 |
"Organisaatio" voi tässä tarkoittaa erilaisia asioita tilanteen mukaan:
työnantajaasi, jos käytät tietokonetta työssäsi;
oppilaitostasi, jos käytät sen tietokoneita; Internet-yhteydentarjoajaasi,
jos esim. olet kotikäyttäjä. Ota huomioon, että osa sellaisen
organisaation tietoturvajärjestelyistä saattaa olla sinua
virallisestikin velvoittavia esimerkiksi työsuhteen tai
muun tekemäsi sopimuksen perusteella.
Jos esimerkiksi käytät kotitietokonettasi työasioihin, niin
sinun on otettava huomioon sekä työpaikkasi että
Internet-yhteydentarjoajan tietoturvajärjestelyt - tai niiden puute.
On realistista lähteä siitä, että Internet-yhteydentarjoajalta ei
ole paljoakaan apua saatavissa, ainakaan asioissa, jotka eivät
suoranaisesti liity yhteyden teknisiin kysymyksiin.
Yhteydentarjoajat mahdolliset tietoturvasivut kannattaa kuitenkin etsiä
ja ainakin vilkaista läpi.
Tietoturvajärjestelyt voivat koskea esimerkiksi seuraavia
asioita:
- kehen on otettava yhteys, kun ilmenee tietoturvaongelmia
- millaisia salasanojen tulee olla ja miten usein ne
on vaihdettava
- mitä ohjelmia (esim. viruksentorjuntaohjelmia ja
salakirjoitusohjelmia) pitää
käyttää ja miten
- mitä ohjelmia ei saa käyttää niiden tietoturvariskien takia
- millaisia asetuksia (konfigurointeja, settings)
ohjelmissa pitää käyttää
- mihin tarkoituksiin tietokonetta ja sen eri käyttömuotoja ylipäänsä
saa käyttää, esim. millaisia tietoja ei saa lähettää yleisen verkon
kuten Internetin kautta
- mitä tiedostomuotoja saa käyttää sähköpostissa
- millaisia säännöllisiä tarkistuksia ja muita turvatoimia
(esim. varmuuskopiointeja) käyttäjien pitää tehdä
- minne käyttäjien tulee tallentaa omat tiedostonsa
- onko yleinen varmuuskopiointi järjestetty ja miten.
Turvajärjestelyjen luonne ja yksityiskohtaisuus vaihtelee suuresti.
Esimerkkinä osittain varsin yksityiskohtaisista ohjeista voidaan mainita
Turun yliopiston
tietoturvasivut, joilla on
mm. tarkkoja ohjeita
suojatoimenpiteistä tietomurtotapauksissa.
<http://www.cc.utu.fi/tietoturva/>
Etenkin kaupallisissa yrityksissä tietoturvaan liittyy usein seikkoja,
joiden takia sen järjestelyjä ei haluta kertoa julkisesti.
Organisaatiosi julkisesti esittämä ei yleensä kerro kaikkea,
mikä sen sisällä toimivien tulisi tietää. Sinun on
luonnollisestikin varottava kertomasta ulkopuolisille oman organisaatiosi
tietoturva-asioista seikkoja, jotka voisivat murtautujan korviin
kantauduttuaan olla vaarallisia. Yleensä tämä merkitsee, ettei
tavallisen käyttäjän
ole syytä kertoa ulkopuolisille niistä mitään; jätä asiantuntijoiden
ratkaistavaksi, mitä ulospäin kerrotaan.
Parhaassa tapauksessa sinulle kerrotaan tietoturvajärjestelyistä
heti aluksi, esimerkiksi työsuhteen alkaessa. Mutta yleisesti ottaen
pitää varautua itse selvittämään tällaisia asioita. Jos yhtenäistä
kirjoitettua tietoturvapolitiikkaa ohjeineen ei ole, joudut itse
etsiskelemään ja kyselemään ohjeita.
"Taloon tuleminen" voi olla juuri
oikea tilaisuus tehdä aloite tietoturvaohjeiden kokoamisesta.
Mutta ainakin kannattaa esittää esimerkiksi edellä oleva kymmenen
kysymyksen lista paikan mikrotukihenkilölle tai vastaavalle ja
kirjoittaa vastaukset muistiin.
Noudata ohjeita, vaikka et aina ymmärtäisi
niiden perusteita. Ohjeita ei yleensä tehdä tiukoiksi kiusaamisen
tarkoituksessa, vaan niille on omat tekniset perusteensa.
Jos sinusta jokin sääntö tuntuu tarpeettomalta, on hyvin mahdollista,
että sille silti on painavat perusteet organisaation kannalta.
Paikalliset tietoturvaohjeet voivat olla hyvin lyhyet
ja aika tekniset.
Ajatuksena ehkä on, että sinun oletetaan tuntevan tietoturvan
yleiset perusteet, ja siksi kerrotaan vain
paikalliset erityisjärjestelyt niitä täydentämään,
ja kenties joitakin yleissääntöjä, joita paikallisen tilanteen
takia halutaan erityisesti korostaa.
Paikalliset ohjeet
voisivat olla esimerkiksi seuraavanlaiset:
- Organisaation sisällä voidaan asiakirjoja lähettää liitetiedostoina,
mutta vain RTF-muodossa. Lähettämistä varten tulee siis
tallentaa Wordillä tehty asiakirja
"Tallenna nimellä..." -toiminnon kautta RTF-muotoon.
- Organisaatiosta ei lähetetä ulospäin sähköpostia missään muussa
muodossa kuin pelkkänä tekstinä, ellei vastaanottajien kanssa ole
sovittu muusta.
- Omat tiedostot tehdään levyasemaan Z, jolle on
käytössä automaattinen varmuuskopiointi (muutokset tallentuvat
vähintään kerran vuorokaudessa).
Tiedostot, joiden halutaan näkyvän muille lähiverkossa, tehdään
asemaan Y. Levyasemaan C ei pidä tallentaa mitään, mikä
ei ole korvattavissa.
- Kaikkiin henkilökohtaisiin tietokoneisiin on valmiiksi asennettuna
ja automaattisesti käynnissä
viruksentorjuntaohjelma. Päivitykset tehdään keskitetysti.
Torjuntaohjelmaa ei tietenkään saa poistaa käytöstä.
- Henkilökohtainen tietokone sammutetaan työpäivän päätteeksi.
- Tietoturvaan liittyvissä ongelmissa otetaan yhteys ensisijaisesti
NN1:een; varamiehenä toimii
NN2.
Laadi omaa toimintaasi varten oma
turvallisuuspolitiikkasi, joka ottaa kantaa asioihin
tarkemmin kuin yleiset tai organisaatiokohtaiset ohjeet.
Tämä ei tarkoita esimerkiksi työnantajan ohjeet ohittavaa
sooloilua vaan sen miettimistä, miten niiden mukainen vähimmäisturva
toteutetaan omassa tilanteessa ja mitä turvajärjestelyjä ehkä
tarvitaan niiden lisäksi.
Mieti, mitkä riskit ovat hyväksyttäviä, ja noudata sitten linjaasi,
ainakin niin, ettet liu'u lepsumpaan suuntaan.
Aika ajoin ja etenkin uusien uhkien ilmettyä kannattaa miettiä
päätöksiä uudestaan.
Jos tietokonetta käytetään arkaluonteisen tiedon käsittelyyn,
voi olla viisasta yksinkertaisesti olla asentamatta
mitään tuntemattomasta lähteestä tulevaa ohjelmistoa
siihen. "Ilmainen" ohjelma voi osoittautua kovin kalliiksi!
Jos toisaalta
järjestelmää käytetään sekalaisiin tarkoituksiin, esimerkiksi
viihteeseen, kirjeenvaihtoon ja kodin kirjanpitoon, voi suhtautua
asioihin kevyemmin, mutta toivottavasti ei holtittomasti.
Joustavuuden tai mukavuuden takia haluat ehkä ottaa pieniä riskejä
siitä, että hankit koneeseen jotain, joka ei ihan ole sitä,
miltä se näyttää.
Jos tietokoneella on useita käyttäjiä, on ehkä syytä tehdä
järjestelyjä, jotka suojaavat kunkin käyttäjän omat tiedot muilta.
Vaikka kyse olisi perheenjäsenistä, ei ehkä kannata ihan
kaikessa täysin luottaa kaikkiin. Ja vahinkoja voi aina sattua:
joku voi poistaa tärkeän tiedostosi luullen sitä omaksi
tarpeettomaksi tiedostokseen, koska sillä oli sama nimi.
Selvitä etukäteen, kehen ottaa yhteyttä, kun tulee isoja
turvaongelmia.
Kuka on työpaikkasi tai oppilaitoksesi sinua lähin
tietoturvahenkilö? Tiedätkö, miten häneen saa nopeimmin
yhteyden esimerkiksi matkapuhelimella?
Jos käytät yksityistä
Internet-yhteydentarjoajaa, selvitä etukäteen,
mikä on turva-asioiden kontaktipiste tai neuvontapäivystys.
Kun vahinko on sattunut, sinulla on muutakin tekemistä kuin
haeskella oikeaa paperia.
Pidä siis yhteystiedot sekä verkossa että
paikallisesti tallessa niin, että löydät ne helposti.
Kannattaa myös yrittää esimerkiksi muilta käyttäjiltä
kyselemällä selvittää, millaista
palvelun tasoa voi odottaa. Usein palvelut ovat hyvin ruuhkaisia.
Ainakin työpaikalla on hyvä tietää myös toiseksi lähin
tietoturvahenkilö ja koko organisaation tietoturvavastaava.
Vastaa nyt mielessäsi seuraavaan kysymykseen:
Jos juuri nyt sattuisi jokin todella vakava tietoturvaongelma,
tietäisitkö heti, kehen otat yhteyttä ja miten? Muista, että
olisi ehkä mahdotonta tai erittäin riskialtista käyttää
yhteydenottoon normaalia sähköpostin lähettämisen tapaasi.
Entä tiedätkö, mitä tehdä, jos kyseinen henkilö ei nyt olekaan
tavattavissa ja tiedostosi tuhoutuvat yksi kerrallaan tai
haittaohjelma lähettää itseään kaikille osoiteluettelossasi oleville?
Tietoturvan tavoitteena on tila, jossa nykyaikaista tekniikkaa
voidaan käyttää tietojen keräämiseen, käsittelyyn ja siirtämiseen niin,
että tiedot säilyvät ja pysyvät oikeina
ja ovat käytettävissä silloin kun tarvitaan,
mutta vain niihin oikeutettujen saatavilla. Erityisen tärkeää on
huolehtia tästä sellaisten tietojen osalta, joita käytetään
päätöksentekoon tai erilaisten järjestelmien toiminnan ohjaamiseen.
Tietoturvaan tarvitaan hyvin monenlaisia järjestelyjä ja tekniikoita,
mutta myös laajaa yhteistyötä ihmisten ja organisaatioiden kesken.
Ketju on yhtä heikko kuin sen heikoin lenkki, ja heikoin lenkki on
hyvin usein niin sanottu tavallinen käyttäjä, jolle kukaan ei ole
kertonut, mitä hänen pitäisi tehdä.
Siksi se, että tavallinen käyttäjä hoitaa oman osuutensa ja ehkä
vielä opastaa kaveriaankin, on usein suurin tehtävissä oleva parannus
tietoturvaan.
|
In English 
