Difference: ValvontaaJaHuolenpitoa (r3 vs. r2)

Valvontaa ja huolenpitoa

Tietojenkäsittelyn turvattomin osatekijä on yleensä ihminen. Tämä tarkoittaa paitsi vahingon kautta toteutuneita uhkia myös tietoisia tietoturvarikkeitä. Kummassakin tapauksessa tärkeimmässä asemassa olevat ihmiset ovat yrityksen tai vastaavan sisällä. Ulkopuolisten hyökkäykset ovat erilainen uhka, mutta nekin voivat joissain tapauksissa tulla mahdollisiksi nimenomaan sisäpuolisten ongelmien takia.

Henkilökunta (ja varsinkin vierailijat) voidaan varustaa näkyvin henkilötunnistein, tai mahdollisesti sellaisin, joiden avulla henkilö uudessa kohteessa automaattisesti havaitaan ja tunnistetaan. Keskuskoneiden ja konsolien äärelle on syytä olla pääsy vain käyttöhenkilöstöllä ja työasemille vain niillä, jotka niitä tarvitsevat. Ainakin näihin tiloihin on syytä järjestää kulunvalvonta, jonka perusteella voidaan tietää, kuka ja milloin siellä on käynyt! Joissakin yhteyksissä voidaan käyttää kameravalvontaakin, mutta tätä suositellaan välttämään. Joka tapauksessa siitä pitää ilmoittaa valvonnan kohteiksi joutuville.

Työntekijöitä voi olla tarpeen valvoa muillakin tavoin, esimerkiksi seuraamalla heidän sähköpostiansa, tiedostojansa tai seittiselaustaan. Pääasiassa tällainen toiminta johtuu (ehkä perustellusta ja yleisestä) epäluottamuksesta työntekijää kohtaan, mutta merkitys voi olla laajempi. Voidaan myös tulkita niin, että työntekijää samalla opastetaan ja patistetaan noudattamaan tietoturvapolitiikkaa. Näin on vaikkapa sähköpostin salauksen ja tiedosto-oikeuksien asettamisen osalta. Lisäksi vaikutuksena voi olla huolenpito: Työntekijäkin voi nimittäin joutua hyökkäyksen kohteeksi: tätä voi olla esim. lahjonta, uhkailu, kiristys tai "miellyttävämpi" social engineering, jossa käytetään hyväksi erityisesti auttamisen halua, eikä uhri edes tiedä olevansa hyökkäyksen kohde tai välikappale. Näillä kaikilla voi olla tavoitteena jokin tietoon kohdistuva luvaton toimi. Ihmissuhdetaitojen käytöstä tähän tarkoitukseen on hyvä esitys J.Korpelan oppaassa . Täydennyksenä siihen kannattaa todeta, että varsinkin pitemmän tähtäimen social engineering voi käyttää vielä monipuolisempia keinoja, esim. työyhteisön ihmissuhteisiin aiheutettuja ristiriitoja, kateutta tai kilpailutilanteita.

Valvontaan vaikuttaa Laki yksityisyyden suojasta työelämässä. Sen edellinen "versio" astui voimaan vuonna 2001. Siinä oli pykälä 9 "Menettelytavat teknisen valvonnan ja tietoverkon käytön järjestämisessä". Pykälässä viitattiin ensin kahteen muuhun lakiin menettelytapojen hallinnoinnin osalta, sitten luvattiin säätää erikseen työnantajan oikeudesta valvonnan käyttöön. Lopuksi todetaan: "Työnantaja ei saa toimenpiteillään vaarantaa työntekijän yksityisluonteisten luottamuksellisten viestien salaisuutta sähköpostin ja tietoverkon käytössä."

Laki uudistui vuonna 2004 ja em. lupaus toteutui, kun pykälä täsmentyi viideksi uudeksi pykäläksi, jotka jakautuvat kahteen lukuun: "Kameravalvonta työpaikalla" ja "Työnantajalle kuuluvien sähköpostiviestien hakeminen ja avaaminen". Lisäksi on yleisemmät tilanteet kattava pykälä "Yhteistoiminta teknisin menetelmin toteutetun valvonnan ja tietoverkon käytön järjestämisessä."

-- JukkaKoskinen?

SivuTiedotLaajennettu edit
Vaativuus Perus
ValmiusValmisteilla Valmis
Tyyppi Ydin
LuokitusUhkat Yksilöt
MitäLuottamuksellisuus Useita
MiltäIhmisetön Useita uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa

View topic | View difference side by side | History: r3 < r2 < r1 | More topic actions
 
Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback