You are here: TUTWiki>Tietoturva>Sisällysluettelo?>TyösuhteenPäättyminen (revision 2)

Työsuhteen päättyminen

Työsuhteen päättymiseen liittyy useita haasteita tietoturvalle:

  • Mitä tietoa (ja "tietotaitoa") yritys menettää työntekijänsä mukana. Tähän pitää varautua muidenkin kuin tärkeiden henkilöiden osalta dokumentoinnin ja varahenkilöiden avulla.
  • Mitä tietoa paljastuu kilpailevalla yritykselle, jonka palvelukseen henkilö siirtyy tai jolle henkilö muuten myy tai luovuttaa tietojaan.
    • Henkilön muistissaan kuljettaman tiedon vaaraa rajoittaa vain kaksi tai kolme asiaa:
      • ihmisen muistin rajoitettu kapasiteetti, mutta usein strategisesti tärkein tieto on juuri ihmisten mielessä eikä dokumenteissa.
      • rangaistuksen uhka etukäteen tehdyssä salassapitosopimuksessa, joka kieltää tietojen paljastamisen esim. viiden vuoden aikana. Rangaistus tarkoittaa sopimuksessa määrättyä korvausvelvollisuutta, mutta voi seurata myös Työsopimuslain perusteella työnantajan ammatti- ja liikesalaisuuksien paljastamisesta. Paljastumista voi olla vaikea näyttää toteen. Helpompi näyttö -- mutta vähemmän kattava vaikutus ja soveltuvuus vain painavin perustein -- liittyy kilpailevaan toimintaan: kilpailukieltosopimuksella voi rajoittaa työntekijän oikeutta tehdä uusi työsopimus tai harjoittaa ammattia. Rajoitus voi olla voimassa enintään vuoden ajan, jos työntekijä on saanut korvauksen haitasta, muussa tapauksessa enintään puolen vuoden ajan.
      • työntekijän eettisyys. Tämä tietysti liittyy myös rangaistuksen pelkoon, mutta sosiaalista sitovuutta voi edistää palkkioilla, esim. ns. kultaisella kädenpuristuksella, joka voi liittyä em. kilpailukiellon pidennykseen. Epäilemättä auttaa eettisyyttäkin, jos uusi työ liittyy johonkin toiseen alaan.
    • tietovälineet. Luonnollisesti työntekijää pitää estää viemästä mukanaan mitään hänelle kuulumatonta.
      • Käytännössä työntekijän ilmoitus muualle siirtymisestä saattaa antaa aiheen estää välittömästi hänen pääsynsä mihinkään tietovälineisiin tai muihin tietoresursseihin.
      • Koska työntekijä osaa ennakoida eo. kohdan mukaiset toimet, hän voi etukäteen yrittää kopioida ja kuljettaa tietoja omaan tulevaan käyttöönsä. Tämä on yksi syy valvoa työntekijöitä, siis sen syyn lisäksi, etteivät he työssä ollessaan vuotaisi tietoja.
  • Mitä vahinkoa työntekijä voi aiheuttaa yrityksen tietojärjestelmälle
    • viivästetysti: hän on voinut asentaa johonkin ohjelmaan loogisen pommin, joka aiheuttaa vahinkoa, kun häntä ei enää löydy palkkalistoilta. Tällaista on käytetty myös kiristykseen.
    • ulkoapäin, mutta kuitenkin tuntien järjestelmän rakenteen ja mahdollisia heikkouksia. Tietenkin kaikki käyttöoikeudet on pitänyt peruuttaa samalla kuin tieto-oikeudetkin. Työntekijä on voinut varmistaa sisäänpääsyn asentamalla etukäteen takaportin. Hänellä voi myös olla paremmat mahdollisuudet onnistua social engineering -hyökkäyksessä kuin täysin ulkopuolisilla.

Kaikilla työpaikoilla ei tarvitse huolestua kaikista näistä seikoista. Esimerkiksi yliopistojen U-CIRT-työryhmän ohjeet toimenpiteiksi käyttöoikeuksien päätyttyä ovat hyvin lyhyet. Kuolemantapausta koskevat ohjeet ovat melko erilaiset, sillä niissä pitää ottaa huomioon mm. yksityisyyttä ja tekijänoikeuksia.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmis
Tyyppi Ydin
Luokitus Yksilöt
Mitä Useita
Miltä Tahallinen uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 22 Apr 2010 - 09:23:57 - MaijuLehtonen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback