Konttoritehtävät kotona
Uudenlaisia riskejä voi syntyä, kun tehdään etänä tehtäviä, joita ei ole siihen suunniteltu.
Voi olettaa, että etätöissä ihmiset hieman oikovat hyvissä käytännöissä. Kannattaa muistuttaa politiikoista ja käytännöistä sekä rajoittaa käyttöoikeuksia roolipohjaisesti. Perustele viestinnässä aina, miksi mitäkin pitää tehdä. Miksi VPN, kovalevyjen kryptaus tai paperidokumenttien käsittelyvaatimukset. Kerro, miksi kaikissa järjestelmissä ei kannata käyttää samaa salasanaa, kuten ei myöskään yksityiselämässä ja työelämässä. Perustele kertomalla, mitä voi tapahtua huolimattomuudesta.
Onko tiedossa, käytetäänkö järjestelmiä hyväksytyillä työkoneilla vai pilven yli omilla laitteilla? Vaikkapa samalla tabletilla, jolla perheen lapset ehkä pelaavat jotain? Hyvä laitepolitiikka ja hyvät käytännöt mahdollistavat sen, että yrityksen hyväksymät sovellukset toimivat turvallisesti myös työntekijöiden omilla laitteilla, tavallaan omassa ”hiekkalaatikossaan”. Vaihtokaupassa tietenkin joitain oikeuksia laitteeseen siirtyy yritykselle, esimerkiksi etätyhjennyksen mahdollisuus, jos laite joutuu hukkaan. Pilviympäristöt ovat mahdollistaneet sen, että tietojen suojaus ei enää riipu laitteen asetuksista, vaan lähinnä siitä, kuinka luottamukselliseksi tiedoston sisältö on määritelty, joko käsin tai analytiikan tunnistamana.
Teknologia voi katkaista tietovuodot
Kun rajoitukset poistuvat ja ihmiset palaavat työpaikoille, voi silti olla, että etätöitä tekevien määrä jää pysyvästi koholle. Jopa sisäpiiri- ja väärinkäytösten riski voi nousta, jos ihmisten epävarmuus työpaikastaan jatkuu ja esimerkiksi palkanalennukset jäävät pitkäaikaisiksi.
Onko tietohallinnon ja tietoturvan rooli tällöin vain pitää korotettuja kapasiteetteja yllä vai ruveta kaitsemaan, minkä verran etätyötä on ”sallittua”? Entä tuleeko ottaa käyttöön kiristettyjä valvontamekanismeja tietovuotojen estämiseksi?
Viime aikoina on myös Suomessa huomattu, että DLP-ratkaisuilla (Data Loss Prevention) pystytään saavuttamaan hyviä tuloksia vaatimustenmukaisuudessa ja tietovuotojen ehkäisemisessä – tapahtuipa niitä sitten vahingossa tai tarkoituksella. Suomessa voi lakien puitteissa tehdä valvontaa melko rajallisesti, joten toimenpiteet on mietittävä tarkkaan etukäteen. Perusperiaatteena sallittua on ainakin varoittaa käyttäjää ennalta määritellyistä kielletyistä toimenpiteistä, mutta joitain toimintoja voidaan myös estää suoraan.
Teknisesti on mahdollista rakentaa vaikka millainen valvontakoneisto, mutta tulee toki arvioida, mikä on laillista milläkin toiminta-alueella, mikä järkevää, ja mikä yrityskulttuurin mukaista. DLP-ratkaisuihin liittyvässä viestinnässä puolestaan pitää keskittyä ihmisten tukemiseen, sekä korkeamman riskin toimintojen tunnistamiseen ja puutteiden ratkaisemiseen neuvomalla, ei syyllistämällä. Hyvin suunnitellulla DLP-käyttöönotolla mahdollistetaan se, että esimerkiksi henkilötietojen tarpeeton leviäminen voidaan havaita, estää ja katkaista tietosisällön perusteella, eikä jäädä sen varaan, että joku on muistanut merkitä tiedoston luottamukselliseksi.
Paluu uuteen todellisuuteen
Tietoturvainvestointeja perustellessa on entistä tärkeämpää osata perustella hankkeiden liiketoimintahyödyt kvantifioidusti. Miten turvataan digitaalinen liiketoiminta, aikaansaadaan säästöjä, samalla varautuen mahdolliseen uuteen sääntelyyn? Minkä aiotun hankkeen tarkoitus on pienentää riskiä ja mitä riskiä? Onko kyse asiakastiedon vuotamisen estämisestä, liiketoiminnan jatkuvuudesta, sisäpiiripetosten havaitsemisesta vai ehkä teollisuusoikeuksien suojaamisesta? Voiko hanke mahdollistaa uuden liiketoiminnan potentiaalisen uuden markkinan lakien mukaisena tai IT-infran päivittämisen siten että uutta tuotetta tai palvelua voidaan tuottaa turvallisesti?
Mahdollisia investointeja voidaan näiden priorisoitujen tavoitteiden kautta arvottaa keskenään. Samalla päästään johdon kanssa keskusteluun, mihin halutaan panostaa ja miltä kunkin liiketoiminnan ”tietoturva-arvon” halutaan näyttävän 2–3 vuoden päästä.
Liiketoiminnan tukemiseksi on viisasta myös kertoa, mistä voidaan säästää. Mitä hankkeita voidaan panna jäihin tai käynnistää vasta myöhemmin? Mikä liiketoiminnan osa on sellaista, ettei siihen liittyvien järjestelmien, tietojen tai palvelujen tietoturvalla ole niin suurta merkitystä?
Jos tulee lama, leikataanko tietoturvan budjetteja? Olisiko järkevää ajaa hankkeita läpi nyt ennen suurempaa epävarmuutta? Voisi olla hyödyllistä käynnistää projekteja rohkeasti ajoissa ja varata resurssit käyttöön ennen syksyä, jolloin kaikki muut heräävät samaan asiaan yhtaikaa.