torstai 29. heinäkuuta 2010

Minulla on oikeus!

Käyttöoikeuksien asettaminen vastaamaan työtehtävien mukaisia tarpeita on erittäin tehokas keino ehkäistä niin tahallisia kuin tahattomiakin tietoriskejä. Oikeudet ovat oikealla tasolla silloin, kun käyttäjä voi tehokkaasti hyödyntää tietojärjestelmiä työssään mutta ne eivät mahdollista hänelle kuulumattomien tietojen käsittelyä tai järjestelmän asetusten muutoksia. Tästä huolimatta käyttöoikeudet on usein määritelty yksinkertaisella kaikille-kaikkea mallilla.

Ennen nykyistä Windows-sukupolvea oli käytössä merkkipohjainen DOS ja sen päälle rakennetut Windows 95 ja 98. Näiden järjestelmien käyttäjäoikeuksien hallinta oli puutteellinen eivätkä tuon aikakauden sovelluksetkaan juuri tukeneet käyttäjien toimien ja tiedonsaannin hallintaa. Järjestelmät ovat kehittyneet ja sovellusten tekijät ovat myös huomioineet muuttuneet tarpeet. Jostain syystä ylläpitäjät ja käyttäjät ovat kuitenkin jääneet kelkasta, ainakin asenteiltaan. Tämän havaitsee siitä että useilla meistä käyttäjistä on vieläkin palava halu saada järjestelmänvalvojan oikeudet vaikka se ei mitenkään ole työtehtävien tai käyttötarpeiden puolesta perusteltavissa. Tämä oikeuksien tarve on jotenkin sisäänrakennettu meihin tietotekniikan käyttäjiin ja käyttöoikeuksien rajaamiseen suhtaudutaan ynseästi. Toinen asenneongelman aiheuttaja on laiskuus. Vähäinenkin ylimääräinen vaihe, kuten käyttäjätunnuksen ja salasanan syöttäminen, koetaan sellaiseksi haitaksi että vanhoja toimintamalleja ollaan valmiita puolustamaan suurella työllä.

Käyttöoikeuksien asettamista puoltavat monet seikat, sillä niiden avulla voidaan esimerkiksi estää tietovuotoja, vähentää käyttäjien virheiden aiheuttamia ongelmia ja rajoittaa haittaohjelmien leviämistä. Jo nämä ovat riittävät syyt alkaa toteuttamaan asianmukaista käyttöoikeuksienhallintaa.

Työ kannattaa aloittaa tunnistamalla käyttäjät, tiedot ja järjestelmät. Seuraavassa vaiheessa määritellään soveltuvat oikeustasot käyttäjille tai käyttäjäryhmille. Lopuksi suoritetaan järjestelmien vaatimat toimet käyttöoikeuksien asettamiseksi. Onnistuneeseen operaatioon kuuluu myös käyttäjien kuuleminen ja asenteiden muokkaus käyttöoikeuksista saatavien hyötyjen kautta sekä tietenkin koulutus muuttuneen tilanteen osalta.

Ei kommentteja:

Lähetä kommentti