Tietoturvan perusta rakennetaan tietojärjestelmän käyttöönoton yhteydessä.
Tietoturvassa korostetaan käyttäjien toimintaa. Uuden tietojärjestelmän käyttöönotossa olisikin käyttäjille tuotava selkeästi esille uuden tietojärjestelmän tietoturvan "kipupisteet". Käyttäjät toimivat järkevästi tietoturvan osalta, kunhan heille on kerrottu miksi jokin asia vaatii suojaamista tai mihin tietojärjestelmän käyttövaltuustasot perustuvat.
Tietoturva muistetaan jo kiitettävästi huomioida sovellusta määriteltäessä, mutta kun siirrytään käyttöönottoon, niin koko kouluttamisen painopiste on sovelluksen toimintojen opastamisessa. Tietoturva ohitetaan muutamalla teknisellä asialla.
Tekniset ratkaisut eivät ratkaise tietoturvaa verkostomaisessa toiminnassa. Verkoston käyttäjät kun alkavat kopioida tietojaan omiin järjestelmiin tai luovat päällekkäisiä tiedonhallintajärjestelmiä, oli suojaukset millaisia tahansa. Tiedon kopiointi vaarantaa tietoturvan ja myös luotettavuutta. Pysyykö tieto eheänä, kun sitä talletetaan useampaan paikkaan?
Verkoston tietojärjestelmän käyttöönotossa tietoturva-asioissa korostuu käyttäjien kouluttaminen. Heidät on saatava ymmärtämään tietoturvan rooli verkoston kannalta. Rooli voi poiketa suurestikin verkostoyrityksen omasta toiminnasta, siksi tietoturvalle ja sen prosesseille on annettava "uskottavat selitykset".
sunnuntai, 22. huhtikuuta 2012
lauantai, 31. maaliskuuta 2012
Verkoston tietojärjestelmät ja tietoturvan haasteet
Keskitetysti hajautettu sanomavälityksen himmeli…
Verkoston tietojärjestelmät perustuvat yritysten olemassa oleviin tietojärjestelmiin. Harva verkosto on lähtenyt kehittämään tietojärjestelmää suoraan verkostomaiseen toimintaan. Lähes poikkeuksetta yrityksen sisäiseen käyttöön tarkoitettua järjestelmää pyritään laajentamaan verkoston käyttöön.
Asia on tunnistettu myös verkostomaisesti toimivassa julkishallinnossa. Siellä on haettu toimintatapaa, jossa korvataan virastojen tietojärjestelmiä yhteisellä keskitetyllä järjestelmällä. Keskitetyssä järjestelmästä voi pienellä varauksella sanoa, että tietoturva tulee hoidettua paremmin kuin useissa yksittäisissä erillisjärjestelmissä. Keskitetyssä järjestelmässä on kuitenkin huomattavasti isompi työ sitouttaa käyttäjät järjestelmän käyttäjiksi kuin ”viraston omaan tietojärjestelmässä”. Ulkoa annettua on aina syytä epäillä.
Yrityksen tai julkishallinnon lähtiessä suunnittelemaan ”puhtaalta pöydältä” verkoston tietojärjestelmää on yksi keskeinen kysymys tehdäänkö hajautettu vai keskitetty järjestelmä arkkitehtuuri tai luodaanko vain pelisäännöt sanomanvälitykseen.
Hajautettu järjestelmä toimii verkostomaisessa toiminnassa, jos tietoarkkitehtuuri on määritetty samoilla käsitteillä ja järjestelmästä toiseen pääsee siirtymään sujuvasti. Tietoturva edellyttää hyvää yhteistyötä.
Keskitetty järjestelmä on yleisin verkostomaisessa toiminnassa. Järjestelmän tarjoaa yleensä lähinnä asiakasta oleva taho, joka valvoo muiden tekemistä. Tietoturvan kannalta on haaste tiedon kopioituminen keskitetyn järjestelmän ulkopuolelle. Käytettävyyden nimissä tietoa kopioidaan paikallisiin tietojärjestelmiin.
