perjantaina, lokakuuta 27, 2006

 

Miten organisaatiomme ylin johto on sitoutunut tietoturvallisuuteen? (Senior executives commitment into security)


Suomalaisissa organisaatioissa suoritettujen tutkimusten mukaan näyttävät ihmiset – mukaan lukien organisaatioiden johtotehtävissä olevat – olevan hyvin tietoisia tietoturvallisuuden yleisperusteista, pitävän tietoturvallisuutta tärkeänä ja olevan motivoituneitakin siihen. Onhan ollut esillä myös varsin runsaasti tietoturvallisuuteen liittyviä uutisia ja yleistä koulutusta, ja myös monissa organisaatioissa on järjestetty vastaavasti sisäistä koulutusta. Kuitenkin asian varsinainen ymmärrys on kovin pinnallista ja sitä on vain harvoilla.

Huolestuttavaa on, että ylimmän johdon edustajat eivät yleensä ole kiinnostuneita tietoturvallisuudesta heidän oman johtamisroolinsa osalta. He eivät tunne tietoturvallisuuden johtamisen keinoja käytännössä ja saattavat delegoida johtamisvastuunsa asiantuntijoille tai suorastaan ulkoistaa sen ulkopuolisille konsulteille.

Kaikki kansainvälisestikin arvostetut referenssit korostavat, että organisaation tietoturvallisuuden johtamista ei voi menestyksellisesti siirtää pois johdon vastuulta. Johtamisvastuu koskee sekä organisaation operatiivista toimintaa että strategista kehittämistä. Asia on tuotu esille mm. tietoturvallisuuden hallinnan tärkeimmässä kansainvälisessä perusstandardissa ISO/IEC 17799:2005. Samaa toteavat OECD:n (2002) tietoturvallisuussuositukset ja -periaatteet, jotka erityisesti painottavat, että tietoturvallisuus edellyttää organisaatiokulttuurin syntymistä ja kehittämistä. Edellä mainittu koskee yhteiskuntamme kaikkia organisaatioita. Asian merkitystä lisää vielä se, että kaikkien organisaatioiden toiminta perustuu tänään lisääntyvässä määrin tietoon, tietoturvallisriskit ovat organisaatioiden merkittäviä liiketoimintariskejä ja suurimmat tietoturvallisuusrikkomukset tapahtuvat organisaatioiden oman henkilökunnan toimesta.

Miksi sitten käytännössä johdon sitoutuminen on epätyydyttävää? Tietoturvallisuuden ammatilliset peruskäsitteet, erityisesti eheys, käytettävyys ja luottamuksellisuus, ovat vaikeasti ymmärrettäviä ja vieraita ei-asiantuntijoille - ja jopa asiantuntijoillekin. Tietoturvallisuuden hallinnan yleiset standardit ja ohjeet (erityisesti ISO/IEC 27001:2005, ISO/IEC 17799:2005, ISO/IEC 17799–1:1996, and OECD Guidelines) ovat monimutkaisia ja hämmentäviä. Tilannetta vaikeuttavat vielä yleisesti tietojärjestelmiä ja tietojen hallintaa ohjaavat tärkeät julkaisut (mm. ISO/IEC 20000:2005, ITIL, COBIT, Sarbanes-Oxley Act) sekä lukuisat organisaatioiden yleistä johtamista koskevat opit ja julkaisut, mm. ISO 9000 –standardit. Lisäksi tietoturvallisuus on monitieteellinen aihe, ja tieto jota turvallisuuden hallinta koskee on pääosaltaan ns. hiljaista tietoa (tacit knowledge). Ammattimainen tietoturvallisuuden hallinta edellyttää siten paljon erityistietoa. Kuitenkin organisaatioiden johtohenkilöt ovat hyvin yksilöllisiä ja vahvan muodollisen asemansa tuntevia ”generalisteja”, joiden kommunikointi erityisspesialistien kanssa on vaikeata toteuttaa käytännössä tehokkaasti.

Kun organisaatioiden ylin johto ei ole riittävästi sitoutunut tietoturvallisuuden johtamiseen, siitä seuraa, että:

Tehokkaimpana keinona organisaatioiden ylimmän johdon saamiseksi sitoutumaan tietoturvallisuuteen on tietoturvallisuuden hallinnan saattaminen johtamisasemassa ja –tehtävissä olevien henkilöiden varsinaiseen työkenttään kuuluvaksi. Tässä voidaan nähdä kaksi osa-aluetta:
  1. Tietoturvallisuus integroidaan saumattomasti johdon päätöksiin sekä strategisiin ja operatiivisiin johtamistoimintoihin.
  2. Vahvistetaan organisaation yleistä tietoturvallisuustietoisuutta ja –kulttuuria.

