Ads 468x60px

keskiviikko 26. syyskuuta 2012

Liiketoimintaprosessien merkitys tietoturvallisuudelle

Tietomurto. Haavoittuvuus tunnetussa ohjelmistossa. Yrityssalaisuuksien kalastelu…

Yllä olevaa listaa voisi toki jatkaa pidempäänkin. Ne ovat kaikki tietoturvallisuuteen liittyviä aiheita, jotka ovat nykypäivänä tuttuja otsikoita eri medioissa ja saattavat koskettaa välillisesti meitä jokaista. Kun tietoturva pettää, kysymys saattaa olla yhtä lailla vaikkapa satunnaisen henkilön identiteetistä kuin myös jonkin etäisen yrityksen tiedoista.

Uutisissa syvennytään harvemmin niihin tekijöihin, jotka ovat edesauttaneet kyseisten uutiskynnysten ylittävien tapahtumien sattumista. Syitä on tietysti monia, mutta yksi tekijä on noussut toistuvasti esille kautta maailman historian.

Se on inhimillinen virhe.

Myös inhimilliselle virheelle on yleensä syy. Se voi olla seurausta muun muassa välinpitämättömyydestä, osaamattomuudesta, huolimattomuudesta, ohjeistuksen puutteesta, ennakoimattomasta tilanteesta, huonoista työvälineistä tai kommunikaation puutteesta. Inhimillisen virheen riski on aina olemassa, mutta sitä voidaan huomattavasti pienentää erilaisilla keinoilla. Yksi keinoista on prosessien kehittäminen tietoturvanäkökulmat huomioiden.

Monet tietoturvallisuuden standardit vaativat nykyään prosesseihin sidonnaisia asioita. Organisaatioista löytyykin usein pitkälle kehitettyjä prosesseja, jotka tukevat ICT:n toimintaa teknisellä tasolla. Tällaisia ovat esimerkiksi järjestelmien ja sovelluksien muutoshallinnat sekä päivityskäytännöt. Usein kuitenkin unohtuu, että myös liiketoiminnalla on oma tärkeä roolinsa tietoturvallisuuden ylläpitämisessä. Tämä ei suinkaan ole ihme, sillä liiketoiminnan ja ICT:n välinen keskusteluyhteydessä ja toistensa ymmärtämisessä on edelleenkin valitettavan paljon parantamisen varaa. Tekniikka tietoturvallisuudesta puhumattakaan on monelle organisaation työntekijälle kaukainen asia, joka hoidetaan toisaalla.

Liiketoimintaprosessien kehittäminen tietoturvallisuus huomioiden lähtee hyvin perusasioista. Yksi turvallisuuden perusta on yhdenmukaiset käytännöt tilanteesta riippumatta. Tämän tulisi olla prosessien peruspilari. Kun prosessit on kuvattu epäselvästi, ylimalkaisesti tai puutteellisesti, inhimillisen virheen riski kasvaa. Kaikilla prosessiin liittyvillä henkilöillä tulisi olla sama käsitys prosessin tarkoituksesta, perustehtävistä, poikkeustilannetoiminnasta ja pelisäännöistä. Kun johtohenkilö uskoo toiminnan olevan kuvauksen mukaista, uutta työntekijää ei ole perehdytetty prosessin mukaisesti ja kolmas työntekijä on toiminut vuosia omasta mielestään tehokkaammalla tavalla, toimitaan jo vaaravyöhykkeellä. Jos vielä kuvauksesta ja prosessin ohjeistuksista puuttuu toimintatavat erilaisissa harvinaisissakin poikkeustilanteissa eikä niitä ole linkitetty arkaluontoisen tiedon käsittelyyn, seilataan entistä vaarallisimmilla vesillä.

Onneksi monet tietoturvallisuuden standardit asettavat vaatimuksia prosesseille esimerkiksi juuri ohjeistuksen, perehdytyksen, koulutuksen ja toimintatapojen osalta. Nämä vain tulisi ulottaa koko organisaation halki – ei ainoastaan ICT-prosesseihin.

Ei kommentteja:

Lähetä kommentti