Servicedesk on osa organisaation tietoturvaa

Organisaation tukipalvelulla, esim. Helpdesk tai Servicedesk, on oma roolinsa organisaation tietoturvallisuuden toteuttamisessa. Lähestyn aihetta kolmen kokonaisuuden kautta: tilannekuva, toiminta ja tietoisuus.

Tilannekuva: Servicedesk tunnistaa tietoturvapoikkeamat

Servicedeskin työntekijät näkevät päivän aikana useita erilaisia palvelupyyntöjä, vikailmoituksia ja häiriötilanteita. Heille muodostuu nopeasti käsitys siitä, mikä on normaalia päivittäistä toimintaa. Servicedesk tuottaa organisaatiolle tilannekuvaa omasta näkökulmastaan.

Tukipalvelun työntekijöillä on hyvä olla tietoa yleisimmistä tietoturvaongelmista ja niiden ilmentymisistä käytännön työssä. Näin heillä on parempi kyky havaita tietoturvaongelmiin liittyvät poikkeamat. Kannattaa pohtia, pitäisikö tukipalvelun työntekijällä olla pääsy myös tietojärjestelmien ja verkkoympäristön tilannekuvaan, jolloin työntekijä voi arvioida, johtuuko vika järjestelmistä vai voisiko kyseessä olla laajempi tietoturvaongelma

Esimerkki
Servicedesk vastaanottaa useita ilmoituksia organisaation tarjoaman palvelun toimimattomuudesta. Asiakkaat eivät pääse palvelun nettisivulle. Verkkoympäristön tilannekuvan mukaan palveluun kohdistuu epänormaalin suuri määrä verkkoyhteyksiä. Ilmenee, että kyseessä on palvelunestohyökkäys. Servicedesk ilmoittaa ongelmasta organisaation verkkosivustolla ja pyrkii näin ollen vähentämään asiakkaiden huolia. Verkosta vastaavat tahot saavat keskittyä tietoturvaongelman ratkaisemiseen.

Toiminta: Varmista Servicedeskin toimintakyky

Tukipalvelun työntekijöillä on oltava velvollisuus ja kyky toimia, kun he saavat tietoonsa tietoturvallisuuteen liittyvän ilmoituksen asiakkaalta. Nopea toiminta on olennaista lisävahinkojen välttämiseksi.

Esimerkki
Asiakas ilmoittaa saaneensa huijaussähköpostin ja asiakas on luovuttanut käyttäjätunnuksensa ja salasanansa huijaussivustolle. Tukipalvelun työntekijä ilmoittaa asiakkaalle lukitsevansa asiakkaan käyttäjätunnuksen ja vaihtavansa salasanan. Näin pyritään estämään tunnuksen välitön väärinkäyttö.

Tietoisuus: Servicedesk nostaa tietoturvatietoisuutta

Jokainen viesti asiakkaalle on mahdollisuus parantaa asiakaskokemusta ja lisätä tietoisuutta eri asioista. Tukipalvelun viestien loppuun voidaan laittaa kevyet kesäterveiset tai viikon tietoturvavinkit. Viestit toimivat hyvänä kanavana tietoturvatietoisuuden lisäämiseksi.

Esimerkki
Asiakas haluaa jakaa tiedostoja usealle vastaanottajalle. Hän pohtii, olisiko Dropbox vai sähköposti parempi vaihtoehto.

Servicedeskin työntekijä kertoo, että sähköpostin liitteenä voidaan jakaa tiedotusluonteisesti muutamia julkisia tiedostoja. Jos tiedostoja pitää jatkossa vielä muokata, niin keskitetty tiedostojen jakopaikka on parempi vaihtoehto. Jos tiedostojen luottamuksellisuus pitää varmistaa, niin tiedostot olisi hyvä jakaa keskitetyn paikan kautta, jossa voidaan asettaa tarvittavia käyttöoikeuksia tiedostojen avaamiselle. Asiakas saa tietoonsa vaihtoehtoisia toimintamalleja sekä näiden hyviä ja huonoja puolia tietoturvallisuuden näkökulmasta. Servicedesk asiantuntija muuttaa asenteita!