Sanomavälitysjärjestelmään perustuvaa verkoston tietojärjestelmät ovat harvinaisia. Tämä on kuitenkin se suunta, joka tulee jollain aikajaksolla nousemaan. Se mahdollistaa samaan aikaan verkoston tarpeet ja paikallisesti optimoidut tietojärjestelmät. Tietoturvan kannalta haasteet on samat kuin hajautetussakin järjestelmässä lisättynä sanomavälitysjärjestelmän vaatimat tietoturvaratkaisut.
Verkoston tietojärjestelmät perustuvat yritysten olemassa oleviin tietojärjestelmiin. Harva verkosto on lähtenyt kehittämään tietojärjestelmää suoraan verkostomaiseen toimintaan. Lähes poikkeuksetta yrityksen sisäiseen käyttöön tarkoitettua järjestelmää pyritään laajentamaan verkoston käyttöön.
Asia on tunnistettu myös verkostomaisesti toimivassa julkishallinnossa. Siellä on haettu toimintatapaa, jossa korvataan virastojen tietojärjestelmiä yhteisellä keskitetyllä järjestelmällä. Keskitetyssä järjestelmästä voi pienellä varauksella sanoa, että tietoturva tulee hoidettua paremmin kuin useissa yksittäisissä erillisjärjestelmissä. Keskitetyssä järjestelmässä on kuitenkin huomattavasti isompi työ sitouttaa käyttäjät järjestelmän käyttäjiksi kuin ”viraston omaan tietojärjestelmässä”. Ulkoa annettua on aina syytä epäillä.
Yrityksen tai julkishallinnon lähtiessä suunnittelemaan ”puhtaalta pöydältä” verkoston tietojärjestelmää on yksi keskeinen kysymys tehdäänkö hajautettu vai keskitetty järjestelmä arkkitehtuuri tai luodaanko vain pelisäännöt sanomanvälitykseen.
Hajautettu järjestelmä toimii verkostomaisessa toiminnassa, jos tietoarkkitehtuuri on määritetty samoilla käsitteillä ja järjestelmästä toiseen pääsee siirtymään sujuvasti. Tietoturva edellyttää hyvää yhteistyötä.
Keskitetty järjestelmä on yleisin verkostomaisessa toiminnassa. Järjestelmän tarjoaa yleensä lähinnä asiakasta oleva taho, joka valvoo muiden tekemistä. Tietoturvan kannalta on haaste tiedon kopioituminen keskitetyn järjestelmän ulkopuolelle. Käytettävyyden nimissä tietoa kopioidaan paikallisiin tietojärjestelmiin.
Sanomavälitysjärjestelmään perustuvaa verkoston tietojärjestelmät ovat harvinaisia. Tämä on kuitenkin se suunta, joka tulee jollain aikajaksolla nousemaan. Se mahdollistaa samaan aikaan verkoston tarpeet ja paikallisesti optimoidut tietojärjestelmät. Tietoturvan kannalta haasteet on samat kuin hajautetussakin järjestelmässä lisättynä sanomavälitysjärjestelmän vaatimat tietoturvaratkaisut.
tiistai, 7. helmikuuta 2012
Verkoston organisaation ja tiedon rakenteet
Yrityksen todellisen toiminnan tunnistaa katsomalla yhteisten
levytilojen rakennetta.
Makrotasolla tiedot pyritään tallentamaan rakenteisiin, jotka vastaavat yrityksen todellisia toimintoja, vaikka yrityksen virallinen hierarkia olisi rakennettu toisin. Mikrotasolla rakenne taas pyrkii monistumaan. Käyttäjät eivät tunnista makrotason rakenteita ja siksi luovat alatasolle ylätason rakenteita.
Makrotasolla tiedot pyritään tallentamaan rakenteisiin, jotka vastaavat yrityksen todellisia toimintoja, vaikka yrityksen virallinen hierarkia olisi rakennettu toisin. Mikrotasolla rakenne taas pyrkii monistumaan. Käyttäjät eivät tunnista makrotason rakenteita ja siksi luovat alatasolle ylätason rakenteita.