Näihin pääseminen kuitenkin edellyttää merkittäviä asennemuutoksia niin organisaatioiden johtohenkilöissä kuin tietoturvallisuuden asiantuntijoissakin.

Tietoturvallisuuden hallinnan yleinen paradoksaalinen tosiasia on, että tietoturvallisuudessa täytyy organisaatioiden aina olla valmiina, mutta siinä ei voi koskaan tulla valmiiksi.

==>Lue lisää Teksti 1 Teksti 2

For senior executives, information security is a basic requirement for business success. Yet, despite being well-motivated, top managers often have only a superficial understanding of information security, which may lead them to make decisions that are not conductive to rctising lhe organization's security level. Enhancing information security awareness among all employees has been found necessqty, but the key to success is raising the awareness level of senior mqnagement. Playing a decisive role, they must assume overall responsibility for information security. The question is how to achieve this in an fficient and natural way.

==> Read more ...



torstaina, lokakuuta 26, 2006

 

Mihin ulottuu tietoturva?


Jo seitsemännen kerran toteutui 26.10.2006 Rovaniemellä Tietoturva ja laki –tilaisuus. Tilaisuuden järjestivät Lapin yliopiston oikeusinformatiikan ja menetelmätieteiden laitokset sekä Pohjan viestikilta. Lisäksi tärkeinä vaikuttajina on ollut useita Pohjois-Suomen organisaatioita. Tapahtumapaikkana oli Lääninhallituksen sali.

Tämänkertaisen tietoturvallisuuspäivän otsikko oli tehty kysymyksen muotoon: Mihin ulottuu tietoturva? Aihetta tarkasteltiin seuraavien puheenvuorojen kautta:

Tilaisuuden päätteeksi oli cocktail-tilaisuus ja sen yhteydessä osallistujien välistä verkottumista.



lauantaina, lokakuuta 21, 2006

 

Luonnollinen on turvallista


Rauno Salminen on Taivalkoskella asuva kansainvälistä arvostusta saanut taiteilija. Hän on mm. osallistunut töillään maailmanlaajuisesti moniin näyttelyihin. Rauno on jo toistakymmentä vuotta tukenut omalla osaamisalueellaan Pohjois-Suomen tietoturvallisuusverkoston toimintaa. Kaikki verkostomme monissa tilaisuuksissa esiintyneet puhujat muistavat hänet, koska ovat saaneet osallistumisestaan muistolahjaksi Raunon ajankohtaisen ja juuri kyseistä tilaisuutta varten tekemän teoksen. Monilla on ollut myös mahdollisuus henkilökohtaisesti tutustua Raunoon sekä hänen mieleenpainuviin ajatuksiinsa.

Taivalkosken ja sen lähiseutujen maisemia eri vuodenaikojen väreissä kuvaavat Raunon työt omalla ajattomalla tavallaan hyvin symbolisoivat kauneutta, varmuutta ja turvallisuutta.

Seuraavassa kuvassa on Rauno Salmisen akvarelli "Maaruska", joka julkaistiin vuoden 2002 Tietoturvallisuus ja laki seminaarin julkaisun kansikuvana (Pohjois-Suomen Tuomarikoulun julkaisuja 2/2002).



torstaina, lokakuuta 19, 2006

 

Sähkö & Tele tietoturvallisuudesta


On hyvin merkittävää, että verkostoomme on liittyneenä monenlaisia toimijoita. Aiheemme esille saamisen kannalta on lehdistö tärkeä yhteistoimintakumppani. Sähkö & Tele (ISSN 0789-676X) on sähkötekniikan ja elektroniikan teknistieteellinen ammattilehti, jonka julkaisijana on Sähköinsinööriliitto ry. Tähän lehteen verkkomme jäsenillä on ollut läheiset yhteydet jo vuosia, ja viime vuosina lehti on julkaissut monia kirjoituksiamme. Erityisesti voimme huomioida lehdessä sen korkeatasoisen ja tehokkaan kirjoitusten toimitustavan.

Sähkö & Tele -lehdessä olemme viime aikoina julkaisseet seuraavia kirjoituksia:



 

Aktiivinen syksy jatkuu verkostossamme


Pohjan Viestikilta ry järjesti 12.10.2006 yhteistyökumppaniensa, PPO Oy:n, Oulun ja Lapin yliopistojen, Oulun lääninhallituksen, Puolustusvoimien ja VTT:n kanssa IV Pohjanmaan tietoturvaseminaarin Nivalassa, Teknologiakeskus Nitekissä.

Seminaarin ohjelma oli jälleen antoisan monipuolinen ja myös osanottajia oli runsaasti 50 henkeä:



maanantaina, lokakuuta 16, 2006

 

Viestiristi Gerald Quirchmayrille


Kansainvälisen kriisien hallinnan workshopin yhteydessä syyskuun 28. päivänä 2006 Rovaniemellä luovutettiin viestiristi professori Gerald Quirchmayrille. Hän on Wienin yliopiston hajautettujen ja multimediapohjaisten järjestelmien laitoksen johtaja ja samalla myös professorina Etelä-Australian yliopistossa Adelaidessa. Prof. Quirchmayr on ollut mukana tietoturvallisuusverkostomme toiminnassa monia vuosia monipuolisena ja kansainvälisesti arvostettuna asiantuntijana.

Kuvassa Jorma Kajava luovuttaa ansiomerkin ja kiittää prof. Quirchmayria tietoturvallisuusverkostomme monivuotisesta ja monipuolisesta tukemisesta.



sunnuntai, lokakuuta 15, 2006

 

Toimiminen verkostossa


Tämä blogi on erityisesti Pohjois-Suomen tietoturvallisuusverkoston toimintaa tarkasteleva foorumi. Verkostomme asia-aiheena on tietoturvallisuus ymmärrettynä laajasti, mutta mitä se sitten tarkoittaa, että toimimme verkostona. Myös tietoturvallisuusverkosto toimii yleisten verkostoperiaatteiden mukaisesti.

Käsitykseni on, että aito verkosto on aina itsestään syntynyt ja kehittyy sekä sitten myös joskus kuolee itsestään. Verkosto on myös osiltaan jatkuvassa uusiutumisen tilassa. Toisin sanoen mikään yksittäinen toimija ei voi johtaa verkostoa – jos ei nyt oteta huomioon jotain jumalallisia vaikuttajia. Myöskään tällainen verkosto kokonaisuudessaan ei ole kokonaisuutena tarkkaan määriteltävissä. Yleisesti tarkastellen verkostolla ei siis ole määriteltyä tai sovittua johtajaa eikä myöskään johtamisjärjestelmää sanan varsinaisessa merkityksessä. Tästä seuraa, että verkostolla ei myöskään voi olla yhteisesti jaettuja arvoja tai normeja, sovittuja toimintaperiaatteita, -politiikkaa, tai –strategiaa. Verkostossamme voi olla mukana aina myös sellaisia, jotka eivät ole kaikkien muiden mielestä toivottuja tai haluttuja. Itse asiassa verkossamme voi olla myös jopa joidenkin mielestä tyhmiä tai vihamielisiä, eikä näiden vaikutuksia voi täysin estää.

Johtamisaihe on ollut vahvasti esillä kaikissa verkostoaihetta käsitelleissä tilaisuuksissa ja kirjoituksissa. On esitetty kysymyksiä: Eikö ongelmana ole juuri verkostojen johtaminen, ja mitä tietoa sitä varten on saatavissa? Miten kannattaisi mitata verkostojen kustannus-hyöty-suhdetta? Miten verkostoitumista voisi edistää XXX-alueella? Miten voitaisiin vaikuttaa julkisen sektorin verkostotaitoihin ja muutosvastarintaan? Mitä kriteerejä olisi priorisoitava, kun puhutaan tuottavista verkostoista? Mikä on kriteeri sille, että kaksi verkoston osapuolta voidaan katsoa ”verkottuneeksi”?

Johtaminen verkostossa palautuu verkoston kunkin yksittäisen toimijan (organisaation tai yksilön) omaksi sisäiseksi johtamiseksi. Mikä vaikutus tällä sitten on koko verkoston rakenteeseen ja toimintaan, riippuu erityisesti voimasuhteista ja kommunikoinnin tehokkuudesta verkostotoimijoiden kesken. Valdis Krebs on määritellyt toimijan verkostossa vaikuttamista kuvaavia tunnussuureita:

Koska kaikki verkostotoimijat ovat itsenäisiä, heillä on myös jokaisella omat intressinsä olla mukana tai pyrkiä pysymään verkostossa. Entistä enemmän verkostotoimijoina ovat yritysten ja organisaatioiden sijasta yksilöt. Verkostossa on aina olemassa eri intressien välillä ristiriitoja. Kunkin toimijan ja myös koko verkoston kannalta on hyödyllistä monenvälinen Win / Win –toiminta ja toimijoiden jatkuva oppiminen. Millaiseksi verkoston toiminta muodostuu, riippuu paljon toimijoille koituvista transaktiokustannuksista.

Yleisesti arvostetuissa yritystoimintaa koskevissa verkostotutkimuksissa ja kehityshankkeissa tarkastellaan pääasiallisesti esim. tiettyjen vahvojen yritysten tai muiden organisaatioiden ympärille luotuja toimittaja-, asiakas- tai partneriverkostoja. Näissä myös normaalisti tuodaan esille yhteisiä arvoja, strategioita ja kehitysohjelmia. Tällaiset verkostot ovat kuitenkin verkostomielessä hyvin erikoistapauksia tai suorastaan surkastuneita, ja ne voidaan nähdä monesti yritysten ulkoistettuina jatkeina tai suorastaan ”orjaverkostoina”. Helposti tulee mieleen, että bisnesmielessä hyödyllisintä olisi paradoksaalinen tilanne, missä toimijat tietoisesti hyödyntävät verkostoissaan sekä tiettyä systemaattisuutta että ”verkostovallattomuutta”. Ja sitä paitsi tämähän juuri vastaakin luonnollisia realiteetteja ympärillämme. Paitsi että miten tietoisia olemme asian suhteen?



perjantaina, lokakuuta 13, 2006

 

Globalisaatio on kuuma aihe


Käsittelimme Pohjoisen Tutkimusfoorumissa Pohjois-Suomen tietotyön kehittämisen haasteita ja mahdollisuuksia. Samaa teemaa sivutaan myös laajemmalti koko EU:n puitteissa. Valtion korkeimmalla tasolla globalisaatioaihe on ollut näyttävästi esillä, ja on luvassa, että aiheen tarkastelu tulee samalla tavoin vielä jatkumaankin. Pääministeri Vanhasen amerikkalaiselta professori Richard Baldwinilta tilaaman globalisaatioselvitys Globalisation: the great unbundling(s) julkistettiin 20.9.2006.

Raportti korostaa, että globalisaatio muuttuu entistä arvaamattomammaksi. Äkilliset ja vaikeasti ennakoitavat muutokset kuuluvat globalisaation uusiin pelisääntöihin. Tähän sisältyy, että on vaikea ennustaa voittajia ja häviäjiä. Ennakoimattomuutta lisää toimijoiden väliset kompleksiset vuorovaikutukset liiketoiminnoissa. Maailmanlaajuinen kilpailu voi viedä myös Suomesta koulutetun väen töitä, ei vain teollisuustöitä. Kilpailu muuttuu yritysten välisestä kilpailusta osaamisryhmien ja yksilöiden väliseksi. Eivät perinteistenkään turvattujen ammattien edustajat eivät ole erossa globalisaatiolta. Kansainvälisen yrityksen ekonomi tai insinööri voi huomata työnsä siirtyvän Kiinaan tai Venäjälle. Turvallisuuspalvelutkin voidaan toteuttaa etätyönä Intiasta.

Globalisaatiotilanteeseen sisältyy kriisien aineksia, joihin pitäisi suhtautua päättäväisesti.

Baldwinin raportti järkyttää myös suomalaista koulutusajattelua. Pitkä koulutus tai esim. tietotekninen osaaminen ei suojaakaan Suomen työvoimaa. Nyt ei ole it-insinööreistä pulaa, mutta metalliteollisuus ja rakennusala kaipaavat kipeästi hitsaajia ja asentajia. Yleisesti viestitään, että nuorien ei kannatakaan mennä yliopistoon, vaan mieluummin ammattikoulun putkiasentajalinjalle. Alipalkattuja akateemisia on jo nyt suuri joukko.

Jos esimerkiksi tuotekehitys, tietohallinto ja rahoitus voidaan hoitaa Intiasta käsin, niin aina kuitenkin tarvitaan paikallistuntemusta. Oma kieli ja oma lainsäädäntö voivat suojata ulkomaiselta kilpailulta. Vaikeasti korvattavia ovat myös henkilökohtaiset kontaktit. Nämä seikat korostavat varmasti toimivien ja monipuolisten palvelujen sekä verkostojen merkitystä.

