Selvitä itsellesi oman organisaatiosi tietoturvajärjestelyt

kirjoittaja

Organisaatioita on monenlaisia

”Organisaatio” voi tässä tarkoittaa erilaisia asioita tilanteen mukaan: työnantajaasi, jos käytät tietokonetta työssäsi; oppilaitostasi, jos käytät sen tietokoneita; Internet-yhteydentarjoajaasi, jos esim. olet kotikäyttäjä. Ota huomioon, että osa sellaisen organisaation tietoturvajärjestelyistä saattaa olla sinua virallisestikin velvoittavia esimerkiksi työsuhteen tai muun tekemäsi sopimuksen perusteella. Jos esimerkiksi käytät kotitietokonettasi työasioihin, niin sinun on otettava huomioon sekä työpaikkasi että Internet-yhteydentarjoajan tietoturvajärjestelyt – tai niiden puute.

On realistista lähteä siitä, että Internet-yhteydentarjoajalta ei ole paljoakaan apua saatavissa, ainakaan asioissa, jotka eivät suoranaisesti liity yhteyden teknisiin kysymyksiin. Yhteydentarjoajat mahdolliset tietoturvasivut kannattaa kuitenkin etsiä ja ainakin vilkaista läpi.

Millaiset turva-asiat on syytä selvittää itselleen?

Tietoturvajärjestelyt voivat koskea esimerkiksi seuraavia asioita:

  1. kehen on otettava yhteys, kun ilmenee tietoturvaongelmia
  2. millaisia salasanojen tulee olla ja miten usein ne on vaihdettava
  3. mitä ohjelmia (esim. viruksentorjuntaohjelmia ja salakirjoitusohjelmia) pitää käyttää ja miten
  4. mitä ohjelmia ei saa käyttää niiden tietoturvariskien takia
  5. millaisia asetuksia (konfigurointeja, settings) ohjelmissa pitää käyttää
  6. mihin tarkoituksiin tietokonetta ja sen eri käyttömuotoja ylipäänsä saa käyttää, esim. millaisia tietoja ei saa lähettää yleisen verkon kuten Internetin kautta
  7. mitä tiedostomuotoja saa käyttää sähköpostissa
  8. millaisia säännöllisiä tarkistuksia ja muita turvatoimia (esim. varmuuskopiointeja) käyttäjien pitää tehdä
  9. minne käyttäjien tulee tallentaa omat tiedostonsa
  10. onko yleinen varmuuskopiointi järjestetty ja miten.

Järjestelyt vaihtelevat, osa voi olla salaista

Turvajärjestelyjen luonne ja yksityiskohtaisuus vaihtelee suuresti. Esimerkkinä osittain varsin yksityiskohtaisista ohjeista voidaan mainita Turun yliopiston tietoturvasivut, joilla on mm. tarkkoja ohjeita suojatoimenpiteistä tietomurtotapauksissa. <http://www.cc.utu.fi/tietoturva/>

Etenkin kaupallisissa yrityksissä tietoturvaan liittyy usein seikkoja, joiden takia sen järjestelyjä ei haluta kertoa julkisesti. Organisaatiosi julkisesti esittämä ei yleensä kerro kaikkea, mikä sen sisällä toimivien tulisi tietää. Sinun on luonnollisestikin varottava kertomasta ulkopuolisille oman organisaatiosi tietoturva-asioista seikkoja, jotka voisivat murtautujan korviin kantauduttuaan olla vaarallisia. Yleensä tämä merkitsee, ettei tavallisen käyttäjän ole syytä kertoa ulkopuolisille niistä mitään; jätä asiantuntijoiden ratkaistavaksi, mitä ulospäin kerrotaan.

