torstai 22. huhtikuuta 2010

Miksei kukaan noudata tietoturvaohjeita?

Tietoturvaohjeissa oiotaan usein siksi, että ne noudatettuina hankaloittaisivat työtä liikaa. Turvallisuudesta on tullut muutenkin synonyymi tehottomuudelle ja byrokratialle, mutta tilanne voi olla myös toisin. Kunhan lähestymistapa on oikea.

RSA teetti vähän aikaa sitten tutkimuksen, jonka mukaan työntekijöiden on jatkuvasti oiottava turvallisuusohjeissa, että saisivat työt tehtyä. Tutkimuksessa puhuttiin ”työntekijöistä”, mutta monissa muissa tutkimuksissa on paljastunut, että yritysjohto ja yrittäjät itse (joilla on eniten pelissä!) syyllistyvät samaan.

CSO haastatteli Gartnerin tutkijaa, Frank Kenneytä, asiasta. Hän nosti esiin 3 syytä:

1. Kukaan ei tiedä sääntöjä
2. Sääntöjen noudattamista ei valvota
3. Säännöt haittaavat tuottavuutta

Haastattelussa esimerkkinä käytettiin tiedostojen siirtoa – jos yrityksessä on siirrettävä isoja tiedostoja, mutta organisaation sähköposti ei sitä turvallisuusohjeiden vuoksi salli, työntekijät kyllä keksivät keinot. Eri asia, onko Gmail sitten yritysturvallisuuden kannalta hyvä vaihtoehto. Usein tällaista toimintaa katsotaan myös yrityksessä läpi sormien, koska ne työt on tehtävä – tavalla tai toisella.

Tämä on tyypillinen ongelma organisaatiossa, joka on riippuvainen yhdestä tai kahdesta teknologiatoimittajasta. Jos toimittajallasi ei ole laitetta tai ohjelmistoa ohjeiden laatimiseen ja kouluttamiseen, et saa siitä tarjoustakaan. Harvoin yrittäjällä itsellään on aikaa alkaa keksimään pyörää, etenkään, jos se ei kuulu omaan liiketoimintaan. Eikä pelkkä koulutusohjelma kaikkia ongelmia ratkaisisikaan. Tärkeintä (ja edullisinta!) on huomioida kokonaisuus ja valita oikeat työkalut oikeisiin paikkoihin.

Monessakaan suomalaisyrityksessä ei ole kokonsa puolesta rahaa tai osaamista investoida tällä alueella ja kun tarjontaa ei ole, se rajaa ratkaisuja melko paljon. Edellä mainitut kauppiaat antavat mielellään vielä asiakkaalle kuvan, että juuri heidän pussinsa ratkaisee organisaation kaikki turvallisuusongelmat, kunhan ohjelmistoa vaan muistaa päivittää säännöllisesti – maksua vastaan tietenkin. Sitten kun vahinko sattuu, toimittaja levittelee käsiään ja syyttelee asiakasyrityksen työntekijöitä. Tuttua?

Helpompi ratkaisu on hankkia kumppani, joka ottaa yrityksesi ongelmat kokonaisuutena huomioon. Ei vain teknologiaratkaisuja, vaan ottaa huolehtiakseen lakisääteiset velvoitteesi sekä osaa kouluttaa ja tukea organisaatiotasi velvoitteiden ja ulkopuolisten vaatimusten täyttämisessä. Suurin osa turvallisuusstandardienkin vaatimuksista on ratkaistavissa toimenpiteillä, ohjeilla ja koulutuksella, jotka eivät tosiaankaan maksa sadan intialaiskoodaajan vuoden tuotekehityksen verran.

Ongelmat on käännettävissä ratkaisuiksi seuraavasti:
1. Suunnittele henkilöstösi kanssa järkevä ja toteuttamiskelpoinen ohjeisto
2. Suunnitelkaa hyvä ja motivoiva mittaristo
3. Kouluttakaa ja seuratkaa säännöllisesti tavoitteiden toteutumista

Näihinkin on saatavilla apua järkevin kustannuksin. Lisäksi kokonaisuuden huomioiminen on usein edullisempi vaihtoehto, kuin investoida paljon yhteen ratkaisuun ja ostaa sillä keinotekoista mielenrauhaa.
Ota yhteyttä, kun olet valmis ottamaan yrityksesi IT turvallisuusympäristön hallintaasi ja muuttamaan ajelehtimisen päämäärätietoiseksi tekemiseksi!

-Jari Latvala / 040 833 5593 7 / jari.latvala (at) opsec.fi






Ei kommentteja:

Lähetä kommentti