tiistai 16. lokakuuta 2012

Vuoden 2012 pahimmat tietoturvauhat


Vuosi lähenee loppuaan ja organisaatiomme äänesti tämän vuoden kaksi vaarallisinta ja tuhoisinta asiaa organisaatioiden turvallisuudelle. Vuosi oli tietoturvapuolella rankka ja etenkin kahden kärkinimen osalta. Voittajaa oli niin vaikea selvittää, että ne jakavat nyt ensimmäistä sijaa. Toinen on tietoturvapolitiikka ja toinen on tietoturvasuunnitelma. Jos organisaatiostanne löytyvät nämä, tuhotkaa ne välittömästi ja jäljittäkää se troijan hevonen, jonka mukana nämä madot ovat organisaatioonne kulkeutuneet.

Nyt joku asiaan perehtymätön voi ihmetellä, että eikös nämä ole juuri ne pelastajat? Ja niin kuin aina menestyvät troijalaiset – ilmaiset virustorjuntaohjelmat, rekisterien siivoustyökalut ja muut vastaavat - ne vaikuttavat jopa ystäviltä. Tarkempi tarkastelu paljastaa ne kuitenkin turvallisuusuhiksi. Aloitetaan vaikka luomisprosessista, jolla ne syntyvät. Alkuideaa ei yleensä edes kukaan osaa jäljittää – joskus se on innokas johtohenkilö, joka osallistui vahingossa aikataulumuutosten vuoksi väärään koulutukseen tai sitten asiakas tai päämies, joka haluaa vaan antaa vaikutelman muille, että oma homma olisi kunnossa. Todellisuus alkaa kuitenkin siitä kun joku onneton keskijohtoon kuuluva saa työn pöydälleen.

Homma menee siitä eteenpäin ihan kuin jo tutun pelastussuunnitelman kanssa.

1.     Hikoilet
2.     Yrität välttää aihetta
3.     Pakon edessä soitat tutulle naapuriyhtiöön ja kopioit paperin (ehkä jopa maksat siitä vahingossa konsultille, tuplavirhepisteet!)

Tätä paperia sitten ihastellaan johtoryhmissä, siitä luennoidaan linjajohdolle ja ainakin yksi keskijohtoon kuuluva saa bonuksia ensi jouluna, elleivät ne kuluneet tuplavirhepisteisiin. Henkilöstö haukottelee itsensä unille ja kukaan ei tajua koko paperin syvintä olemusta niin millään. Kaikki ovat ymmärtävinään, onhan se sellaista ”bisnes-hottia” jossa on oltava mukana, vähän kuin erikoiskahvien suodatuksen sielunelämässä. Ja kuten työpaikkaruokalan kahvilaadut vaihtuvat, vaihtuvat nämäkin paperit tärkeämpiin. Papereihin liittyviä suunnitelmia ei koskaan laiteta käytäntöön, niitä ei koskaan mitata, eikä kellään oikein ole aavistustakaan, miten sitä tehtäisiin, koska…

…Siitä se työ olisi vasta alkanut! Tänä päivänä näiden kahden paperin saapuminen painosta on usein turvallisuustyön loppu. Edelleenkään  kukaan ei tiedä mikä on pielessä, millä tasolla olemme ja millaisia riskejä se tarkoittaa toimintamme kannalta. Suurimmaksi osaksi siksi, että suunnitelmat ja politiikat ovat täynnä yleismaailmallista höttöä ja höpinää, koska niitä ei ole alunperinkään suunniteltu juuri oman organisaation käyttöön. Henkilöstö ei tajua niitä, koska ne ovat kuitenkin joko Joensuun tai Tampereen yliopiston suunnitelmien kopioita. Mitä ihmettä niillä tehdasoloissa tehtäisiinkään? Onko se niin ihme, että koko turvallisuustyö pysähtyy siihen.

Turvallisuutta ei voi kopioida. Eikä sitä voi ostaa. Se pitää itse tehdä. Omaan ympäristöön pitää porautua konkreettisella tasolla. Kaivaa se data, johon turvallisuusolettamuksemme perustamme, suunnitella ja panna toimeen ne kontrollit, joilla kuvittelemme väittävämme karikot. Kontrolleja on seurattava, tulokset on tallennettava ja mittareja pitää kehittää niiden perusteella. Ja niin kuin aina, maailmassa menestyvät ne, jotka ovat valmiit pelkäämättä tarttumaan työhön. Kun olet valmis tekemään oikeaa turvallisuutta, soittele!


Ei kommentteja:

Lähetä kommentti