Tietoturva käytännössä

Tässä on listattuna muutama Tietojesiturvaksi.fi -sivuston blogiviesti, jotka kuvaavat hyvin, miten tietoturvallisuus esiintyy käytännön elämässä. Julkaisut sisältävät hyviä vinkkejä, yleisohjeita ja tosielämän case-esimerkkejä tietoturvaan liittyen.

Tietoturvallisen toimintaympäristön rakentaminen alkaa oikeasta asenteesta:

Ihmisen toiminta on olennaisessa osassa yrityksen tietoturvaa. Työntekijöiden tietoturvatietouden lisääminen auttaa ehkäisemään vakavia uhkia. Kerro henkilöstölle:

Jos haluat parantaa yrityksesi tietoturvaa, niin aloita vaikka tällä tietoturvan kehittämisen muistilistalla. Muista myös huolehtia toiminnan jatkuvuudesta ja dokumentoinnista!

 

Tietoturvapäivän 8.2.2011 esitysmateriaali

Tietoturvapäivän esitysmateriaalit ladattavissa.

Esitykseni PDF muodossa ilman taustakuvia tai TurkuAMK viittauksia.

Ladattavana on myös tietoturvasuunnitelman tekemiseen liittyvä A0 kokoinen posteri.

Posterin esikatselukuva

tietoturva_posteri

Lisää ladattavaa löytyy osoitteesta tietoturvapäivä.fi (tarkistettu 22.1.2013).

Jatkuvuus- ja toipumissuunnitelman laatiminen

Mikäli epäilet yrityksesi tarvitsevan jatkuvuus- tai toipumissuunnitelmaa niin ne kannattaa ehdottomasti toteuttaa! Itse asiassa ei ole montakaan järkevää syytä olla toteuttamatta niitä. Huom! Teksti sisältää hieman sekaisin jatkuvuus- ja toipumissuunnitelman laatimisesta. Ne ovat kuitenkin melko samantyyppisiä. Tarkempia eroja voi katsoa esimerkiksi täältä.

Suunnitelmien laatimisessa on huomioitava muutamia tärkeitä asioita:

  • Kyseessä ei ole kertaluontoinen projekti vaan jatkuvuus- ja toipumissuunnitelman ylläpito kannattaa toteuttaa PDCA -mallia noudattaen.
  • Dokumentoinnin tärkeys. Mikäli asianmukaisia dokumentteja ei ole saatavilla, ei jatkuvuussuunnittelussa ole mitään ideaa. Ongelmatilanteen sattuessa henkilöstön toimintaa nopeuttaa laadukkaat kirjalliset tai sähköiset ohjeet.
  • Henkilöstön osaaminen. Jotta ongelmatilanteista toipuminen olisi nopeaa, on henkilöstön osattava toimia oikein. Harjoitus tekee tässäkin asiassa mestarin!

Tiedä mitä tarvitset!

Systemaattinen eteneminen on olennainen osa hyvän suunnitelman rakentamista. Kaikki lähtee siitä, että yritys tiedostaa tarpeensa kyseiselle suunnitelmalle.

Yritysjohdon suhtautuminen

Ensin kannattaa laatia dokumentti, jossa yritysjohto ilmaisee tavoitteet, joihin jatkuvuussuunnittelulla pyritään. Tavoitteisiin pääsemiseksi on toiminnalla oltava myös yritysjohdon täysi tuki. Dokumentti voi muistuttaa esimerkiksi tietoturvapolitiikkaa.

Yrityksen on tunnistettava tiedon ja liiketoiminnan säilyvyyden arvo. On siis kerrottava miksi yritys haluaa suojata toimintaansa. Dokumentissa olisi hyvä ottaa kantaa myös mahdollisiin vaikuttaviin lakiasioihin(pelastustoiminta jne) sekä suunnitelman ylläpitoa koskeviin asioihin.

Resursointi

Jotta ongelmatilanteista toipuminen olisi nopeaa ja toipumisen toteuttaminen helppoa, tarvitaan lista käytettävissä olevista resursseista.Suuremmissa yrityksissä voi olla erillisiä ryhmittymiä, jotka hoitavat tietyntyyppiset ongelmatilanteet. Tyypillinen pienemmistäkin yrityksistä löytyvä joukko on tietoturvaryhmä tai IT-asioista vastaava ryhmä.

