keskiviikko 21. tammikuuta 2015

Microyrityksen käyttäjätunnusten hallinta

Sekaisen pöydän Post It käyttäjätunnusten hallinta

Jokaisessa verkostossa on aina muutama mikroyritys - isä, poika ja pakki. Micro-yritys, kuten ei pk-yrityskään, ei pysty panostamaan hinnakkaaseen tietoturvajärjestelmään jolla hallita henkilöstön käyttäjätunnuksia ja käyttövaltuuksia. Ilman järjestelmään toimintatapojen rooli korostuu.

Micro-yrityksen tietoturva muistuttaa tuntemattomille merelle purjehtineiden toimintatapaa. Matkan edetessä piirretään karttaa. Reitti ei ole tulevan päämäärän kannalta optimaalinen. Kartta ja valittu reitti kuitenkin tarkentuu ja paranee joka matkalla.

Tietoturvallisuuden kannalta toimintatavassa on monta mahdollista karikkoa.

Yhä useammat micro-yrityksen päivittäin tarvitsemat tietojärjestelmät löytyvät netistä. Niille on hyvin yleistä, että yrityksen ensimmäiselle käyttäjälle luodaan ylläpitäjän oikeudet, jonka sitten tulisi ylläpitää muita tulevia yrityksen käyttäjien tunnuksia.

Tästä seuraa kaksi ongelmaa. Ylläpitäjätunnus liitetään henkilön sähköpostiin ja ensimmäinen käyttäjä ei yleensä ole yrityksen "IT-asioista" huolehtiva.

Sääntö numero 1: Luo ylläpitosähköpostiosoite
Sääntö numero 2: Keskitä ensimmäiset palvelukäytöt IT-asioista huolehtivalle

IT-asioista huolehtivalle kertyy käyttäjätunnuksia ja salasanoja palveluihin. Jos micro-yrityksessä on käytössä MS älypuhelimet ja tietokoneet, niin suosittelen käyttämään Skywallettia. Skywallet kryptaa siihen kirjatut tunnukset ja salasanat ennen pilveen siirtoa. Tunnukset ovat käytettävissä onedriven kautta sekä tietokoneella että älypuhelimessa.

Sääntö numero 3: Säilytä käyttäjätunnukset ja salasanat kryptattuna
Sääntö numero 4: Tulosta käyttäjätunnukset ja salasanat pankkiholviin

Riskinä Skywalletissa on avaimen hukkaaminen. Ilman avainta Skywalletia on mahdoton saada auki. Siksi myös avain tulee kirjata Skywallettiin ja koko kannasta tulostetaan säännöllisesti taulukko paperille. Paperi suljetaan kirjekuoreen ja se toimitetaan yrityksen pankkiholviin.

Käyttäjillä olisi hyvä olla myös käytettävissään skywallet, muuten salasanat tunnuksineen jäävät kierimään Post It lappuina työpöydälle.

sunnuntai 22. huhtikuuta 2012

Tietojärjestelmän käyttöönotto verkostossa

Tietoturvan perusta rakennetaan tietojärjestelmän käyttöönoton yhteydessä.

Tietoturvassa korostetaan käyttäjien toimintaa. Uuden tietojärjestelmän käyttöönotossa olisikin käyttäjille tuotava selkeästi esille uuden tietojärjestelmän tietoturvan "kipupisteet". Käyttäjät toimivat järkevästi tietoturvan osalta, kunhan heille on kerrottu miksi jokin asia vaatii suojaamista tai mihin tietojärjestelmän käyttövaltuustasot perustuvat.

Tietoturva muistetaan jo kiitettävästi huomioida sovellusta määriteltäessä, mutta kun siirrytään käyttöönottoon, niin koko kouluttamisen painopiste on sovelluksen toimintojen opastamisessa. Tietoturva ohitetaan muutamalla teknisellä asialla.

Tekniset ratkaisut eivät ratkaise tietoturvaa verkostomaisessa toiminnassa. Verkoston käyttäjät kun alkavat kopioida tietojaan omiin järjestelmiin tai luovat päällekkäisiä tiedonhallintajärjestelmiä, oli suojaukset millaisia tahansa. Tiedon kopiointi vaarantaa tietoturvan ja myös  luotettavuutta. Pysyykö tieto eheänä, kun sitä talletetaan useampaan paikkaan?

Verkoston tietojärjestelmän käyttöönotossa tietoturva-asioissa korostuu käyttäjien kouluttaminen. Heidät on saatava ymmärtämään tietoturvan rooli verkoston kannalta. Rooli voi poiketa suurestikin verkostoyrityksen omasta toiminnasta, siksi tietoturvalle ja sen prosesseille on annettava "uskottavat selitykset".

lauantai 31. maaliskuuta 2012

Verkoston tietojärjestelmät ja tietoturvan haasteet

Keskitetysti hajautettu sanomavälityksen himmeli…

Verkoston tietojärjestelmät perustuvat yritysten olemassa oleviin tietojärjestelmiin. Harva verkosto on lähtenyt kehittämään tietojärjestelmää suoraan verkostomaiseen toimintaan. Lähes poikkeuksetta yrityksen sisäiseen käyttöön tarkoitettua järjestelmää pyritään laajentamaan verkoston käyttöön.

Asia on tunnistettu myös verkostomaisesti toimivassa julkishallinnossa. Siellä on haettu toimintatapaa, jossa korvataan virastojen tietojärjestelmiä yhteisellä keskitetyllä järjestelmällä. Keskitetyssä järjestelmästä voi pienellä varauksella sanoa, että tietoturva tulee hoidettua paremmin kuin useissa yksittäisissä erillisjärjestelmissä. Keskitetyssä järjestelmässä on kuitenkin huomattavasti isompi työ sitouttaa käyttäjät järjestelmän käyttäjiksi kuin ”viraston omaan tietojärjestelmässä”. Ulkoa annettua on aina syytä epäillä.

Yrityksen tai julkishallinnon lähtiessä suunnittelemaan ”puhtaalta pöydältä” verkoston tietojärjestelmää on yksi keskeinen kysymys tehdäänkö hajautettu vai keskitetty järjestelmä arkkitehtuuri tai luodaanko vain pelisäännöt sanomanvälitykseen.

Hajautettu järjestelmä toimii verkostomaisessa toiminnassa, jos tietoarkkitehtuuri on määritetty samoilla käsitteillä ja järjestelmästä toiseen pääsee siirtymään sujuvasti. Tietoturva edellyttää hyvää yhteistyötä.

 Keskitetty järjestelmä on yleisin verkostomaisessa toiminnassa. Järjestelmän tarjoaa yleensä lähinnä asiakasta oleva taho, joka valvoo muiden tekemistä. Tietoturvan kannalta on haaste tiedon kopioituminen keskitetyn järjestelmän ulkopuolelle. Käytettävyyden nimissä tietoa kopioidaan paikallisiin tietojärjestelmiin.

Sanomavälitysjärjestelmään perustuvaa verkoston tietojärjestelmät ovat harvinaisia. Tämä on kuitenkin se suunta, joka tulee jollain aikajaksolla nousemaan. Se mahdollistaa samaan aikaan verkoston tarpeet ja paikallisesti optimoidut tietojärjestelmät. Tietoturvan kannalta haasteet on samat kuin hajautetussakin järjestelmässä lisättynä sanomavälitysjärjestelmän vaatimat tietoturvaratkaisut.

tiistai 7. helmikuuta 2012

Verkoston organisaation ja tiedon rakenteet

Yrityksen todellisen toiminnan tunnistaa katsomalla yhteisten levytilojen rakennetta.

Makrotasolla tiedot pyritään tallentamaan rakenteisiin, jotka vastaavat yrityksen todellisia toimintoja, vaikka yrityksen virallinen hierarkia olisi rakennettu toisin. Mikrotasolla rakenne taas pyrkii monistumaan. Käyttäjät eivät tunnista makrotason rakenteita ja siksi luovat alatasolle ylätason rakenteita.

Estämällä muutosten tekemisen ylätason kansiorakenteisiin saadaan luotua yritykselle kulttuuri, jossa suurin osa tiedoista tallennetaan tietorakenteisiin vain kertaalleen. Ylätason ongelma on yrityksen organisaatiomuutokset. Jos rakenne luodaan toiminnallisten rakenteiden sijaan organisaation mukaan, on myös ylätaso jatkuvassa muutoksessa ja vähitellen koko tietoarkkitehtuuri hajoaa.
Verkostomainen toiminta on tehokas tietorakenteiden vispain. Verkoston toiminta kulkee matriisimaisesti kapeina ikkunoina läpi yrityksen tietoarkkitehtuurin. Verkoston käyttäjiltä hämärtyy makrotason tietoarkkitehtuuri ja he alkavat keksiä uusia tietorakenteita.
Tekniikka mahdollistaa tietorakenteet, joissa yhteen kertaan tallennettu tieto voidaan sitoa sekä yrityksen makrotason tietorakenteisiin että verkoston matriisirakenteisiin. Siis tekniikka mahdollistaa. Tietoa luovilla käyttäjillä on kuitenkin suuria ongelmia hahmottaa tiedon erilaiset luokitukset yrityksen ja verkoston tietorakenteissa. Toinen, yrityksen tai verkoston, tietorakenteiden määrittelytiedoista on taipumus jäädä määrittelemättä.

perjantai 25. marraskuuta 2011

Tarkistuslista – insinöörin paras kaveri


Laatu alkaa tarkistuslistasta, myös verkoston tietoturvan laatu.

Laadun lisäksi tarkistuslistalla voi kuvata asiakaslähtöisessä verkossa projektin vaatimuksen (asiakkaan tahtotilan) mukaisen vaatimus- ja toimenpidelistan. Olin konsultoimassa säätiötä, jossa toiminta perustuu erittäin luottamuksellisiin suhteisiin asiakkaiden kanssa. Käytännössä heillä verkoston tietoturvan vaatimukset rakentuivat asiakaskohtaisesti. Teollisuudesta tuttu verkoston tietoturva, jossa tietoturvan vaatimukset ja toimenpiteet rakentuvat verkoston omistajan ympärille, ei suoraan soveltunut heille.

Asiakaskohtaisen verkoston tietoturvan voi rakentaa tarkistuslistan avulla. Asiakkaan kanssa listaa läpikäydessä luodaan tietoturvavaatimukset verkostolle ja sovitaan tietoturvan toimenpiteet. Tietoturvan tarkistuslista on laadun lisäksi työkalu kirjata asiakkaan tahtotila projektin tietoturvatasosta. Asiakkaan kanssa sovittua listaa käytetään projektiin osallistuvien kumppanien kanssa varmistamaan tietoturvallinen toiminta.

Asiakaskohtainen verkoston tietoturva on erilainen eri asiakkaiden kohdalla. Samalle toimenpiteelle verkossa on eri vaatimukset. Teknisillä ratkaisuilla voi pakottaa verkostoa toimimaan eri tavalla eri asiakkaiden kohdalla. Tekniikka ei kuitenkaan yksin ratkaise asiaa. Ilman tarkistuslistaa on mahdotonta varmistaa, että verkoston kumppani toimii asiakaskohtaisesti sovittujen tietoturvavaatimusten ja toimenpiteiden mukaisesti.

tiistai 15. marraskuuta 2011

Projektisuunnitelma

Onnistuneen projektin takana on hyvän tiimin lisäksi projektisuunnitelma.

Insinöörinä on mainetta suojellakseen pakko tehdä kirjasta projektisuunnitelma. Oikealle kirjailijalle projektisuunnitelma olisi todennäköisesti samaa kuin luovuuden tuhoaminen.

Kirjani sai siis projektisuunnitelman. Sivuja projektisuunnitelmassa on seitsemän ja käsiteltävät asiat pääotsikkotasolla ovat:
Projektisuunnitelman kansisivu
  • Kirjan sisältö
  • Kirjoitusprosessi
  • Työskentelytapa
  • Kustantaja
  • Markkinointi
  • Aikataulu
  • Hyöty- ja työmääräarvio
  • Laadunvarmistus
  • Riskien arviointi
  • Allekirjoitukset
Projektisuunnitelmassa on allekirjoitukset kappale, koska projektisuunnitelma on samalla yhteistyösopimus kirjoittajien kesken.

Hyöty- ja työmäärä arvio kertoi karua kieltä kirjailijan ammatista. Keskimääräisen kirjan painosluvuilla tuntipalkka on luokkaa 2 euroa tunnilta.