Koonti

Servicedeskin työntekijöillä on oltava:

  • tilanneälyä ja osaamista poikkeamien havaitsemiseksi,
  • pääsy tarvittaviin tietoihin ja teknisiin välineisiin, sekä
  • valtuudet toimia nopeutta vaativissa tilanteissa.

Servicedeskillä on olennainen rooli organisaation tietoturvallisuuden toteuttamisessa. Varmista, että tämä mahdollisuus hyödynnetään!

IT-asiantuntija on myös tietoturva-asiantuntija

Yrityksen IT-asiantuntija voi vaikuttaa koko yrityksen tietoturvaan monella eri tavalla. Tietoturvallisuuteen vaikuttaa esimerkiksi tietojärjestelmien suunnittelu ja hankinta, järjestelmien ylläpito. Lisäksi työntekijällä on aina olemassa asiantuntijavastuu.

Turvallisten tietojärjestelmien suunnittelu ja hankinta

Asiantuntija osallistuu tietojärjestelmien suunnitteluun ja hankintaan. Tarkoituksena on hankkia järjestelmä, joka vastaa tarpeeseen, on turvallinen ja täyttää  GDPR Privacy-by-Design vaatimukset. Asiantuntija tietää, että tietojärjestelmää ei vain hankita ja oteta käyttöön.

Esimerkki
Yritykselle suunnitellaan uutta tietojärjestelmää. Asiantuntija muistuttaa, että tietoturvallisuus ja tietosuoja tulee ottaa huomioon. Asiantuntija osallistuu tietoturvavaatimusten kuvaukseen. Lisäksi hän haastaa mahdollisia järjestelmätoimittajia neuvotteluissa: ”Saisinko nähdä palvelun toimittamiseen liittyvät tietoturvakuvaukset sekä tietoturvapolitiikkanne?” Ensimmäinen myyjä ei tiedä näistä mitään. Tuote olisi kyllä ollut todella halpa! Toisen myyjän esittämä tietoturvakuvaus herättää luottamusta. Tästä maksaa mielellään vähän extraa.

Tietojärjestelmien turvallisuuden ylläpito

Järjestelmän ylläpitäjä valvoo järjestelmän turvallisuuden tilaa ja asentaa tarvittavat tietoturvapäivitykset ajallaan. Toiminta on riskilähtöistä. Asiantuntija tietää, mitä hoidetaan heti ja mitä myöhemmin.

Esimerkki
Yrityksen IT-asiantuntija on huomannut, että yrityksen toiminnan kannalta olennaisesta järjestelmästä on löydetty tietoturvahaavoittuvuus. Netin uutisten mukaan haavoittuvuutta hyödynnetään jo hyökkäyksissä. Asiantuntija tutustuu aiheeseen ja tekee alustavan korjauksen järjestelmään. Saatavilla oleva tietoturvapäivitys asennetaan vasta myöhemmin, koska järjestelmäpäivitys johtaa palvelinten uudelleenkäynnistykseen. Sitä ei tehdä keskellä päivää, jotta työt jatkuisivat normaalisti. Viimekertainen ”ihan vaan nopea päivitys ja bootti” johti tilanteeseen, jossa järjestelmä oli pois käytöstä kaksi päivää.

Asiantuntijavastuu

Asiantuntijan velvollisuutena on ottaa kantaa päivittäisiin asioihin. Asiantuntija tuo esiin riskit, kipupisteet ja kehittämiskohteet. ”Oon vaan töissä täällä” ei riitä!

Esimerkki
Yrityksen työntekijöillä on tarve jakaa tiedostoja toisilleen ja yhteistyökumppaneilleen. Erään työntekijän mukaan ilmainen pilvipalvelu toteuttaa tämän tarpeen hyvin. Ehdotus saa kannatusta yrityksessä. Asiantuntija kuitenkin huomauttaa ilmaisen pilvipalvelun lainsäädännöllisistä ja sopimusteknisistä ongelmista sekä jatkuvuuteen liittyvistä riskeistä. Lisäksi hän korostaa, että tiedostojen jakotoiminnot voidaan toteuttaa jo olemassa olevilla työkaluilla. Kehittämällä olemassa olevia järjestelmiä voidaan toteuttaa turvallinen ja tarpeet täyttävä ratkaisu. Ylimääräisiä järjestelmiä ei tarvita. Ja rahaa säästyy. Osa työntekijöistä pitää asiantuntijaa nipottavana ääliönä, osa todellisena ammattilaisena. Yritysjohto punnitsee hyödyt, riskit ja tekee päätöksen.

Jos olet asiantuntija, toimi kuin asiantuntija!

Esimies, olet tietoturvallisuuden esimerkki, ohjeistaja ja valvoja

Esimies tai -nainen, esihenkilö, omaa olennaisen roolin organisaation tietoturvan toteuttamisessa. Esihenkilöt mahdollistavat tietoturvalliset työskentelytavat. He ohjeistavat työntekijöitä, valvovat toimintaa ja näyttävät esimerkkiä yhdessä yritysjohdon kanssa.

Esihenkilö on esimerkki

Esihenkilö näyttää esimerkkiä päivittäisessä toiminnassa. Hyvää tai huonoa! Esimerkillä on vaikutusta työtekijöiden tietoturva-asenteisiin ja tätä kautta koko organisaation tietoturvaan.

Esimerkki
Esihenkilö pyytää työntekijöitä kommentoimaan palaverimuistiota ja uuden tuotteen teknistä suunnitelmaa. Muistio sijaitsee ulkoistetussa pilvipalvelussa, johon pääsee helposti käsiksi ja tarvittavat muokkaukset onnistuvat nettiselaimella. Tekninen suunnitelma löytyy puolestaan erilliseltä verkkolevyltä, jonne pääsee vain organisaation laitteilla ja käyttäjätunnuksilla. Esihenkilö muistuttaa, että suunnitelma on luottamuksellinen ja siksi sitä käsitellään vain tässä ympäristössä. Työntekijät omaksuvat vastaavat turvalliset toimintatavat.

Esihenkilö ohjeistaa

Esihenkilön tehtävänä on varmistaa, että hänen työntekijät saavat tarvittavan tietoturvakoulutuksen. Työntekijöille on kerrottava, miten eri tehtävissä toimitaan ja mitä oikeuksia ja velvollisuuksia työntekijöillä on.

Esimerkki
Esihenkilö on havainnut, että yksikön työntekijät käsittelevät luottamuksellisia tietoja eri tavoin. Työntekijöille koulutetaan käytännön esimerkein, miten tietoturvallisuus huomioidaan työtehtävissä. Lisäksi toteutetaan tarvittavat toimintaohjeet, jotka ovat linjassa yrityksen muiden tietoturvaperiaatteiden kanssa. Kaikki toimivat samalla turvallisella tavalla eikä turhia vahinkoja pääse tapahtumaan.

Toiminnan valvonta: tehdään, kuten on sovittu!

Esihenkilön yhtenä tehtävänä on valvoa, että organisaatiossa määritettyjä tietoturvaperiaatteita ja toimintaohjeita noudatetaan. Tämä on tärkeää, jotta tietoturvallisuutta toteutetaan joka puolella samalla tavalla. Valvomatta jättäminen johtaa turhiin riskeihin.

