Tarkistuslista – insinöörin paras kaveri

Laatu alkaa tarkistuslistasta, myös verkoston tietoturvan laatu.

Laadun lisäksi tarkistuslistalla voi kuvata asiakaslähtöisessä verkossa projektin vaatimuksen (asiakkaan tahtotilan) mukaisen vaatimus- ja toimenpidelistan. Olin konsultoimassa säätiötä, jossa toiminta perustuu erittäin luottamuksellisiin suhteisiin asiakkaiden kanssa. Käytännössä heillä verkoston tietoturvan vaatimukset rakentuivat asiakaskohtaisesti. Teollisuudesta tuttu verkoston tietoturva, jossa tietoturvan vaatimukset ja toimenpiteet rakentuvat verkoston omistajan ympärille, ei suoraan soveltunut heille.

Asiakaskohtaisen verkoston tietoturvan voi rakentaa tarkistuslistan avulla. Asiakkaan kanssa listaa läpikäydessä luodaan tietoturvavaatimukset verkostolle ja sovitaan tietoturvan toimenpiteet. Tietoturvan tarkistuslista on laadun lisäksi työkalu kirjata asiakkaan tahtotila projektin tietoturvatasosta. Asiakkaan kanssa sovittua listaa käytetään projektiin osallistuvien kumppanien kanssa varmistamaan tietoturvallinen toiminta.

Asiakaskohtainen verkoston tietoturva on erilainen eri asiakkaiden kohdalla. Samalle toimenpiteelle verkossa on eri vaatimukset. Teknisillä ratkaisuilla voi pakottaa verkostoa toimimaan eri tavalla eri asiakkaiden kohdalla. Tekniikka ei kuitenkaan yksin ratkaise asiaa. Ilman tarkistuslistaa on mahdotonta varmistaa, että verkoston kumppani toimii asiakaskohtaisesti sovittujen tietoturvavaatimusten ja toimenpiteiden mukaisesti.

Projektisuunnitelma

Onnistuneen projektin takana on hyvän tiimin lisäksi projektisuunnitelma.

Insinöörinä on mainetta suojellakseen pakko tehdä kirjasta projektisuunnitelma. Oikealle kirjailijalle projektisuunnitelma olisi todennäköisesti samaa kuin luovuuden tuhoaminen.

Kirjani sai siis projektisuunnitelman. Sivuja projektisuunnitelmassa on seitsemän ja käsiteltävät asiat pääotsikkotasolla ovat:

Projektisuunnitelman kansisivu

• Kirjan sisältö
• Kirjoitusprosessi
• Työskentelytapa
• Kustantaja
• Markkinointi
• Aikataulu
• Hyöty- ja työmääräarvio
• Laadunvarmistus
• Riskien arviointi
• Allekirjoitukset

Projektisuunnitelmassa on allekirjoitukset kappale, koska projektisuunnitelma on samalla yhteistyösopimus kirjoittajien kesken.

Hyöty- ja työmäärä arvio kertoi karua kieltä kirjailijan ammatista. Keskimääräisen kirjan painosluvuilla tuntipalkka on luokkaa 2 euroa tunnilta.

Suomen ammattikirjamarkkinat ovat sen verran pienet, että Petteri Järvistä ja muutamaa muuta kirjoittajaa lukuun ottamatta, kirjan kirjoittaminen on vain mukavaa iltapuhdetta television katselun sijaan.

Verkoston tietoturvakirja

Olen pitempään pohtinut, että verkoston tietoturvasta tulisi kirjoittaa kirja pikaoppaan lisäksi. Kerroin ohimennen asiakkaalta tullessa kirjaideasta Deloitten työkaverilleni Karri Tomulalle. Olimme juuri asiakkaalla käydessä käsitelleet verkostomaisen toiminnan tietoturva periaatteita ja keskustelleet muutenkin aiheesta. Karri kiinnostui kirjan kirjoittamisesta ja ehdotti, että hän voisi osallistua kirjoittamiseen.

Viikonloppuna pohdin asiaan. Yksin kirjoittaessa kirja ei tahdo edetä. Porukassa kirjan kirjoittamiseen tulee ”pakko” ja samalla tulee hoidettua laadunvarmistus. Lauantai-iltana laitoin viestiä Karrille.

Yhteistyöehdotuksesi on ok. Kirjoitetaan kirja ja kirjoitetaan se porukassa. Laadin kirjaprojektille projektisuunnitelman

Verkoston tietoturvablogi keskittyy kirjaprojektin ajaksi lähinnä kertomaan kirjaprojektista. Projektia voi seurata myös Twitteristä aihetunnuksella #VerkostonTietoturvaKirja

Verkoston tietoturvasta brändi

Finanssialan yrityksillä on hyvä maine tietoturvan suhteen. Harvempi asiakas epäilee pankin tai eläkevakuutusyhtiön välittävän tietoja muuhun kuin mitä asiakassuhde vaatii. Finanssialalla kokonaisuutena taas on vaikeuksia ylläpitää mainetta hyvästä tietoturvasta.

