torstai 30. joulukuuta 2010

KATAKRI myyntivalttina

Verkostoituminen on nostanut vuosi toisensa jälkeen voimakkaammin pintaan kumppaneihin liittyvät turvallisuusriskit. Mitattavissa olevat turvallisuustoimintoihin liittyvät toimenpiteet ovat valtti joka tarjoaa etulyöntiaseman kilpailutilanteessa ja kertoo luotettavasta ja vastuuntuntoisesta kumppanista.

KATAKRI (Kansallinen turvallisuusauditointikriteeristö) tarjoaa vuosittaisen seurannan ja ylläpidon kohteena olevan turvallisuuskriteeristön ja todelliset mittarit. Viranomaisten turvallisuusluokittelun lisäksi KATAKRI sisältää lähtötason suositukset. Nämä suositukset ovat erityisesti yritysten näkökulmasta luotuja raja-arvoja ja punainen lanka, jonka avulla yrityksen sisäinen turvallisuustyö saadaan heti alusta pitäen selkeästi mitattaviin ja seurattaviin raameihin. Lähtötason suositukset ovat pohja turvallisuustyölle koko organisaatiossa, joten niiden pohjalta toimintoja voidaan kehittää kustannustehokkaasti kohti vaativampia tasoja yrityksen tarpeiden mukaan.

Verkostoitumiseen suuntautunut liiketoimintakenttä tekee oman liiketoiminnan riskien arvioimisesta entistä vaikeammin hallittavaa. Kuten aikaisemmassa kirjoituksessamme totesimme, kumppanit nähdään maailmanlaajuisesti yhtenä yritysten suurimmista riskeistä turvallisuusjohtamisen näkökulmasta. Kansallisen kriteeristön vaatimusten täyttäminen antaa valmiudet vastata asiakkaiden mahdollisiin auditointivaatimuksiin ja viestii päämäärätietoisesta ja hallitusta turvallisuusjohtamisesta. Kyseessä on siis selkeä liiketoimintavaltti!

Suositustason täyttäminen etukäteen edesauttaa myös huomattavasti tarjoustilanteessa vaadittavien turvallisuustodistusten saamista, mikä on usein kuukausia kestävä prosessi. Mahdollisiin viranomaistason vaatimukset täyttäviin, tai esimerkiksi ulkomaankaupan turvallisuusvaatimukset sisällyttäviin tarjouskilpailuihin osallistuminen voi olla ilman etukäteen liiketoiminnan tarpeet huomioivaa turvallisuusjohtamista liian myöhäistä. Yritys joka on tietoinen toimintaansa sisältyvistä riskeistä ja on tehnyt tarvittavat toimenpiteet KATAKRIn lähtötason vaatimusten täyttämiseksi, on markkinoilla etulyöntiasemassa. Turvallisuuden ei tarvitse olla vaikeasti mitattava ylimääräinen kustannuserä, vaan myyntivaltti markkinoinnissa ja kilpailutilanteessa.

Että turvallisuusjohtamista voitaisiin tehdä kustannustehokkaasti ja hallitusti on tunnettava riskit, niiden toteutumisen suhteellinen todennäköisyys, sekä syntyvät vahingot. Kun riskianalyysi on olemassa, tarjoaa KATAKRI suuntaviivat toimenpiteille riskeihin reagoimiseksi. 

  • Tuotekehitykseen liittyvä tieto 
  • Asiakkaiden luovuttama arkaluontoinen tieto ja yrityssalaisuudet 
  • Strateginen tieto markkinoihin liittyen 
  • viranomaisluokan vaatimukset täyttävän tiedon käsitteleminen 
Suurin osa yrityksistä käsittelee tietoa joka sopii jollekin näistä osa-alueista ja hallittua riskin ottamista ei tämän tiedon käsittelemiseen liittyen ole olemassakaan. Onneksi turvallisuusjohtamiseen liittyvien kysymysten kanssa ei tarvitse olla yksin. Käytettävissäsi on kumppani joka ymmärtää niin viranomaistason vaatimukset, kuin yksityisen elinkeinoelämänkin tarpeet.

keskiviikko 15. joulukuuta 2010

GPL riisiä vai miten se oli?

Maailmalla voimakkaasti kasvava GM-viljely on kovaa vauhtia tekemässä sellaisesta perusasiasta kuin ruuasta suuryritysten omistaman tuotteen. Se joka omistaa siemenet, hallitsee koko ruoantuotannon perustaa ja geenimanipuloinnin tavoitteena usein on päästä tähän päämäärään joko tekemällä siemenistä lisääntymiskyvyttömiä, jolloin siemenet on ostettava joka vuosi uudestaan, tai valvomalla käyttöä lisensoinnin ja patenttien avulla. Patenttijärjestelmien avulla voidaan hallita tuotteiden puolueetonta tutkimusta, sillä tutkimukseen ja tulosten julkaisuun voidaan joissain tapauksissa vaatia patentinhaltijan lupa. GMO-kasvit saattavat myös vaatia erityisiä viljely- ja torjunta-aineita, jotka luonnollisesti ovat saman yrityksen tuotteita kuin itse siemenetkin.

Ruuantuotannon piirissä tällainen politiikka on uutta ja se tuntuu röyhkeältä, mutta ilmiö sinänsä on tuttu lähes kaikilla liiketoiminnan aloilla ja tällaisten riippuvuuksien syntyminen on hyvä huomata ajoissa. Sitoutuminen esimerkiksi yhden yrityksen teknologiaan ilman riittävän laajaa kokonaisuuden hallintaa voi osoittautua tekijäksi joka sitoo yrityksen liiketoiminnan jatkuvuuden yhteen toimittajaan epäterveellä tavalla. Tilanne voi syntyä paitsi järjestelmiin sitouduttaessa, myös pienempien osien summana silloin kun esimerkiksi yrityksen IT-toimintoja ostetaan palveluna ulkoa. Jos IT-hallinnon osaaminen tulee ulkoa, eikä yrityksen liiketoimintajohdolla ole käsitystä kuinka toiminnot on järjestetty, tai osaa arvioida dokumentoinnin tasoa, on riippuvuus kumppanista epäterveellä pohjalla. 

Kansallinen turvallisuusauditointikriteeristö (KATAKRI) esittää ympäristön dokumentaatioon liittyen yhden olennaisen kysymyksen.

Onko yrityksen järjestelmät mahdollista palauttaa kriisitilanteessa pelkän dokumentaation pohjalta?


Tämän kysymyksen voi esittää omalle palveluntarjoajalleen. Jos se ei ole mahdollista kuin palveluntarjoajan toimesta (koska he tuntevat ympäristön), ovat langat jossain muualla kuin liiketoimintajohdon käsissä. 

Jokainen toimittaja haluaa tehdä itsestään korvaamattoman. Korvaamaton on kuitenkin määritelmä joka toivottavasti tehdään vain tasapainoisen ja riippumattoman asiakassuhteen pohjalta. Riippumattomuus taas syntyy vain jos tietohallinto on järjestetty siten, ettei tätä IT-alalla niin yleistä "vasen käsi pesee oikean käden" ilmiötä tapahdu. 

Kirjoittaja on luonnollisen ruuan, riippumattoman viljel

maanantai 6. joulukuuta 2010

Tietoturvallisuutta kivikaudelta

Tämän päivän ihmisille on käytettävissään massiivinen arsenaali erilaista teknologiaa. Tehokas teknologia on voimakas työkalu, mutta tuo mukanaan myös riskejä.

Tämän päivän kommunikointityökalut kuten sähköposti, pikaviestimet, erilaiset blogit, Facebook, Skype, google docs, flickr, Deviant Art jne. jne. ovat jokaisessa yrityksessä käytössä päivittäin. Niitä ei käytetä vain työpaikan välineillä, vaan henkilökohtaisilla tietokoneilla ja puhelimilla. Nämä teknologiat voivat olla ajattelemattomasti käytettynä vaarallisia.

Henkilökohtaiseksi huviksi tehty Youtube-video voi aiheuttaa yritykselle suuria mainevahinkoja, työpaikkailmoituksista ilmoittelu voi epäsuorasti paljastaa yrityksen liiketoimintastrategiaan liittyviä asioita ja nämä eivät ole vielä edes suoria tietoturvauhkia.

Työntekijät voivat olla uhka edustamilleen yrityksilleen heidän saatavillaan olevan massiivisen teknologia-arsenaalin vuoksi, jota he myös aktiivisesti käyttävät niin viran puolesta, kuin henkilökohtaisessakin elämässään. Kuinka siis yrityksen IT-osastossa voidaan hallita tätä teknologiaa ja rajata käyttöä siten, että riski saadaanpoistettua? Ei mitenkään!

Oli aika kun turvallisuusosasto pystyi asettamaan henkilöstönsä muurien sisäpuolelle, jossa he pystyivät työskentelemään rauhassa ja turvassa ulkopuoliselta uhalta. Mahdollisista uhista heidän ei tarvinut edes välittää, koska turvallisuusosasto valvoi että ympäröivät muurit sisäpuolelle ei ollut kutsumattomilla asiaa. Tämä oli pari sataa vuotta sitten ja mahdolliset uhkatekijät pysäytettiin muun muassa jousiasein.

On harmillista että vielä tänäkin päivänä suurin osa IT-alan yrityksistä suhtautuu tietoturvaan tällä samalla mentaliteetilla. turvattava piiri on kuitenkin muuttunut merkittävästi. Työntekijät eivät enään toimi vain muurien sisäpuolella sillä he eivät pysty työskentelemään siellä tehokkaasti. Linnoitukseen sulkeutuminen ei palvele enään heidän tarpeitaan. He liikkuvat ja toimivat siellä missä heidän työnsä suorittaminen ja elämänsä täysipainoinen eläminen sitä vaatii. Useimmiten se on turvallisten muurien ulkopuolella, johon vahvimmankaan jousen nuoli ei yllä.

Turvamuuri tarvitaan edelleen, mutta että se vastaisi muuttuneita uhkia, sen on täytynyt siirtyä, muuttua dynaamiseksi ja aineettomaksi. Sen muodostaa tämän päivän maailmassa yrityksen henkilöstö, ei käytetty teknologia. Tervetuloa pois keskiajalta.

torstai 2. joulukuuta 2010

Virtuaaliyleisavain

Pääkäyttäjän tai ylläpitäjän salasana suojaa verkon kaikkein laajimmat käytöoikeudet omaavan käyttäjätunnuksen. Usein kuitenkin juuri tämä salasana kaikkien salasanoihin liittyvien vaatimusten ulkopuolella.

Suurimmalla osalla organisaatioita on nykyisin käytössään jonkin tasoiset käytännöt salasanoihin. Niissä määritellään salasanan vaatimukset, vaihtoväli ja mahdollinen lukkiutuminen väärinkäyttöyrityksissä. Yksi salasana on kuitenkin näiden ulkopuolella - nimittäin se kaikkein laajimmat oikeudet omaava pääkäyttäjän salasana. Usein se on luvattoman heikko, usean henkilön tiedossa ja voimassa lähes ikuisuuden.

Pääkäyttäjän salasanaa kohdellaan huolimattomasti, vaikka sillä päästään käsiksi kaikkiin organisaation tietoihin. Syitä tähän löytyy monia, joista useimmat olisi vältettävissä hyviä hallintatapoja noudattamalla. Pääkäyttäjän salasanaa käytetään usein erilaisten teknisten toimenpiteiden automatisointiin sekä taustajärjestelmien ajamiseen. Salasana on usein tallennettuna niin moneen erilaiseen asetustiedostoon tai ohjelmistoon, etteivät edes ylläpitäjät tiedä kaikkia. Luistaminen näennäisestä rutiinitoimenpiteestä (vaikkakin turvallisuuden kannalta merkittävästä) vain sen vaatiman "inhottavan manuaalisen työn" takia on tietenkin inhimillistä, mutta liiallinen itseluottamus omien työtapojen suhteen voi olla asia josta asiakas maksaa kalliin hinnan. Inhimillisen virheen mahdollisuutta voidaan kuitenkin vähentää hyvällä tietohallinnolla.

Pääkäyttäjän salasanan suojaaminen aloitetaan dokumentoimalla ja ohjeistamalla sen käyttö. Ylläpitävälle henkilöstölle tulee olla erilliset tunnukset, jolloin varsinaista pääkäyttäjän tunnusta ei tarvita. Erilaisiin teknisiin ylläpitotoimiin ja ja ohjelmistojen käyttöön luodaan erilliset tunnukset, joiden oikeudet rajoitetaan tarpeen mukaan. Näillä muutamalla kohtuullisen yksinkertaisella toimenpiteella nostetaan turvallisuuden tasoa merkittävästi.