Difference: TyösuhteenPäättyminen (r2 vs. r1)

r2 - 22 Apr 2010 - 09:23 - MaijuLehtonen? r1 - 03 Mar 2010 - 19:45 - MaijuLehtonen?

Työsuhteen päättyminen

Työsuhteen päättyminen

Työsuhteen päättymiseen liittyy useita haasteita tietoturvalle:

Työsuhteen päättymiseen liittyy useita haasteita tietoturvalle:

  
  • Mitä tietoa (ja "tietotaitoa") yritys menettää työntekijänsä mukana. Tähän pitää varautua muidenkin kuin tärkeiden henkilöiden osalta dokumentoinnin ja varahenkilöiden avulla.
  • Mitä tietoa paljastuu kilpailevalla yritykselle, jonka palvelukseen henkilö siirtyy tai jolle henkilö muuten myy tai luovuttaa tietojaan.
    • Henkilön muistissaan kuljettaman tiedon vaaraa rajoittaa vain kaksi tai kolme asiaa:
      • ihmisen muistin rajoitettu kapasiteetti, mutta usein strategisesti tärkein tieto on juuri ihmisten mielessä eikä dokumenteissa.
      • rangaistuksen uhka etukäteen tehdyssä salassapitosopimuksessa, joka kieltää tietojen paljastamisen esim. viiden vuoden aikana. Rangaistus tarkoittaa sopimuksessa määrättyä korvausvelvollisuutta, mutta voi seurata myös Työsopimuslain perusteella työnantajan ammatti- ja liikesalaisuuksien paljastamisesta. Paljastumista voi olla vaikea näyttää toteen. Helpompi näyttö -- mutta vähemmän kattava vaikutus ja soveltuvuus vain painavin perustein -- liittyy kilpailevaan toimintaan: kilpailukieltosopimuksella voi rajoittaa työntekijän oikeutta tehdä uusi työsopimus tai harjoittaa ammattia. Rajoitus voi olla voimassa enintään vuoden ajan, jos työntekijä on saanut korvauksen haitasta, muussa tapauksessa enintään puolen vuoden ajan.
      • työntekijän eettisyys. Tämä tietysti liittyy myös rangaistuksen pelkoon, mutta sosiaalista sitovuutta voi edistää palkkioilla, esim. ns. kultaisella kädenpuristuksella, joka voi liittyä em. kilpailukiellon pidennykseen. Epäilemättä auttaa eettisyyttäkin, jos uusi työ liittyy johonkin toiseen alaan.
    • tietovälineet. Luonnollisesti työntekijää pitää estää viemästä mukanaan mitään hänelle kuulumatonta.
      • Käytännössä työntekijän ilmoitus muualle siirtymisestä saattaa antaa aiheen estää välittömästi hänen pääsynsä mihinkään tietovälineisiin tai muihin tietoresursseihin.
      • Koska työntekijä osaa ennakoida eo. kohdan mukaiset toimet, hän voi etukäteen yrittää kopioida ja kuljettaa tietoja omaan tulevaan käyttöönsä. Tämä on yksi syy valvoa työntekijöitä, siis sen syyn lisäksi, etteivät he työssä ollessaan vuotaisi tietoja.
  • Mitä vahinkoa työntekijä voi aiheuttaa yrityksen tietojärjestelmälle
    • viivästetysti: hän on voinut asentaa johonkin ohjelmaan loogisen pommin, joka aiheuttaa vahinkoa, kun häntä ei enää löydy palkkalistoilta. Tällaista on käytetty myös kiristykseen.
    • ulkoapäin, mutta kuitenkin tuntien järjestelmän rakenteen ja mahdollisia heikkouksia. Tietenkin kaikki käyttöoikeudet on pitänyt peruuttaa samalla kuin tieto-oikeudetkin. Työntekijä on voinut varmistaa sisäänpääsyn asentamalla etukäteen takaportin. Hänellä voi myös olla paremmat mahdollisuudet onnistua social engineering -hyökkäyksessä kuin täysin ulkopuolisilla.
  • Mitä tietoa (ja "tietotaitoa") yritys menettää työntekijänsä mukana. Tähän pitää varautua muidenkin kuin tärkeiden henkilöiden osalta dokumentoinnin ja varahenkilöiden avulla.
  • Mitä tietoa paljastuu kilpailevalla yritykselle, jonka palvelukseen henkilö siirtyy tai jolle henkilö muuten myy tai luovuttaa tietojaan.
    • Henkilön muistissaan kuljettaman tiedon vaaraa rajoittaa vain kaksi tai kolme asiaa:
      • ihmisen muistin rajoitettu kapasiteetti, mutta usein strategisesti tärkein tieto on juuri ihmisten mielessä eikä dokumenteissa.
      • rangaistuksen uhka etukäteen tehdyssä salassapitosopimuksessa, joka kieltää tietojen paljastamisen esim. viiden vuoden aikana. Rangaistus tarkoittaa sopimuksessa määrättyä korvausvelvollisuutta, mutta voi seurata myös Työsopimuslain perusteella työnantajan ammatti- ja liikesalaisuuksien paljastamisesta. Paljastumista voi olla vaikea näyttää toteen. Helpompi näyttö -- mutta vähemmän kattava vaikutus ja soveltuvuus vain painavin perustein -- liittyy kilpailevaan toimintaan: kilpailukieltosopimuksella voi rajoittaa työntekijän oikeutta tehdä uusi työsopimus tai harjoittaa ammattia. Rajoitus voi olla voimassa enintään vuoden ajan, jos työntekijä on saanut korvauksen haitasta, muussa tapauksessa enintään puolen vuoden ajan.
      • työntekijän eettisyys. Tämä tietysti liittyy myös rangaistuksen pelkoon, mutta sosiaalista sitovuutta voi edistää palkkioilla, esim. ns. kultaisella kädenpuristuksella, joka voi liittyä em. kilpailukiellon pidennykseen. Epäilemättä auttaa eettisyyttäkin, jos uusi työ liittyy johonkin toiseen alaan.
    • tietovälineet. Luonnollisesti työntekijää pitää estää viemästä mukanaan mitään hänelle kuulumatonta.
      • Käytännössä työntekijän ilmoitus muualle siirtymisestä saattaa antaa aiheen estää välittömästi hänen pääsynsä mihinkään tietovälineisiin tai muihin tietoresursseihin.
      • Koska työntekijä osaa ennakoida eo. kohdan mukaiset toimet, hän voi etukäteen yrittää kopioida ja kuljettaa tietoja omaan tulevaan käyttöönsä. Tämä on yksi syy valvoa työntekijöitä, siis sen syyn lisäksi, etteivät he työssä ollessaan vuotaisi tietoja.
  • Mitä vahinkoa työntekijä voi aiheuttaa yrityksen tietojärjestelmälle
    • viivästetysti: hän on voinut asentaa johonkin ohjelmaan loogisen pommin, joka aiheuttaa vahinkoa, kun häntä ei enää löydy palkkalistoilta. Tällaista on käytetty myös kiristykseen.
    • ulkoapäin, mutta kuitenkin tuntien järjestelmän rakenteen ja mahdollisia heikkouksia. Tietenkin kaikki käyttöoikeudet on pitänyt peruuttaa samalla kuin tieto-oikeudetkin. Työntekijä on voinut varmistaa sisäänpääsyn asentamalla etukäteen takaportin. Hänellä voi myös olla paremmat mahdollisuudet onnistua social engineering? -hyökkäyksessä kuin täysin ulkopuolisilla.