Suomen ammattikirjamarkkinat ovat sen verran pienet, että Petteri Järvistä ja muutamaa muuta kirjoittajaa lukuun ottamatta, kirjan kirjoittaminen on vain mukavaa iltapuhdetta television katselun sijaan.

torstai 3. marraskuuta 2011

Verkoston tietoturvakirja

Olen pitempään pohtinut, että verkoston tietoturvasta tulisi kirjoittaa kirja pikaoppaan lisäksi. Kerroin ohimennen asiakkaalta tullessa kirjaideasta Deloitten työkaverilleni Karri Tomulalle. Olimme juuri asiakkaalla käydessä käsitelleet verkostomaisen toiminnan tietoturva periaatteita ja keskustelleet muutenkin aiheesta. Karri kiinnostui kirjan kirjoittamisesta ja ehdotti, että hän voisi osallistua kirjoittamiseen.

Viikonloppuna pohdin asiaan. Yksin kirjoittaessa kirja ei tahdo edetä. Porukassa kirjan kirjoittamiseen tulee ”pakko” ja samalla tulee hoidettua laadunvarmistus. Lauantai-iltana laitoin viestiä Karrille.

    Yhteistyöehdotuksesi on ok. Kirjoitetaan kirja ja kirjoitetaan se porukassa. Laadin kirjaprojektille projektisuunnitelman

Verkoston tietoturvablogi keskittyy kirjaprojektin ajaksi lähinnä kertomaan kirjaprojektista. Projektia voi seurata myös Twitteristä aihetunnuksella #VerkostonTietoturvaKirja

maanantai 31. lokakuuta 2011

Verkoston tietoturvasta brändi

Finanssialan yrityksillä on hyvä maine tietoturvan suhteen. Harvempi asiakas epäilee pankin tai eläkevakuutusyhtiön välittävän tietoja muuhun kuin mitä asiakassuhde vaatii. Finanssialalla kokonaisuutena taas on vaikeuksia ylläpitää mainetta hyvästä tietoturvasta.

Voisiko verkoston tietoturvasta rakentaa brändiä yrityksen liiketoiminnan tueksi?

Toimiala määrittelee paljon millainen mielikuva syntyy yrityksen kyvystä tietoturvan osalta. Yritys voi omalla toiminnallaan vahvistaa tai heikentää toimialalla yleisesti olevaa mielikuvaa. Entä, kun toimitaan verkostomaisesti? Mistä verkoston tietoturvan mielikuva syntyy?
  • Toimialan luotettavuus
  • Yrityksen luotettavuus
  • Verkoston luotettavuus
Verkostomaisella toiminnalla itsellään on tietoturvaa heikentävä "kaiku".  Lähtökohta verkoston tietoturvalle tuotteistamiselle liiketoiminnan tueksi on haasteellinen. Helpompaa on brändätä yritys luotetuksi kuin koko verkosto.

torstai 22. syyskuuta 2011

Onko sosiaalinen media tulevaisuuden verkoston käyttäjän tunnistamispalvelu?

Facebook näyttää onnistuvan siinä missä mm Microsoft ei hyvästä yrityksestä huolimatta onnistunut, kevyempien palvelujen käyttäjien tunnistamispalvelussa. Useampi mediatalo on lehtien ja radion kommentointisivustoilla siirtynyt käyttämään Facebook tunnistamista.

Google on huomannut tämän ja lanseeraa omaakin Google+ ”Facebookkiaan” taustalla yleiskäyttöisenä identiteetinhallintapalveluna. Googlen toimitusjohtaja Eric Schmidt haastattelussa asiaa kysyttäessä kommentoi, "So it’s central for Google to have such a service, and that’s what we’re trying to do."

Verkoston rakenne määrää voidaanko sosiaalista mediaa hyödyntää verkoston käyttäjän tunnistamiseen. Tietoturvan kannalta Facebook tunnistaminen on ihan yhtä luotettava kuin muutkin kevyet tunnistamismenettelyt.

Tunnistamismenettely ei kuitenkaan poista käyttövaltuushallinnan järjestelmän tarvetta. Tunnistetutkin käyttäjät on hallittava, ylläpidettävä, poistettava ja raportoitava käyttövaltuuksien osalta.