Jäänteitä historiasta vai tiedon hallinnan fakta?
Suurin osa yrityksen tiedoista on yhtiötasolla luottamuksellista. Suurimmalta osaltaan myös ne tiedot, jotka käyttäjät luulevat olevan salaisia. Salaiseksi tiedon kirjaaminen kun edellyttäisi myös salaisen tiedon mukaisen käsittelyn. Salainen ei siis ole jotain joka vain leimataan paperiin. Se on myös menettelytapa, miten tietoa käsitellään, kirjataan, rajoitetaan jne.
Yhtiötasolla luottamuksellinen tieto tarkoittaa sitä vapaasti yrityksen henkilöstön käytettävissä olevaa päivittäistä tietoa, joka ei ole tarkoitettu julkisuuteen, mutta jota ei ole erityisesti erillisillä menettelytavoilla suojattu.
Entä, kun yritys toimii verkossa? Onko yritys oikea lähtökohta silloin luottamukselliselle tiedolle? Tulisiko käsite laajentaa myös yhteistyökumppaneita koskevaksi?
Oma käsitykseni on, että yhtiö tasolla luottamuksellinen tieto mielletään henkilöstön osalta laajemmaksi kokonaisuudeksi kuin oma yritys. Ilman erikseen laadittuja ja käyttäjille koulutettuja sääntöjä henkilöstö arvio luottamuksen ulottuvan myös luottamuksen arvoiseen verkostoon.
Luottamuksen arvoinen verkosto on se osa verkostosta, jonka kanssa on tehty pitkään töitä, jonka henkilöstö tunnetaan hyvin ja jotka ovat osallistuneet yhteisen projektin työskentelyyn. Tästä pitää rajata ostopalvelut pois. Pitkäaikaisiakin hankintasuhteita ei yleensä mielletä luottamuksen arvoisiksi, jos ne ovat käyttäjien kannalta myyjä kontakteja.
Verkoston tietoturvassa olisi hyvä mainita yhtiötasolla luottamuksellinen tieto ja sen käsittely. Tiedolla ei saa mennä julkisuuteen, mutta siitä keskustelu yhteistyökumppanin sisällä on turha estää. Eihän tiedosta keskustelua ole erikseen estetty yrityksenkään sisällä. Luottamuksellisuuden arvio jokainen työntekijä omalta kohdaltaan asian esille oton yhteydessä. Pääsääntöisesti aivan oikein. Eli työasioista keskustellaan niiden henkilöiden kanssa joita käsiteltävä asia koskee.
perjantai 28. tammikuuta 2011
torstai 20. tammikuuta 2011
Lisenssien murto- ja hakkerointiohjelmat
Mitä se muille kuuluu miten tai mistä hankimme ohjelmamme? Tehän ostatte lopputuotetta.
Netistä löytyy helposti murrettuja lisenssejä lähes kaikkiin markkinoilla oleviin ohjelmiin. Murrettuja ohjelmia ja lisenssikoodeja ladataan kotikäyttöön ja kotoa niitä eksyy myös työkoneisiin. Murretut lisenssit, cracit, ovat hankalia löytää yrityksen tietokoneista. Vain muutama haittaohjelman suojausohjelma raportoi crackeistä ja murto-ohjelmista. Yksi hyvin raportoivista ohjelmista on TrendMicro. Usein ainoaksi tavaksi jää työsemiin tehtävät ohjelmistoskannaukset ja sen tuloksien vertailu lisenssirekisteriin.
Murrettujen lisenssien saatavuus on niin helppoa, että käyttäjät eivät edes miellä tekevänsä rikollista toimintaa ladatessaan niitä kotikoneelle. Netin ilmaisohjelmat omalta osaltaan vielä hämmentävät soppaa, koska ne luovat illuusiota netin ilmaisesta tarjonnasta. Lisenssiehtoja joutuu lukemaan suurennuslasilla. Osa ilmaisohjelmista kun on ilmaista vain kotikäyttäjille. Kaikki kaupallinen käyttö edellyttää lisenssin ostamista.
