You are here: TUTWiki>Tietoturva/Tutkielmat>LehtolaA?>2007-25

Toni Sulankivi:

http://moodle.tut.fi/archive/user/view.php?id=8044&course=645

IT-yrityksen tietoturvapolitiikka

Johdanto

Capgemini Oy on ranskalainen IT-konsultointiyritys jolla on Suomessa noin 700 työntekijää ja maailmanlaajuisesti yli 75 000 työntekijää. Työssä koitan esitellä ja myös osaltaan arvioida yleisesti suuren kansainvälisen IT-yrityksen tietoturvapolitiikkaa ja myös sen näkyvyyttä työntekijän perspektiivistä.

Tietoturvan merkitys on korostunut viime aikoina ja sen kehittämiseen panostetaankin monissa organisaatioissa runsaasti resursseja. Pelkkä rahallinen panostus ei kuitenkaan yksistään riitä, ellei ole selvää käsitystä ja suunnitelmaa resurssien tehokkaaseen hyödyntämiseen. Tietoturvapolitiikka antaa suuntaviivat resurssien käytölle.

Tietoturvapolitiikka on yrityksessä ylimmän johdon kirjoittama dokumentti, joka määrittelee yrityksen linjaukset turvallisuusasioissa. [1] Tietoturvaselosteessa yrityksen johto kertoo työntekijöille, minkälaiseen turvallisuusasioihin tulee kiinnittää erityistä huomiota. Tietoturvallisuudella tarkoitetaan tässä yhteydessä yrityksen suojautumista datan, ohjelmien, verkon, ja IT-laitteistojen luvattomalta käytöltä, ilkivallalta, tai tuhoutumiselta. Politiikka on julkinen, joten se ei saa sisältää tietoa jota hyödyntämällä hyökkääjä voisi päästä käsiksi yrityksen tietojärjestelmään.

Koska tutkielmani yritys keskittyy pääosin Outsourcing-, ja konsultointipalveluihin, on virallisena tietoturvapolitiikan tavoitteena:

* suojella yrityksen asiakkaiden etuja * sekä suojella yrityksen työntekijöitä ja omaisuutta.

Yrityksen tietoturvapolitiikalla vahvistetaan myös että yritys haluaa suojata omia, sekä asiakkaidensa liiketoimintaa, ja tarjota työntekijöillensä turvallisen työskentely-ympäristön. Capgeminin tietoturvapolitiikka kattaa it-verkot, sisältäen myös VoIP?-teknologian ja tavat millä luottamuksellisuus, saatavuus ja eheys ovat taattavissa.

Tutkimuskohdettani olen päässyt arvioimaan työntekijänä tietoliikenneasiantuntijan roolissa, ja se antaakin mielestäni hyvän pohjan aiheelle, vastuualueideni ollessa aina fyysisestä verkkoturvasta ja -laitteista aina wlan-, voip-, ja palomuurien hallinnointiin.

Toipuminen ja toiminnan jatkuvuuden hallinta

Toiminnan jatkuvuus on jatkuvasti käynnissä oleva prosessi, millä identifioidaan ja analysoidaan riskejä liittyen normaaliin liiketoimintaan ja resursseihin, tuloksena Jatkuvuussuunnitelmien kehityksen. Siinä määritellään vakavien onnettomuuksien ja tuhojen vaikutuksia yrityksen toimintaan ja palveluihin, sekä teknologioiden hyödyntämistä jatkuvuuden tehostamiseksi. [2]

Yrityksen toipumissuunnitelmat sisältävät seuraavat järjestelmät: Emergency Response Management, jonka tehtävänä on vastaaminen nopealla aikavälillä tapahtuneiden tietoturvaonnettettomuuksien seurauksien ja vaikutusten minimoimiseen. Business Continuity Managementin tehtävänä on taas turvata normaalin liiketoiminnan jatkuvuus onnettomuuden jälkeen, jolloin mahdollisimman normaali liiketoiminnan taso saavutettaisiin helpommin ja nopeammin. Full Business Resumption suunnitelma on täyden kapasiteetin saavuttamisen rakennussuunnitelma.