Estämällä muutosten tekemisen ylätason kansiorakenteisiin
saadaan luotua yritykselle kulttuuri, jossa suurin osa tiedoista tallennetaan
tietorakenteisiin vain kertaalleen. Ylätason ongelma on yrityksen
organisaatiomuutokset. Jos rakenne luodaan toiminnallisten rakenteiden sijaan
organisaation mukaan, on myös ylätaso jatkuvassa muutoksessa ja vähitellen koko
tietoarkkitehtuuri hajoaa.
Verkostomainen toiminta on tehokas tietorakenteiden vispain.
Verkoston toiminta kulkee matriisimaisesti kapeina ikkunoina läpi yrityksen
tietoarkkitehtuurin. Verkoston käyttäjiltä hämärtyy makrotason
tietoarkkitehtuuri ja he alkavat keksiä uusia tietorakenteita.
Tekniikka mahdollistaa tietorakenteet, joissa yhteen kertaan
tallennettu tieto voidaan sitoa sekä yrityksen makrotason tietorakenteisiin
että verkoston matriisirakenteisiin. Siis tekniikka mahdollistaa. Tietoa
luovilla käyttäjillä on kuitenkin suuria ongelmia hahmottaa tiedon erilaiset
luokitukset yrityksen ja verkoston tietorakenteissa. Toinen, yrityksen tai verkoston, tietorakenteiden määrittelytiedoista on taipumus jäädä
määrittelemättä.
perjantai, 25. marraskuuta 2011
Tarkistuslista – insinöörin paras kaveri
Laatu alkaa tarkistuslistasta, myös verkoston tietoturvan
laatu.
Laadun lisäksi tarkistuslistalla voi kuvata
asiakaslähtöisessä verkossa projektin vaatimuksen (asiakkaan tahtotilan)
mukaisen vaatimus- ja toimenpidelistan. Olin konsultoimassa säätiötä, jossa
toiminta perustuu erittäin luottamuksellisiin suhteisiin asiakkaiden kanssa.
Käytännössä heillä verkoston tietoturvan vaatimukset rakentuivat
asiakaskohtaisesti. Teollisuudesta tuttu verkoston tietoturva, jossa
tietoturvan vaatimukset ja toimenpiteet rakentuvat verkoston omistajan
ympärille, ei suoraan soveltunut heille.
Asiakaskohtaisen verkoston tietoturvan voi rakentaa tarkistuslistan
avulla. Asiakkaan kanssa listaa läpikäydessä luodaan tietoturvavaatimukset
verkostolle ja sovitaan tietoturvan toimenpiteet. Tietoturvan tarkistuslista on
laadun lisäksi työkalu kirjata asiakkaan tahtotila projektin tietoturvatasosta.
Asiakkaan kanssa sovittua listaa käytetään projektiin osallistuvien kumppanien
kanssa varmistamaan tietoturvallinen toiminta.
Asiakaskohtainen verkoston tietoturva on erilainen eri
asiakkaiden kohdalla. Samalle toimenpiteelle verkossa on eri vaatimukset.
Teknisillä ratkaisuilla voi pakottaa verkostoa toimimaan eri tavalla eri
asiakkaiden kohdalla. Tekniikka ei kuitenkaan yksin ratkaise asiaa. Ilman
tarkistuslistaa on mahdotonta varmistaa, että verkoston kumppani toimii
asiakaskohtaisesti sovittujen tietoturvavaatimusten ja toimenpiteiden
mukaisesti.
tiistai, 15. marraskuuta 2011
Projektisuunnitelma
Onnistuneen projektin takana on hyvän tiimin lisäksi projektisuunnitelma.
Kirjani sai siis projektisuunnitelman. Sivuja projektisuunnitelmassa on seitsemän ja käsiteltävät asiat pääotsikkotasolla ovat:
Hyöty- ja työmäärä arvio kertoi karua kieltä kirjailijan ammatista. Keskimääräisen kirjan painosluvuilla tuntipalkka on luokkaa 2 euroa tunnilta.
Suomen ammattikirjamarkkinat ovat sen verran pienet, että Petteri Järvistä ja muutamaa muuta kirjoittajaa lukuun ottamatta, kirjan kirjoittaminen on vain mukavaa iltapuhdetta television katselun sijaan.
Insinöörinä on mainetta suojellakseen pakko tehdä kirjasta projektisuunnitelma. Oikealle kirjailijalle projektisuunnitelma olisi todennäköisesti samaa kuin luovuuden tuhoaminen.
Kirjani sai siis projektisuunnitelman. Sivuja projektisuunnitelmassa on seitsemän ja käsiteltävät asiat pääotsikkotasolla ovat:
 |
| Projektisuunnitelman kansisivu |
- Kirjan sisältö
- Kirjoitusprosessi
- Työskentelytapa
- Kustantaja
- Markkinointi
- Aikataulu
- Hyöty- ja työmääräarvio
- Laadunvarmistus
- Riskien arviointi
- Allekirjoitukset
Hyöty- ja työmäärä arvio kertoi karua kieltä kirjailijan ammatista. Keskimääräisen kirjan painosluvuilla tuntipalkka on luokkaa 2 euroa tunnilta.
Suomen ammattikirjamarkkinat ovat sen verran pienet, että Petteri Järvistä ja muutamaa muuta kirjoittajaa lukuun ottamatta, kirjan kirjoittaminen on vain mukavaa iltapuhdetta television katselun sijaan.
torstai, 3. marraskuuta 2011
Verkoston tietoturvakirja
Olen pitempään pohtinut, että verkoston tietoturvasta tulisi kirjoittaa kirja
pikaoppaan lisäksi. Kerroin ohimennen asiakkaalta tullessa kirjaideasta
Deloitten työkaverilleni Karri Tomulalle. Olimme juuri asiakkaalla käydessä
käsitelleet verkostomaisen toiminnan tietoturva periaatteita ja keskustelleet
muutenkin aiheesta. Karri kiinnostui kirjan kirjoittamisesta ja ehdotti, että
hän voisi osallistua kirjoittamiseen.
Viikonloppuna pohdin asiaan. Yksin kirjoittaessa kirja ei tahdo edetä. Porukassa kirjan kirjoittamiseen tulee ”pakko” ja samalla tulee hoidettua laadunvarmistus. Lauantai-iltana laitoin viestiä Karrille.
-
Yhteistyöehdotuksesi on ok. Kirjoitetaan kirja
ja kirjoitetaan se porukassa. Laadin kirjaprojektille projektisuunnitelman
Verkoston tietoturvablogi keskittyy kirjaprojektin ajaksi lähinnä kertomaan kirjaprojektista. Projektia voi seurata myös Twitteristä aihetunnuksella #VerkostonTietoturvaKirja
maanantai, 31. lokakuuta 2011
Verkoston tietoturvasta brändi
Finanssialan yrityksillä on hyvä maine tietoturvan suhteen. Harvempi asiakas epäilee pankin tai eläkevakuutusyhtiön välittävän tietoja muuhun kuin mitä asiakassuhde vaatii. Finanssialalla kokonaisuutena taas on vaikeuksia ylläpitää mainetta hyvästä tietoturvasta.
Toimiala määrittelee paljon millainen mielikuva syntyy yrityksen kyvystä tietoturvan osalta. Yritys voi omalla toiminnallaan vahvistaa tai heikentää toimialalla yleisesti olevaa mielikuvaa. Entä, kun toimitaan verkostomaisesti? Mistä verkoston tietoturvan mielikuva syntyy?
Voisiko verkoston tietoturvasta rakentaa brändiä yrityksen liiketoiminnan tueksi?
Toimiala määrittelee paljon millainen mielikuva syntyy yrityksen kyvystä tietoturvan osalta. Yritys voi omalla toiminnallaan vahvistaa tai heikentää toimialalla yleisesti olevaa mielikuvaa. Entä, kun toimitaan verkostomaisesti? Mistä verkoston tietoturvan mielikuva syntyy?
- Toimialan luotettavuus
- Yrityksen luotettavuus
- Verkoston luotettavuus
torstai, 22. syyskuuta 2011
Onko sosiaalinen media tulevaisuuden verkoston käyttäjän tunnistamispalvelu?
Facebook näyttää onnistuvan siinä missä mm Microsoft ei hyvästä
yrityksestä huolimatta onnistunut, kevyempien palvelujen käyttäjien tunnistamispalvelussa.
