Liiketoiminnan kehittäminen, 5 ov
etusivu  

 

 Tietoturva
  Tietoturva ja tietosuoja 
  Tietoturvan osa-alueet
  Tietoliikenneturvallisuus
  Tietoturvan kehittäminen

 Lainsäädäntö
  Immateriaalioikeudet 
  Yksityisyyden suoja
  Sopimukset
  Verotus ja tulli

 Sähköinen asiointi
  Sähköinen asiointi 
  Asioinnin tietoturva 
  Tunnistaminen
  Tehtävät

 Maksaminen
  Maksujärjestelmät
  Sähköinen raha
  Rahakortti
  Verkkotilisiirto
  Luottokortti
  Muita menetelmiä
  Tehtävät

 






Tietoturvan kehittäminen

Riskien kartoitus ja tietoturvan tason selvittäminen suoritetaan yrityksessä ihan ensin ennen tietoturvastrategian ja tietoturvapolitiikan luomista.

Tietoturvastrategiassa kuvataan se, miten yritys aikoo kehittää tietoturvaansa sekä tietoturvan tavoitteet ja niiden saavuttamisen keinot. Tietoturvastrategia sisältää myös toimien aikataulut ja vastuuhenkilöt.

Tietoturvapolitiikka on yrityksen johdon hyväksymä näkemys tietoturvan päämääristä, periaatteista ja toteuttamisesta sekä tietoturvan kehittämisestä. Tietoturvapolitiikka on yksinkertaisimmillaan joukko erilaisia ohjeistuksia, sääntöjä ja lähestymistapoja liittyen organisaation tietoturvatoimintaan. Tietoturvapolitiikka määrittää viime kädessä sen, miten organisaation tietoturva tulisi hoitaa. Näin ollen tietoturvapolitiikka on perusta järjestelmälliselle tietoturvakehitykselle ja tietoturvan hallinnalle. Tietoturvapolitiikka perustuu tietoturvavaatimuksiin, joita voi tulla mm. johdon, kolmansien osapuolien ja lainsäädännön taholta. Tietoturvapolitiikkoja voi olla useita, eri tasoilla ja erilaisilla notaatiolla. Joissakin tapauksissa yrityksen toimialasta riippuen tietoturvapolitiikka on luokiteltu salaiseksi.

Tietosuojapolitiikkaa (privacy policy) on esitelty enenevässä määrin yritysten nettisivuilla, se kertoo sen, mitä tietoa käyttäjistä kerätään ja miten tietoa hyödynnetään. Lisäksi nettisivuilta löytyy myös usein lisäksi nettipalvelun käyttösopimus. W3-konsortion, http://www.w3c.org P3P-standardi (Platform for Privacy preferences) kertoo, miten WWW-palvelun tietosuojapolitiikka kuvataan selaimen ymmärtämään koneelliseen muotoon. P3P:n ansiosta tietosuojasta huolehtiminen automatisoituu ja muuttuu normaaliksi osaksi surffausta.

Tietoturvaprojekti organisaatiossa

Tietoturvaprojektin erityispiirteitä

  • Korostettu luottamuksellisuus
  • Yrityksen kannalta yleensä erittäin salaisia
  • Tietojen hankinta ja kerääminen vaikeaa
  • Asiantuntijoita ja osaajia vähän
  • Yrityksellä itsellään yleensä vähän kokemusta,
  • Projektin jäsenten täytyy olla ehdottoman luotettavia,
  • Projektin tiedot väärinkäytettyinä vaarallisia
  • Lopputulos yleensä salainen.
Projektin organisointi

Edellisen mukaan on tietoturvaprojekti luonteeltaan hyvin luottamuksellista ja salaista toimintaa. Projektin henkilöstön valinnassa olla tarkkana, jotta projekti onnistuu ja salaisuudet säilyvät. Tiedon tulee pysyä projektin sisällä. Yhteistyökumppaneiden ja asiantuntijoiden valinnassa tulee noudattaa suurta huolellisuutta.

Tietoturvaprojektin resurssien mitoitus on vaikeaa, koska kokemuksia vastaavista projekteista ei yleensä ole. Henkilöresurssien valinnassa luotettavuuden lisäksi on henkilön oltava kykenevä ja kokenut tietoturvaan liittyvissä asioissa.

Kokeneen tietoturvahenkilöstön puute johtaa monesti ulkopuolisten asiantuntijoiden käyttöön. Erityisesti projektipäällikön ammattitaito ja näkemys ovat olennaisia projektin onnistumisen kannalta. Riittämättömällä ammattitaidolla toteutettu tietoturvaprojekti luo yritykseen katteetonta turvallisuuden tunnetta ja sitä kautta saattaa jopa heikentää tietoturvan.

Projektin henkilöstön kanssa tehdään kirjalliset vaitiolositoumukset. Lisäksi sovitaan, mitä viestintävälineitä voidaan käyttää ja kuinka projektiin liittyvät dokumentit tulee säilyttää, tallettaa ja tuhota. On huomattava, että projektissa saattaa syntyä tietoa, jolle yrityksessä ei ole vielä olemassa luokittelua ja sitä kautta käsittelyohjeita.

Tiedottaminen

Projektista tiedottamisen pitää olla erittäin varovaista. Tieto on pyrittävä pitämään projektiorganisaation sisällä. Projekti ei tarvitse ylimääräistä julkisuutta. Projektista tiedottaminen annetaan yhden henkilön tehtäväksi, ja kaikki tiedottaminen pitää hoitaa myös hänen kauttaan. Keskeneräisestä projektista tiedotetaan yrityksen muulle henkilöstölle kohdennetusti tarvittaessa.

Ulkoinen tiedottaminen voidaan yleensä jättää projektin valmistumisen jälkeiseen aikaan. Tiedottaminen voi aiheuttaa turhia riskejä projektin ollessa vielä kesken.

Projektin lopputulos

Projektin lopputulos on vaarallinen ja vahingollinen väärissä käsissä. Projektin suunnittelun tuloksena tulleet dokumentit ovat atk-rikollisen tai hakkerin käsissä kuin liikennemerkki yrityksen tietojärjestelmiin ja tietoihin pääsemiseksi. Suunnittelijoilla ja projektin toteuttajilla on myös tiedossaan yrityksen kannalta erittäin arkaluonteisia tietoja, joita nämä voivat halutessaan käyttää yritystä vastaan. Tietoturvaprojektin toteutusta ja suunnittelua voidaan mahdollisuuksien mukaan jakaa pienempiin osiin. Näin ollen yhdelle ihmiselle ei tule "liikaa" tietoa.

Projektin jälkeinen seuranta

Projektin valmistumisen jälkeen yrityksen ei kannata jäädä turvallisin mielin nauttimaan tietoturvastaan.  Tietoturvaa ja sen tasoa on seurattava ja testattava jatkuvasti. Riskianalyysien säännöllinen suorittaminen ja jatkuva tietoisuus tietoturvan tasosta sekä hyvä ylläpito takaavat tieturvan toteutumisen.
 

Tietoturvayritysten palvelut ja tuotteet

http://www.f-secure.fi
http://www.ssh.fi
http://www.stonesoft.fi

Päivitetty:
29.10.2003 Helena Tirronen, helena.tirronen@tamk.fi