Ne keinot ja laitteet, joilla pyritään suojaamaan dataverkoissa liikkuvan tiedon eheys, luottamuksellisuus ja saatavuus, ovat yhteiseltä nimeltään tietoliikenneturvallisuus. Dataverkoiksi lasketaan tässä tapauksessa kaikki ne tiedonsiirtokanavat, joita yritys käyttää sähköisen informaation liikuttamiseen paikasta toiseen. [1]
Tietoliikenneturvallisuuden suojaamiseksi on olemassa useita fyysisiä ja teknisiä keinoja, joista löytyy paljon ohjeistusta myös kirjoista ja Internetistä. Näiden suojamekanismien dokumentointi tietoturvaperiaatteisiin ja -käytäntöihin on järkevää, varsinkin jos verkko on monimutkainen. Kokonaisvaltainen verkon ja sen laitteiden dokumentointi auttaa myös ylläpidossa ja mahdollisten vikatilanteiden selvittelyssä. Liitteessä 6 on mainittuna myös muita kirjattavia asioita, kuten roolit ja vastuut. Yritysjohdon kannattaa nimetä tietoliikenneturvallisuudesta vastaavat henkilöt ja osoittaa heille käytettävissä olevat resurssit.
Tietoliikenneturvallisuuden laajuudesta johtuen ei tässä tutkimuksessa voida esittää läheskään täydellisiä teknisiä neuvoja, vinkkejä ja parannuskeinoja asian toteuttamiseksi. Mikäli yrityksellä ei vielä ole kokemusta ja ohjeistusta tietoliikenteen suojaamisesta, kannattaa sellaista hankkia. Nykyaikaisissa yrityksissä käytetään erityyppisiä dataverkkoja, joten niiden turvallinen käyttö on hallittava. Vaikka omaa Internet-yhteyttä ei olisikaan, niin esimerkiksi älypuhelimet ja muut vastaavat laitteet mahdollistavat datan liikuttamisen. Näiden laitteiden tietoturva on yhtä tärkeää kuin esimerkiksi tietokoneiden.
Yrityksen tietoliikenneyhteydet
Yksi tyypillisimmistä yrityksen käytössä olevista tietoliikenneyhteyksistä on Internet. Menetelmät, joilla Internetiä käytetään, vaihtelevat runsaasti. Pienemmät yritykset saattavat turvautua vain matkapuhelimen kautta käytettävään yhteyteen, kun taas suuremmat voivat ostaa kokonaisia valokuituyhteyksiä toimipisteisiinsä. Tietoliikenneratkaisuja hankkiessaan yrityksen kannattaa tutustua tarjontaan ja valita itsellensä sopivin ja tietoturvallisin vaihtoehto.
Tietoliikenneverkkojen suojaaminen
Erilaisten tietoliikenneyhteyksien muodosta ja laadusta huolimatta tärkeintä on niiden suojaaminen. Ensimmäiseksi kannattaa tarkistaa, että verkkolaitteisiin ei voida liittää ylimääräisiä koneita ilman, että ylläpitäjät tietävät siitä[2]. Jos yrityksen toimitilat ovat samassa rakennuksessa muiden yritysten kanssa, saattaa jollain muulla olla myös pääsy samoihin laitteisiin. Tietoliikenneverkkojen ja fyysisen tietoturvan suunnittelua kannattaakin pohtia ryhmässä, jolloin suurin osa asioista tulee huomioitua kerralla.
Laitetasolla verkkojen tietoturvaa on parannettavissa esimerkiksi reitittimillä, kytkimillä ja palomuureilla. Näiden laitteiden avulla voidaan rakentaa fyysisesti tai virtuaalisesti eri verkkoja ja rajoittaa niissä liikkuvaa dataa. Mikäli yrityksessä käytetään langattomia tekniikoita, on tietoliikenneturvallisuudesta vastaavan henkilön tiedettävä myös niistä aiheutuvat riskitekijät. Esimerkiksi vanhentuneiden salaustekniikoiden käyttö kasvattaa tietomurron todennäköisyyttä.[3]
Dokumentointi ja ohjeistaminen
Tietoliikenneturvallisuudessa, kuten muissakin osa-alueissa, dokumentointi ja ohjeistus ovat tärkeimpiä yksittäisiä toimenpiteitä. Yliopettaja Vainikka painottaa sitä, että henkilöstön on tunnettava riskit ja keinot niiltä suojautumiseen. Yritysjohdon on varmistettava, että työntekijät saavat tarvittavan koulutuksen tietoliikenneverkkojen käytöstä ja tietoturvasta yleisesti.[4] Erityisesti etätyöskentelyn ohjeistaminen on tärkeää. Esimerkiksi väärin muodostetut yhteydet julkisista langattomista verkoista saattavat mahdollistaa tietoliikenteen salakuuntelemisen. Ylläpitäjiä varten kannattaa puolestaan laatia yrityksen tietoliikenneverkkojen rakennetta ja käytössä olevia suojatoimenpiteitä kuvaava asiakirja. Laadukkaasta dokumentaatiosta näkee nopeasti esimerkiksi IP-osoitteet sekä toisiinsa kytketyt verkkolaitteet.
Lue seuraavaksi henkilöstöturvallisuudesta tai palaa sisällysluetteloon.
Liitteen 6 sisältö: Tärkeimmät tietoliikenneturvallisuudessa huomioitavat ja dokumentoitavat asiat
(Lähteet: ISO/IEC 27001:fi 2006, 41–47; ISF 2007, 42)
Liite 6 taulukkomuodossa opinnäytetyön liiteosiossa.
Roolit ja vastuut
Tietoliikenteestä vastaavat henkilöt on nimettävä ja heille on asetettava selkeät vastuualueet.
Verkon rakenne
Yrityksen tietoliikenneverkot ja niissä käytetyt tietoturvaratkaisut on dokumentoitava tarkasti. Kunnollinen dokumentointi helpottaa esimerkiksi ylläpitoa.
Datan suojaaminen
Kuvataan ne keinot, joilla tietoverkoissa liikkuva data suojataan lähetyksen aikana. Tarvittaessa luodaan myös ohjeistus.
Ohjeistaminen
Ylläpitoa ja peruskäyttäjiä varten omat ohjeistuksensa. Kuvataan esimerkiksi WLAN-verkkojen käytön periaatteet henkilöstölle.
Sopimukset
Mahdolliset verkon huolto- ja ylläpito- ja ulkoistamissopimukset on kuvattava tarkasti ongelmatilanteita varten.
—
Lähteet
1 (Hakala ym. 2006, 12.)
2 (Miettinen 2002, 157)
3 (Krutz & Vines 2003, 110–111.)
4 (Harju 2010, 23.)