Esimerkki
Esihenkilö huomaa työntekijän lähettäneen sähköpostitse tietoja, joita ei sähköpostilla saisi lähettää. Esihenkilö mainitsee asiasta työntekijälle ja ohjeistaa oikean tavan toimia. Hän myös perustelee, miksi toimintamalli ei ole suotavaa. Pelkkä tietoturvasääntöihin viittaaminen aiheuttaisi vastareaktion.

Esihenkilö kysyy työntekijältä, miksi hän toimi vastoin ohjeita. Vastauksesta ilmenee puutteita perehdyttämisessä ja käytännön työn ohjeistuksessa. Muut työntekijät ovat myös kertoneet, että tietoturvalliseksi määritelty työskentelytapa on liian hankalasti toteutettava. Yksinkertaisella kysymyksellä saatiin listattua useita kehittämiskohteita! Ilman valvontaa vanha toimintamalli jatkuisi ja johtaisi turhiin riskeihin.

Esimies tai esinainen – kysy, kuuntele ja näytä mallia!

Yritysjohto möhlii tai mahdollistaa tietoturvan

Yritysjohdon sitoutuminen tietoturvaan on yksi tärkeimmistä tietoturva-asioista. Jos yritysjohto ei ole kiinnostunut tietoturvasta, ei bisneskään kauan kukoista. Tietoturvan merkitystä yritykselle voi osoittaa tietoturvapolitiikan toteuttamisella, resurssien antamisella sekä riskienhallintaan osallistumalla.

Kyseessä on ihan perusjuttuja, jotka jokainen yritys voi toteuttaa. Asioiden olennaisuudesta kertoo se, että ne on huomioitu esimerkiksi ISO27001 tietoturvastandardissa sekä valtionhallinnon tietoturvallisuuden perustason vaatimuksissa (VAHTI 2/2010).

Sitoutuminen osoitetaan tietoturvapolitiikalla

Tietoturvapolitiikka osoittaa yritysjohdon sitoutumisen. Tietoturvapolitiikassa kerrotaan yleisellä tasolla, miten tietoturvallisuus on huomioitu yrityksessä. Dokumentti kuvaa myös eri tahojen vastuita ja velvollisuuksia sekä muita kannanottoja tietoturvallisuuteen liittyen. Asiakkaille luodaan luottamusta tietoturvapolitiikan avulla.

Esimerkki
Yrityksesi on päässyt neuvottelemaan palvelun toimittamisesta isolle asiakkaalle. Asiakas on positiivisesti yllättynyt, koska yrityksesi pystyi konkreettisesti todentamaan tietoturva-asioitaan tietoturvapolitiikan avulla. Useat aikaisemmat palvelutoimittajat ovat puhuneet paljon, mutta todentaminen on ollut ongelmallisempaa. Yritysjohdon sitoutuminen tietoturvatyöhön mahdollistaa neuvottelujen jatkumisen.

Tietoturvaresurssit luovat mahdollisuuksia

Yritysjohto osoittaa tietoturvatyölle tarvittavat resurssit. Ne voivat olla esimerkiksi koulutusta, työaikaa tai rahaa tietoturvateknologioihin. Resurssit mahdollistavat osaavamman henkilökunnan, turvallisemman työskentely-ympäristön ja jopa uudet asiakkuudet.

Esimerkki
Yrityksen asiantuntijat ovat havainneet, että tietoturvaan ja tietosuojaan liittyviä kysymyksiä tulee jatkuvasti enemmän. Lisäksi potentiaaliset asiakkaat kysyvät usein, miten tietoturvallisuus on organisoitu. Yritysjohto tarjoaa eräälle asiantuntijalle mahdollisuutta perehtyä lisää tietoturvallisuuteen koulutusten kautta sekä osoittamalla hänelle työaikaa tietoturvatehtävien hoitamiseksi. Asiakaskokemus paranee ja yritykseen luotetaan enemmän.