Voisiko verkoston tietoturvasta rakentaa brändiä yrityksen liiketoiminnan tueksi?

Toimiala määrittelee paljon millainen mielikuva syntyy yrityksen kyvystä tietoturvan osalta. Yritys voi omalla toiminnallaan vahvistaa tai heikentää toimialalla yleisesti olevaa mielikuvaa. Entä, kun toimitaan verkostomaisesti? Mistä verkoston tietoturvan mielikuva syntyy?

• Toimialan luotettavuus
• Yrityksen luotettavuus
• Verkoston luotettavuus

Verkostomaisella toiminnalla itsellään on tietoturvaa heikentävä "kaiku".  Lähtökohta verkoston tietoturvalle tuotteistamiselle liiketoiminnan tueksi on haasteellinen. Helpompaa on brändätä yritys luotetuksi kuin koko verkosto.

Onko sosiaalinen media tulevaisuuden verkoston käyttäjän tunnistamispalvelu?

Facebook näyttää onnistuvan siinä missä mm Microsoft ei hyvästä yrityksestä huolimatta onnistunut, kevyempien palvelujen käyttäjien tunnistamispalvelussa. Useampi mediatalo on lehtien ja radion kommentointisivustoilla siirtynyt käyttämään Facebook tunnistamista.

Google on huomannut tämän ja lanseeraa omaakin Google+ ”Facebookkiaan” taustalla yleiskäyttöisenä identiteetinhallintapalveluna. Googlen toimitusjohtaja Eric Schmidt haastattelussa asiaa kysyttäessä kommentoi, "So it’s central for Google to have such a service, and that’s what we’re trying to do."

Verkoston rakenne määrää voidaanko sosiaalista mediaa hyödyntää verkoston käyttäjän tunnistamiseen. Tietoturvan kannalta Facebook tunnistaminen on ihan yhtä luotettava kuin muutkin kevyet tunnistamismenettelyt.

Tunnistamismenettely ei kuitenkaan poista käyttövaltuushallinnan järjestelmän tarvetta. Tunnistetutkin käyttäjät on hallittava, ylläpidettävä, poistettava ja raportoitava käyttövaltuuksien osalta.

Verkoston palvelun mittaaminen

Tietoturvaan liittyvä palvelun saatavuus on tärkeä tekijä verkostomaisessa toiminnassa.

Tietojärjestelmät on oltava käytettävissä tai muuten tieto ei liiku eikä työtä voida tehdä.

Milloin ongelma on verkoston palvelutuottajan ongelma ja milloin ei?

Yhteistyökumppanin lähettäessä kymmenien tuhansien eurojen ”venttatunti” laskun alkaa vipinä tietohallinto-osastolla. Tietohallinto inttää, että järjestelmät ja tietoliikenne ovat olleet käytettävissä ja liiketoiminta perää todisteita. On aika siirtyä palvelun mittaamiseen.

Palvelun käytettävyyttä ei voi mitata pelkästään palvelimen ylläpito aikana. Se pitää ulottaa yhteistyökumppanin verkkoon saakka. Itselläni on kokemuksia, jossa Noval Networksin ”NetEye purkit” hajasijoitettiin kumppaniverkostoon.

Keskustelu vaihtui saman tien mutu-pohjalta fakta pohjaan.  Käyttäjien kokemaa käytettävyyden heikkenemistä purkit eivät poista, mutta ongelma voidaan pikaisesti paikantaa ja korjata. Palvelu myös suojaa palveluntuottajaa, sillä verkoston käytettävyysongelmissa toimii sama ”luonnonlaki” kuin helpdeskissäkin.

Suurin osa (käytettävyys)ongelmista johtuu käyttäjän omasta toiminnasta.

Palvelun mittaaminen on aikamoinen kypsyydenosoitus verkoston hyvistä suhteista. Ilman keskinäistä luottamusta mittaaminen ei onnistu. Pitää luottaa, että ”purkeilla” mitataan vain palvelun laatua, eikä mitään muuta.

Operaattoreille mittaaminen on pieni muotoinen painajainen, koska se paljasta operaattorin verkonhallinnan mokat viipeiden muutoksina.

Tiedon luottamuksellisuus verkostossa

Ketään ei pääse käsiksi luottamuksellisiin tietoihimme, ei edes käyttäjät..

Verkostomaisessa toiminnassa joutuu painimaan tiedon luottamuksellisuuden kanssa. OP-Pohjolan CISO Erkki Räsänen kommentoi seuraavasti:

"Rakennamme itsellemme sellaista kulttuuria, jossa tarpeeton salassapito perustuu johonkin hassuun tabuun."

Juuri näin on verkostomaisessa toiminnassa. Tabu, jossa oma henkilöstö on luotettavampi kuin verkoston jäsen aiheuttaa tilanteen, että tietoa suojataan verkoston käyttäjiltä eri säännöillä kuin omilta käyttäjiltä. Aivan kuin palkanmaksu tekisi henkilöstä luotettavamman.

Sama "tabu", opittu tapa, ohjaa tiedon luokittelua. Yrityksen sisällä täysin avoin tieto muuttuu erittäin luottamukselliseksi, kun sitä käsittelee verkoston jäsen. Siis se sama tieto, joka on täysin avoimesti kaikkien työntekijöiden saatavilla.

Yrityksen sisällä avoin tieto ei ole sama kuin julkinen tieto. Samoin verkoston sisällä oleva tieto ei ole sama kuin julkinen tieto. Luottamus verkostossa edellyttää, että verkoston jäsenet käsittelevät tietoa samoilla periaatteilla kuin yrityksen työntekijät. Luottamus- ja yhteistyön edellytykset kärsivät verkoston jäsenen toimiessa väärin tiedon käsittelyn suhteen siinä kuin oman henkilöstönkin toimiessa väärin.

Hälyttäminen verkostossa

Osku aiheuttaa harmaita hiuksia vahvuuslaskennassa...

Verkostomainen toiminta luo paineita poikkeustilanteissa henkilöiden tavoittamiseen. Perinteisesti asiaa on hoidettu tehdasalueilla hälytyssummereilla ja ohjaamalla käyttäjät kokoontumispaikoille vahvuuslaskentaa varten. Homma toimii, kunhan on tiedossa ketkä todella ovat tehdasalueella.

Aitaamalla alue yhdessä hyvän kulunvalvonnan kanssa saa aikaan raportin, jolla henkilöiden vahvuuslaskenta onnistuu 100 prosenttisesti, vaikka Osku sattuisikin olemaan hakemassa tavaraa alihankkijan varastosta.

Tekniikalla voidaan nopeuttaa tilanteen käsittelyä. Lähes jokaisella työntekijällä työstä riippumatta on nykyisin matkapuhelin, joko oma tai yrityksen. Hankkimalla palvelu, jossa käyttäjä voi tekstiviestin kautta liittää matkapuhelimen hälytyspalveluun voidaan hälytystietoa saada myös alihankkijan varastolla olevalle Oskulle, joka voi puhelimella kuitata (pois tehdasalueelta) viestillä.

Vastaanottaja omistaa tekstiviestisi

Jälleen kerran törmäsin mielipiteeseen, jossa kirjesalaisuuteen vedoten väitettiin viestin julkaisijan toimivan vastoin Suomen lakia.

Nykyisen oikeuskäytännön mukaan viestin vastaanottaja voi käsitellä saamaansa viestiä miten haluaa. Hän voi luovuttaa sen kolmannelle osapuolella ja antaa luvan julkaista. Tämä on syytä muistaa myös verkoston viestinnässä. Ilman erillistä sopimusta keskusteluilla, puheluilla, sähköposteilla, tekstiviesteillä ja kirjeillä ei ole suojaa muilta kuin tiedon välittämisen osalta.

Viestien julkaisua voi kuitenkin rajoittaa muut lait, kuten tekijänoikeuslaki tai jos viestin katsotaan vaarantavan valtion turvallisuutta.

Verkostolla on oltava pelisäännöt luovutetun materiaalin osalta mutta on hyvä pohtia tai keskustella myös miten verkosto viestii ja mikä on näiden tweet, mese, ocs ym. viestintävälineiden luottamuksellisuuden vaatimukset.

Verkoston tietoturvasivusto on auki jälleen

Verkoston tietoturvasivusto on auki jälleen. Sivuston ulkoasu on vielä pohdinnan alla. Sivustolla on lomakesivu, jonka avulla voi pyytää itselleen verkoston tietoturvan pikaoppaan.

Verkoston tietoturva -sivusto uudistuu

Uudistan www.verkostontietoturva.fi sivustoa. Siksi sekä www.- että blogi.verkostontietoturva.fi osoitteet reitittyvät nyt tähän verkoston tietoturva blogiin.

Uusittu sivu julkaistaan viikon 21 aikana. Sivustolle tulee aikaisemmassakin sivustossa ollut lomakesivu, jolla voi pyytää verkoston tietoturvan pikaoppaan.

Tietoturvaongelman käsittely verkostossa

Luottamus murenee takuuvarmasti piilottelemalla tietoturvaongelmia

Massan ja muutosnopeuden lait toimivat verkostossa.

• Mitä enemmän porukkaa, sitä varmemmin joku hölmöilee.
• Mitä useammin porukka vaihtuu, sitä varmemmin joku hölmöilee.

Molemmat lait täyttyvät kerran vuodessa kesätyöntekijöiden kohdalla. Kerralla tulee paljon porukkaa jonka työsuhde on hyvin lyhytkestoinen. Yrityksissä hyväksytään tilanne, että kesätyöntekijöille sattuu ja tapahtuu. Kesätyöntekijöiden osalta tämä pitääkin hyväksyä, mutta kesätyöntekijän ohjaajien osalta ei.

Innokkaasta joukosta löytyy aina joku, joka tuo omia laitteita verkkoon, asentaa p2p-ohjelmia, lataa isoja määriä ohjelmia työkoneelle tai pahimmillaan testailee ajankulukseen murtautumista tietoihin, joihin hänellä työtehtävien osalta ei ole tarvetta päästä.

Kesätyöntekijälle vakava puhuttelu ja siinä asian käsittely sitten oli. Vai oliko? Verkoston jäsenien luottamukset ovat lujilla, jos heidän tietojärjestelmien logeissa näkyy murtoyrityksiä ja asiaa sylttytehtaasta kysyttäessä selitellään nauraen, että kesätyöntekijä se meillä teki tepposiaan.

Ei näin! Tietoturvaongelmien käsittelyllä on oltava säännöt verkoston osalta siinä kuin yrityksen sisälläkin. Asiasta on syytä sopia jo sopimusvaiheessa. Luonteva paikka sille on verkoston tietoturvapolitiikka.

Pilvipalveluiden käyttöoikeuksien hallinta

Pilvitunnusten hallinta harakoilla?

Pilvipalvelut tulevat yrityksiin. Se on varmaa. Ne ovat nopeita ottaa käyttöön, palvelut skaalautuu pienestä kokeilusta isoihin käyttäjämääriin ja palvelin asennukset jäävät kokonaan pois. Edut ovat niin kiistattomia, että on vaikea nähdä miksi ne eivät valtaisi alaa yritysten liiketoimintaprosesseissa.

Tietoturvan kannalta nopea tarkoittaa useasti samaa kuin turvaton. Näin on pilvipalvelujenkin kanssa. Nopea käyttöönotto merkitsee yleensä oikaisemista käyttäjä- ja käyttöoikeustasojen hallinnassa. Tilit avataan nettiin ja netin kautta palvelut on saatavilla niin koti kuin työkoneiltakin. Kätevää ja turvatonta.

Pilvipalvelut saa käyttövaltuushallinnan kannalta turvallisestikin käyttöön, mutta se tarkoittaa jonkin asteista liitäntää yrityksen AD tai käyttövaltuushallintaan. Verkostomaisessa toiminnassa käyttäjähallinnan saa täysin hanskasta pois, jos verkoston käyttäjät kirjataan suoraan pilvipalveluun. Minimissään on oltava manuaalirekisteri, jonka oikeellisuutta tarkastellaan palvelussa oleviin tunnuksiin ja verkoston sopimustilanteeseen. Verkoston tietoturvasta vastaavilla on tässä tarkastelussa iso rooli.

Pilvipalveluiden käyttövaltuushallinnankin pystyy automatisoimaan. Se kuitenkin edellyttää, että yrityksellä on käytössä käyttövaltuushallintajärjestelmä, joka seuraa henkilöstöhallinnan tilannetta, verkoston käyttöoikeuksia ja sopimusten voimassaoloja.

Puhelinnumerot ja välityspalvelut

Numeropalvelustako on tullut verkostoyrityksen vaihde?

Perinteisellä yrityksellä oli ja on vieläkin oma pbx-vaihde ja omat  puhelinvälittäjät, jotka yhdistävät puheluita oikealle henkilölle. Nykyisin sekä vaihde että puhelinvälittäjät ovat useissa yrityksissä ulkoistettu.

Puhelinvälittäjälle, yrityksen vaihteen numeroon, suoraan soitettu puhelu perustuu yleensä johonkin yrityksen toimintoon tai tehtävään, jonka suorittajaa soittaja ei tiedä. Entä kun toimitaan verkostomaisesti? Ketä silloin osaa yhdistää puhelut oikeille henkilöille toiminteiden mukaan?

Langattomat vaihdepalvelut mahdollistavat verkostonkumppanien matkapuhelimien liittämisen osaksi yrityksen vaihdetta, mutta liittyvä voi olla liitettynä vain yhteen vaihdepalveluun. Tekniikka on osin jäänyt menneisyyden vangiksi.

Sisäiset puhelinluettelot perustuvat yrityksen vaihteen takaisiin numeroihin. Niissä harvemmin aktiivisesti ylläpidetään verkoston puhelinnumeroita. Ulkoistetussa välittäjäpalvelussa henkilöitä on työssä paljon ja he palvelevat useiden yritysten välittäjinä. Yhden yrityksen tai sen verkoston osaamista ei pääse jatkuvassa muutoksessa syntymään. Tietoa on yksinkertaisesti liian paljon. Heidän mahdollisuus palvella hyvin perustuu puhtaasti palvelua ostavan yrityksen kykyyn ylläpitää välittäjälle puhelinluetteloa oheistietoineen.

Alihankkijan alihankkijan alihankkia

Vladim tässä. Tarvitsen tunnukset materiaalijärjestelmään...

Isoissa projekteissa verkottuminen ei pysähdy "ykkökehälle". Myös verkoston jäsenet verkottuvat. Yhden kehän verkostoissa käyttöoikeuksien hallinta voidaan liittää osaksi sopimusta. Sopimuksessa on tilattu työ ja  työlle on määritelty resursseja. Verkoston käyttäjien käyttöoikeuspyynnöt on todennettavissa, koska pyytävän yrityksen henkilön yritys löytyy tilausjärjestelmästä.

Entä kun verkoston alihankkija pyytää oikeuksia?

Lähtökohtana on oletus, että alihankkija pyytää oikeudet siltä yritykseltä, johon hänen yrityksellään on sopimus. Käytännössä pyynnöt kuitenkin tulevat suoraan verkoston "pyramidin" huipulle, jossa tietojärjestelmäkin yleensä sijaitsee. Verkoston "isäntäyritys" ei kuitenkaan tunnista käyttäjäää, eikä hänen yritystään, koska heillä ei ole sopimussuhdetta.

Tietoliikenteen kannalta asian voi ratkaista siten, että etäyhteyksiä verkoston ulkopuolelta ei sallita. Verkoston alihankkijan on siis ensisjaisesti otettava yhteys sopimuskumppanin verkkoon, josta liikenne ohjataan verkoston isäntäyritykseen.

Käyttöoikeudet ja -valtuudet vaativat uutta ajattelua. Oikeuksia on helppo antaa, mutta miten saada automatisoitua käyttöoikeuden poistuminen tai vaihtaminen. Automatisointi kun vaatii, että asia on sidottu johonkin joka määrittää oikeuden. Kuten aikaan, sopimukseen tai projektiin.

Federoinnilla verkostokumppanin alihankkijan käyttövaltuuksien määritteleminen siirretään ykköskehälle. Käyttöoikeudet voi edelleen hallita verkostokumppanin sopimuksen kautta.

Kenen tietoa hillot ja kenen jaat?

Kilpailuetuna tiedonpanttaus?

Verkosto ei kehity, jos hyväksi todettuja toimintatapoja ei saada monistettua verkoston kaikkien käyttäjien käyttöön. Kopionnissa toimintatavan luonnut yritys menettää kilpailuetunsa suhteessa verkoston muihin yrityksiin.

Yrityksillä on käytössä erilaisia innovointien keräysjärjestelmiä. Työntekijöitä aktivoidaan palkkiomenettelyllä kertomaan hyviä ideoita. Miten sama tulisi tehdä verkossa ja haluaako verkoston yritykset edes jakaa "kilpailuetuaan" muiden verkoston yritysten kanssa?

Verkoston, jonkan rakenne perustuu pitkälti halvimpaan hintaan, johtaa väistämättä siihen, että innovoinneista ja hyvistä toimintatavoista ei kerrota verkoston muille jäsenille.

Vaihtoehtona on pitkäaikainen verkostosuhde, jossa yhteistyössä kehitetään toimintaa. Verkoston rakenne ei tässä tapauksessa voi perustua halvimpaan tarjoushintaan. Siinä pitää olla muitakin elementtejä, jotka huomioidaan hankinnan yhteydessä.

Entäpä, jos verkoston vetäjäyritys aktiivisesti alkaisi jakamaan tietoa hyvistä toimintatavoista? Rapauttaisiko se verkoston innovoinnin vai nostaisiko verkostomaisen toiminnan todelliseen nousuun?

Todennäköisesti tapahtuisi molemmat. Se sekä rapauttaisi innovointia että tehostaisi toimintaa. Verkoston tietoturvan kannalta joudutaan pohtimaan lähinnä sitä, mitkä innovoinnit voi verkoston vetäjä jakaa edelleen verkostolle ja mitä tulee pantata verkoston jäsenen kilpailuedun nimissä.

Paperintuhooja on must! Myös verkostossa

Kerran jaettu on ikuisesti tallessa...

Lähes kaikki yritykset muistavat kirjata sopimuksiin lauseen, jossa velvoitetaan joko palauttamaan tai tuhoamaan saatu materiaali. Lause on yleensä hyvin yleisellä tasolla ja periaatteessa kattaa kaiken materiaalin sähköposteista paperidokumentteihin saakka. Verkostomaisessa toiminnassa lause on käytännössä pelkkää ilmaa, jos ei tiedetä mitä tietoa ja missä muodossa se on jaettu.

Verkostomaisessa toiminnassa on syytä pohtia mitkä todella ovat sitä materiaalia, joka on joko palautettava tai tuhottava projektin jälkeen. Palauttamista kun on verrattava toimitettuun listaan. Vain vertaamalla toimitettua listaa palautettuun listaan voidaan varmistaa, että yhteistyökumppani on palauttanut kaiken sovitun materiaalin. Prosessi on sama tuhottavalle materiaalille, jossa yhteistyökumppani tulisi kuittata jokainen dokumentti erikseen tuhotuksi. Mitä vähemmän palautettavaksi tai tuhottavaksi määriteltävää materiaalia on, niin sitä varmemmin prosessi toimii oikein.

Verkoston avainhenkilön menehtyminen

Avaintietämys hukassa....

Työelämän tietosuojalaki antaa pelisäännöt miten toimia estyneen henkilön tietojen osalta. Mutta entä verkostomaisessa toiminnassa? Miten siellä tulisi hoitaa sama asia? Verkoston toiminnan kannalta menehtyneet tai estyneen henkilön tieto voi olla aivan yhtä kriittistä toiminnalle. Ongelmaksi tämä nousee "yhden miehen" verkoston haaroissa.

Verkosto koostuu sekä yksittäisistä henkilöistä että yrityksistä. Teollisuudessa verkostot koostuvat yleensä yrityksistä, mutta konsultoinnin alalla on paljon yksittäisten henkilöiden yhteenliittymiä. Tietoturvan kannalta ajateltu tiedon saatavuus nousee arvoonsa.

Confidentiality, integrity ja availability - eheys ja käytettävyys tai saatavuus



Yksittäisten henkilöiden osallistuessa verkostoimaiseen toimintaan on oltava välineet varmistaa, että tieto on saatavilla myös jos henkilö on estynyt. Käytännössä tämä tarkoittaa, että tiedon lähteelle on päästävä toinen henkilö, jolla on oikeus välittää tarvittava tieto verkostolle tai verkostolla on oltava keskitetty tietojärjestelmä.

Yhden henkilön organisaatioilla ei yleensä ole vahvaa tahtotilaa tallentaa tietoa keskitettyihin järjestelmiin. Tieto yleensä päättyy vain oman tietokoneen kovalevylle ja sieltä korkeintaan ulkoiseen varmuuskopioon. Toiminta muistuttaa yritysten ylimmän johdon toimintaa. Raportit, excellit ja sähköpostit ovat visusti vain omassa kannettavassaan. Ei ole aikaa ja pakottavaa syytä tallenntaa tietoa keskitettyihin järjestelmiin.

Verkoston koostuessa yhden henkilön haaroista on ohjeistuksessa kiinnitettävä huomiota tiedon saatavuuteen poikkeustilanteessa. Tapoja on kaksi. Henkilölle on löydyttävä varahenkilö, jolla on valmiina dokumentti, joka sallii hänen käydä läpi "henkilökohtaiset" tiedostot ja sähköpostit tai sitten kaikki projektin kannalta oleellinen tieto on tallennettava keskitettyyn järjestelmään.

Verkoston asiat sosiaalisessa mediassa

Meidän yhteistyökumppanilla on ongelmia 3D suunnittelujärjestelmän käyttöönoton kanssa.

Verkoston kautta leviävät yritystasolla luottamukselliset tiedot laajemmalle kuin olisi syytä levitä. Tilanne on hieman kaksijakoinen. Hyvin toimiva verkosto kommunikoi aktiivisesti ja avoimesti. Keskustellaan kuin tuttu työyhteisö kahvipöydän ääressä. Vilkkaan ja toivottavankin kommunikoinnin yhteydessä tulisi huolehtia etteivät tiedot leviä verkoston ulkopuolelle.

Tiedon luottamuksellisuus saa sitä vähemmän painoarvoa, mitä suurempi on "etäisyys" tiedon lähteestä. Mitkään sopimukset eivät tunnu muuttavan tätä verkoston "luonnonlakia". Etäisyydellä ei tarkoiteta tässä tapauksessa maantieteellistä etäisyyttä, vaikka silläkin on oma merkityksensä. Etäisyydellä tarkoitetaan henkilöiden lukumäärää, jonka kautta tieto on kulkenut sekä lähteen tunnettavuutta.  Lähteen tunnettavuus muuttaa tilannetta. Henkilökohtaisesti tunnetun henkilön tietojen levittämistä pohditaan pitempään kuin täysin tuntemattoman lähteen tietoja.

Yrityksissä on hyvin erilaisia lähestymistapoja sosiaalisia verkostoja kohtaan. Yrityksissä hyvä sääntö on Suomen Cisco Systemin toimitusjohtajan Esa Korvenmaan usein ottama yleisohje. Kerro sosiaalisessa mediassa vain sellaisia asioita, joita kerrot kun pomo seisoo vierelläsi. Verkoston kohdalla sääntöä pitää hieman kehittää. Oma pomo yksinään ei välttämättä luo sitä luonnollista varovaisuutta verkoston asioista kertomiselle, mikä syntyy pomon läsnä ollessa oman yrityksen asioista kertomisen suhteen.

Sosiaalisia medioita ei uskoakseni voi kieltää verkostolta ilman, että se heikentää verkoston nopealiikkeisyyttä. Verkoston tehokas toimintahan pyrkii siihen, että jokainen yritys toimii omalla kannaltaan tehokkaimmalla tavalla. Joillakin verkoston yrityksillä tämä tarkoittaa sosiaalisten medioiden käyttöä tai ainakin niiden sallimista työtehtävien hoidossa.