Jokaisessa toimipisteessä on erillinen Crisis Management Plan, joka sisältää yksityiskohtaiset prosessikuvaukset ja logistiikan hätätilanteiden varalta. Ja vahinkojen minimoimisen suunnitelman. Strategia määrittelee myös sen että asiakkaille on taattava pääsy relevanttiin informaatioon myös hätätilanteen ja toipumisen aikana.

Tietoturvallisuusluokitukset

Kun yrityksessä määritellään tietoturvaluokituksia, joku joutuu kysymään ja vastaamaan: "Kuinka vaarallinen tämä tieto olisi väärissä käsissä?" Turvaluokituksilla määritellään mitä eri yritksen tiedoilla ja datalla voidaan tehdä.

* Voiko tätä tiedostoa lähettää sähköpostissa? * Voiko dokumenttia laittaa paperinkeräyslatikkoon? * Saanko näyttää tätä yrityksen tietoa asiakkaalle?

Pääasiassa tietoturvaluokituksissa on käytössä neliportainen asteikko:

* Julkinen tieto (Public) * Yrityksen sisäinen luottamuksellinen tieto (Company Confidential) * Rajoitettu tieto (Restricted) * Nimetty tieto (Addressee only)

Verkon tietoturva

Verkon tietoturvaa koskien useimmille saattavat ensimmäisenä tulla mieleen palomuurit, ja niihin liittyvä verkkoliikenteen rajoittaminen ja hallinta. Verkon tietoturva on usein myös paljon muutakin. Yrityksen tietoturvapolitiikassa on määritykset mm. verkkoliikenteen salaukselle, verkon segmentointia yrityksen sisällä koskevat määritykset tietoturvallisuuden lisäämiseksi, erilaisten verkon hallintalaitteiden erottelu pääsyn rajaamiseksi ym. Verkon tietoturvaan voidaan laskea myös virustorjunta ja siihen liittyvä politiikka.

Yksi mielestäni tärkeimmistä verkon tietoturvaan liittyvistä asioista on verkkolaitteiden fyysinen suojaus. Nykyajan kytkimet ja reitittimet ovat hallinnollisista ja ehkä historiallisistakin syistä erittäin suojattomia laitteita mikäli hyökkääjä pääsee fyysiseen kontaktiin niiden kanssa. Tämä on huomioitu yritysten tietoturvapolitiikoissa vaihtelevalla tavalla, yleensä ollen kuitenkin verrannollinen yrityksen kokoon ja käytettävissä oleviin resursseihin.

Pääsynvalvonta

Vain valtuutetuilla henkilöillä tulee olla oikeudet päästä käsiksi yrityksen IT-resursseihin. Capgeminillä tämä valvonta on myös työntekijöiden vastuulla erillisten valvontaan erikoistuneiden tahojen ohella. Kuvalliset kulkukortit on pidettävä aina esillä yrityksen tiloissa liikuttaessa, ja jokaisella työntekijällä on velvollisuus tiedustella ei-kulkuluvalla varustettujen henkilöiden valtuutuksia.

Käytännössä pääsynvalvontaan törmää yrityksen sisällä jatkuvasti. Tästä pääsynvalvonnasta aiheutuvien byrokratioiden käsittelyyn voisi päivittäin kuvitella ajallisestikin kuluvan merkittävän paljon resursseja. Kaikkien kulkukortilla varustettujen ovien, mantrapien, korkeamman turvallisuuden tilojen kirjautumiskäytäntöjen ym. pääsynvalvonnan mekanismien vaikutus on merkittävä, mutta antaa vahvan suojan fyysisen pääsyn rajoittamiseksi hyökkääjiltä.

Autentikointi

Autentikoinnin on perustuttava riittävään vahvaan menetelmään verrattuna tiedon tai fyysisten tilojen tai laitteiden luokitukseen. Yrityksessä on määritelmät mm. salasanojen, käyttäjätunnusten, väärien loggautumisyritysten lukumäärän, salasanojen vaihtovälin ja uudelleenkäytön suhteen.

