Kategoria: Turvallisuus

Vierailukäytännöt viestittävät yritysturvallisuudesta

Vieraileeko yrityksessäsi usein ulkopuolisia, esim. huoltohenkilöstöä?

Ota organisaatiossasi käyttöön ”vierailuprosessi”. Sen tarkoituksena on varmistaa, että kaikki ulkopuolisten vierailut sujuvat aina yhtä mutkattomasti ja turvallisesti. Samalla vierailijoista aiheutuvien riskien toteutumisen todennäköisyys pienenee ja viestität myös ulkopuolisille ottavasi yritysturvallisuuden vakavasti.

Tässä eräs malli, joka sopii isompiin organisaatioihin. Esimerkiksi sellaisiin, joissa on laajat toimitilat ja paljon työntekijöitä. Pienemmät yritykset voivat poimia listalta parhaiten omaan toimintaympäristöönsä sopivat kohdat.

Vierailijaprosessi käytännössä, case-esimerkkinä laitehuolto:

  1. Laite hajoaa ja huolto tilataan.
  2. Tilaus kirjataan yrityksen tietojärjestelmään.
  3. Huoltomies saapuu paikalle.
  4. Hän ilmoittautuu infopisteeseen.
  5. Infon työntekijä tarkistaa huoltomääräykseen.
  6. Huoltomies kuittaa itsensä sisään (esim. saapumisaika ja allekirjoitus).
  7. Hän saa infosta vierailijakortin, jota on pidettävä näkyvillä.
  8. Hänet saatetaan työpisteelle.
  9. Huollon jälkeen työ kuitataan tehdyksi infoon.
  10. Huoltomies kuittaa itsensä ulos.
  11. Vierailijakortti kerätään pois ja huoltomies saatetaan ulos.

Olennaista edellä kuvatussa prosessissa on se, että vieras ei vain ilmesty organisaation tiloihin tekemään ”jotain”. Infon henkilö tai erillinen vieraan isäntä on tietoinen huoltomiehen saapumisesta, vierailun tarkoituksesta ja kestosta. Lisäksi kuka tahansa yrityksen työntekijä voi kysyä huoltomieheltä vierailun tarkoitusta ja varmistaa tämän esimerkiksi vierailijakorttiin merkityltä isännältä.

Muista listan viimeinen kohta, ettei kukaan pääse hyödyntämään kadonnutta vierailijakorttia.

Kassojen koplaajat

Olin lähdössä pois isosta marketista, kun huomasin, että eräälle tyhjälle kassalle käveli siviilivaatteisiin pukeutunut mieshenkilö. Hänellä oli mukanaan pieni pahvilaatikko ja jotain papereita, jotka hän laski maksupäätteen läheisyyteen. Mies alkoi rauhallisesti tutkia maksupäätettä ja sen kytkentöjä.

Viereisen kassapisteen naispuolinen työntekijä kääntyi ympäri ja katsoi miestä hetken aikaa. Mies nyökkäsi hymyillen. Sen jälkeen mies jatkoi ”töitään” ja kassaneiti otti seuraavan asiakkaan vastaan.

Näin asiakkaan näkökulmasta tilanne oli jotenkin outo. Ulkopuolinen koplasi kaupan maksupäätettä ja kassaneitiä ei juuri kiinnostanut.

Lisäksi:

  • Kassaneidin olisi pitänyt kysyä mieheltä henkilökorttia ja huoltotoimeksiantoa tms.
  • Huoltomiehen kannattaisi selkeästi viestittää edustavansa huoltoyritystä. Oli sitten oikeissa töissä tai hämärähommissa..
  • Yrityksen tulisi muuttaa käytäntöjään sellaisiksi, että ulkopuoliset eivät vain omatoimisesti kävele korjaamaan kassapäätteitä.

Ei olisi ensimmäinen kerta, kun yritysten kassoja ja maksupäätteitä viritetään kolmansien osapuolien etujen mukaisiksi.

Hohtava houkutus ja punainen probleema

Yöksi päälle jätetty tietokone aiheuttaa turhia kustannuksia yrityksellesi. Tässä niistä muutama.

tietokone_riski

Kuten kuvasta näkyy, lukittuun tilaan tai kirjautumisruutuun jätetty Windows 7 tietokone hohtaa sinistä valoa. Näky loistaa yllättävän kauas pimeällä. Tämä saattaa houkutella lähistöllä liikkuvia hämäräveikkoja kuten ilmainen kahvi suomalaisia. Rikottujen ikkunoiden ja menetettyjen tietojen arvo on moninkertainen koneen hintaan verrattuna.

Toinen kauas loistava valoilmiö on punakeltainen liekkimeri. Kun työntekijät ovat kotona kello16-08 ja koneet päällä, niin siinä on 16h turhaa tulipaloriskiä. Toisaalta, fiksummat ovat todenneet, että konkurssi on hyvä asia, mutta tulipaloa ei voita mikään.*

Sammuttamalla koneet yöksi pienennät edellä mainittuja riskejä. Sen lisäksi teet myös vihreän valinnan. Luontoa ja euroja säästyy!

* Tämä ei ole vinkki eikä kehoitus. En ota tästä mitään vastuuta!

Suomen (botti)armeija

Helsingin Sanomat uutisoi 12.10.2011, että Suomi valmistautuu kybersodankäyntiin. Tarkoituksena olisi vahvistaa tietoverkkopuolustusta ottamalla käyttöön myös hyökkäyksissä käytettäviä ”välineitä”, kuten viruksia ja muita haittaohjelmia.

Aihe on mielenkiintoinen ja ajankohtainen. Muut maat ovat myös uutisoineet ottavansa käyttöön vastaavanlaisia toimintoja, hyvänä esimerkkinä (TV:stä tuttu!) Yhdysvaltojen huvittavasti nimetty Cyber Command.

Kauankohan menee, että kaikki Suomen tietokoneet tullaan liittämään yhdeksi suureksi bottiverkoksi, jota voidaan sitten käyttää palvelunestohyökkäyksiin?