Ihmisen käyttäytyminen ja toimiminen eri prosesseissa vaikuttaa paljon tietoturvallisuuden tasoon. Tämä johtaa siihen, että yrityksen työntekijöiden on tiedettävä, miten toimia eri tilanteissa, kuten esimerkiksi epäilyttävien tiedostojen avaamisessa. Henkilöstöturvallisuuteen kuuluvilla toimenpiteillä pyritään estämään työntekijöistä ja sidosryhmistä johtuvat tietoturvariskit. Liitteeseen 7 on kerättynä olennaisimpia tässä osa-alueessa huomioitavia asioita. Esimerkiksi uuden henkilön tai yhteistyökumppanin palkkaaminen ja vanhojen työntekijöiden eroaminen ovat hetkiä, jotka mittaavat yrityksen tietoturvakäyttäytymisen tasoa.[1]
Internetin uutispalstoilla on viikoittain luettavissa erilaisia tietoturvauutisia. Aiheet vaihtelevat haittaohjelmista tietomurtotapauksiin. Yrityksiin kohdistuvissa tietoturvahyökkäyksissä yhteistä on lähes aina ihmisen rooli. Nykyaikaiset tietokoneiden käyttöjärjestelmät ovat niin kehittyneitä, että rikollinen harvemmin pääsee koneille suoraan. Yrityksen henkilöstön tietoturvattomat työskentelytavat helpottavat rikollisten toimintaa. Parhaatkaan palomuurit tai suojaohjelmat eivät aina pysty pysäyttämään ihmisen tekemää tahallista tai tahatonta virhettä.
Inhimillisten virheiden avulla rikolliset pystyvät tuottamaan yritykselle liiketaloudellisia ongelmia. Mikäli yritysjohdon työntekijä aukaisee haittaohjelmalla varustetun sähköpostin liitetiedoston, voi rikollinen taho saada huomattavan suuret käyttöoikeudet tietojärjestelmään ja sitä kautta esimerkiksi liikesalaisuuksiin. Henkilöstöturvallisuuden tärkeyttä ei siis kannata unohtaa. ”Usein tietoturva vaarantuu pelkän huolimattomuuden seurauksena”, toteaa yliopettaja Vainikka. Siksi on tärkeää saada henkilöstö ymmärtämään tietoturvallisuuden merkitys omalle yritykselle. [2]
Henkilöstön tai yhteistyökumppanin palkkaaminen
Tietoturvallisuudesta huolehtiminen voidaan aloittaa heti uuden työntekijän tai yhteistyökumppanin etsimisestä lähtien. Mikäli sopiva palkattava on jo löytynyt ,kannattaa hänelle tehdä jonkinlainen taustaselvitys. Suosittelijoilta tai vanhoilta työnantajilta kysyminen ovat tehokkaita keinoja. Näin voidaan varmistua ainakin siitä, että henkilön työhistoria on se, mitä hän väittää. Jos työntekijää haetaan kriittisiin tehtäviin, voi suojelupoliisin tekemä turvaselvityskin olla aiheellinen. Nämä ovat kuitenkin sellaisia asioita, joita työnantajan kannattaa miettiä tapauskohtaisesti ja maalaisjärkeä käyttäen. Taustaselvityksiä tehdessään yritys voi samalla myös tutustua työntekijään ja pohtia hänen sopivuuttaan yrityksen henkilöstöön. Jos prosessi etenee sopimusten tekovaiheeseen asti, kannattaa tietoturvallisuuteen keskittyä vielä enemmän. Salassapitosopimuksen kirjoittaminen ja yrityksen tietoturvapolitiikkaan sitouttaminen ovat oleellisia asioita rekrytoinnissa. [3]
Henkilöstön organisointi
Työntekijältä vaadittava tietoturvaosaaminen vaihtelee työtehtävien perusteella. Yrityksen IT-osastolta vaaditaan teknistä tietämystä, kun taas yritysjohdon on tunnettava hallinnollinen tietoturva. Kaikkia kuitenkin yhdistävät yhtenäiset toimintatavat. Pitämällä erillisiä tietoturvakoulutuksia voidaan parhaita käytäntöjä levittää kaikille tasapuolisesti. Ohjeistamisen ja kouluttamisen tärkeyttä ei koskaan saa unohtaa. Näiden lisäksi työntekijöiden on vielä muistettava toimia, kuten ohjeissa kerrotaan.