Useampi mediatalo on lehtien ja radion kommentointisivustoilla siirtynyt
käyttämään Facebook tunnistamista.
Google on huomannut tämän ja lanseeraa omaakin Google+ ”Facebookkiaan” taustalla yleiskäyttöisenä identiteetinhallintapalveluna. Googlen toimitusjohtaja Eric Schmidt haastattelussa asiaa kysyttäessä kommentoi, "So it’s central for Google to have such a service, and that’s what we’re trying to do."
Verkoston rakenne määrää voidaanko sosiaalista mediaa hyödyntää verkoston käyttäjän tunnistamiseen. Tietoturvan kannalta Facebook tunnistaminen on ihan yhtä luotettava kuin muutkin kevyet tunnistamismenettelyt.
Tunnistamismenettely ei kuitenkaan poista käyttövaltuushallinnan järjestelmän tarvetta. Tunnistetutkin käyttäjät on hallittava, ylläpidettävä, poistettava ja raportoitava käyttövaltuuksien osalta.
Google on huomannut tämän ja lanseeraa omaakin Google+ ”Facebookkiaan” taustalla yleiskäyttöisenä identiteetinhallintapalveluna. Googlen toimitusjohtaja Eric Schmidt haastattelussa asiaa kysyttäessä kommentoi, "So it’s central for Google to have such a service, and that’s what we’re trying to do."
Verkoston rakenne määrää voidaanko sosiaalista mediaa hyödyntää verkoston käyttäjän tunnistamiseen. Tietoturvan kannalta Facebook tunnistaminen on ihan yhtä luotettava kuin muutkin kevyet tunnistamismenettelyt.
Tunnistamismenettely ei kuitenkaan poista käyttövaltuushallinnan järjestelmän tarvetta. Tunnistetutkin käyttäjät on hallittava, ylläpidettävä, poistettava ja raportoitava käyttövaltuuksien osalta.
keskiviikko, 21. syyskuuta 2011
Verkoston palvelun mittaaminen
Tietoturvaan liittyvä palvelun saatavuus on tärkeä tekijä
verkostomaisessa toiminnassa.
Tietojärjestelmät on oltava käytettävissä tai muuten tieto ei liiku eikä työtä voida tehdä.
Tietojärjestelmät on oltava käytettävissä tai muuten tieto ei liiku eikä työtä voida tehdä.
Milloin ongelma on verkoston palvelutuottajan ongelma ja
milloin ei?
Yhteistyökumppanin lähettäessä kymmenien tuhansien eurojen ”venttatunti”
laskun alkaa vipinä tietohallinto-osastolla. Tietohallinto inttää, että
järjestelmät ja tietoliikenne ovat olleet käytettävissä ja liiketoiminta perää
todisteita. On aika siirtyä palvelun mittaamiseen.
Palvelun
käytettävyyttä ei voi mitata pelkästään palvelimen ylläpito aikana. Se pitää
ulottaa yhteistyökumppanin verkkoon saakka. Itselläni on kokemuksia, jossa
Noval Networksin ”NetEye purkit” hajasijoitettiin kumppaniverkostoon.
Keskustelu vaihtui saman tien mutu-pohjalta fakta
pohjaan. Käyttäjien kokemaa
käytettävyyden heikkenemistä purkit eivät poista, mutta ongelma voidaan pikaisesti
paikantaa ja korjata. Palvelu myös suojaa palveluntuottajaa, sillä verkoston
käytettävyysongelmissa toimii sama ”luonnonlaki” kuin helpdeskissäkin.
Suurin osa (käytettävyys)ongelmista johtuu käyttäjän omasta toiminnasta.
Palvelun mittaaminen on aikamoinen kypsyydenosoitus
verkoston hyvistä suhteista. Ilman keskinäistä luottamusta mittaaminen ei
onnistu. Pitää luottaa, että ”purkeilla” mitataan vain palvelun laatua, eikä
mitään muuta.
Operaattoreille mittaaminen on pieni muotoinen painajainen,
koska se paljasta operaattorin verkonhallinnan mokat viipeiden muutoksina.
Tilaa:
Blogitekstit (Atom)