Suomessa uskotaan vahvasti tietoyhteiskunnan mahdollisuuksiin. Vastikään hallituksen julkaisemassa uudessa tietoyhteiskuntastrategiassa jo aivan sen alkukappaleessa korostetaan, että tarkoituksena on tämän kehityksen avulla päästä kiinailmiöstä kohti suomi-ilmiötä. Tämä erityisesti asettaa haasteita sähköisen kommunikaation vahvistamista Pk-sektorin liiketoiminnassa. Ja luonnollisesti kaiken perustana on tietoyhteiskunnan perusratkaisujen toiminnan haavoittuvuuden estäminen ja luottamuksen ylläpitäminen.



torstaina, lokakuuta 12, 2006

 

Tietoturvallisuutta pohjoismaisen tutkimusfoorumin konferenssissa


Pohjoisen tutkimusfoorumin neljäs avoin tapaaminen järjestettiin tunnuksella Rajaton Pohjola "Perämerenkaarella" Oulussa, Torniossa, Haaparannalla ja Luulajassa 4.–8.10.2006. Tilaisuudessa olivat avainpuhujina mm. Suomen presidentti Tarja Halonen ja Islannin presidentti Olafur Ragnar Grimsson. Osanottajia oli laajasti pohjoisen alueen maista ympäri maapalloa. Northern Research Forumin yleisenä tarkoituksena on edistää dialogia tutkimusyhteisön ja muiden arktisten alueiden toimijoiden välillä. Käsiteltävät kysymykset liittyvät ”sirkumpolaarisiin” ongelmiin ja mahdollisuuksiin koskien mm. kestävää kehitystä, rauhaa ja turvallisuutta, sosiaali- ja ympäristöpolitiikkaa sekä globaalimuutoksia.

Tässä tilaisuudessa ryhmämme, Jorma Kajava, Ilkka Kamaja, Juhani Anttila ja Mikko Ilkko, esitelmä käsitteli aihetta Verkottumisen ja Barentsin alueen mahdollisuudet Pohjois-Suomen tietotyön kehittämisessä, jossa nostimme esille keskeisiä kysymyksinä: Miten toiminnan laajeneminen Barentsin alueella heijastuu tiedon ja osaamisen kysyntään Pohjois-Suomessa ja onko siihen voimavaroja vastata niin yhteistyökyvykkyyden kuin tuotannon volyymin kannalta? Miten palvelutoiminnan ulkoistuksessa tulsi varautua tietoturvallisuuden kysymyksiin? Miten tässä tilanteessa voitaisiin ottaa esille monitieteisyyden toimintamallien ja tieteenteoreettisten tutkimusten hyödyntäminen?

Nyt Suomen koillisella lähialueella ollaan käynnistämässä laajoja hankkeita energian ja raaka-aineiden hyödyntämiseksi. Barentsinmerellä arvioidaan olevan 25 prosenttia maailman öljy- ja kaasuesiintymistä. Niistä suurin osa sijaitsee Venäjän alueella. Venäjän arvioidaan omistavan maailman suurimmat maakaasuresurssit. Suomen pohjoispuolella sijaitsevat merialueet ovat muuttumassa kylmän sodan aikaisesta sotilaallisstrategisesti merkittävästä alueesta energiastrategisen kilpailun näyttämöksi. Lähi-idän tilanteen jatkuessa epävarmana kansainvälinen huomio tullee kiinnittymään yhä voimakkaammin Barentsin alueelle. Ei siis ole vaikeata arvata, että tuotannon ja palvelujen ulkoistamisen suunta tulee muuttumaan meille edullisemmaksi. Yllättäen kaukaisesta sijainnista onkin etua, olemme suhteellisen lähellä suuria ”apajia”.

Kun palveluja siirretään yrityksen ulkopuolelle, niin toiminnan luonteesta, laajuudesta ja monipuolisuudesta riippuu, miten ja missä määrin tietoja tulee suojata. Kun suunnittelua siirretään yrityksen ulkopuolelle, niin silloin on paljon suurempia uhkia siitä, että yrityksen strategisesti tärkeiden tietojen luottamuksellisuus tulee uhatuksi. Kuitenkin modernissa liiketoimintaympäristössä toimiva joutuu yhteistyön nimissä paljastamaan yhteistyökumppaneille ja tärkeimmille asiakkaillekin merkittävässä määrin luottamuksellisia suunnittelutietoja. Silloinkin on pidettävä huoli siitä, ettei strategisia tietoja joudu asiattomille.

Palvelutoiminta on toimintakenttä, jossa on laaja kehittämispotentiaali ja jonka vaatima suunnittelu- ja toteutustyö edellyttää asiantuntijuutta ja läsnäoloa käyttäjien tai tutkimus- ja kehittämiskohteen suhteen. Se voidaan lisäksi ymmärtää laaja-alaisesti, jolloin siihen sisältyvät julkinen ja yksityinen sektori sekä tutkimus-, kehitys-, suunnittelu- ja toteutustehtävät. Tuekseen tämän toiminnan kehittyminen tarvitsee ainakin innovaatiotoiminnan kehittämistä siten, että se tukee tehokkaasti sekä sosiaalisia että teknologiainnovaatioita.