Yhtiötasolla luottamuksellinen tieto

Jäänteitä historiasta vai tiedon hallinnan fakta?

Suurin osa yrityksen tiedoista on yhtiötasolla luottamuksellista. Suurimmalta osaltaan myös ne tiedot, jotka käyttäjät luulevat olevan salaisia. Salaiseksi tiedon kirjaaminen kun edellyttäisi myös salaisen tiedon mukaisen käsittelyn. Salainen ei siis ole jotain joka vain leimataan paperiin. Se on myös menettelytapa, miten tietoa käsitellään, kirjataan, rajoitetaan jne.

Yhtiötasolla luottamuksellinen tieto tarkoittaa sitä vapaasti yrityksen henkilöstön käytettävissä olevaa päivittäistä tietoa, joka ei ole tarkoitettu julkisuuteen, mutta jota ei ole erityisesti erillisillä menettelytavoilla suojattu.

Entä, kun yritys toimii verkossa? Onko yritys oikea lähtökohta silloin luottamukselliselle tiedolle? Tulisiko käsite laajentaa myös yhteistyökumppaneita koskevaksi?

Oma käsitykseni on, että yhtiö tasolla luottamuksellinen tieto mielletään henkilöstön osalta laajemmaksi kokonaisuudeksi kuin oma yritys. Ilman erikseen laadittuja ja käyttäjille koulutettuja sääntöjä henkilöstö arvio luottamuksen ulottuvan myös luottamuksen arvoiseen verkostoon.

Luottamuksen arvoinen verkosto on se osa verkostosta, jonka kanssa on tehty pitkään töitä, jonka henkilöstö tunnetaan hyvin ja jotka ovat osallistuneet yhteisen projektin työskentelyyn. Tästä pitää rajata ostopalvelut pois. Pitkäaikaisiakin hankintasuhteita ei yleensä mielletä luottamuksen arvoisiksi, jos ne ovat käyttäjien kannalta myyjä kontakteja.

Verkoston tietoturvassa olisi hyvä mainita yhtiötasolla luottamuksellinen tieto ja sen käsittely. Tiedolla ei saa mennä julkisuuteen, mutta siitä keskustelu yhteistyökumppanin sisällä on turha estää. Eihän tiedosta keskustelua ole erikseen estetty yrityksenkään sisällä. Luottamuksellisuuden arvio jokainen työntekijä omalta kohdaltaan asian esille oton yhteydessä. Pääsääntöisesti aivan oikein. Eli työasioista keskustellaan niiden henkilöiden kanssa joita käsiteltävä asia koskee.

Lisenssien murto- ja hakkerointiohjelmat

Mitä se muille kuuluu miten tai mistä hankimme ohjelmamme? Tehän ostatte lopputuotetta.

Netistä löytyy helposti murrettuja lisenssejä lähes kaikkiin markkinoilla oleviin ohjelmiin. Murrettuja ohjelmia ja lisenssikoodeja ladataan kotikäyttöön ja kotoa niitä eksyy myös työkoneisiin. Murretut lisenssit, cracit, ovat hankalia löytää yrityksen tietokoneista. Vain muutama haittaohjelman suojausohjelma raportoi crackeistä ja murto-ohjelmista. Yksi hyvin raportoivista ohjelmista on TrendMicro. Usein ainoaksi tavaksi jää työsemiin tehtävät ohjelmistoskannaukset ja sen tuloksien vertailu lisenssirekisteriin.

Murrettujen lisenssien saatavuus on niin helppoa, että käyttäjät eivät edes miellä tekevänsä rikollista toimintaa ladatessaan niitä kotikoneelle. Netin ilmaisohjelmat omalta osaltaan vielä hämmentävät soppaa, koska ne luovat illuusiota netin ilmaisesta tarjonnasta. Lisenssiehtoja joutuu lukemaan suurennuslasilla. Osa ilmaisohjelmista kun on ilmaista vain kotikäyttäjille. Kaikki kaupallinen käyttö edellyttää lisenssin ostamista.

Verkoston tietoturvan kannalta on syytä varmistua, että yhteistyökumppaneilla on ymmärrys laittomista ohjelmista. Laittomia ohjelmia löytyy jokaisen yrityksen tietokoneista. Kysymys ei ole siitä, että tietokoneet olisivat 100% puhtaita. Aina joku tuo muistitikulla jonkun "kivan ohjelman" työkoneelle. Asia on hyvällä tolalla, kun verkoston yrityksellä on selkeät säännöt miten laittomien ohjelmien määrä pyritään minimoimaan ja vakiintunut toimintatapa miten asia käsitellään kun niitä löytyy käyttäjän tietokoneelta.

BSA:n palkkiot ovat sitä luokkaa, että ne houkuttavat käräyttämään laittomia ohjelmia käyttävät yritykset. Riittävän näytön pohjalta lopputulos on se, että ulosottomiehet hakevat yrityksen tietokoneet tarkempaan tarkasteluun. Vaikka yrityksen kassa kestäisi laittoman käytön korvaukset ja ohjelmien hankinnat, niin verkostolle päin työ keskeytyy. Tuskin mikään yritys saa lennossa uudet systeemit toimimaan kun tietokoneet on kannettu ovesta ulos. Konkurssiin menneitä esimerkkejä löytyy valitettavasti myös Suomesta.

Kimmo Metso

Porakone, leka ja 3D CAD

Kenen lisensseillä verkosto tekee töitä?

Ohjelmistojen lisenssisopimukset ovat oikea suo. Lisenssien hallinta on hankalaa yritystasolla. Verkoston kohdalla lisenssien hallinnoinnista ja käyttörajoituksista perillä oleminen on jo kirjailija Mäen yksityisetsivän Vareksen tasoista salapoliisityötä. Työtä, jolla ei ole arvattavaa loppua ja ehdot muuttuvat kesken neuvottelujen.

Mitä kalliimpi tietojärjestelmä ja mitä pienempi yhteistyökumppani, niin sitä todennäköisemmin yhteistyösopimukseen kirjataan käyttöoikeus tietojärjestelmään. Pääsääntöisesti voi sanoa, että tekniikka ei estä ohjelmistojen käyttöä etäältä. Aina löytyy tapa hoitaa asia. 3D suunnittelujärjestelmissä, joissa tietoliikenteen kulkuaikaviive vaikuttaa käytettävyyteen voidaan käyttäää ruudun siirtoa (citrix tai vastavaa). Ongelmat liittyvät puhtaasi ohjelmistojen lisenssisopimusten tulkintaan.

Verkostomaisesti toimivan yrityksen etu on, jos lisenssisopimus ei rajoita ohjelmiston käyttöä verkoston ostalta. Lähes poikkeuksetta lisenssiehdot rajaavat käytön vain yrityksen omaan käyttöön. Ohjelmiston hankkinnan yhteydessä tilanteeseen voi vaikuttaa. Minimissään tulee vaatia, että ohjelmistoa saa käyttää kolmas osapuoli yrityksen projektin yhteydessä.Verkoston tietoturvassa on edellytettävä, ettei yhteistyökumppani riko lisenssisopimusta käyttämällä ohjelmaa muihin omiin projekteihinsa.

Kimmo Metso

Verkoston käyttövaltuushallinta

Mihin perustuu käyttöoikeus?

Vastaus on yksinkertainen, sopimukseen. Työntekijän kohdalla se tarkoittaa työsopimusta, jolloin käyttövaltuushallinta hakee käyttöoikeuden henkilöstöjärjestelmästä. Verkoston kohdalla sopimus käsite onkin jo laajempi. Isoissa projekteissa samalla yrityksellä voi olla useamman sopimuksen lisäksi vielä yksittäisen sopimuksen sisälläkin useampi positio, alasopimus. Verkoston työntekijä voi liittyä useampaan sopimukseen tai sopimuksen positioon.

Olenkin ihmetellyt käyttövaltuushallintoja konsultoivien yritysten intoa liittää käyttövaltuushallinta ensisijaisesti henkilöstöjärjestelmään. Itse liittäisin käyttövaltuushallinnan ensisijaisesti sopimusten hallintaan, johon myös työsopimukset voisi viedä. Ongelma on varmasti se, että isoissakin yrityksissä sopimusten hallinta on vielä alkutekijöissään.

Henkilöstöhallintajärjestelmien tietohuolto on useimmissa yrityksissä puutteellista. Käyttövaltuusjärjestelmän vaatiman roolitustietojen perustana olevat työtehtävien määrittelyt ovat ristiriitaisia tai jääneet ajasta jälkeen. Henkilöstöhallintajärjestelmä on kuitenkin nopeampi tie automatisoida käyttövaltuuksien antaminen kuin sopimusten hallintajärjestelmä. Todellinen tilanne taitaa kuitenkin olla se, että suurimmalta osalta yrityksistä ei löydy erillistä sopimusten hallintajärjestelmää. Sopimukset löytyvät mapeista ja excell-taulukoita sekä tilausjärjestelmien riveinä.

Taikasana federointi siirtää vastuun käyttövaltuuksien hallinnoinnista verkoston yhteistyökumppanille. Federointi on yleensä staattinen, toistaiseksi voimassa oleva. Federoinnissa käyttövaltuushallinta on ratkaistu teknisesti, mutta ei liiketoiminnallisesti. Liiketoiminnallisena lähtökohtana tulisi olla sopimus kumppanuudesta, jossa yhtenä palveluna on federointi käyttövaltuuksien osalta. Tekninen ratkaisu on sitten federointi, jonka ehdot ja voimassaolo aika on määritelty sopimuksessa. Sopimusajan umpeutuessa federointikin tulisi päättyä automaattisesti.

Kimmo Metso