Yrityksissä työskentelee usein sellaisia henkilöitä, joiden tietoturvattomat toimintatavat vaarantavat koko yrityksen menestymisen. Tällainen henkilö voi olla esimerkiksi tietojärjestelmien pääkäyttäjä tai ylimmän johdon työntekijä. Heitä yhdistää pääsy kriittisiin tietoihin, kuten henkilötietoihin tai palvelinhuoneisiin. Huomioitava asia on myös se, että tällainen avainhenkilö ei välttämättä ole edes yrityksen oma työntekijä. Hän voi olla myös yhteistyökumppanin henkilöstöä, esimerkiksi palvelimen pääkäyttäjä. Yritysjohdon on varmistettava, että myös alihankkijat toimivat tietoturvallisella tavalla. [4]
Työsuhteen päättyminen
Yrityksen tietoturvajärjestelmää testataan erityisesti silloin, kun työsuhteet tai yhteistyösopimukset päättyvät. Esimerkiksi vuosia samassa paikassa työskennellyt henkilö on voinut saada haltuunsa yritystä koskevia tietoja, kuten käyttöoikeuksia, -tunnuksia ja materiaaleja. Vaikka avaimet ja muut fyysiset tavarat saataisiinkin takaisin, jää työntekijälle silti paljon arkaluontoista informaatiota. Yritysjohdon on varmistettava, että poislähtevää osapuolta pidetään täysin ulkopuolisena tietoturvallisuuden näkökulmasta. Hänen käyttö- ja pääsyoikeutensa IT-järjestelmiin on poistettava ja muulle henkilöstölle on ilmoitettava työsuhteen päättymisestä. [5]
Lue seuraavaksi käyttöturvallisuudesta tai palaa sisällysluetteloon.
Liitteen 7 sisältö: Tärkeimmät henkilöstöturvallisuudessa huomioitavat ja dokumentoitavat asiat
(Lähteet: ISO/IEC 27001:fi 2006, 36; ISF 2007, 16–17)
Liite 7 taulukkomuodossa opinnäytetyön liiteosiossa.
Roolit ja vastuut
Henkilöstölle on selkeästi määriteltävät omat vastuualueensa ja varahenkilökäytännöt. Pyritään välttämään tietoturvan kannalta vaarallisia työyhdistelmiä.
Tietoturvapolitiikka
Tietoturvapolitiikan hyväksyminen ja sen mukaan toimiminen on olennainen osa henkilöstön tietoturvallista työskentelyä.
Työsuhteen alkaminen ja päättyminen
Kuvataan ne toimenpiteet, jotka on tehtävä aina, kun yrityksen tulee uusi työntekijä tai joku eroaa tehtävästään.
Tietoturvakoulutus
Ilman kunnollista kouluttamista ei voida olettaa, että henkilöstö osaa työskennellä tietoturvallisesti. Dokumentoidaan työntekijöiden tietoturvatietouden lisäämiseksi tehdyt asiat.
Ulkoistaminen
Tietoturva-asioista huolehtiminen on oleellista myös ulkoistamisessa. Kirjataan ne toimenpiteet, joilla varmistetaan muualta hankitun palvelun tietoturvan taso.
—
Lähteet
1 (Raggad 2010, 16–17.)
2 (Harju 2010, 23.)
3 (Laaksonen ym. 2006, 139–142.)
4 (Miettinen 1999, 171; Hakala ym. 2006, 11.)
5 (Miettinen 2002, 108.)