Ads 468x60px

sunnuntai 24. toukokuuta 2015

Kun tietoturva ja käytäntö kohtaavat - Case sovellusasennus

Sattuipa viime viikolla elävässä elämässä: minun piti toteuttaa asiakkaalle projektia, jonka toteutukseen tarvittiin normaalista poikkeavia yhteyksiä asiakkaan sisäverkkoon. Yhteyksien toteuttamiseen minun piti, tai olisi pitänyt, asentaa erillinen sovellus pääkäyttäjän oikeuksin omalle koneelleni. No pahus, minulla ei ole pääkäyttäjän oikeuksia koneeseeni, mutta olin budjetoinut, että teen tuota projektia kyseisenä päivänä. Asiakaskin olisi ollut tyytyväinen, jos hän olisi saanut jotain konkreettista jo päivän päätteeksi. Mutta, ei auta, ei-standardeille sovelluksille on oma asennusprosessinsa, jota pitää noudattaman. Prosessiin kuuluu, että sovelluksesta tehdään virallinen asennuspyyntö, ennalta hyväksymättömien sovelluksien aiheuttamat riskit arvioidaan, asennus kirjataan ylös ja tämän jälkeen helpdesk saa luvan asentaa sovellus oman prioriteettilistansa puitteissa. Eli, pyyntö sisään ja odottamaan, että helpdesk ottaa pyynnön toteutukseen. Valistunut lukija voi otsikosta arvata, onnistuuko asennus saman päivän aikana...

Niinpä niin, ja tietoturvan piti edistää liiketoimintaa. Miten tässä näin kävi, että homma jäi toteuttamatta tietoturva takia? Muutama vuosi sitten homma olisi onnistunut. Tällöin ihmiset saattoivat kävellä helpdeskiin ja pyytää helpdeskiä syöttämään salasanan suoraan asennusohjelmaan. Tehokkuus maksimoitui, mutta toisaalta organisaation näkökulmasta hallittavuus oli nolla. Koneista löytyi mitä erilaisimpia sovelluksia eikä kelläkään ollut hajua mitä sovelluksia todellisuudessa tarvittiin, salliko sovellusten lisensointi sovellusten käyttämisen, mitä haavoittuvuuksia sovelluksissa oli ja niin edelleen. Lisäksi, teoriassa käyttäjien olisi toki pitänyt poistaa sovellukset sen jälkeen kun niitä ei enää tarvittu, mutta kuinka moni on poistanut sovelluksia koneestaan, tai puhelimestaan, jos levytilasta ei ole akuuttia puutetta?

Koska asennus ei siis onnistunut suoraan, niin jäin miettimään voisinko tehdä poikkeuksen prosessiin? Eikai nyt yksi pikku luistiminen haittaisi? Ehkä hieman kaukaa haluttu esimerkki, mutta näin varmaan Hillary Clintonkin ajatteli, kun hän käytti henkilökohtaista sähköpostia virkatehtäviin. Hän päätti tietoisesti rikkoa sääntöjä voidakseen toimia (omasta näkökulmastaan) tehokkaammin. Noh, toki hommat hoituivat, kyseessä tapauksessa ei Hillaryn onneksi sattunut pahoja tietovuotoja (tai katoamisia) ja jälkipyykkikin saatiin selvittyä pienin vaurioin avustajien avulla.

Tästä päästään siihen, että edes tietoturvamaailma ei ole täysin musta-valkoinen. Tietoturvassa on mahdollista tehdä poikkeuksia ja niitä pitää myös perustelluista syistä pystyä tekemään. Tällöin päädymme arvioimaan millaisen riskin poikkeus meille aiheuttaa ja miten aiomme tämän uuden riskin hallita. Hillaryn tapauksessa näyttää siltä, että hän kesti sääntöjen rikkomisesta aiheutuneen riskin. Oliko tämä sitten hallittua ja laskelmoitua riskin ottamista, niin sen tietää vain Hillary itse.

Niin tai näin, mitä sitten opin ylläolevassa harjoituksesta? Ainakin seuraavat asiat:
  1. Jokaisen, joka määrittelee jotain prosesseja, tulee joutua itse käyttämään kyseistä prosessia. Määrittelijän ja käyttäjä tarpeet eivät aina ole samat ja eri tarpeiden väliltä joudutaan etsimään molempia tahoja tyydyttävä kompromissi.
  2. Vaikka prosessit tuovat hitautta joskus yksilötasolla, niin kokonaisuuden kannalta prosessit ovat välttämättömiä. Vaikka minä tiedän tämän, niin minun tulee pystyä kertomaan tämä isokuva myös muille loppukäyttäjille.
  3. Mieti etukäteen miten poikkeukset tulee hoitaa. Mikä on se oikopolku, jota voidaan käyttää poikkeavassa tilanteessa? Tässä kohden on hyvä muistaa, että ”mikä prosessin oikaisussa säästetään, niin se hävitään (yleensä monin kertaisesti) jälkikäteisselvityksessä”.
Bonus: Mittaa aikaa, joka kuluu sovelluksen asennuspyynnöstä siihen, kun sovellus on saatu asennettua. Näin käyttäjien arki konkretisoituu.

Hallittuja sovellusasennuksia!
Antti

1 kommentti:

Mika Laaksonen kirjoitti...

Söit omaa lääkettä

Lähetä kommentti