You are here: TUTWiki>Tietoturva>Sisällysluettelo?>ValvontaaJaHuolenpitoa (revision 3)

Valvontaa ja huolenpitoa

Tietojenkäsittelyn turvattomin osatekijä on yleensä ihminen. Tämä tarkoittaa paitsi vahingon kautta toteutuneita uhkia myös tietoisia tietoturvarikkeitä. Kummassakin tapauksessa tärkeimmässä asemassa olevat ihmiset ovat yrityksen tai vastaavan sisällä. Ulkopuolisten hyökkäykset ovat erilainen uhka, mutta nekin voivat joissain tapauksissa tulla mahdollisiksi nimenomaan sisäpuolisten ongelmien takia.

Henkilökunta (ja varsinkin vierailijat) voidaan varustaa näkyvin henkilötunnistein, tai mahdollisesti sellaisin, joiden avulla henkilö uudessa kohteessa automaattisesti havaitaan ja tunnistetaan. Keskuskoneiden ja konsolien äärelle on syytä olla pääsy vain käyttöhenkilöstöllä ja työasemille vain niillä, jotka niitä tarvitsevat. Ainakin näihin tiloihin on syytä järjestää kulunvalvonta, jonka perusteella voidaan tietää, kuka ja milloin siellä on käynyt! Joissakin yhteyksissä voidaan käyttää kameravalvontaakin, mutta tätä suositellaan välttämään. Joka tapauksessa siitä pitää ilmoittaa valvonnan kohteiksi joutuville.

Työntekijöitä voi olla tarpeen valvoa muillakin tavoin, esimerkiksi seuraamalla heidän sähköpostiansa, tiedostojansa tai seittiselaustaan. Pääasiassa tällainen toiminta johtuu (ehkä perustellusta ja yleisestä) epäluottamuksesta työntekijää kohtaan, mutta merkitys voi olla laajempi. Voidaan myös tulkita niin, että työntekijää samalla opastetaan ja patistetaan noudattamaan tietoturvapolitiikkaa. Näin on vaikkapa sähköpostin salauksen ja tiedosto-oikeuksien asettamisen osalta. Lisäksi vaikutuksena voi olla huolenpito: Työntekijäkin voi nimittäin joutua hyökkäyksen kohteeksi: tätä voi olla esim. lahjonta, uhkailu, kiristys tai "miellyttävämpi" social engineering, jossa käytetään hyväksi erityisesti auttamisen halua, eikä uhri edes tiedä olevansa hyökkäyksen kohde tai välikappale. Näillä kaikilla voi olla tavoitteena jokin tietoon kohdistuva luvaton toimi. Ihmissuhdetaitojen käytöstä tähän tarkoitukseen on hyvä esitys J.Korpelan oppaassa . Täydennyksenä siihen kannattaa todeta, että varsinkin pitemmän tähtäimen social engineering voi käyttää vielä monipuolisempia keinoja, esim. työyhteisön ihmissuhteisiin aiheutettuja ristiriitoja, kateutta tai kilpailutilanteita.

Valvontaan vaikuttaa Laki yksityisyyden suojasta työelämässä. Sen edellinen "versio" astui voimaan vuonna 2001. Siinä oli pykälä 9 "Menettelytavat teknisen valvonnan ja tietoverkon käytön järjestämisessä". Pykälässä viitattiin ensin kahteen muuhun lakiin menettelytapojen hallinnoinnin osalta, sitten luvattiin säätää erikseen työnantajan oikeudesta valvonnan käyttöön. Lopuksi todetaan: "Työnantaja ei saa toimenpiteillään vaarantaa työntekijän yksityisluonteisten luottamuksellisten viestien salaisuutta sähköpostin ja tietoverkon käytössä."

Laki uudistui vuonna 2004 ja em. lupaus toteutui, kun pykälä täsmentyi viideksi uudeksi pykäläksi, jotka jakautuvat kahteen lukuun: "Kameravalvonta työpaikalla" ja "Työnantajalle kuuluvien sähköpostiviestien hakeminen ja avaaminen". Lisäksi on yleisemmät tilanteet kattava pykälä "Yhteistoiminta teknisin menetelmin toteutetun valvonnan ja tietoverkon käytön järjestämisessä."

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmis
Tyyppi Ydin
Luokitus Yksilöt
Mitä Useita
Miltä Useita
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r3 < r2 < r1 | 
Topic revision: r3 - 22 Apr 2010 - 09:25:24 - MaijuLehtonen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback