Sekaisen pöydän Post It käyttäjätunnusten hallinta
Jokaisessa verkostossa on aina muutama mikroyritys - isä, poika ja pakki. Micro-yritys, kuten ei pk-yrityskään, ei pysty panostamaan hinnakkaaseen tietoturvajärjestelmään jolla hallita henkilöstön käyttäjätunnuksia ja käyttövaltuuksia. Ilman järjestelmään toimintatapojen rooli korostuu.
Micro-yrityksen tietoturva muistuttaa tuntemattomille merelle purjehtineiden toimintatapaa. Matkan edetessä piirretään karttaa. Reitti ei ole tulevan päämäärän kannalta optimaalinen. Kartta ja valittu reitti kuitenkin tarkentuu ja paranee joka matkalla.
Tietoturvallisuuden kannalta toimintatavassa on monta mahdollista karikkoa.
Yhä useammat micro-yrityksen päivittäin tarvitsemat tietojärjestelmät löytyvät netistä. Niille on hyvin yleistä, että yrityksen ensimmäiselle käyttäjälle luodaan ylläpitäjän oikeudet, jonka sitten tulisi ylläpitää muita tulevia yrityksen käyttäjien tunnuksia.
Tästä seuraa kaksi ongelmaa. Ylläpitäjätunnus liitetään henkilön sähköpostiin ja ensimmäinen käyttäjä ei yleensä ole yrityksen "IT-asioista" huolehtiva.
Sääntö numero 1: Luo ylläpitosähköpostiosoite
Sääntö numero 2: Keskitä ensimmäiset palvelukäytöt IT-asioista huolehtivalle
IT-asioista huolehtivalle kertyy käyttäjätunnuksia ja salasanoja palveluihin. Jos micro-yrityksessä on käytössä MS älypuhelimet ja tietokoneet, niin suosittelen käyttämään Skywallettia. Skywallet kryptaa siihen kirjatut tunnukset ja salasanat ennen pilveen siirtoa. Tunnukset ovat käytettävissä onedriven kautta sekä tietokoneella että älypuhelimessa.
Sääntö numero 3: Säilytä käyttäjätunnukset ja salasanat kryptattuna
Sääntö numero 4: Tulosta käyttäjätunnukset ja salasanat pankkiholviin
Riskinä Skywalletissa on avaimen hukkaaminen. Ilman avainta Skywalletia on mahdoton saada auki. Siksi myös avain tulee kirjata Skywallettiin ja koko kannasta tulostetaan säännöllisesti taulukko paperille. Paperi suljetaan kirjekuoreen ja se toimitetaan yrityksen pankkiholviin.
Käyttäjillä olisi hyvä olla myös käytettävissään skywallet, muuten salasanat tunnuksineen jäävät kierimään Post It lappuina työpöydälle.
keskiviikko 21. tammikuuta 2015
sunnuntai 22. huhtikuuta 2012
Tietojärjestelmän käyttöönotto verkostossa
Tietoturvan perusta rakennetaan tietojärjestelmän käyttöönoton yhteydessä.
Tietoturvassa korostetaan käyttäjien toimintaa. Uuden tietojärjestelmän käyttöönotossa olisikin käyttäjille tuotava selkeästi esille uuden tietojärjestelmän tietoturvan "kipupisteet". Käyttäjät toimivat järkevästi tietoturvan osalta, kunhan heille on kerrottu miksi jokin asia vaatii suojaamista tai mihin tietojärjestelmän käyttövaltuustasot perustuvat.
Tietoturva muistetaan jo kiitettävästi huomioida sovellusta määriteltäessä, mutta kun siirrytään käyttöönottoon, niin koko kouluttamisen painopiste on sovelluksen toimintojen opastamisessa. Tietoturva ohitetaan muutamalla teknisellä asialla.
Tekniset ratkaisut eivät ratkaise tietoturvaa verkostomaisessa toiminnassa. Verkoston käyttäjät kun alkavat kopioida tietojaan omiin järjestelmiin tai luovat päällekkäisiä tiedonhallintajärjestelmiä, oli suojaukset millaisia tahansa. Tiedon kopiointi vaarantaa tietoturvan ja myös luotettavuutta. Pysyykö tieto eheänä, kun sitä talletetaan useampaan paikkaan?
Verkoston tietojärjestelmän käyttöönotossa tietoturva-asioissa korostuu käyttäjien kouluttaminen. Heidät on saatava ymmärtämään tietoturvan rooli verkoston kannalta. Rooli voi poiketa suurestikin verkostoyrityksen omasta toiminnasta, siksi tietoturvalle ja sen prosesseille on annettava "uskottavat selitykset".