Riskienhallinta on yritysjohdon arkea

Päivittäisessä työssä ilmenee tilanteita, jotka vaativat riskien arviointia. Yritysjohto lopulta päättää, mitä riskeille tehdään: poistetaan, vähennetään, siirretään vai hyväksytään.

Esimerkki
Yrityksen IT-asiantuntija on havainnut, että varmuuskopiointipalvelimen kiintolevyt tuottavat silloin tällöin virheitä. Vaikuttaisi siltä, että levyt ovat hajoamassa. Asiantuntija suosittelee levyjen uusimista. Vaikka yrityksen taloustilanne on tiukka, yritysjohto päättää hankkia uudet levyt. Yritysjohto ei halua ottaa riskiä, että varmuuskopiot menetetään, koska siitä aiheutuu lisäriskejä koko yritystoiminnalle.

Yritysjohtaja,

  • Osoita suhtautumisesi tietoturvaan.
  • Varmista työntekijöiden tietoturvaosaaminen, edes yleisellä tasolla.
  • Tiedä tietoturvan pääpointit ja kuuntele asiantuntijoitasi.

Älä möhli vaan mahdollista!

Asiantuntija muuttaa asenteita

Asiantuntija osaa asiansa ja viestinnän salat. Suostuttelevalla viestinnällä voidaan pyrkiä vaikuttamaan ihmisten asenteisiin ja käyttäytymiseen (Helkama ym. 2015, 199). Suostuttelu-guru Robert Cialdini on tutkinut aihetta paljon. Cialdinin mukaan suostuttelevassa viestinnässä kannattaa hyödyntää vastavuoroisuuden, niukkuuden, auktoriteetin, johdonmukaisuuden, tykkäämisen ja yksimielisyyden periaatteita (ks. lisätiedot lähteistä).

Esimerkiksi viesti menee paremmin perille, kun kuulija tietää kertojan olevan asiantuntija. Lisäksi auttaa, kun tietolähde on viehättävä tai miellyttävä (Helkama ym. 2015, 199).

Suostuttelevan viestinnän vaikutus asenteisiin on kuitenkin tilannesidonnaista. Vaikutus riippuu siitä, miten vastaanottaja käsittelee viestejä (Helkama ym. 2015, 199). Esimerkiksi ELM-mallin mukaan:

Jos henkilöllä on motivaatiota/kykyä käsitellä viestiä ja hän kokee, että aihetta tukevat perustelut ovat vahvoja, niin tästä muodostuu todennäköisemmin myönteisiä ajatuksia ja asennemuutosta.

Jos henkilöllä ei ole motivaatiota/kykyä käsitellä viestiä, niin esimerkiksi aiheen esittelijän asiantuntijuudella on suurempi merkitys. Henkilö saattaa luottaa asiantuntijan ilmaisemaan viestiin, mutta tästä johtuva asennemuutos voi jäädä pinnallisemmaksi. (Helkama ym. 2015, 199-203.)

Kun yllä kuvattuun näkökulmaan lisätään ripaus maalaisjärkeä, saadaan seuraava lopputulos. Asennemuutokseen pyrkivässä tietoturvakoulutuksessa kannattaa käyttää kouluttajaa, joka:

  • tunnistetaan alansa asiantuntijaksi,
  • käyttää esimerkkejä ja osoittaa muidenkin toimivan samalla tavalla, ja
  • perustelee asian työntekijän näkökulmasta mielenkiintoisesti.
  • Ja on lisäksi viehättävä?

Tämä oli kolmas osa tietoturva-asenteisiin liittyvässä oppimispäiväkirjassani. Neljännessä osassa kerron tietoturva-asenteisiin vaikuttamisesta pakon ja kannustinten avulla.

Lähteet
Helkama ym. 2015. Johdatus sosiaalipsykologiaan. 10. uudistettu painos. Helsinki: Edita.
Suostuttelun periaatteista löytyy lisätietoja Cialdinin kirjoista, nettisivuilta ja Wikipediasta: Robert Cialdini.