Resursoinnin ideana on määritellä toipumistilanteessa tarvittavat henkilöt ja esimerkiksi varalaitteet. Pidemmissä tilanteissa myös rahan käyttöön saattaa liittyä kysymyksiä. Esim jos tulipalo tuhoaakin useamman palvelimen, niin millainen määrä rahaa toipumiseen on ensitilassa käytettävissä.

Henkilöstön toiminta ongelmatilanteissa

Liiketoimintaa haittaavan ongelman sattuessa on henkilöstön rooli tärkeä. Mitä paremmin heitä on koulutettu toimiaan ongelmatilanteissa sitä suuremmalla todennäköisyydellä he osaavat toimia oikein. Henkilöstön on tiedettävä miten erilaisissa tilanteissa toimitaan ja keneen kuuluu ottaa yhteyttä erilaisissa tapauksissa.

Yrityksellä olisi hyvä olla olemassa lista, josta selviää yhteystiedot esimerkiksi fyysisten tai tietoteknisten ongelmien ratkaisemiseksi. Tämä lista tulee olla myös osana jatkuvuussuunnitelman dokumentaatiota.

Suunnitelmien dokumentointi

Nopea korjaava toiminta ongelmatilanteissa, esimerkiksi tuotantopalvelimen hajoamisessa, on täysin riippuvainen henkilöstön osaamisesta ja dokumentaation laadusta. Henkilöstö ei pysty toimimaan täysillä, mikäli tarvittavaa informaatiota ei ole saatavilla. Siksi jatkuvuus- ja toipumissuunnittelussa on olennaisena osana myös dokumentointi.

Dokumentit pitää olla helposti saatavilla joko sähköisenä tai paperisena. Se on yrityksen itse päätettävissä, että missä muodossa dokumentaatiota haluaa säilyttää, kunhan ne on saatavilla kun niitä tarvitaan. Saatavuuden lisäksi myös dokumentaation laatu voi vaihdella. Esimerkiksi politiikkoissa teksti on yleisempää ja ei niin tarkkaa. Vastaavasti erilaisissa toimintadokumenteissa on oltava erittäin tarkat ja yksiselitteiset ohjeet. Tällaisia ovat esimerkiksi palvelindokumentaatiot. Jos jokin palvelin on hajonnut ja sitä lähdetään korvaamaan toisella, on esimerkiksi verkkoasetukset ja muut konfiguroinnit osattava palauttaa täysin toimiviksi mahdollisimman nopeasti.

Dokumentista huolimatta niistä olisi hyvä löytyä ainakin seuraavia asioita: Dokumentin ”omistaja”, eli kuka on vastuussa sen ylläpidosta. Dokumentin versionumero, päivitysväli ja muut tarvittavat yhteystiedot omistajan lisäksi. Aina kun dokumentti päivittyy, on se ilmoitettava jollain tavalla. Esimerkiksi uusin versio asetetaan näkyville ja kerrotaan koska se astuu voimaan.

Toipumissuunnitelma / Jatkuvuussuunnitelma esimerkki

Tässä on eräs pelkistetty esimerkki toipumissuunnitelman / jatkuvuussuunnitelman rakenteesta. Huomioi se, että jatkuvuussuunnitelmassa käsitellää yleisiä toimenpiteitä ja prosesseja, kun taas toipumissuunnitelma keskittyy tiettyyn alueeseen tarkemmin.

1) Yleistä

  • Organisaation / yksikön nimi
  • Suunnitelman tavoitteet
  • Mitä toimipisteitä/alueita suunnitelma koskee
  • Milloin suunnitelma otetaan käyttöön
  • Muut huomioitavat dokumentit, esimerkiksi politiikat

2) Henkilöstö

  • Päävastuuhenkilöt
  • Muut vastuuhenkilöt / vastuuryhmät
  • Edellä mainittujen yhteystiedot oltava näkyvillä!
  • Missä tapauksissa otetaan yhteyttä kuhunkin henkilöön?

3) Liiketoimintaprosessin tai tietojärjestelmän yms palauttaminen

  • Etenemissuunnitelma
  • Tavoitteet ja aikataulu
  • Vaaditut resurssit
  • Plan B / Vaihtoehtoinen suunnitelma
  • Mahdolliset jälkitoimenpiteet

 

(muokattu 11.9.2013)