keskiviikko 23. marraskuuta 2016

Mitä tiedät ja missä se on?

Onko enää mahdollista tietää, mitä kaikkea organisaatio tietää? Ja osaavatko organisaatiot enää kertoa, missä tämä tieto sijaitsee? Yllätyksiä harvoin tulee sellaisen tiedon osalta, jota käytetään päivittäin ja jonka tuottamiseen on käytetty yhdessä aikaa. Yllätyksiä tulee usein siitä, mitä ei tiedetty tietävämme ja etenkin silloin, kun se löytyy väärästä paikasta.

Tietoa on kaikenlaista, mutta haluan tässä kiinnittää huomiota kahteen tyyppiin, joita kokemuksemme mukaan organisaatioista löytyy "kutsumattomana vieraana".

Ensimmäinen laji tietoa, joka on joskus haluttu kerätä tai tuottaa, mutta jonka käyttötarkoitus tai tarve käytölle on päättynyt. Tämä johtaa usein siihen, että kyseisen tiedon tietosäilöt ja käsittely unohdetaan. Koska kukaan ei käytä sitä, siitä tulee helposti jonnekin "levyn nurkalle unohdettu" palanen, joka vaan kulkee mukana. Se voi olla edelleen arvokasta organisaation kannalta, mutta samasta asiasta löytyy jo päivitetyt versiot uusilla dokumenttipohjilla uudessa dokumentinhallintajärjestelmässä.

Tällaisella tiedolla on tapana myös kertautua. Sitä ei haluta hävittää, koska se on joskus ollut tai on yhä tärkeää. Sen vuoksi siitä on jo yhdellä varmuuskopiollakin 7 erilaista versiota eri paikasta. Pahinta kaikessa on se, että tällainen tieto on helposti kaikkein huonoiten suojattua. Se voi johtua käytännön syistä: se voi olla tuotettu esimerkiksi aikana, jolloin suojaustoimia ei tehty tai ollut olemassa. Tai kuten tavallista, sen olemassaoloa ei kukaan enää muista. Niinpä sen tietosäilöjäkään ei muisteta ottaa huomioon ympäristöä kehitettäessä.

Se toinen laji tietoa on se, jota ei ole koskaan alun perin haluttukaan organisaatioon, mutta joidenkin yksilöiden tavoitteiden ja päätösten vuoksi se on sinne päätynyt. Tähän kategoriaan menee työntekijöiden ja usein vastuuhenkilöiden organisaatioon tuoma tieto. Se voi olla muualta tuotua tai hankittua taustamateriaalia oman kehityksen tueksi. Se voi olla hyviä ideoita oman toiminnan tueksi koulutuksista muualta. Tai hienoja kehitysajatuksia tuotekehityspuolen todella onnistuneesta kehityspäivästä. Useimmiten se on pornoservereitä, peliservereitä, roskapostittajia tai muita kyseenalaisia alustoja, joita perustelevat ne organisaation työntekijät, jotka uskovat kaiken olevan yhteistä. Sanomattakin selvää, kuka kantaa viime kädessä vastuun sellaisen löytymisestä. Mutta vielä haitallisempaa voisi olla sen tuotekehityspäivän idealaatikon sisällön vuotaminen ulos...


Seurauksena...

Lopputulos yrittäjälle voi olla, että olet vastuussa laittoman tai laittomasti hankitun tiedon vuotamisesta, etkä edes tiennyt sen olemassaolosta. Tai lainvastaisesta, vaikkakin laillisesti hallussa olevan tiedon käsittelystä. Uusi tietosuoja-asetus ja monet NDA-sopimukset moneen suuntaan, eivät helpota.


Miten korjaan ?
On siis selvää, että omien tietosäilöjen ja tieto-omaisuuden inventointi on enemmän kuin suositeltavaa ajoittain. Tässä kannattaa käyttää apuna myös asiantuntijaa, jolla on riittävät työkalut ympäristön analysointiin. Tänä päivänä moni tiedonpalanen ei ole välttämättä muuta kuin valon eri aallonpituuksia näytöllä. Tietoa on pilvessä, omalla koneella, mobiilissa, puhelimen ekosysteemitoimittajan pilvessä, ostetuilla serverialustoilla, itse ylläpidetyillä palvelimilla, työasemilla, kannettavilla, tableteilla ja niissä mobiililaitteissa. Kartoitus ilman kokonaisvaltaista automatiikkaa ja kunnon työkaluja on ikävä kyllä ihan mahdotonta. Me käytämme apuna avoimesti saatavilla olevien järjestelmien lisäksi rikostutkinnassa käytettyjä menetelmiä ja alustoja, joilla kokonaiskuvan ja riittävän syvällisen analyysin tuottaminen on helppoa ja kustannustehokasta.

Kerran kunnolla tehty tietoaineiston inventointi antaa pitkälle hyvät yöunet!

perjantai 4. marraskuuta 2016

Tietoturva-ajatuksia ja golfia

Mitä tietoturva tarkoittaa yrityksessäsi?

  • virustorjunta?
  • palomuuri?
  • kassakaappi?
  • kameravalvonta?
  • salasanat?

Useimmiten tietoturva on “kunnossa” kun virustorjunta ja palomuuri on ajan tasalla - NÄIN AINAKIN AJATELLAAN.

Riippuen toki yrityksestä tämäkin joskus riittää, mutta usein nämä kaksi asiaa ei tee yrityksestäsi vielä tietoturvallista. Ajatellaan, että koneet ja laitteet asiallisine ohjelmistoineen ja komponentteineen tekee yrityksestä tietoturvallisen.

Ajatellaampa asiaa nyt toisesta kulmasta. Mikäli golflyönti ei onnistu niin katsotaan mailan lapaan tai syytetään kulunutta grippiä ja unohdetaan katsoa itse mailasta pitävää yksilöä. Sama pätee koneisiin ja laitteisiin. Esimerkin taustalla on kuitenkin se, että me yksilöt niitä koneita ja laitteita käytämme; tavalla tai toisella.

Miten me yksilöt toimimme laitteiden kanssa julkisilla paikoilla, miten itse tiedämme / tunnistamme tietoturvaan liittyvät riskit yrityksessämme ja mikä tärkeintä, miten ennaltaehkäistä ettei tilanteita pääse tulemaan. “Kyllä MINÄ tiedän, miten toimia tietoturvallisesti koneiden kanssa, koska meille on tehty tietoturvaohje”, sanoi eräs toimitusjohtaja. Hyvä niin, mutta tietääkö muu henkilöstösi miten toimia ja ennaltaehkäistä riskitilanteita (varsinkin ne liikkuvat “myyntitykit”)?

Meillä ihmisillä on tapana olettaa asioita. Oletamme, että kerran tehty tietoturvaohje on luettu ja on koko henkilöstön tiedossa. Väitän, että usein ei näin ole. Väitän myös, että tietoturvaohjeistusta ei useimmissa tapauksissa ole käyty yhteisesti läpi vaan sen tulee jokaisen itse lukea vaikkapa kahvitunnilla. Väitän myöskin, että kerran tehty ohjeistus on jää usein päivittämättä ajan saatossa, vaikka toiminnot muutoin muuttuvat. Olenko väärässä? Oletan etten ole.

Laitetaampas vielä loppuun yksi golfiin liittyvä mielikuva, koska blogin otsikkokin sitä vaatii (perustuu tositapahtumiin).

Joka kerta ajellessani golfkentälle käyn mielessäni läpi ajatuksia tulevasta pelistä. Lyön perusvarmoja lyöntejä enkä ota turhia riskejä pelissäni. Tällä simppelillä kaavalla kuvittelen nakuttelevani kentän sen ihannetulokseen tai ainakin sen tuntumaan.

Otan työkalut pois auton perästä ja astelen itseluottamusta uhkuen ensimmäiselle lyöntipaikalle. Muutama harjoituslyönti ja putti lämmittelyksi, jonka jälkeen olen valmis toteuttamaan suunnitelmaani. Ykköstiillä vakuuttava katse horisonttiin (niin kuin ne ammattilaisetkin tekee), mailan heilautus, hyvä kontakti palloon ja loppuasento kuin telkkarissa. Pallo kentän rajojen ulkopuolelle näyttävässä kaaressa. Kysyvä katse pelikavereihin. - Saisinkohan lyödä avauslyöntini uudelleen, ilman rangaistusta? Ilmeet pelikavereille on sen näköiset etten saa. Kolmas lyönti lähtee tiiauspaikalta. Tällä lyönnillä on korvattava edellinen huono lyönti. Tällään niin lujaa kuin lavoista lähtee. Tämän täytyy lentää pitkälle. Pallo lentää hiekkaesteeseen ja sen myötä ensimmäiselle väylälle tuloskorttiin merkataan 4 lyöntiä enemmän, mitä olin autossa suunnitellut. Tunnen kuinka verisuonet räjähtelee päässä, kun ajattelen, että tämäpä lähti mukavasti liikkeelle. Enää ei tarvitse päristä kuin neljä tuntia kentällä!! Nautinnollisen nelituntisen jälkeen on mahtavaa palata kotiin kiukkuisena, nälkäisenä ja väsyneenä. Aamuksi vielä töihin. Tyypillistä harrastelijagolfarin arkea.

Niin ja se lopputulos. Mailojen vika. Ja kentän. Ei minun.

Summa summarum: Uskalla katsoa välillä peiliin. Uskalla tunnustaa tosiasiat ja pyytää osaavalta henkilöltä apua. Tämä toimii hyvin niin vapaa-ajalla kuin työelämässäkin.

***
Matias Lampinen
Opsec Oy