Kaukomailta on tullut viestejä, joiden mukaan tietoturvaan liittyvät ongelmat ovat vaikeita. Ulkomaiset työntekijät eivät ymmärrä esimerkiksi luottamuksellisuussopimuksen sitovuutta. Monet laajat organisaatiot tekivät aikoinaan ulkoistamissopimuksia liian pikaisen kartoituksen perusteella ja esillä on ollut ulkoistamisen lopettamisia (insourcing), joissa toiminnot palautetaan alkuperäiselle yritykselle tai uusi yhteistyökumppani alkaa tuottaa palvelujja.

Ulkoistamisen yhteydessä oleellista on, että asiakkaita koskevat tietoaineistot täyttävät tietoturvan perusvaatimukset; tietojen luottamuksellisuuden, tietojen oikeellisuuden ja tarkkuuden ja tietojen saatavuuden. Tällöin luottamuksellisuuden menettäminen olisi palveluntarjoajalle katastrofaalista. Ulkoistamisen yhteydessä korostuu ihmisten luotettavuus.

Kun kumpikin ulkoistamisen osapuoli tuntee tarkoin toiminta-alueen, tietotekniikan erityiskysymykset ja sopimusjuridiikan, ulkoistamisella ovat onnistumisen edellytykset. Jos on kyseessä laaja ulkoistaminen, johon sisältyy esimerkiksi merkittävä tietotekniikan ulkoistaminen, on vaarana menettää myös yrityksen kannalta strategista osaamista. Jos sitä menetetään, yrityksen kehittyminen voi vakavasti häiriintyä ja vinoutua.

Tietoturvamenettelyjen ja -tavoitteiden määrittely ulkoistamisen yhteydessä on tärkeää. Tämä edellyttää, että tietoturvatietoisuus on asiallisesti hallinnassa ja että tietoturvan hallinta organisaatiossa on ammattitaitoista.

Yritystemme koko Pohjois-Suomessa on pieni. Samoin jokaisella yrityksellä on ”oma menestystarinansa”. Kuinka hajallaan olevat yritykset saataisiin suunnatuksi samansuuntaisesti yhteisiä päämääriä tavoittelemaan, ei kilpailemaan toisiaan hengiltä? Yksittäisten yritysten tuotantokapasiteetti ei riitä tarvittavan volyymin saavuttamiseen. Tarvitaan laajaa ja tehokasta verkostomaista yhteistyötä nimenomaan pk –sektorilla, jotta myös Pohjois-Suomessa työnteko olisi arvossaan ja laajuudeltaan riittävää.

Tulevien vuosien aikana Pohjois-Suomen pk –sektorin tehokas verkostoituminen on yksi tärkeimmistä kansantalouteemme vaikuttavista tekijöistä. Esitämme jo alkaneeseen tutkimus- ja kehitystyöhön verkostokyvykkyyden edistämistä, jolla tarkoitamme verkostoon kuuluvan yrityksen tai organisaation kykyä toimia verkostossa 1) prosessipohjaisesti, verkostossa suoritettavien toimintojen tehokkaana suorittajana, 2) hallitulla ja ammattimaisella tavalla, mm. sovittuja standardeja ja toimintatapoja käyttäen, 3) tietoturvatietoisena verkostokumppanina. Tämä tarkoittaa kunkin yksittäisen verkostossa toimivan organisaation oman johtamissystematiikan ja myös yhteistoimintaosaamisen kehittymistä. On syytä rakentaa toimialakohtaisia yritysten verkostoja, joita aluksi voidaan käyttää koulutuksessa, valmennuksessa ja nykyaikaisen verkostotoiminnan oppimisessa. Yhteistoimintaverkoilla on kasvava merkitys, kun varsinaisen tuotannon volyymi kasvaa.

Turvallisuus ja osaaminen ovat avaimet Pohjois-Suomen menestykseen tulevaisuudessa.

Foorumin esitelmäjulkaisu



sunnuntai, lokakuuta 08, 2006

 

Kriisien hallinta ja tietoturvallisuusverkosto


Turvallisuusalan tapahtumia on Suomen EU:n puheenjohtajakauden aikana runsaasti, myös jopa päällekkäisesti. Pohjois-Suomen tietoturvallisuusverkoston puitteissa toteutettiin Rovaniemellä kansainvälinen kriisien hallinnan tilaisuus The Second Crisis Management Workshop syyskuun 28. päivänä 2006. Vastaavalla tavalla järjestettiin myös Suomen toimesta vuoden 2005 ensimmäinen vastaava workshop Brysselissä hyvin lyhyellä varoitusajalla. Koska olemme toimineet jo vuosikymmenen aktiivisesti kansallisessa ja kansainvälisessä asiantuntijaverkostossa, niin workshopien nopea kokoaminen onnistui hyvin.

Kriisien hallinta liittyy EU:n seitsemännen puiteohjelman valmisteluun ja siellä turvallisuusasioiden ryhmään kuuluvaan PASR –hankekokonaisuuteen (Preparatory Action for Security Research). EU arvioi kaikki ohjelman kuusi rinnakkaisina toteutettua workshopia ja palkitsi suomalaisten Brysselissä järjestämän tilaisuuden parhaaksi. Brysselissä järjestettiin syksyllä 2005 samanaikaisesti kaksi suomalaista kriisienhallinnan seminaaria. Toisen tilaisuuden järjesti CMI presidentti Martti Ahtisaaren johdolla 400 tärkeimmälle kansainvälisen politiikan edustajalle aiheena siviilikriisien hallinta. Yhteensattumasta johtuen meidän tilaisuutemme osallistujat saivat kutsun presidentiltä osallistua toisena päivänä hänen johtamaansa tilaisuuteen.

Turvallisuuteen ja tietoturvaan liittyvistä monista erilaisista tapahtumista valtaosa on kaupallisten yritysten tarjoamia tuote-esittelyyn liittyviä ”ilmaisia” tilaisuuksia. Tietoa on myös alettu myydä varsin korkeaan hintaan erilaisten kurssien muodossa. Myös tieteellisellä puolella on tullut tavaksi, että sponsorien tuen lisäksi osallistujilta ja esitelmien pitäjiltä peritään suhteellisen korkeita osallistumismaksuja. Rovaniemen tietoturvaverkoston nimissä pystyimme kuitenkin tarjoamaan syyskuun 28. päivän tilaisuuden ilman mitään maksuja. Tilaisuuden kieli oli englanti. Tilaisuus oli tarkoitettu niin asiantuntijoille kuin alaa opiskeleville sekä kaikille aiheesta kiinnostuneille.

Rovaniemen workshopin pääpuhuja oli professori Gerald Quirchmayr. Hän toimii Wienin yliopiston hajautettujen ja multimediapohjaisten järjestelmien laitoksen johtajana ja samalla myös professorina Etelä-Australian yliopistossa Adelaidessa. Hänen aiheensa lähti riskianalyyseistä ja päättyi liiketoiminnan jatkuvuuden suunnitteluun. Toinen tunnettu asiantuntija oli englantilainen Christopher C. Wills. Hän toimii Kingstonin yliopistossa teknologiakeskuksen johtajana. Hän on toiminut myös vuosia yhteistyössä Britannian poliisin kanssa terrorisminvastaisessa työssä, jossa pyritään ennalta ehkäisemään ja torjumaan vakavia iskuja.

28.9.2006 worshopin kokopäiväinen ohjelma oli kokonaisuudessaan seuraava:

Tilaisuuden järjestäjäorganisaatiot olivat Lapin yliopisto, Oulun yliopisto, Infotech Oulu, Rovaniemen ammattikorkeakoulu, Lapin lääninhallitus, Puolustusvoimat, Poliisin tietohallintokeskus, Pohjan viestikilta, Säteilyturvakeskus, VTT sekä Rovaniemen kehitys Oy.

Kriisien hallinta on varsin laaja alue. Edellä mainittiin jo siviilikriisien ja sotilaskriisien hallinta. Myös liiketoimintoihin liittyy vakavia kriisejä. Lapin yliopisto julkaisi juuri omat toimintaohjeensa kriisitilanteisiin. Ohjeet koskevat sellaisia tilanteita, jolloin tietoon tulee henkilökuntaa, opiskelijoita tai työ/opiskeluyhteisöä koskeva traumaattinen tapahtuma. Luonnonkatastrofit ovat aiheuttaneet kaikkein suurimmat ei-sotilaalliset kriisit. Terroriteot ja niiden ennalta torjuminen on yhä vakavampi asia koko yhteiskunnan toiminnan kannalta ja niihin varautuminen aiheuttaa erittäin huomattavat kustannukset yhteiskunnille.

Kriisien hallinnan yhteydessä on oleellista pyrkiä ennalta estämään ja torjumaan mahdolliset uhkat. Modernia tieto- ja tietoliikennetekniikkaa käyttäen voidaan riskejä lieventää huomattavasti, mutta täyttä varmuutta ei koskaan saavuteta. Jos kriisi pääsee puhkeamaan, niin organisaatioilla on oltava valmiina palautumis- ja toipumissuunnitelmat. Mitä varhaisemmassa vaiheessa kriisiin päästään tarttumaan, sitä pienemmillä vahingoilla on mahdollista selviytyä. Laatu ja sen hallinnan ymmärtäminen on erittäin keskeinen liike-elämän osa-alue, jolla toimintaa saadaan parannettua. Tietoturvan merkitys koko laajuudessaan on myös tulossa ihmisten tietoisuuteen. Enää ei puhuta pelkästään teknisistä suojauksista, vaan ymmärretään, että niiden rinnalla yhä tärkeämpää on tietotekniikan käyttäjien tietoturvatietoisuus ja organisaatioiden ylimmän johdon sitoutuminen tietoturvatyöhön.

Kriisien torjunta modernia tieto- ja viestintätekniikkaa käyttäen on myös EU:n seitsemännen puiteohjelman keskeinen turvallisuuskysymys. Tärkeät turva-asiat uudessa puiteohjelmassa ovat SeNTRE (Security Network for Technological Research in Europe) työryhmän viidennessä työohjelmassa, jossa esillä on paitsi tietoverkkojen turvallisuus myös tuotteiden ja ihmisten liikkuvuudesta aiheutuvat turvallisuuskysymykset mukaan lukien konttikuljetukset; kemialliset ja biologiset aseet mukaan lukien tautien levittämiseen liittyvät kriisit; tunnistaminen ja biometria sekä kriittisten perusrakenteiden ja verkkojen turvaaminen.

Kriisien hallinnan yhteydessä oleellista on, että onnistuneella työllä pystytään pelastamaan ihmishenkiä. Kriisien hallinnalla pystytään myös lieventämään inhimillisiä kärsimyksiä. Esimerkiksi Libanonissa kriisien hallinnassa lähdetään sodan aiheuttamien tilanteiden, kuten räjähtämättömien ammusten eliminoinnista. Raivaustyön jälkeen vuorossa on jälleenrakennus ja toiminnan palauttaminen. Toiminnan rinnalla ihmisten fyysinen ja humanitäärinen auttaminen ja tukeminen ovat erittäin tärkeitä. Tästä työstä kylmä bisnes on kaukana.

Rovaniemen tietoturvaverkoston toiminnan kannalta on erittäin tärkeää rakentaa koulutukseen liittyvää yhteistyötä. Tästä esimerkkinä on täällä järjestettävä tietoturva-alan erikoistumisopinnot, jotka pyörivät jo toista vuottaan. Myös erilaisten turva-alan tilaisuuksien järjestäminen on oleellinen osa kokonaisuutta. Jo perinteikkääksi muodostunut Tietoturva ja Laki toteutetaan jo seitsemännen kerran lokakuun 26 päivänä 2006 Rovaniemellä. Rovaniemellä tietoturvaverkosto on ollut kokoava tekijä myös turvallisuusalueen määrätietoisessa kansainvälistymisessä. Tätä suuntausta tukee myös yhtenä esimerkkinä Rovaniemellä marraskuussa 2006 järjestettävä kaupallinen MISTI –tietoturvatapahtuma.

Mainituista tilaisuuksista ja niiden materiaaleista voi saada tietoa Jorma Kajavalta (jorma.kajava@ulapland.fi)

Kriisien hallintaa olemme käsitelleet joidenkin ajankohtaisten teemojen osalta myös Sähkö&Tele-lehden artikkelissamme.



sunnuntai, lokakuuta 01, 2006

 

Tietoturvallisuuden talvikoulu 2006


Tämän vuotinen seitsemäs tietoturvallisuuden talvikoulu, European Intensive Programme on Information Security Management and Technology, IPICS 2006, toteutettiin 3 – 10.3.2006 Talvalkosken Maijanlammella, puolustusvoimien harjoitusalueella. Jälleen osanottaja- ja puhujajoukko oli edustava.

Talvikoulussa oli seuraavat esitykset, joissa monipuolisesti käsiteltiin tietoturvallisuuden aiheita:

Tilaisuuden luentomateriaalia voi tiedustella Jorma Kajavalta (jorma.kajava@ulapland.fi)





Tämän blogin "blogimestarina" ja verkoston yhteyshenkilönä toimii Juhani Anttila, e-mail: juhani.anttila@telecon.fi

Creative Commons License
Tämän blogin aineistojen
käyttöoikeutta koskee
Creative Commons
lähde mainittava 3.0 -lisenssi
.