Uutena työntekijänä on syytä olla aktiivinen

Parhaassa tapauksessa sinulle kerrotaan tietoturvajärjestelyistä heti aluksi, esimerkiksi työsuhteen alkaessa. Mutta yleisesti ottaen pitää varautua itse selvittämään tällaisia asioita. Jos yhtenäistä kirjoitettua tietoturvapolitiikkaa ohjeineen ei ole, joudut itse etsiskelemään ja kyselemään ohjeita. ”Taloon tuleminen” voi olla juuri oikea tilaisuus tehdä aloite tietoturvaohjeiden kokoamisesta. Mutta ainakin kannattaa esittää esimerkiksi edellä oleva kymmenen kysymyksen lista paikan mikrotukihenkilölle tai vastaavalle ja kirjoittaa vastaukset muistiin.

Noudata niitäkin ohjeita, joiden syitä et (vielä) ymmärrä

Noudata ohjeita, vaikka et aina ymmärtäisi niiden perusteita. Ohjeita ei yleensä tehdä tiukoiksi kiusaamisen tarkoituksessa, vaan niille on omat tekniset perusteensa. Jos sinusta jokin sääntö tuntuu tarpeettomalta, on hyvin mahdollista, että sille silti on painavat perusteet organisaation kannalta.

Paikalliset ohjeet: kaavamainen esimerkki

Paikalliset tietoturvaohjeet voivat olla hyvin lyhyet ja aika tekniset. Ajatuksena ehkä on, että sinun oletetaan tuntevan tietoturvan yleiset perusteet, ja siksi kerrotaan vain paikalliset erityisjärjestelyt niitä täydentämään, ja kenties joitakin yleissääntöjä, joita paikallisen tilanteen takia halutaan erityisesti korostaa.

Paikalliset ohjeet voisivat olla esimerkiksi seuraavanlaiset:

  1. Organisaation sisällä voidaan asiakirjoja lähettää liitetiedostoina, mutta vain RTF-muodossa. Lähettämistä varten tulee siis tallentaa Wordillä tehty asiakirja ”Tallenna nimellä…” -toiminnon kautta RTF-muotoon.
  2. Organisaatiosta ei lähetetä ulospäin sähköpostia missään muussa muodossa kuin pelkkänä tekstinä, ellei vastaanottajien kanssa ole sovittu muusta.
  3. Omat tiedostot tehdään levyasemaan Z, jolle on käytössä automaattinen varmuuskopiointi (muutokset tallentuvat vähintään kerran vuorokaudessa). Tiedostot, joiden halutaan näkyvän muille lähiverkossa, tehdään asemaan Y. Levyasemaan C ei pidä tallentaa mitään, mikä ei ole korvattavissa.
  4. Kaikkiin henkilökohtaisiin tietokoneisiin on valmiiksi asennettuna ja automaattisesti käynnissä viruksentorjuntaohjelma. Päivitykset tehdään keskitetysti. Torjuntaohjelmaa ei tietenkään saa poistaa käytöstä.
  5. Henkilökohtainen tietokone sammutetaan työpäivän päätteeksi.
  6. Tietoturvaan liittyvissä ongelmissa otetaan yhteys ensisijaisesti NN1:een; varamiehenä toimii NN2.

Tee myös ”oma” politiikkasi

Laadi omaa toimintaasi varten oma turvallisuuspolitiikkasi, joka ottaa kantaa asioihin tarkemmin kuin yleiset tai organisaatiokohtaiset ohjeet. Tämä ei tarkoita esimerkiksi työnantajan ohjeet ohittavaa sooloilua vaan sen miettimistä, miten niiden mukainen vähimmäisturva toteutetaan omassa tilanteessa ja mitä turvajärjestelyjä ehkä tarvitaan niiden lisäksi.

Mieti, mitkä riskit ovat hyväksyttäviä, ja noudata sitten linjaasi, ainakin niin, ettet liu’u lepsumpaan suuntaan. Aika ajoin ja etenkin uusien uhkien ilmettyä kannattaa miettiä päätöksiä uudestaan.

Jos tietokonetta käytetään arkaluonteisen tiedon käsittelyyn, voi olla viisasta yksinkertaisesti olla asentamatta mitään tuntemattomasta lähteestä tulevaa ohjelmistoa siihen. ”Ilmainen” ohjelma voi osoittautua kovin kalliiksi!

