torstai 22. huhtikuuta 2010

Miksei kukaan noudata tietoturvaohjeita?

Tietoturvaohjeissa oiotaan usein siksi, että ne noudatettuina hankaloittaisivat työtä liikaa. Turvallisuudesta on tullut muutenkin synonyymi tehottomuudelle ja byrokratialle, mutta tilanne voi olla myös toisin. Kunhan lähestymistapa on oikea.

RSA teetti vähän aikaa sitten tutkimuksen, jonka mukaan työntekijöiden on jatkuvasti oiottava turvallisuusohjeissa, että saisivat työt tehtyä. Tutkimuksessa puhuttiin ”työntekijöistä”, mutta monissa muissa tutkimuksissa on paljastunut, että yritysjohto ja yrittäjät itse (joilla on eniten pelissä!) syyllistyvät samaan.

CSO haastatteli Gartnerin tutkijaa, Frank Kenneytä, asiasta. Hän nosti esiin 3 syytä:

1. Kukaan ei tiedä sääntöjä
2. Sääntöjen noudattamista ei valvota
3. Säännöt haittaavat tuottavuutta

Haastattelussa esimerkkinä käytettiin tiedostojen siirtoa – jos yrityksessä on siirrettävä isoja tiedostoja, mutta organisaation sähköposti ei sitä turvallisuusohjeiden vuoksi salli, työntekijät kyllä keksivät keinot. Eri asia, onko Gmail sitten yritysturvallisuuden kannalta hyvä vaihtoehto. Usein tällaista toimintaa katsotaan myös yrityksessä läpi sormien, koska ne työt on tehtävä – tavalla tai toisella.

Tämä on tyypillinen ongelma organisaatiossa, joka on riippuvainen yhdestä tai kahdesta teknologiatoimittajasta. Jos toimittajallasi ei ole laitetta tai ohjelmistoa ohjeiden laatimiseen ja kouluttamiseen, et saa siitä tarjoustakaan. Harvoin yrittäjällä itsellään on aikaa alkaa keksimään pyörää, etenkään, jos se ei kuulu omaan liiketoimintaan. Eikä pelkkä koulutusohjelma kaikkia ongelmia ratkaisisikaan. Tärkeintä (ja edullisinta!) on huomioida kokonaisuus ja valita oikeat työkalut oikeisiin paikkoihin.

Monessakaan suomalaisyrityksessä ei ole kokonsa puolesta rahaa tai osaamista investoida tällä alueella ja kun tarjontaa ei ole, se rajaa ratkaisuja melko paljon. Edellä mainitut kauppiaat antavat mielellään vielä asiakkaalle kuvan, että juuri heidän pussinsa ratkaisee organisaation kaikki turvallisuusongelmat, kunhan ohjelmistoa vaan muistaa päivittää säännöllisesti – maksua vastaan tietenkin. Sitten kun vahinko sattuu, toimittaja levittelee käsiään ja syyttelee asiakasyrityksen työntekijöitä. Tuttua?

Helpompi ratkaisu on hankkia kumppani, joka ottaa yrityksesi ongelmat kokonaisuutena huomioon. Ei vain teknologiaratkaisuja, vaan ottaa huolehtiakseen lakisääteiset velvoitteesi sekä osaa kouluttaa ja tukea organisaatiotasi velvoitteiden ja ulkopuolisten vaatimusten täyttämisessä. Suurin osa turvallisuusstandardienkin vaatimuksista on ratkaistavissa toimenpiteillä, ohjeilla ja koulutuksella, jotka eivät tosiaankaan maksa sadan intialaiskoodaajan vuoden tuotekehityksen verran.

Ongelmat on käännettävissä ratkaisuiksi seuraavasti:
1. Suunnittele henkilöstösi kanssa järkevä ja toteuttamiskelpoinen ohjeisto
2. Suunnitelkaa hyvä ja motivoiva mittaristo
3. Kouluttakaa ja seuratkaa säännöllisesti tavoitteiden toteutumista

Näihinkin on saatavilla apua järkevin kustannuksin. Lisäksi kokonaisuuden huomioiminen on usein edullisempi vaihtoehto, kuin investoida paljon yhteen ratkaisuun ja ostaa sillä keinotekoista mielenrauhaa.
Ota yhteyttä, kun olet valmis ottamaan yrityksesi IT turvallisuusympäristön hallintaasi ja muuttamaan ajelehtimisen päämäärätietoiseksi tekemiseksi!

-Jari Latvala / 040 833 5593 7 / jari.latvala (at) opsec.fi






lauantai 17. huhtikuuta 2010

Teknologia ei lisää turvallisuutta tietoverkoissa

Verkkojulkaisu Processor (Sandhills Publishing) kirjoitti maaliskuun 26. päivä verkkoturvallisuudesta julkishallinnon organisaatioissa (Cybersecurity Threats To Government Departments). Kirjoitus on hyvä muistutus jälleen, että vaikka Internet ja verkot ovat teknologialuomuksia, ovat niissä toimijoina kuitenkin ihmiset toimintakulttuureineen. Josh Radlein (CDW-G) ottaa esiin tärkeimpänä turvallisuustekijänä ihmiset ja heidän koulutuksensa. Palomuurit ja virusturvat eivät artikkelin mukaan ole tämän päivän sosiaalisissa verkkoyhteisöissä ja verkottuneiden työkalujen aikana se ratkaisu, johon kannattaa eniten panostaa. Tämä on huomioitava myös meillä Suomessa – tietoverkot eivät tunnista valtiorajoja ja trendit tulevat maailmalta meillekin yhä nopeammin. Artikkelin kirjoittaja, Curt Harler, ottaa esiin kolme avaintekijää organisaation tietoriskien hallintaa ja turvallisuutta mietittäessä.

1) Käyttäjien koulutus ja perusosaamisen varmistaminen
2) Investointi oikeisiin työkaluihin
3) Standardien ja lainsäädännön vaatimusten tunteminen oman toiminnan näkökulmasta

Lista tuo mieleen myös kotimaisia huomioita asiasta. Saman huomion, mutta reaktiivisesta näkökulmasta – toteutuneiden riskien ja ongelmien kautta – toi esiin myös KRP:n rikostietopalvelun raportti viime vuoden lopulta. Tämä kertoo siitä, että lähestymistapa organisaatioiden turvallisuuteen on todellakin muutettava tämän päivän riskejä vastaavaksi.

perjantai 16. huhtikuuta 2010

Holhousvaatimus Facebookille



Viime aikojen muoti-ilmiönä on liittyä yhteisöihin, että voisi erota niistä yksityisyyteen vetoamalla. Onko kyse siitä, että internet -yhteisöjen yksityisyydensuojassa on jotain oikeasti pielessä, vaan emmekö vaan kestä yhteisöllisyyttä, jota olemme viime vuosina kovaan ääneen hakeneet?

Otsikon yhteisö on ehkä tunnetuin esimerkki siitä, miten yksityisyydensuojasta voidaan keksiä juttua loputtomiin. Ihmiset haluavat suojaa erilaisilta, suurimmaksi osaksi teoreettisilta, uhilta ja syyttelevät näistä riskeistä yhteisöä, johon ovat vapaaehtoisesti liittyneet. Erilaiset asiantuntijat juuri tämän kaltaisilla blogeilla kilpaa yrittävät todistella niiden vaaroista, mutta…

Ne muutamat esimerkit, mitä tunnemme näistä toteutuneista riskeistä, ovat tapauksia, joissa työntekijä on saanut potkut haukuttuaan pomoaan verkossa. Osa taas on haastettu oikeuteen, koska levittelivät arveluttavia tai perättömiä juttuja ihmisistä tai tahoista, joista eivät pitäneet. Jotkut ovat huolissaan siitä, että julkisesti levitetty materiaali saattaa joutua jonkun käsiin, joka käyttää sitä väärin - toisin sanoen tienaisi sillä. Hetkinen…

Jos huutelen asiattomuuksia pomostani ja avoimen ravintolan oven ohi kulkiessaan pomoni kuulee tämän, onko vika ravintolassa, joka piti ovea auki? Jos haukun paikallisen koirakerhon ryhmäksi saamattomia vetelyksiä, onko vika marketin äänieristyksen, jos hyllyn toisella puolella ollut kerhon jäsen kuulee sen? Kun hermostun kumisaapasvalmistajaani ja alan levitellä perättömiä huhuja kumiseoksen jatkamisesta asbestilla, kenen vika se on, jos päädyn siitä oikeuteen? Jos jätän luomani teoksen lojumaan keskuspuistoon ja naapuri tienaa siivoamalla ja myymällä löytämänsä rojun eteenpäin, niin kuka siitä on vastuussa?

Emme siis ole pyytämässä suojaa, vaan holhousta. Että joku huolehtisi siitä, että suutuksissa sanotut lipsautukset eivät leviäisi ja että joku toimisi itsehillintänä meille. Että saisimme pelkkää ihanaa yhteisöllisyyttä, mutta mukavasti ja yksityisesti suojassa kotisohvallamme. Puolustamme anonymiteettiä henkeen ja vereen, koska kun anonymiteetti menee, joudumme itse vastaamaan sanoistamme ja teoistamme. Tulee mieleen Jukka Relanderin osuva lausahdus Ateenan Agorasta YLE Puheella kolumnissaan 11.5:
”Demokratian syntysijoilla ei huudeltu pimeiltä kujilta, että Sokrates on homo, vaan mentiin torille. Ihan päivänvalossa ja puhuttiin.”

Turvallisuus taitaa olla pelkkä tekosyy tämän keskustelun ylläpitämiselle, joten todettakoon blogimme osalta tämä aihe näiltä osin käsitellyksi. Kun haluatte yhteisöllisyyttä, käyttäytykää, olkaa kohteliaita ja muistakaa hienotunteisuus. Paras tae turvallisuudesta on kerätä enemmän ystäviä kuin vihamiehiä!