Tietoturvassa korostetaan käyttäjien toimintaa. Uuden tietojärjestelmän käyttöönotossa olisikin käyttäjille tuotava selkeästi esille uuden tietojärjestelmän tietoturvan "kipupisteet". Käyttäjät toimivat järkevästi tietoturvan osalta, kunhan heille on kerrottu miksi jokin asia vaatii suojaamista tai mihin tietojärjestelmän käyttövaltuustasot perustuvat.
Tietoturva muistetaan jo kiitettävästi huomioida sovellusta määriteltäessä, mutta kun siirrytään käyttöönottoon, niin koko kouluttamisen painopiste on sovelluksen toimintojen opastamisessa. Tietoturva ohitetaan muutamalla teknisellä asialla.
Tekniset ratkaisut eivät ratkaise tietoturvaa verkostomaisessa toiminnassa. Verkoston käyttäjät kun alkavat kopioida tietojaan omiin järjestelmiin tai luovat päällekkäisiä tiedonhallintajärjestelmiä, oli suojaukset millaisia tahansa. Tiedon kopiointi vaarantaa tietoturvan ja myös luotettavuutta. Pysyykö tieto eheänä, kun sitä talletetaan useampaan paikkaan?
Verkoston tietojärjestelmän käyttöönotossa tietoturva-asioissa korostuu käyttäjien kouluttaminen. Heidät on saatava ymmärtämään tietoturvan rooli verkoston kannalta. Rooli voi poiketa suurestikin verkostoyrityksen omasta toiminnasta, siksi tietoturvalle ja sen prosesseille on annettava "uskottavat selitykset".
lauantai 31. maaliskuuta 2012
Verkoston tietojärjestelmät ja tietoturvan haasteet
Keskitetysti hajautettu sanomavälityksen himmeli…
Verkoston tietojärjestelmät perustuvat yritysten olemassa oleviin tietojärjestelmiin. Harva verkosto on lähtenyt kehittämään tietojärjestelmää suoraan verkostomaiseen toimintaan. Lähes poikkeuksetta yrityksen sisäiseen käyttöön tarkoitettua järjestelmää pyritään laajentamaan verkoston käyttöön.
Asia on tunnistettu myös verkostomaisesti toimivassa julkishallinnossa. Siellä on haettu toimintatapaa, jossa korvataan virastojen tietojärjestelmiä yhteisellä keskitetyllä järjestelmällä. Keskitetyssä järjestelmästä voi pienellä varauksella sanoa, että tietoturva tulee hoidettua paremmin kuin useissa yksittäisissä erillisjärjestelmissä. Keskitetyssä järjestelmässä on kuitenkin huomattavasti isompi työ sitouttaa käyttäjät järjestelmän käyttäjiksi kuin ”viraston omaan tietojärjestelmässä”. Ulkoa annettua on aina syytä epäillä.
Yrityksen tai julkishallinnon lähtiessä suunnittelemaan ”puhtaalta pöydältä” verkoston tietojärjestelmää on yksi keskeinen kysymys tehdäänkö hajautettu vai keskitetty järjestelmä arkkitehtuuri tai luodaanko vain pelisäännöt sanomanvälitykseen.
Hajautettu järjestelmä toimii verkostomaisessa toiminnassa, jos tietoarkkitehtuuri on määritetty samoilla käsitteillä ja järjestelmästä toiseen pääsee siirtymään sujuvasti. Tietoturva edellyttää hyvää yhteistyötä.
Keskitetty järjestelmä on yleisin verkostomaisessa toiminnassa. Järjestelmän tarjoaa yleensä lähinnä asiakasta oleva taho, joka valvoo muiden tekemistä. Tietoturvan kannalta on haaste tiedon kopioituminen keskitetyn järjestelmän ulkopuolelle. Käytettävyyden nimissä tietoa kopioidaan paikallisiin tietojärjestelmiin.
Sanomavälitysjärjestelmään perustuvaa verkoston tietojärjestelmät ovat harvinaisia. Tämä on kuitenkin se suunta, joka tulee jollain aikajaksolla nousemaan. Se mahdollistaa samaan aikaan verkoston tarpeet ja paikallisesti optimoidut tietojärjestelmät. Tietoturvan kannalta haasteet on samat kuin hajautetussakin järjestelmässä lisättynä sanomavälitysjärjestelmän vaatimat tietoturvaratkaisut.
Verkoston tietojärjestelmät perustuvat yritysten olemassa oleviin tietojärjestelmiin. Harva verkosto on lähtenyt kehittämään tietojärjestelmää suoraan verkostomaiseen toimintaan. Lähes poikkeuksetta yrityksen sisäiseen käyttöön tarkoitettua järjestelmää pyritään laajentamaan verkoston käyttöön.
Asia on tunnistettu myös verkostomaisesti toimivassa julkishallinnossa. Siellä on haettu toimintatapaa, jossa korvataan virastojen tietojärjestelmiä yhteisellä keskitetyllä järjestelmällä. Keskitetyssä järjestelmästä voi pienellä varauksella sanoa, että tietoturva tulee hoidettua paremmin kuin useissa yksittäisissä erillisjärjestelmissä. Keskitetyssä järjestelmässä on kuitenkin huomattavasti isompi työ sitouttaa käyttäjät järjestelmän käyttäjiksi kuin ”viraston omaan tietojärjestelmässä”. Ulkoa annettua on aina syytä epäillä.
Yrityksen tai julkishallinnon lähtiessä suunnittelemaan ”puhtaalta pöydältä” verkoston tietojärjestelmää on yksi keskeinen kysymys tehdäänkö hajautettu vai keskitetty järjestelmä arkkitehtuuri tai luodaanko vain pelisäännöt sanomanvälitykseen.
Hajautettu järjestelmä toimii verkostomaisessa toiminnassa, jos tietoarkkitehtuuri on määritetty samoilla käsitteillä ja järjestelmästä toiseen pääsee siirtymään sujuvasti. Tietoturva edellyttää hyvää yhteistyötä.
Keskitetty järjestelmä on yleisin verkostomaisessa toiminnassa. Järjestelmän tarjoaa yleensä lähinnä asiakasta oleva taho, joka valvoo muiden tekemistä. Tietoturvan kannalta on haaste tiedon kopioituminen keskitetyn järjestelmän ulkopuolelle. Käytettävyyden nimissä tietoa kopioidaan paikallisiin tietojärjestelmiin.
Sanomavälitysjärjestelmään perustuvaa verkoston tietojärjestelmät ovat harvinaisia. Tämä on kuitenkin se suunta, joka tulee jollain aikajaksolla nousemaan. Se mahdollistaa samaan aikaan verkoston tarpeet ja paikallisesti optimoidut tietojärjestelmät. Tietoturvan kannalta haasteet on samat kuin hajautetussakin järjestelmässä lisättynä sanomavälitysjärjestelmän vaatimat tietoturvaratkaisut.
tiistai 7. helmikuuta 2012
Verkoston organisaation ja tiedon rakenteet
Yrityksen todellisen toiminnan tunnistaa katsomalla yhteisten
levytilojen rakennetta.
Makrotasolla tiedot pyritään tallentamaan rakenteisiin, jotka vastaavat yrityksen todellisia toimintoja, vaikka yrityksen virallinen hierarkia olisi rakennettu toisin. Mikrotasolla rakenne taas pyrkii monistumaan. Käyttäjät eivät tunnista makrotason rakenteita ja siksi luovat alatasolle ylätason rakenteita.
Makrotasolla tiedot pyritään tallentamaan rakenteisiin, jotka vastaavat yrityksen todellisia toimintoja, vaikka yrityksen virallinen hierarkia olisi rakennettu toisin. Mikrotasolla rakenne taas pyrkii monistumaan. Käyttäjät eivät tunnista makrotason rakenteita ja siksi luovat alatasolle ylätason rakenteita.
Estämällä muutosten tekemisen ylätason kansiorakenteisiin
saadaan luotua yritykselle kulttuuri, jossa suurin osa tiedoista tallennetaan
tietorakenteisiin vain kertaalleen. Ylätason ongelma on yrityksen
organisaatiomuutokset. Jos rakenne luodaan toiminnallisten rakenteiden sijaan
organisaation mukaan, on myös ylätaso jatkuvassa muutoksessa ja vähitellen koko
tietoarkkitehtuuri hajoaa.
Verkostomainen toiminta on tehokas tietorakenteiden vispain.
Verkoston toiminta kulkee matriisimaisesti kapeina ikkunoina läpi yrityksen
tietoarkkitehtuurin. Verkoston käyttäjiltä hämärtyy makrotason
tietoarkkitehtuuri ja he alkavat keksiä uusia tietorakenteita.
Tekniikka mahdollistaa tietorakenteet, joissa yhteen kertaan
tallennettu tieto voidaan sitoa sekä yrityksen makrotason tietorakenteisiin
että verkoston matriisirakenteisiin. Siis tekniikka mahdollistaa. Tietoa
luovilla käyttäjillä on kuitenkin suuria ongelmia hahmottaa tiedon erilaiset
luokitukset yrityksen ja verkoston tietorakenteissa. Toinen, yrityksen tai verkoston, tietorakenteiden määrittelytiedoista on taipumus jäädä
määrittelemättä.
perjantai 25. marraskuuta 2011
Tarkistuslista – insinöörin paras kaveri
Laatu alkaa tarkistuslistasta, myös verkoston tietoturvan
laatu.
Laadun lisäksi tarkistuslistalla voi kuvata
asiakaslähtöisessä verkossa projektin vaatimuksen (asiakkaan tahtotilan)
mukaisen vaatimus- ja toimenpidelistan. Olin konsultoimassa säätiötä, jossa
toiminta perustuu erittäin luottamuksellisiin suhteisiin asiakkaiden kanssa.
Käytännössä heillä verkoston tietoturvan vaatimukset rakentuivat
asiakaskohtaisesti. Teollisuudesta tuttu verkoston tietoturva, jossa
tietoturvan vaatimukset ja toimenpiteet rakentuvat verkoston omistajan
ympärille, ei suoraan soveltunut heille.
Asiakaskohtaisen verkoston tietoturvan voi rakentaa tarkistuslistan
avulla. Asiakkaan kanssa listaa läpikäydessä luodaan tietoturvavaatimukset
verkostolle ja sovitaan tietoturvan toimenpiteet. Tietoturvan tarkistuslista on
laadun lisäksi työkalu kirjata asiakkaan tahtotila projektin tietoturvatasosta.
Asiakkaan kanssa sovittua listaa käytetään projektiin osallistuvien kumppanien
kanssa varmistamaan tietoturvallinen toiminta.
Asiakaskohtainen verkoston tietoturva on erilainen eri
asiakkaiden kohdalla. Samalle toimenpiteelle verkossa on eri vaatimukset.
Teknisillä ratkaisuilla voi pakottaa verkostoa toimimaan eri tavalla eri
asiakkaiden kohdalla. Tekniikka ei kuitenkaan yksin ratkaise asiaa. Ilman
tarkistuslistaa on mahdotonta varmistaa, että verkoston kumppani toimii
asiakaskohtaisesti sovittujen tietoturvavaatimusten ja toimenpiteiden
mukaisesti.
tiistai 15. marraskuuta 2011
Projektisuunnitelma
Onnistuneen projektin takana on hyvän tiimin lisäksi projektisuunnitelma.
Kirjani sai siis projektisuunnitelman. Sivuja projektisuunnitelmassa on seitsemän ja käsiteltävät asiat pääotsikkotasolla ovat:
Hyöty- ja työmäärä arvio kertoi karua kieltä kirjailijan ammatista. Keskimääräisen kirjan painosluvuilla tuntipalkka on luokkaa 2 euroa tunnilta.
Suomen ammattikirjamarkkinat ovat sen verran pienet, että Petteri Järvistä ja muutamaa muuta kirjoittajaa lukuun ottamatta, kirjan kirjoittaminen on vain mukavaa iltapuhdetta television katselun sijaan.
Insinöörinä on mainetta suojellakseen pakko tehdä kirjasta projektisuunnitelma. Oikealle kirjailijalle projektisuunnitelma olisi todennäköisesti samaa kuin luovuuden tuhoaminen.
Kirjani sai siis projektisuunnitelman. Sivuja projektisuunnitelmassa on seitsemän ja käsiteltävät asiat pääotsikkotasolla ovat:
 |
| Projektisuunnitelman kansisivu |
- Kirjan sisältö
- Kirjoitusprosessi
- Työskentelytapa
- Kustantaja
- Markkinointi
- Aikataulu
- Hyöty- ja työmääräarvio
- Laadunvarmistus
- Riskien arviointi
- Allekirjoitukset
Hyöty- ja työmäärä arvio kertoi karua kieltä kirjailijan ammatista. Keskimääräisen kirjan painosluvuilla tuntipalkka on luokkaa 2 euroa tunnilta.
Suomen ammattikirjamarkkinat ovat sen verran pienet, että Petteri Järvistä ja muutamaa muuta kirjoittajaa lukuun ottamatta, kirjan kirjoittaminen on vain mukavaa iltapuhdetta television katselun sijaan.
torstai 3. marraskuuta 2011
Verkoston tietoturvakirja
Olen pitempään pohtinut, että verkoston tietoturvasta tulisi kirjoittaa kirja
pikaoppaan lisäksi. Kerroin ohimennen asiakkaalta tullessa kirjaideasta
Deloitten työkaverilleni Karri Tomulalle. Olimme juuri asiakkaalla käydessä
käsitelleet verkostomaisen toiminnan tietoturva periaatteita ja keskustelleet
muutenkin aiheesta. Karri kiinnostui kirjan kirjoittamisesta ja ehdotti, että
hän voisi osallistua kirjoittamiseen.
Viikonloppuna pohdin asiaan. Yksin kirjoittaessa kirja ei tahdo edetä. Porukassa kirjan kirjoittamiseen tulee ”pakko” ja samalla tulee hoidettua laadunvarmistus. Lauantai-iltana laitoin viestiä Karrille.
-
Yhteistyöehdotuksesi on ok. Kirjoitetaan kirja
ja kirjoitetaan se porukassa. Laadin kirjaprojektille projektisuunnitelman
Verkoston tietoturvablogi keskittyy kirjaprojektin ajaksi lähinnä kertomaan kirjaprojektista. Projektia voi seurata myös Twitteristä aihetunnuksella #VerkostonTietoturvaKirja
maanantai 31. lokakuuta 2011
Verkoston tietoturvasta brändi
Finanssialan yrityksillä on hyvä maine tietoturvan suhteen. Harvempi asiakas epäilee pankin tai eläkevakuutusyhtiön välittävän tietoja muuhun kuin mitä asiakassuhde vaatii. Finanssialalla kokonaisuutena taas on vaikeuksia ylläpitää mainetta hyvästä tietoturvasta.
Toimiala määrittelee paljon millainen mielikuva syntyy yrityksen kyvystä tietoturvan osalta. Yritys voi omalla toiminnallaan vahvistaa tai heikentää toimialalla yleisesti olevaa mielikuvaa. Entä, kun toimitaan verkostomaisesti? Mistä verkoston tietoturvan mielikuva syntyy?
Voisiko verkoston tietoturvasta rakentaa brändiä yrityksen liiketoiminnan tueksi?
Toimiala määrittelee paljon millainen mielikuva syntyy yrityksen kyvystä tietoturvan osalta. Yritys voi omalla toiminnallaan vahvistaa tai heikentää toimialalla yleisesti olevaa mielikuvaa. Entä, kun toimitaan verkostomaisesti? Mistä verkoston tietoturvan mielikuva syntyy?
- Toimialan luotettavuus
- Yrityksen luotettavuus
- Verkoston luotettavuus
torstai 22. syyskuuta 2011
Onko sosiaalinen media tulevaisuuden verkoston käyttäjän tunnistamispalvelu?
Facebook näyttää onnistuvan siinä missä mm Microsoft ei hyvästä
yrityksestä huolimatta onnistunut, kevyempien palvelujen käyttäjien tunnistamispalvelussa.
Useampi mediatalo on lehtien ja radion kommentointisivustoilla siirtynyt
käyttämään Facebook tunnistamista.
Google on huomannut tämän ja lanseeraa omaakin Google+ ”Facebookkiaan” taustalla yleiskäyttöisenä identiteetinhallintapalveluna. Googlen toimitusjohtaja Eric Schmidt haastattelussa asiaa kysyttäessä kommentoi, "So it’s central for Google to have such a service, and that’s what we’re trying to do."
Verkoston rakenne määrää voidaanko sosiaalista mediaa hyödyntää verkoston käyttäjän tunnistamiseen. Tietoturvan kannalta Facebook tunnistaminen on ihan yhtä luotettava kuin muutkin kevyet tunnistamismenettelyt.
Tunnistamismenettely ei kuitenkaan poista käyttövaltuushallinnan järjestelmän tarvetta. Tunnistetutkin käyttäjät on hallittava, ylläpidettävä, poistettava ja raportoitava käyttövaltuuksien osalta.
Google on huomannut tämän ja lanseeraa omaakin Google+ ”Facebookkiaan” taustalla yleiskäyttöisenä identiteetinhallintapalveluna. Googlen toimitusjohtaja Eric Schmidt haastattelussa asiaa kysyttäessä kommentoi, "So it’s central for Google to have such a service, and that’s what we’re trying to do."
Verkoston rakenne määrää voidaanko sosiaalista mediaa hyödyntää verkoston käyttäjän tunnistamiseen. Tietoturvan kannalta Facebook tunnistaminen on ihan yhtä luotettava kuin muutkin kevyet tunnistamismenettelyt.
Tunnistamismenettely ei kuitenkaan poista käyttövaltuushallinnan järjestelmän tarvetta. Tunnistetutkin käyttäjät on hallittava, ylläpidettävä, poistettava ja raportoitava käyttövaltuuksien osalta.
Tilaa:
Blogitekstit (Atom)