tiistai 14. syyskuuta 2010

Kenelle sinä luovutat yrityksesi avaimet?

Kun yritys hankkii rikosilmoitinjärjestelmää tai lukituksia, on tavallista kysyä turvasuojaajahyväksyntää asentajalta. Kun seuraavaksi taloon saapuu nörtin näköinen kaveri, joka pyytää yrityksen pääkäyttäjän salasanaa, luotetaan pelkkään kolapulloon ja suuren tietotekniikkavalmistajan T-paitaan.

Laki yksityisistä turvallisuuspalveluista määrittelee turvasuojaustehtävän seuraavasti (LYTP 282/2002):
Tässä laissa tarkoitetaan..

18) hyväksymistä edellyttävällä turvasuojaustehtävälläturvasuojaustehtävää, johon liittyy pääsy sellaisiin toimeksiantajan turvallisuusjärjestelyjä koskeviin luottamuksellisiksi määriteltyihin tietoihin, joiden avulla on mahdollista tunkeutua tai olennaisesti helpottaa tunkeutumista toimeksiantajan hallitsemaan ulkopuolisilta suljettuun paikkaan;

Laki lähestyy turvallisuutta siis täysin fyysisen turvallisuuden näkökulmasta. Monen yrityksen kilpailutekijät ovat kuitenkin tänä päivänä muualla kuin omaisuudessa. Palveluyritykset, asiantuntijayritykset, julkishallinto ja tuotekehitys eivät välttämättä arvosta kovin pitkälle tietokoneen hankintahintaa, mutta tieto, jota sillä käsitellään on usein korvaamatonta. Siksi on ihme, että usein luotetaan toimittajan epämääräisiin vihjailuihin "hankkeista suuren suomalaisen maanpuolustukseen liittyvän toimijan kanssa" tai epämääräisiin taustatarkistusvakuutteluihin, joista ei vaadita edes mustaa valkoisella.

Vaikka laki ei pakota huomioimaan IT-ympäristöä ja toiminta olisi kiinni vain omaisuudessa, on huomattava eräs asia. IT-ympäristöstä käsin ohjataan tänä päivänä lähes kaikkea fyysisessäkin ympäristössä. Sillä samalla pääkäyttäjän salasanalla on pääsy kiinteistönohjausjärjestelmiin ja usein jopa rikosilmoitinjärjestelmiin. Ja vaikka hallinta ei onnistuisi, lamauttaminen voi olla jopa lapsellisen helppoa. Niinpä usein pääsy tietojärjestelmiin tarkoittaa myös pääsyä fyysisiin tiloihin.

Kun organisaatio luovuttaa pääsyoikeuden ulkopuoliselle toimijalle, on varmistuttava myös käsittelijästä. Vakuuksia voi antaa viranomainen, toimittaja tai vastuut sanktioineen voidaan määritellä sopimustasollakin. Tärkeintä on, että ne on huomioitu - vaihtoehtoja löytyy.

Ei kommentteja:

Lähetä kommentti