Organisaation tukipalvelulla, esim. Helpdesk tai Servicedesk, on oma roolinsa organisaation tietoturvallisuuden toteuttamisessa. Lähestyn aihetta kolmen kokonaisuuden kautta: tilannekuva, toiminta ja tietoisuus.
Tilannekuva: Servicedesk tunnistaa tietoturvapoikkeamat
Servicedeskin työntekijät näkevät päivän aikana useita erilaisia palvelupyyntöjä, vikailmoituksia ja häiriötilanteita. Heille muodostuu nopeasti käsitys siitä, mikä on normaalia päivittäistä toimintaa. Servicedesk tuottaa organisaatiolle tilannekuvaa omasta näkökulmastaan.
Tukipalvelun työntekijöillä on hyvä olla tietoa yleisimmistä tietoturvaongelmista ja niiden ilmentymisistä käytännön työssä. Näin heillä on parempi kyky havaita tietoturvaongelmiin liittyvät poikkeamat. Kannattaa pohtia, pitäisikö tukipalvelun työntekijällä olla pääsy myös tietojärjestelmien ja verkkoympäristön tilannekuvaan, jolloin työntekijä voi arvioida, johtuuko vika järjestelmistä vai voisiko kyseessä olla laajempi tietoturvaongelma
Esimerkki
Servicedesk vastaanottaa useita ilmoituksia organisaation tarjoaman palvelun toimimattomuudesta. Asiakkaat eivät pääse palvelun nettisivulle. Verkkoympäristön tilannekuvan mukaan palveluun kohdistuu epänormaalin suuri määrä verkkoyhteyksiä. Ilmenee, että kyseessä on palvelunestohyökkäys. Servicedesk ilmoittaa ongelmasta organisaation verkkosivustolla ja pyrkii näin ollen vähentämään asiakkaiden huolia. Verkosta vastaavat tahot saavat keskittyä tietoturvaongelman ratkaisemiseen.
Toiminta: Varmista Servicedeskin toimintakyky
Tukipalvelun työntekijöillä on oltava velvollisuus ja kyky toimia, kun he saavat tietoonsa tietoturvallisuuteen liittyvän ilmoituksen asiakkaalta. Nopea toiminta on olennaista lisävahinkojen välttämiseksi.
Esimerkki
Asiakas ilmoittaa saaneensa huijaussähköpostin ja asiakas on luovuttanut käyttäjätunnuksensa ja salasanansa huijaussivustolle. Tukipalvelun työntekijä ilmoittaa asiakkaalle lukitsevansa asiakkaan käyttäjätunnuksen ja vaihtavansa salasanan. Näin pyritään estämään tunnuksen välitön väärinkäyttö.
Tietoisuus: Servicedesk nostaa tietoturvatietoisuutta
Jokainen viesti asiakkaalle on mahdollisuus parantaa asiakaskokemusta ja lisätä tietoisuutta eri asioista. Tukipalvelun viestien loppuun voidaan laittaa kevyet kesäterveiset tai viikon tietoturvavinkit. Viestit toimivat hyvänä kanavana tietoturvatietoisuuden lisäämiseksi.
Esimerkki
Asiakas haluaa jakaa tiedostoja usealle vastaanottajalle. Hän pohtii, olisiko Dropbox vai sähköposti parempi vaihtoehto.
Servicedeskin työntekijä kertoo, että sähköpostin liitteenä voidaan jakaa tiedotusluonteisesti muutamia julkisia tiedostoja. Jos tiedostoja pitää jatkossa vielä muokata, niin keskitetty tiedostojen jakopaikka on parempi vaihtoehto. Jos tiedostojen luottamuksellisuus pitää varmistaa, niin tiedostot olisi hyvä jakaa keskitetyn paikan kautta, jossa voidaan asettaa tarvittavia käyttöoikeuksia tiedostojen avaamiselle. Asiakas saa tietoonsa vaihtoehtoisia toimintamalleja sekä näiden hyviä ja huonoja puolia tietoturvallisuuden näkökulmasta. Servicedesk asiantuntija muuttaa asenteita!
Koonti
Servicedeskin työntekijöillä on oltava:
- tilanneälyä ja osaamista poikkeamien havaitsemiseksi,
- pääsy tarvittaviin tietoihin ja teknisiin välineisiin, sekä
- valtuudet toimia nopeutta vaativissa tilanteissa.
Servicedeskillä on olennainen rooli organisaation tietoturvallisuuden toteuttamisessa. Varmista, että tämä mahdollisuus hyödynnetään!
Vastaa