lauantai 28. elokuuta 2010

Tietorikosten ennaltaehkäisy

Fyysinen turvallisuus, toimitilaturvallisuus ja omaisuuden suojaaminen on pääsääntöisesti hyvin hoidettu joka organisaatiossa. Tiedon abstraktius vaikuttaa usein siihen, että vaikka halua suojaukseen olisi, on asian lähestyminen usein monimutkaista.

Tehokkain tapa on kehittää tietojärjestelmiin ja infrastruktuuriin selkeä ja kattava omavalvontajärjestelmä, joka ei vain seuraa normalitoimintaa, vaan ottaa huomioon myös poikkeukset. Ne ovat niitä, joista rikokset usein helpoiten tunnistaa. Tärkeää on myös järjestelmäympäristön luominen sellaiseksi, että mahdollisissa epäilyissä voidaan pureutua syvemmälle omaan toimintaan. Perustasolla ennaltaehkäisy alkaa kolmivaiheisella prosessilla – tietenkin edellyttäen, että riskianalyysit on tehty ja suojattava tieto tunnistettu. Tästä enemmän Riskienhallintaa PK-yrityksissä -jutussani. 

1. Esimerkiksi kysymykset kuten tuotetaanko lokitiedostoja, mistä, kauanko niitä säilytetään ja mitä niihin kerätään, ovat lähtökohtaisia kysymyksiä seurannan toteuttamiseksi. Tässä usein myös tarkennetaan sitä, mitä kaikkea organisaation loogisessa ympäristössä todella on. 

2. Seuraava kysymys on lainmukaisuus. Organisaatioilla ei ole oikeutta kerätä mitä tahansa tietoa mistä tahansa. Myös säilytysvelvollisuudet sekä käsittelyvelvollisuudet ovat lakiin kirjattuja asioita. Henkilöstön ja asiakkaiden turvallisuus sekä heidän tietosuojansa ovat perusoikeuksia, joiden osalta laki on ehdoton. Seurannan on oltava tarkkaa, mutta käyttökelpoisuutensa vuoksi myös lainmukaista, että rikoksen tapahduttua syytetyn penkillä on oikea taho. 

3. Kolmanneksi pohditaan tiedon analysointia. Se ei saa olla kuormittavaa eikä saa syödä resursseja enempää kuin mitä sillä saavutettava hyöty on. Missä käytetään automatiikkaa, missä jätetään manuaalisen haun varaan ja millaisia analyyseja halutaan? Esimerkiksi kulunvalvontajärjestelmän ja verkkokirjautumisten vertailu voi olla jossain hedelmällistä. Myös analyysitietoihin pääsy on mietittävä tarkkaan; kuka, miten, millä oikeuksilla ja missä tilanteissa. 

Avoin viestintä ei ole vain vastuullisesti toimivan organisaation merkki, vaan hyvin toteutettuna myös ennaltaehkäisee rikollisuutta ja sitouttaa henkilöstöä. Kukapa meistä ei haluaisi työskennellä turvallisessa ympäristössä?

Ei kommentteja:

Lähetä kommentti