Jos toisaalta järjestelmää käytetään sekalaisiin tarkoituksiin, esimerkiksi viihteeseen, kirjeenvaihtoon ja kodin kirjanpitoon, voi suhtautua asioihin kevyemmin, mutta toivottavasti ei holtittomasti. Joustavuuden tai mukavuuden takia haluat ehkä ottaa pieniä riskejä siitä, että hankit koneeseen jotain, joka ei ihan ole sitä, miltä se näyttää.

Jos tietokoneella on useita käyttäjiä, on ehkä syytä tehdä järjestelyjä, jotka suojaavat kunkin käyttäjän omat tiedot muilta. Vaikka kyse olisi perheenjäsenistä, ei ehkä kannata ihan kaikessa täysin luottaa kaikkiin. Ja vahinkoja voi aina sattua: joku voi poistaa tärkeän tiedostosi luullen sitä omaksi tarpeettomaksi tiedostokseen, koska sillä oli sama nimi.

Selvitä ennalta, keneltä kysyä apua

Selvitä etukäteen, kehen ottaa yhteyttä, kun tulee isoja turvaongelmia. Kuka on työpaikkasi tai oppilaitoksesi sinua lähin tietoturvahenkilö? Tiedätkö, miten häneen saa nopeimmin yhteyden esimerkiksi matkapuhelimella? Jos käytät yksityistä Internet-yhteydentarjoajaa, selvitä etukäteen, mikä on turva-asioiden kontaktipiste tai neuvontapäivystys.

Kun vahinko on sattunut, sinulla on muutakin tekemistä kuin haeskella oikeaa paperia. Pidä siis yhteystiedot sekä verkossa että paikallisesti tallessa niin, että löydät ne helposti.

Kannattaa myös yrittää esimerkiksi muilta käyttäjiltä kyselemällä selvittää, millaista palvelun tasoa voi odottaa. Usein palvelut ovat hyvin ruuhkaisia. Ainakin työpaikalla on hyvä tietää myös toiseksi lähin tietoturvahenkilö ja koko organisaation tietoturvavastaava.

Vastaa nyt mielessäsi seuraavaan kysymykseen: Jos juuri nyt sattuisi jokin todella vakava tietoturvaongelma, tietäisitkö heti, kehen otat yhteyttä ja miten? Muista, että olisi ehkä mahdotonta tai erittäin riskialtista käyttää yhteydenottoon normaalia sähköpostin lähettämisen tapaasi. Entä tiedätkö, mitä tehdä, jos kyseinen henkilö ei nyt olekaan tavattavissa ja tiedostosi tuhoutuvat yksi kerrallaan tai haittaohjelma lähettää itseään kaikille osoiteluettelossasi oleville?

Kohti parempaa tietoturvaa

Tietoturvan tavoitteena on tila, jossa nykyaikaista tekniikkaa voidaan käyttää tietojen keräämiseen, käsittelyyn ja siirtämiseen niin, että tiedot säilyvät ja pysyvät oikeina ja ovat käytettävissä silloin kun tarvitaan, mutta vain niihin oikeutettujen saatavilla. Erityisen tärkeää on huolehtia tästä sellaisten tietojen osalta, joita käytetään päätöksentekoon tai erilaisten järjestelmien toiminnan ohjaamiseen.

Tietoturvaan tarvitaan hyvin monenlaisia järjestelyjä ja tekniikoita, mutta myös laajaa yhteistyötä ihmisten ja organisaatioiden kesken. Ketju on yhtä heikko kuin sen heikoin lenkki, ja heikoin lenkki on hyvin usein niin sanottu tavallinen käyttäjä, jolle kukaan ei ole kertonut, mitä hänen pitäisi tehdä. Siksi se, että tavallinen käyttäjä hoitaa oman osuutensa ja ehkä vielä opastaa kaveriaankin, on usein suurin tehtävissä oleva parannus tietoturvaan.

Jätä kommentti