Verkoston tietoturvan kannalta on syytä varmistua, että yhteistyökumppaneilla on ymmärrys laittomista ohjelmista. Laittomia ohjelmia löytyy jokaisen yrityksen tietokoneista. Kysymys ei ole siitä, että tietokoneet olisivat 100% puhtaita. Aina joku tuo muistitikulla jonkun "kivan ohjelman" työkoneelle. Asia on hyvällä tolalla, kun verkoston yrityksellä on selkeät säännöt miten laittomien ohjelmien määrä pyritään minimoimaan ja vakiintunut toimintatapa miten asia käsitellään kun niitä löytyy käyttäjän tietokoneelta.
BSA:n palkkiot ovat sitä luokkaa, että ne houkuttavat käräyttämään laittomia ohjelmia käyttävät yritykset. Riittävän näytön pohjalta lopputulos on se, että ulosottomiehet hakevat yrityksen tietokoneet tarkempaan tarkasteluun. Vaikka yrityksen kassa kestäisi laittoman käytön korvaukset ja ohjelmien hankinnat, niin verkostolle päin työ keskeytyy. Tuskin mikään yritys saa lennossa uudet systeemit toimimaan kun tietokoneet on kannettu ovesta ulos. Konkurssiin menneitä esimerkkejä löytyy valitettavasti myös Suomesta.
Kimmo Metso
Netistä löytyy helposti murrettuja lisenssejä lähes kaikkiin markkinoilla oleviin ohjelmiin. Murrettuja ohjelmia ja lisenssikoodeja ladataan kotikäyttöön ja kotoa niitä eksyy myös työkoneisiin. Murretut lisenssit, cracit, ovat hankalia löytää yrityksen tietokoneista. Vain muutama haittaohjelman suojausohjelma raportoi crackeistä ja murto-ohjelmista. Yksi hyvin raportoivista ohjelmista on TrendMicro. Usein ainoaksi tavaksi jää työsemiin tehtävät ohjelmistoskannaukset ja sen tuloksien vertailu lisenssirekisteriin.
Murrettujen lisenssien saatavuus on niin helppoa, että käyttäjät eivät edes miellä tekevänsä rikollista toimintaa ladatessaan niitä kotikoneelle. Netin ilmaisohjelmat omalta osaltaan vielä hämmentävät soppaa, koska ne luovat illuusiota netin ilmaisesta tarjonnasta. Lisenssiehtoja joutuu lukemaan suurennuslasilla. Osa ilmaisohjelmista kun on ilmaista vain kotikäyttäjille. Kaikki kaupallinen käyttö edellyttää lisenssin ostamista.
Verkoston tietoturvan kannalta on syytä varmistua, että yhteistyökumppaneilla on ymmärrys laittomista ohjelmista. Laittomia ohjelmia löytyy jokaisen yrityksen tietokoneista. Kysymys ei ole siitä, että tietokoneet olisivat 100% puhtaita. Aina joku tuo muistitikulla jonkun "kivan ohjelman" työkoneelle. Asia on hyvällä tolalla, kun verkoston yrityksellä on selkeät säännöt miten laittomien ohjelmien määrä pyritään minimoimaan ja vakiintunut toimintatapa miten asia käsitellään kun niitä löytyy käyttäjän tietokoneelta.
BSA:n palkkiot ovat sitä luokkaa, että ne houkuttavat käräyttämään laittomia ohjelmia käyttävät yritykset. Riittävän näytön pohjalta lopputulos on se, että ulosottomiehet hakevat yrityksen tietokoneet tarkempaan tarkasteluun. Vaikka yrityksen kassa kestäisi laittoman käytön korvaukset ja ohjelmien hankinnat, niin verkostolle päin työ keskeytyy. Tuskin mikään yritys saa lennossa uudet systeemit toimimaan kun tietokoneet on kannettu ovesta ulos. Konkurssiin menneitä esimerkkejä löytyy valitettavasti myös Suomesta.
Kimmo Metso
perjantai 14. tammikuuta 2011
Porakone, leka ja 3D CAD
Kenen lisensseillä verkosto tekee töitä?
Ohjelmistojen lisenssisopimukset ovat oikea suo. Lisenssien hallinta on hankalaa yritystasolla. Verkoston kohdalla lisenssien hallinnoinnista ja käyttörajoituksista perillä oleminen on jo kirjailija Mäen yksityisetsivän Vareksen tasoista salapoliisityötä. Työtä, jolla ei ole arvattavaa loppua ja ehdot muuttuvat kesken neuvottelujen.
Mitä kalliimpi tietojärjestelmä ja mitä pienempi yhteistyökumppani, niin sitä todennäköisemmin yhteistyösopimukseen kirjataan käyttöoikeus tietojärjestelmään. Pääsääntöisesti voi sanoa, että tekniikka ei estä ohjelmistojen käyttöä etäältä. Aina löytyy tapa hoitaa asia. 3D suunnittelujärjestelmissä, joissa tietoliikenteen kulkuaikaviive vaikuttaa käytettävyyteen voidaan käyttäää ruudun siirtoa (citrix tai vastavaa). Ongelmat liittyvät puhtaasi ohjelmistojen lisenssisopimusten tulkintaan.
Verkostomaisesti toimivan yrityksen etu on, jos lisenssisopimus ei rajoita ohjelmiston käyttöä verkoston ostalta. Lähes poikkeuksetta lisenssiehdot rajaavat käytön vain yrityksen omaan käyttöön. Ohjelmiston hankkinnan yhteydessä tilanteeseen voi vaikuttaa. Minimissään tulee vaatia, että ohjelmistoa saa käyttää kolmas osapuoli yrityksen projektin yhteydessä.Verkoston tietoturvassa on edellytettävä, ettei yhteistyökumppani riko lisenssisopimusta käyttämällä ohjelmaa muihin omiin projekteihinsa.
Kimmo Metso
Ohjelmistojen lisenssisopimukset ovat oikea suo. Lisenssien hallinta on hankalaa yritystasolla. Verkoston kohdalla lisenssien hallinnoinnista ja käyttörajoituksista perillä oleminen on jo kirjailija Mäen yksityisetsivän Vareksen tasoista salapoliisityötä. Työtä, jolla ei ole arvattavaa loppua ja ehdot muuttuvat kesken neuvottelujen.
Mitä kalliimpi tietojärjestelmä ja mitä pienempi yhteistyökumppani, niin sitä todennäköisemmin yhteistyösopimukseen kirjataan käyttöoikeus tietojärjestelmään. Pääsääntöisesti voi sanoa, että tekniikka ei estä ohjelmistojen käyttöä etäältä. Aina löytyy tapa hoitaa asia. 3D suunnittelujärjestelmissä, joissa tietoliikenteen kulkuaikaviive vaikuttaa käytettävyyteen voidaan käyttäää ruudun siirtoa (citrix tai vastavaa). Ongelmat liittyvät puhtaasi ohjelmistojen lisenssisopimusten tulkintaan.
Verkostomaisesti toimivan yrityksen etu on, jos lisenssisopimus ei rajoita ohjelmiston käyttöä verkoston ostalta. Lähes poikkeuksetta lisenssiehdot rajaavat käytön vain yrityksen omaan käyttöön. Ohjelmiston hankkinnan yhteydessä tilanteeseen voi vaikuttaa. Minimissään tulee vaatia, että ohjelmistoa saa käyttää kolmas osapuoli yrityksen projektin yhteydessä.Verkoston tietoturvassa on edellytettävä, ettei yhteistyökumppani riko lisenssisopimusta käyttämällä ohjelmaa muihin omiin projekteihinsa.
Kimmo Metso
torstai 6. tammikuuta 2011
Verkoston käyttövaltuushallinta
Mihin perustuu käyttöoikeus?
Vastaus on yksinkertainen, sopimukseen. Työntekijän kohdalla se tarkoittaa työsopimusta, jolloin käyttövaltuushallinta hakee käyttöoikeuden henkilöstöjärjestelmästä. Verkoston kohdalla sopimus käsite onkin jo laajempi. Isoissa projekteissa samalla yrityksellä voi olla useamman sopimuksen lisäksi vielä yksittäisen sopimuksen sisälläkin useampi positio, alasopimus. Verkoston työntekijä voi liittyä useampaan sopimukseen tai sopimuksen positioon.
Olenkin ihmetellyt käyttövaltuushallintoja konsultoivien yritysten intoa liittää käyttövaltuushallinta ensisijaisesti henkilöstöjärjestelmään. Itse liittäisin käyttövaltuushallinnan ensisijaisesti sopimusten hallintaan, johon myös työsopimukset voisi viedä. Ongelma on varmasti se, että isoissakin yrityksissä sopimusten hallinta on vielä alkutekijöissään.
Henkilöstöhallintajärjestelmien tietohuolto on useimmissa yrityksissä puutteellista. Käyttövaltuusjärjestelmän vaatiman roolitustietojen perustana olevat työtehtävien määrittelyt ovat ristiriitaisia tai jääneet ajasta jälkeen. Henkilöstöhallintajärjestelmä on kuitenkin nopeampi tie automatisoida käyttövaltuuksien antaminen kuin sopimusten hallintajärjestelmä. Todellinen tilanne taitaa kuitenkin olla se, että suurimmalta osalta yrityksistä ei löydy erillistä sopimusten hallintajärjestelmää. Sopimukset löytyvät mapeista ja excell-taulukoita sekä tilausjärjestelmien riveinä.
Taikasana federointi siirtää vastuun käyttövaltuuksien hallinnoinnista verkoston yhteistyökumppanille. Federointi on yleensä staattinen, toistaiseksi voimassa oleva. Federoinnissa käyttövaltuushallinta on ratkaistu teknisesti, mutta ei liiketoiminnallisesti. Liiketoiminnallisena lähtökohtana tulisi olla sopimus kumppanuudesta, jossa yhtenä palveluna on federointi käyttövaltuuksien osalta. Tekninen ratkaisu on sitten federointi, jonka ehdot ja voimassaolo aika on määritelty sopimuksessa. Sopimusajan umpeutuessa federointikin tulisi päättyä automaattisesti.
Kimmo Metso
Vastaus on yksinkertainen, sopimukseen. Työntekijän kohdalla se tarkoittaa työsopimusta, jolloin käyttövaltuushallinta hakee käyttöoikeuden henkilöstöjärjestelmästä. Verkoston kohdalla sopimus käsite onkin jo laajempi. Isoissa projekteissa samalla yrityksellä voi olla useamman sopimuksen lisäksi vielä yksittäisen sopimuksen sisälläkin useampi positio, alasopimus. Verkoston työntekijä voi liittyä useampaan sopimukseen tai sopimuksen positioon.
Olenkin ihmetellyt käyttövaltuushallintoja konsultoivien yritysten intoa liittää käyttövaltuushallinta ensisijaisesti henkilöstöjärjestelmään. Itse liittäisin käyttövaltuushallinnan ensisijaisesti sopimusten hallintaan, johon myös työsopimukset voisi viedä. Ongelma on varmasti se, että isoissakin yrityksissä sopimusten hallinta on vielä alkutekijöissään.
Henkilöstöhallintajärjestelmien tietohuolto on useimmissa yrityksissä puutteellista. Käyttövaltuusjärjestelmän vaatiman roolitustietojen perustana olevat työtehtävien määrittelyt ovat ristiriitaisia tai jääneet ajasta jälkeen. Henkilöstöhallintajärjestelmä on kuitenkin nopeampi tie automatisoida käyttövaltuuksien antaminen kuin sopimusten hallintajärjestelmä. Todellinen tilanne taitaa kuitenkin olla se, että suurimmalta osalta yrityksistä ei löydy erillistä sopimusten hallintajärjestelmää. Sopimukset löytyvät mapeista ja excell-taulukoita sekä tilausjärjestelmien riveinä.
Taikasana federointi siirtää vastuun käyttövaltuuksien hallinnoinnista verkoston yhteistyökumppanille. Federointi on yleensä staattinen, toistaiseksi voimassa oleva. Federoinnissa käyttövaltuushallinta on ratkaistu teknisesti, mutta ei liiketoiminnallisesti. Liiketoiminnallisena lähtökohtana tulisi olla sopimus kumppanuudesta, jossa yhtenä palveluna on federointi käyttövaltuuksien osalta. Tekninen ratkaisu on sitten federointi, jonka ehdot ja voimassaolo aika on määritelty sopimuksessa. Sopimusajan umpeutuessa federointikin tulisi päättyä automaattisesti.
Kimmo Metso
Tilaa:
Blogitekstit (Atom)