Kaikilla työpaikoilla ei tarvitse huolestua kaikista näistä seikoista. Esimerkiksi yliopistojen U-CIRT-työryhmän ohjeet toimenpiteiksi käyttöoikeuksien päätyttyä ovat hyvin lyhyet. Kuolemantapausta koskevat ohjeet ovat melko erilaiset, sillä niissä pitää ottaa huomioon mm. yksityisyyttä ja tekijänoikeuksia.

Kaikilla työpaikoilla ei tarvitse huolestua kaikista näistä seikoista. Esimerkiksi yliopistojen U-CIRT-työryhmän ohjeet toimenpiteiksi käyttöoikeuksien päätyttyä ovat hyvin lyhyet. Kuolemantapausta koskevat ohjeet ovat melko erilaiset, sillä niissä pitää ottaa huomioon mm. yksityisyyttä ja tekijänoikeuksia.

-- JukkaKoskinen?

-- JukkaKoskinen?

  
SivuTiedotLaajennettu edit
Vaativuus Perus
ValmiusValmis
Tyyppi Ydin
LuokitusYksilöt
MitäUseita
MiltäTahallinen uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
SivuTiedotLaajennettu edit
Vaativuus Perus
ValmiusValmisteilla
Tyyppi Ydin
LuokitusUhkat
MitäLuottamuksellisuus
MiltäIhmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
r2 - 22 Apr 2010 - 09:23 - MaijuLehtonen? r1 - 03 Mar 2010 - 19:45 - MaijuLehtonen?

View topic | View difference interwoven | History: r2 < r1 | More topic actions
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback