPN-palveluja, joiden tarkoituksena on salata verkkoliikenne ja häivyttää käyttäjän IP-osoite sekä sijainti, esimerkiksi F-Securen Freedome. Applen laitteissa on käyttöjärjestelmätasolla valmiiksi tuki yleisimmin käytetyille VPN-tekniikoille. Näiden lisäksi voidaan käyttää erillisiä ohjelmia, esim. SSL VPN -yhteyksien luomista varten. Esimerkkinä voidaan mainita Fortinetin Forticlient.
Jos halutaan varmistaa että määritetyt asetukset pysyvät, eikä loppukäyttäjä pääse itse muuttamaan järjestelmäasetuksia yrityksen tietoturvavaatimuksien vastaiseksi, voidaan loppukäyttäjältä poistaa ylläpitäjän oikeudet. Käytännössä tämä tarkoittaa sitä että loppukäyttäjän tilistä tehdään käyttäjä-tason tili ja tämän lisäksi luodaan ylläpitäjä-tason tili, jolle määritetään oikeus tehdä muutoksia asetuksiin. Jos käytössä on toimialue (Active Directory) ja macOS on liitetty tähän toimialueeseen, voidaan käyttää myös “Domain Admin” -tunnuksia käyttöjärjestelmän hallintaan.
Suosittelemme tallentamaan salasanat turvallisesti salasanojenhallintaohjelmaan tai yrityksen tietojärjestelmään, johon voidaan sallia pääsy vahvalla tunnistautumisella vain sisäverkosta tai ulkoverkosta vahvaa tunnistautumista edellyttävällä VPN-yhteydellä. Salasanaohjelmista ainakin 1Passwordilla on sekä työpöytä-, että iOS-sovellukset, jotka keskustelevat keskenään salasanatietokannan synkronoimiseksi.
Jos pääsy laitteelle halutaan estää väärien kirjautumisyritysten jälkeen muilta kuin ylläpitäjältä, suositeltu tapa on käyttää MDM-ratkaisua. macOS-käyttöjärjestelmässä on työkalut näiden asetusten hallintaan, mutta niiden toimivuus riippuu käyttöjärjestelmäversiosta.
Monesti yrityksen tietokoneille saattaa kertyä sellaisia ohjelmia jotka eivät kuulu yrityksen sallimiin ohjelmiin. Ei ole epätavallista että koneelle saattaa eksyä toisinaan myös haittaohjelmia (esim. MacKeeper). Ohjelmien asennus voidaan estää loppukäyttäjältä. Sallitut ohjelmat voidaan asentaa tietokoneelle etukäteen ylläpitäjän käyttäjätunnuksella tai laitehallintaratkaisulla ja sallia ohjelmien asennus jatkossa vain tietokoneen järjestelmän ylläpitäjän tunnuksella ja salasanalla. Kolmansien osapuolten ohjelmilla voidaan myös määrittää mitä ohjelmia pystytään käynnistämään.
Haittaohjelmilta ja viruksilta voidaan välttyä ajan tasalla olevalla virustorjuntaohjelmistolla. macOS-käyttöjärjestelmälle löytyy lukuisia ohjelmia, joilla estetään haittaohjelmat. Käytännössä kaikilta yleisimmiltä valmistajilta on myös macOS-versio ohjelmistaan. Samoin hallintaportaaleilla joilla hallitaan Windows-ympäristöjä, josta esimerkkinä jälleen Forticlient, voidaan hallita myös macOS-käyttöjärjestelmien ohjelmistoja. Ohjelma voidaan asentaa laitteelle etukäteen ja määrittää päivittymään automaattisesti.
macOS-käyttöjärjestelmä tukee sekä roskakorin että kiintolevyn turvallista tyhjentämistä. Kovalevy voidaan tyhjentää ja ylikirjoittaa macOS:n omalla Levytyökalu-sovelluksella ennen levyn lähettämistä tuhottavaksi. Esimerkiksi datan ylikirjoittaminen kolme kertaa täyttää Yhdysvaltain energiaministeriön vaatimukset magneettisen median turvalliseen tyhjentämiseen ja datan ylikirjoittaminen seitsemän kertaa on Yhdysvaltain puolustusministeriön 5220-22-M-standardin mukaista.
Lisätietoa levyn tyhjentämisestä.