Salasanat

Pääsynvalvonnan tehtävänä on myöskin taata että jokaisen käyttäjän pääsy yrityksen tietoverkkoon on suojattu salasanalla. Vain onnistuneen autentikoinnin seurauksena on pääsy IT-järjestelmiin, jos käyttäjä ei pysty tätä tekemään, AACS:n (Access Authorization Control System) on evättävä häneltä pääsy. Vääristä kirjautumisyrityksistä pidetään logeja, ja liiallisten väärien kirjautumisyritysten seurauksena tunnus suljetaan. Lisäksi jokaisen väärän kirjautumisyrityksen seurauksena odotusaika seuraavalle yritykselle kasvaa.

Salasanojen hallintaa koskevat myös seuraavat säännökset. Käyttäjän on pystyttävä muuttamaan salasanaansa koska tahansa. Ja vaihtaakseen salasanansa tulee hänen tietää vain vanha salasanansa. Viiden viimeksi käytetyn salasanan käyttö ei ole sallittua uutena salasanana. Salasanan vanhenemisväli on 90 päivää ja käyttäjätunnukset ilman olemassa olevaa salasanaa eivät ole sallittuja, koska ne aiheuttavat merkittävän heikkouden järjestelmään.

Lokien ylläpito

Järjestelmien käyttöä valvotaan erilaisilla tapahtumakirjanpidoilla, eli logeilla, mistä selviävät niin epäonnistuneiden kirjautumisyritysten, kuin onnistuneiden kirjautumistenkin ajankohdat, ja lähde-ip-osoitteet ym. tiedot.

Tietoturvapolitiikka määrittelee yrityksessä lokikäytännöt mm. seuraavien kohtien osalta:

* palomuurien käyttö * serverit ja niiden virhetilanteet * ohjelmistot (eritelty ohjelmistokohtaisesti) * verkkolaitteet - kirjautumiset, ja kirjautumisyritykset * sähköposti (virustilanteet, liikennemäärät) * puhelinliikenne (voip, fax)

Fyysinen tietoturva

Fyysisellä tietoturvalla tarkoitetaan prosesseja yrityksen toimitiloihin kohdistuvia palo-, sekä muita fyysisiä vahinkoja tai tahallisia hyökkäyksiä vastaan. Yleisesti kaikki toimistotilat tulee suojata luvattomalta pääsyltä. Tämän lisäksi on pidettävä kirjaa kaikista henkilöiden pääsyoikeuksista yrityksen toimitiloihin. Ja paikalliset paloturvallisuustoimenpiteet on oltava jokaisen työntekijän tietoisuudessa. [1]

* Jokaisella Capgemini toimipaikalla on nimetty Site Security Manager, joka vastaa toimitilojen fyysisestä turvallisuudesta.

* Jokainen turvallisuusrikkomus tai puute on tutkittava ja reportoitava.

* Varastot ja laitteet on merkittävä niin että mahdolliset varkaudet on pystyttävä identifioimaan tarkasti toipumisen apuna.

* Toimitiloissa on alueellinen jako turvallisuusluokituksineen, mitkä rajoittavat julkisten, vierailutilojen ja henkilökunnan kulkua erillisten turvallisuustasojen mukaan.

* Toimitilakohtaiset suunnitelmat sisältävät myös toimintaohjeet mahdollisen pommi- tai terroristiuhan varalta, ja evakuointiproseduurit, sekä ilmoituskäytännöt.

Käytännössä toimitilojen fyysinen turvallisuus on hyvin vakuuttavalla tasolla Suomen toimipisteissä. Varsinaisien elintärkeiden konesalien sijaintipisteissä pääsyä on rajoitettu jopa niin paljon, että sen voidaan laskea haittaavan jo päivittäistä työntekoa. Normaalien turvallisuusyritysten henkilökunnan lisäksi pääsyä rajoittavia kontrollereita on mm. Avain- ja pin-koodiyhdistelmien käyttö, mantrap-tarkastuspisteiden käyttö, turvakameravalvonta ja liiketunnistimet.

Varmuuskopiointi ja tiedon hävitys

Olennainen osa tietoturvallisuutta on asianmukaisten varmuuskopioiden ylläpitäminen ja varmistaminen. Yrityksen tietoturvapolitiikka määrittelee tätä koskien tiedon käytön ja tärkeysluokituksen mukaan varmuuskopioinnilta vaadittavat vaatimukset, kopioinnin tiheyden, versiohistorian, tiedon säilytyksen ja sen palautusta koskevat ohjeet.

Tiedon hävitystä voidaan pitää lähes yhtä tärkeänä tietoturvapolitiikan osa-alueena, kuin sen säilymisen turvaamistakin koskevat periaatteet. Tässä otetaan kantaa lähtien paperimuotoisen informaation asianmukaisesta tuohoamisesta, erilaisten sähköisten tallenninlaitteiden tiedon hävittämiseen.

Tietoturvan hallinnointi

Tietoturvan hallinnointi on toteutettu tietyn hierarkian mukaan. Jokaisella maalla on oma tietoturvallisuuspäällikkönsä, joka vastaa kyseisen maan tietoturvapolitiikasta maatasolla. Eri yksiköillä on lisäksi omat tietoturvapäälliköt Technology Services, Outsourcing Services, ja Consulting Services osastojen osalta. Lisäksi on nimetty henkilöt tietoturvatarkastusryhmään, toimipaikkojen turvavastaaviin ja riskienhallinnan osalta yksikkökohtaisesti.

Hierarkia käytännön tasolla

Tietoturvahallinto on vastuussa ohjeiden luonnista, jalkauttamisesta ja valvonnasta. Asiakkaiden palvelun turvallisuudesta vastaa palvelupäällikkö, tai usealle asiakkaalle myytävän palvelun osalta, palvelun omistaja. Projektitasolla turvallisuudesta vastaa projektipäällikkö, ja toimipisteen tietoturvapolitiikan toteutumisesta Site Security Manager. Jokainen työntekijä on vastuussa oman työnsä turvallisuudesta ja työohjeiden noudattamisesta.

Sähköisen viestinnän tietoturvalaki

Sähköisen viestinnän tietosuojalain vaikutuksista tietoturvapolitiikkaan ei tätä kirjoitettaessa ole löydetty esimerkkejä [3], [4]. Todennäköisesti vaikutukset tulevat näkymään tarkennuksina lokitietojen käsittelyä koskeviin tietoturvapolitiikan kohtiin. Mikäli yritys on jättänyt valvonta-ilmoituksen lain soveltamisessa yrityksessa, sen mainitsemisella tietoturvapolitiikassa saattaa olla tietynlainen ennaltaehkäisevä vaikutus, joka edesauttaa luottamuksellisen tiedon säilymistä vain yrityksen omien työntekijöiden piirissä.

Päätelmät

Tätä harjoitustyötä tehdessäni huomasin ehkä haastavimmaksi osa-alueeksi jo alussa mainitsemani säännön tietoturvapolitiikan osalta, että TT-politiikka ei saa sisältää tietoa jota hyväksi käyttämällä hyökkääjä voisi päästä käsiksi yrityksen järjestelmiin, tai helpottaisi sen yritystä. Siksi jouduin jokaisen asiasisällön kohdalla erikseen miettimään, miten tätä tietoa voitaisiin sellaiseen tarkoitukseen hyödyntää. Siksi en ehkä pystynyt analysoimaan käsittelemääni aihetta täysin ennakkoon haluamallani tavalla, mutta se auttoi myös osaltaan ymmärtämään ison yrityksen tietoturvapolitiikan vaatimaa tarkkuutta ja hienouksia.

Jonkin verran muissakin IT-yrityksissä työskennelleenä, tai vierailleena henkilönä olen huomannut että tietoturvapolitiikan käytännön toteutuksen ja teorian välillä on huomattavia eroja. Siksi näkisinkin ehkä tärkeimpänä kohtana politiikassa, sen implementoinnin jokaisen työntekijän toimintatapohin ja yleiseen kulttuuriin yrityksessä.

Lähteet

[1] Salakari, Jarkko: Tietoturvapolitiikka - Case: PPCT Finland Oy 2007.
[2] IT - Technical and Security Policies [http://it.jhu.edu/policies/itpolicies.html#SecurityIntro] (viitattu 17.9.2007)
[3] Sähköisen viestinnän tietosuojalaki [http://www.tietosuoja.fi/2001.htm] (viitattu 15-11-2009)
[4] Jukka Lauhian blogi [http://www.trusteq.com/category/blogi] (viitattu 15-11-2009)

Mallitehtävät m-25?

-- AriLehtola? - 23 Sep 2009
Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 15 Nov 2009 - 16:52:41 - AriLehtola?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback