Pohjois-Suomen tietoturvallisuusverkosto

Mitä on laadukas tietoturvallisuus?

2011-01-19T16:23:00.001+02:00

Tietoturvallisuuden hallinnan kansainvälisissä tietoturvallisuuden hallinnan standardeissa ISO/IEC 27000, joista on vastuullisena komitea ISO/IEC JTC1 SC27, on paljon seurattu laajemmin tunnettuja ja käytettyjä laadunhallinnan ISO 9000 -standardeja. Kuitenkin tietoturvallisuuden ja laadunhallinnan asiantuntijoiden välinen yhteistyö standardien käytännön soveltamisessa on jäänyt varsin heikoksi. Kuitenkin myös tieturvallisuuden hallinnassa pitäisi toimia laadukkaasti ja toisaalta laadunhallinnassa joudutaan paljon tekemisiin monenlaisen tiedon kanssa, jolloin myös tietoturvallisuudella on siinä yhteydessä yhä kasvava merkitys.

Tietoturvallisuus käsitteenä ja määritelmänsä mukaisesti yleinen käsite eikä ota huomioon kenen suhteen sitä sovelletaan. Asian selkiyttämiseksi voidaan hyödyntää myös yleisiä laadunhallinan käsitteitä. ISO 9000 mukainen laadun määritelmä on hyödyllinen myös tietoturvallisuuden yhteydessä. Laadulla tarkoitetaan sitä, missä määrin tarkasteltava kohde täyttää kaikkien sidosryhmien tarpeet ja odotukset. Tietoturvallisuuteen sovellettaessa laadun tavoitteleminen korostaa asianmukaisten ja tapauskohtaisten sidosryhmien aitojen tarpeiden ja odotusten selvittämistä ja tuntemista tietoturvallisuuden suhteen, ja sitten sen perusteella vaikuttavien ja tehokkaiden ratkaisujen toteuttamista. Tällä hetkellä tämä hyvin oleellinen näkökulma on ISO/IEC 27000 -standardien soveltamisessa vähintäänkin selkiytymätön.

Tietoturvallisuuden standardien soveltamisessa ei riitä vain "minimivaatimusten" toteuttaminen, ongelmiin varautuminen eikä keskinkertaisesti hyvä standardien soveltaminen. Tähän ei voi myöskään päästä vain reaktiivisilla turva/suojatoimenpiteillä. Välttämättömänä vaatimuksena on myönteinen erottuminen, differentioituminen, muista. Maailmalla tätä kutsutaan ekselenssiksi, ja siitä on hyviä esimerkkejä muilta aihealueilta. Erottuminen edellyttää innovatiivisia ja "käänteentekeviä" ratkaisuja (lean/disruptive information security management).

On suositeltavaa, että tietoturvallisuuden asiantuntijat paneutuisivat entistä syvällisemmin myös ISO 9000 -standardiperheen perusstandardeihin ISO 9001 ja ISO 9004. Nämä standardit ovat alunperin syntyneet jo 1980-luvulla, mutta nyt niistä on saatavilla varsin uudet neljännet revisiot vuosilta 2008 ja 2009.

==> Lue lisää ISO 9000 standardeista

Ajatuksia tuhkapilven hälvetessä

2010-12-16T16:17:00.001+02:00

Valolla tunnelin päässä voidaan tarkoittaa käännettä vakavista vaiheista positiivisempaan suuuntaan, käännettä parempaan. Mitään oikotietä onneen ei kuitenkaan ole, mutta kovalla työllä tietoturva-asioiden selkeyttämisestä on hyötyä monin tavoin koko yhteiskunnalle. Jos omaksutaan käänteentekevä innovaatiotoiminta myös tietoturvallisuudessa, voidaan välttää kovaa työtä ja tehdä asia luonnollisen helposti ja yksinkertaisesti.

==> Lue lisää

Lintukodosta prosesseihin – Esimerkkinä Oulu-ilmiö

2010-12-16T16:14:00.002+02:00

Tietotekniikan voimakkaan soveltamisen vuosiin on liitetty teknologiakylien perustamisia lähes jokaiseen niemen notkoon tai ainakin asutuskeskukseen.

==> Lue lisää

Tietoyhteiskunta rapautuu komiteoihin ja mietintöihin?

2010-12-13T18:30:00.003+02:00

Olemme seuranneet mielihyvin tietoyhteiskuntakeskustelua 70-luvulta alkaen. Suomi menestyi erinomaisesti maailman kärkimaiden joukossa. Kunnes vaivuimme uneen. Herättyämme ihmettelemme, missä sarjassa Suomi oikein kamppailee Madagaskarin kanssa? Ja mihin suunnitteluspagettiin sotkeutui koko kehitys? Mitä pitäisi tehdä?

==> Lue lisää (Sähkö-Tele 8/12-2010)

Käänteentekevä teknologia – apua yhteiskunnan älypäähän

2010-12-11T21:21:00.002+02:00

Maakuntalehden uutistoimittaja otsikoi artikkelinsa ”Asetelma päälaellaan” viime kesänä, kun voimayhtiö meni syyllistämään ihmisiä siitä, että he joko asuivat tai viettivät vapaa-aikaansa vesistön rannalla. Taistelu viimeisistä koskista on käynyt kuumana.

==> Lue lisää

EU 2020 strategia – Kansalainen kysymysten pyörteessä

2010-12-11T21:17:00.002+02:00

Maailman liike-elämän ja politiikan johtajat kokoontuivat vuotuiseen World Economic Forum -neuvottelutilaisuuteen Davosiin Sveitsiin tammikuun 27.–31. päivinä 2010. Tämän vuoden teemana oli: ”Improve the State of the World: Rethinking, Redesign, Rebuild”. Useat tilaisuuden puhujat esittivät pelkän puhumisen lopettamista ja toimintaan ryhtymistä. Sveitsin presidentti Doris Leuthard, joka on myös talousneuvoston jäsen, vaati liike-elämän yhteisöä kuromaan umpeen retoriikan ja tosielämän välisen kuilun.

==> Lue lisää

Suunnitelmista ja ohjeista tekemiseen - Rakennesiiloista toiminnan prosesseihin

2010-12-11T20:01:00.000+02:00

Valtion IT –johtaja Yrjö Benson asetti syyskuussa 2009 seuraavien viiden vuoden tavoitteeksi yhtenäiset IT –käytännöt valtionhallinnossa. Euroopan tasolla on EU:n tavoitteena alkavalla vuosikymmenellä saada yhteiskunnallisen kehityksen keskeiseksi tekijäksi kunnianhimoinen eurooppalainen digitaalistrategia verkkopalvelujen ja -sisältöjen yhtenäismarkkinoiden toteuttamiseksi. Realismiako vai hurskaita toiveita?

==> Lue lisää

Standardien käyttäjän ensimmäinen käsky: Älä vaaranna organisaatiotasi standardeja soveltamalla

2010-02-01T16:02:00.001+02:00

Ns. hallintastandardeista ovat tunnetuimpia kansainvälisten standardisointiorganisaatioiden, ISOn, IECn ja ITUn, toimesta laaditut yleiset standardit organisaatioiden johtamisen erityisaihealueita varten. Laajasti tunnettuja ja myös tunnustettuja ovat ISO 9000 –standardit laadunhallintaa ja ISO/IEC 27000 –standardit tietoturvallisuuden hallintaa varten. Näiden standardien käyttöön liittyy myös vaaroja organisaatioiden identiteetin kannalta, jos ei tunne standardien taustoja ja niiden laadintaprosessia eikä osaa soveltaa standardeja organisaatioitsekkäästi ja innovatiivisesti.

On edelleenkin organisaatioita, jotka rakentavat ja ylläpitävät erityisiä “toimintajärjestelmiä”, esimerkiksi tietoturvallisuuden hallintajärjestelmiä. Tällaista organisaatioille haitallista toimintaa jopa edistetään koulutuksella ja konsultoinnilla. On hyvin tavallista, että organisaatioiden eri johtamisalueita varten toteutetut hallintajärjestelmät (perustuen standardeihin tai muihin lähteisiin) ovat toisistaan erillisiä ja lisäksi erillään organisaation liiketoiminnan johtamisjärjestelmästä.

Sertifiointi vielä edelleenkin ohjaa organisaatioiden eri alojen hallintastandardien toteutuksia. Tähän liittyy vaaroina, että:
• johtamisen vastuuta siirretään ulkopuolisille,
• ulkopuolinen “kontrolli” (1980-luvun laatuajattelua) korvaa aitoja johtamistoimenpiteitä,
• standardinäkökulma katkaisee aidon toimittaja-asiakas-suhteen,
• organisaation bisnesnäkökulma hämärtyy standardiklausuuleihissa ja
• syntyy turhaa organisaatioille ylimääräistä rahastusta.

Jos aihe kiinnostaa syvällisemmin, tutustu siihen liittyvään kalvosarjaan.

Etäisyydet menettävät merkityksensä

2010-01-28T20:01:00.001+02:00

Uuden liikennepolitiikan keskeisiä elementtejä ovat asiakaslähtöisyys ja innovatiivisuus. Ei riitä, että tehdään oikeita asioita, niitä on tehtävä oikein.

==> Lue lisää ...

Aina vain lisää haasteita tietoturvallisuudelle

2010-01-20T17:03:00.003+02:00

Pitäisikö jo lopultakin siirtyä tietosuojauksen (= "tietoturvan") parissa askartelusta tietoturvallisuuden edistämiseen:

http://www.slideshare.net/rudydw/mobile-trends-2020

Johtamisjärjestelmiä koskevien standardien uudistaminen

2010-01-08T20:02:00.003+02:00

ISOn ja IECn puitteissa tehtyjä tietoturvallisuuden hallinnan standardeja ISO/IEC 27001/27002 ollaan paraikaa uudistamassa. Tässä yhteydessä ollaan tarkastelemassa myös asiaa laajemmin integroitujen hallintajärjestelmien näkökulmasta, kun asiaan liittyy standardien käytännön soveltamisessa paljon monenlaisia ongelmia. Näistä enemmän tietoa asiaan liittyvässä kalvosarjassa.

Standardit auttavat tulevaisuuden osaajaa menestymään

2009-12-28T12:00:00.005+02:00

Nobelin taloustieteen palkinnon vuonna 2008 vastaanottanut Paul Krugman Princetonin yliopistosta vieraili Suomessa syyskuussa 2009. Hänen sanomansa oli, että taloudellinen alamäki on saavuttanut välitasanteen, mutta on varauduttava myös uuteen laskuun. Miten tässä voisivat standardit auttaa? Kenellä sitten on vastuu tulevaisuudesta?

==> Lue lisää ...

Kriisien hallinnan Workshop Crim 2009 Oulussa

2009-12-21T21:13:00.023+02:00

Järjestykseltään viides eurooppalainen kriisien hallinnan workshop toteutettiin Oulun yliopiston sähkö- ja tietotekniikan osastolla 17.12.2009.

Tilaisuuden järjestäjinä olivat Juha Röning, Jorma Kajava ja Christian Wieser Oulun yliopistosta. Puhujina olivat Juha Röning (Oulu) [1], Gerald Quirchmayr (Wien) [2], Gregoire Soukiassian (Pariisi) [3], Reijo Savola (Oulu) [4] ja Juhani Anttila (Helsinki). Esitysten pääaiheet käsittivät riskien hallintaa, liiketoiminnan jatkuvuutta, tietoturvallisuusriskejä, mittausmenettelyjä ja -suureita sekä liiketoimintariskejä ja laadunhallintaa. Teknisen workshopin jälkeen avainhenkilöiden toimesta suunniteltiin tulevia tapahtumia.

Workshopin lisäksi oli järjestetty osanottajille tutustumismahdollisuudet paikalliseen kulttuuriin, historiaan ja luontoon vierailemalla Oulun taidemuseossa (Pentti Kaskipuron ja Tapani Raittilan näyttely), Pohjois-Pohjanmaan maakuntamuseossa, Kierikin kiviaikakylässä ja Koitelin koskialueella.

Rakenneuudistuksista toiminnan kehittämiseen - Turvallisuustyöhön liike-elämän tarpeet ja periaatteet

2009-12-11T20:52:00.000+02:00

Liike-elämän kehittämisessä voidaan saavuttaa tehokkuutta ja menestystä vain siirtymällä passiivisista rakenneuudistuksista aktiiviseen toiminnan kehittämiseen soveltamalla nykyaikaisia prosessiajattelun keinoja. Tietoturvallisuuden alueella sama ajattelutavan muutos on tarpeellista, ja on odotettavissa, että niin on myös muilla turvallisuussektoreilla.

==> Lue lisää …

Tietoturvallisuuden hallinta ja laadunhallinta

2009-12-11T17:07:00.003+02:00

Tietoturvallisuuden hallinta ja laadunhallinta nähdään yleisesti hyvin läheisiksi erikoisosaamisen alueiksi. Itse asiassa tietoturvallisuuden hallinnan kansainväliset standardit perustuvat laadunhallintastandardien kautta saatuihin kokemuksiin. Tietoturvallisuus voidaankin organisaatiotasolla nähdä laadun osa-alueena. valitettavasti monet tietoturvallisuuden asiantuntijat tuntevat puutteellisesti laatualueen periaatteita ja käytäntöjä.

Tutustumista varten on tässä linkki yhteen viimeaikaiseen luentoaineistooni liiketoimintaan integroidun laadunhallinnan perusteista. Monet esitelmän aineksista on sovellettavissa myös tietoturvallisuuden organisaatiokohtaisessa hallinnassa.

Tietoyhteiskuntaa etsimässä

2009-12-11T16:21:00.008+02:00

Pääministeri Matti Vanhasen I hallituksen ohjelma 24.6.2003 esitti vahvasti panostavansa tietoyhteiskuntakehityksen edistämiseen perustamalla pääministerin johtaman tietoyhteiskuntaneuvoston, joka oli erittäin vahvasti ja nimekkäästi resurssoitu.

Mitä tällaisen panostuksen vaikutuksesta on tullut tulokseksi? EVA-raportin mukaan Suomi on tietoyhteiskuntakehityksessä pudonnut näinä vuosina maailman johtavista maista takapajulaksi. Voisiko jo olla aika kääntää ajatukset lautasteemoista todellisiin yhteiskunnan substanssikysymyksiin. Julkisella sektorilla tarvitaan yksi taho, jolla on selvä vetovastuu. Lisäksi tulisi ymmärtää, että kehitys ei onnistu menestyksellisesti vain julkisen vallan monopolisoidulla top-down-lähestymistavalla. Tarvitaan myös bottom-up-toimintaa hyödyntämällä sitä kadonnutta e-demokratiaa.

==> Lue lisää: Teksti 1, Teksti 2

Oulu-ilmiöstä Rovaniemen henkeen

2009-12-11T16:14:00.001+02:00

Pohjoisen elämisen laatu on vahvasti sidoksissa yliopistojen työhön. Mielihyvin näkisimme Rovaniemen reivaavan kulttuuriaan nykyistä avoimempaan ja yrittämiseen kannustavaan suuntaan – Rovaniemen henkeen.

==> Lue lisää ...

Kansallinen tietoturvallisuuden toimenpideohjelma

2009-12-05T19:40:00.011+02:00

Viestintävirasto on laatinut toimenpideohjelman 3.11.2009 toteuttamaan Valtioneuvoston periaatepäätöstä kansalliseksi tietoturvastrategiaksi 4.12.2008. Tämän pohjalta olen seuraavassa koonnut keskustelua varten näkökulmia ja ehdotuksia toimenpideohjelman hankkeiden edistämiseksi. Toimenpideohjelma käsittää yhdeksän hanketta ja näihin on viitattu oheisessa tekstissä. Lisäksi on liitteenä aiheeseen liittyvänä linkkinä Suomen kommentti (enlanniksi) standardisointikomitealle ISO/IEC JTC1 SC 27 koskien tietoturvallisuuden hallinnan standardisointia.

1. Yleinen lähestymistapa ja standardisoinnin hyödyntäminen

Kansainvälisiä tietoturvallisuuden hallinnan ISO/IEC-standardeja pidetään arvostetuimpina referensseinä maailmanlaajuisesti tietoturvallisuusmenettelyjen kehittämiseksi kaikenlaisissa organisaatioissa. Juuri tällä hetkellä ollaan perustandardistoa ISO/IEC 27000 uudistamassa. Tästä oli marraskuun 2009 ensimmäisellä viikolla standardisoimiskomitean kokous Yhdysvalloissa Redmontissa. Suomi oli tätä kokousta varten valmistellut liitteessä esitetyn yhteenvedon mukaisen kannanoton. Tämä kannanotto otettiin kokouksessa vakavasti ja mielenkiinnolla vastaan. Suomi ja Ruotsi saivat tehtäväksi valmistella Suomen ehdotusten pohjalta jatkoesityksen hallintajärjestelmästandardisoinnista komitean seuraavaan kokoukseen. Tämä osoittaa, että meillä on mahdollisuudet saada perusteltuja ja kokemukseen pohjautuvia ajatuksiamme esille myös keskeisimmässä kansainvälisessä tietoturvallisuuden standardisoinnissa.

Edellä esitetty koskee hyvin oleellisesti hanketta 5. Suomen esittämiä näkökohtia tulisi saattaa tiedoksi ja sovellettavaksi myös Suomessa. Tässä voisivat olla avuksi myös muut hankkeet. Erityisen merkittävää suomalaisen standardisointiuskottavuuden kannalta olisi, että voisimme osoittaa, että näillä Suomen kannanotoilla on myös laaja kansallisen toimenpideohjelman tuki ja soveltaminen takanaan.

Tällä hetkellä suomalaisten asiantuntijoiden osallistuminen kansainväliseen standardisointityöhön on käytännössä resurssien kannalta hyvin heikkoa (esimerkiksi Ruotsiin varrattuna). Suomalaiset isotkaan julkiset tai yksityiset organisaatiot eivät halua osoittaa asiantuntijoita tällaiseen kansainväliseen työhön. Syinä on tullut esille raha- ja aikapula. Tämä täytyy tulkita siten, että kyseiset organisaatiot eivät sitten kuitenkaan todellisuudessa ole sitoutuneita vakavasti kehittämään ja toteuttamaan tietoturvallisuutta. Osaltaan haluttomuuteen kyllä myös vaikuttaa se, että Suomessa ei ole monia alan asiantuntijoita, joilla on kokemusta ja kielitaitoa osallistua tällaiseen kansainväliseen yhteistyöhön. Jos organisaatioista ei löydy osallistujia, niin toisaalta sellaiset henkilöt, joilla olisi ajan, asiantuntemuksen ja kokemuksen puolesta mahdollisuuksia mutta ei työnantajan mahdollistamaa rahoitusta, eivät myöskään voi osallistua. Yhden tyypillisen kansainvälisen standardisoimiskokouksen osallistumisen kustannukset yhdeltä henkilöltä voivat olla esimerkiksi 2000 euron luokkaa. Jos jostain voisi tähän –vaivaloisen anomisen kautta – saada esimerkiksi 700 euron kerta-apurahan, on kuitenkin 1300 euron maksaminen yksityishenkilön omasta pussista tällaiseen yleishyödylliseen toimintaan liiallista. Kuitenkin kansainvälinen standardisointityö on jatkuvaa toimintaa, jossa ei riitä vain kertaosallistumiset kokouksiin.

Merkittävä kysymys standardisointitoiminnan kannalta on myös kansallinen yhteistyö. Tällä hetkellä se on Suomessa osallistumisen kannalta heikkoa ja tehotonta. Nämä ovat tosiasioita, jotka tulisi ottaa vakavasti ja realistisesti esille hankkeessa 5.

Liitteessä esitetyt Suomen standardisoimiskommentin esittämät asiat sivuavat kuitenkin myös tämän toimenpideohjelman kaikkia muitakin hankkeita. Esimerkkeinä voisi tuoda esille seuraavaa:

- Miten hankkeissa 2, 3, 4 ja 9 hyödynnetään esimerkillisesti kansainvälisiä tietoturvallisuuden hallinnan standardeja? (Ks. liitteen kohdat ”General” ja ”ISO/IEC 27001 and ISO/IEC 27002 relationships”)
- Miten hankkeissa 1 ja 7 selkiytetään ja viestitään tietoturvallisuuden ydinperiaatteet ja peruskäsitteistö yleisesti ja yksikäsitteisesti ymmärrettävästi? (Ks. liitteen kohdat ”Guiding ISM principles” ja ”Concepts, terms and definitions”). Tuntuu esimerkiksi kummalliselta, että information security –käsitteen suomenkieliseksi vastineeksi on iskostunut tietoturva, vaikka oikeampi termi olisi tietoturvallisuus. Tietoturvallisuus on myönteisempi ja proaktiivisempi ilmaisu, kun taas turva tuo mieleen vain reaktiivisen ratkaisun jotain vastaan, jota lähinnä vastaa englannin sanaa safety. Securityn alkuperäinen merkitys tarkoittaa huoletonta olotilaa ja toimintaa (vrt. latinan sēcūrus huoleton = sē- (prefix) ilman, erossa + cūr(a) huoli + -us adjektiivi suffix). Tämä seikka on sikäli merkityksellinen, koska tietoturvallisuusaihe on saanut varsin negatiivisen sävyn ja sen yhteydessä ollaan aina vain varottelemassa jostakin pahasta. Käytännössähän tietoturvallisuus on hyvin myönteinen asia ja erityisesti tietoyhteiskunnan verkoissa on turvallista liikkua (vrt. aikaisempi kirjoituksemme tässä blogissa)
- Miten hankkeissa 2 ja 4 toteutetaan tietoturvallisuuden hallinnan integrointi organisaatioiden liiketoimintoihin tehokkaasti ja luonnollisella tavalla välttäen keinotekoisia ja erillisiä ratkaisuja? (Ks. liitteen kohdat ” PDCA” ja ” The process approach”.)

2. Yhteiskunnan toimijat ja valtioneuvoston kansallinen tietotuvallisuusstrategia
Kaikessa strategiatyössä on oleellista, että se joka strategioita laatii on ja voi olla myös täysin vastuussa niiden toteuttamisesta. Siten nimestään huolimatta valtioneuvoston vastuulla oleva kansallinen tietoturvallisuusstrategia ei voi kattaa koko laajaa kansallista toimijaympäristöä, vaan siinä voi esittää lähinnä strategisia ajatuksia tietoturvallisuustoiminnan edistämiseksi valtiokonsernin puitteissa, ts. hallituksessa ja sen välittömässä ohjausalueessa olevissa organisaatioissa. Itse asiassa tällaisessa strategiassa ei ole periaatteellisestikaan mahdollista esittää todellisesti koko kansallista tietoturvallisuusstrategiaa, koska merkittävä osa toimijoista on hallituksen suoran ohjauksen ulkopuolella. Tilanne on samankaltainen monissa muissakin kansallisia strategioita koskevissa hankkeissa. Viime aikoina on erityisesti keskusteltu Suomen kansallisesta innovaatio- ja IPR-strategiasta (ks. esimerkiksi linkki). Näistä muista hankkeista voisi ottaa oppia myös kansallisten tietoturvallisuushankkeiden yhteydessä. Innovaatio- ja IPR-strategioihin liittyy myös tärkeitä tietoturvallisuusnäkökohtia.

Yhteiskunnan merkittävät toimijat ovat itsenäisiä ja riippumattomia ja todelliset stratetegiat tehdään heidän itsensä toimesta heidän omien intressiensä ja kykyjensä mukaisesti. Ongelmakohtia ovat monesti eri organisaatioiden väliset rajapinnat. Eri toimijoiden tietoturvallisuuspolitiikkoja ei ole mahdollista mukauttaa kansallisesti yhtenäisiin strategisiin perusvalintoihin, koska kukin toimija tekee päätöksensä itsenäisesti omien todellisten intressiensä mukaisesti. Lisäksi hyvin monien suomalaisten toimijoiden sidosryhminä on muissa maissa ja kulttuureissa olevia organisaatioita ja resursseja (vrt. esimerkiksi partnering, outsoursing ja cloud computing).

Valtionhallinnon monilla yksiköillä on kuitenkin omat mahdollisuutensa myönteisesti vaikuttaa yhteiskunnan muiden toimijoiden tietoturvallisuustoimintoihin ja –käyttäytymiseen. Nämä mahdollisuudet pitäisikin vahvasti nostaa esille ja saada toteutetuiksi tällä toimenpideohjelmalla. Tosin ulkopuolista ihmetyttää myös valtionhallinnon sisällä oleva kahtiajakautuneisuus, kun valtiovarainministeriö on laatinut oman tekstinsä valtioneuvoston periaatepäätökseksi valtionhallinnon tietoturvallisuuden kehittämisestä (VAHTI 7/2009), jossa ei ole selviä linkkejä tähän kansalliseen tietoturvallisuusstrategiaan ja sen toimenpideohjelmaan. Tällainen toivottavasti vain näennäinen kahtijakautuneisuus pitäisi saada poistetuksi. Pitäisihän juuri valtionhallinnon olla esikuvallinen kansallisen tietoturvallisuusohjelman tukija ja soveltaja. Kuitenkin em. VAHTI-dokumentti toteaa vain: "Viestintävirasto toimii kansallisena tietoturvauhkia ja -loukkauksia käsittelevänä CERT-viranomaisena. … Kansallisella tietoturvastrategialla pyritään edistämään kansalaisten, elinkeinoelämän ja julkishallinnon luottamusta arjen tietoyhteiskunnan palveluiden turvallisuuteen."

Vaikuttamisessa yhteiskunnan toimijoihin olisi hyödyllistä soveltaa verkostomaisen toiminnan periaatteita ja mahdollisuuksia sekä nykyaikaisia interaktiivisen tietotekniikan (sosiaalisen median) keinoja. Esimerkkeinä muilta aloilta, joiden kokemuksia kannattaisi hyödyntää, ovat muun muassa Tekes Tori ja Real Time Economy Community, joissa myös voitaisiin levittää tietoturvallisuustietoisuutta. Lisäksi yleiset Facebookin, LinkedInin ja monien muiden vastaavanlaisten verkostoyhteisöjen ryhmätoiminnot voisivat olla avuksi. Nuorison mukaan saamiseksi mahdollisuuksia voisi antaa IRC-Galleria. Näistä keinoista voisi olla hyötyä kaikissa valituissa hankkeissa.

3. Liiketoimintaintegraatio ja prosessit
Perinteisissä tietoturvallisuuden lähestymistavoissa, mitkä edelleenkin ovat vahvasti vallalla, on pääpainona ollut erillisten tietoturvallisuusjärjestelmien ja ratkaisujen toteuttaminen. Kuitenkin organisaatioissa tietoturvallisuus voi luonnollisella tavalla sekä vaikuttavasti ja tehokkaasti toteutua vain integroituina organisaatioiden normaaleihin operatiivisiin ja strategisiin toimintoihin, erityisesti koskien organisaatioiden johtamistoimintoja. Liiketoimintaintegraatiossa tulevat keskeisiksi tarkastelun kohteiksi organisaatioiden prosessit. Kansakunnanlaajuinen tietoturvallisuus ei voi toteutua vain rakenteita, työkaluja, sääntöjä ja säädöksiä sekä viranomaistoimintoja kehittämällä. Hyvin oleellisessa asemassa ovat prosessit, ts. miten ihmiset ja organisaatiot todella toimivat. Toimenpideohjelman hankkeissa ei ole mitenkään selkeästi otettu kantaa prosessinäkökulmaan. Aiheen tulisi sisältyä keskeisenä asiana jokaiseen hankkeeseen. Aiheesta on enemmän liitteessä olevassa standardisointia koskevan kommenttimme kohdassa ”The process approach”. Aiheeseen on myös viitteenä kirjoituksemme Sähkö&Tele-lehdessä. Prosessilähestymistavan kautta voitaisiin myös luonnollisella tavalla ottaa huomioon nykyaikaisen yhteiskuntamme monimutkaiset realiteetit, mikä on vielä varsin outoa toteutetuissa tietoturvallisuusratkaisuissa tai myös olevissa alan standardeissa. Viitteenä tähän on kirjoituksemme SFS-tiedotuksessa.

4. Ihminen ja kansalainen
Ihmis- ja kansalaisnäkökulma on toimenpideohjelmassa heikosti toteutettuna, vaikka sillä on arjen tietoyhteiskunnassa aivan keskeinen rooli ja vaikka kansalaiset mainitaan toimenpidehankkeissa useaan kertaan. Tämä näkökulma tulisi ottaa vakavasti huomioon jokaisessa hankkeessa. Yksilönäkökulma on myös vahvasti esillä pienyritysten tapauksissa. Ongelmana kuitenkin, että hankkeiden vastuu- ja osallistujaresurssit edustavat suuria organisaatioita. Miten tällaisessa tilanteessa voidaan saada kuuluville yksittäisten ihmisten ja kansalaisten äänet, jotka ovat hajallaan ympäri yhteiskuntaa? Esimerkiksi voin ottaa itseni, kun tässä elämäni vaiheessa ensijaisesti edustan sellaista yksilöä ja kansalaista ja varsin paljon ja monipuolisesti toimin ympärilläni olevassa tietoavaruudessa. Miten minun ja minunlaisteni tarpeet ja kokemukset voisivat tulla otetuiksi huomioon kyseisissä hankkeissa? Kuka on tästä vastuussa?

Tietoturvallisuustietoisuutta on tarkasteltu hankkeessa 1 varsin pinnallisesti ja lähinnä hallinnollisesta näkökulmasta. Tietoisuus on kuitenkin hyvin syvällinen, monimutkainen ja monivivahteinen ilmiö. Tietoisuus ja siihen liittyvät oppiminen, osaaminen ja sitoutuminen eivät voi kehittyä vain kouluttamalla tai ohjeistamalla. Itse asiassa nykykäsityksen mukaisesti 80% tästä toteutuu informaalisesti. Tämä tulisi ottaa vakavasti huomioon hankkeen 1 toteutuksessa. Tehokkaana ratkaisuna olisi hyödyntää sosiaalisen median keinoja monipuolisesti (vrt. edellä verkostomainen toiminta). Eri henkilöryhmät tarvitsevat lisäksi erilailla tietoisuutta tietoturvallisuudesta (ks. lisäaineistoa teemaan).

LIITE
Comments of Finland for revision of the ISO/IEC 27001/27002 standards

Missä meidänkin pitäisi olla vaikuttamassa

2009-11-27T13:13:00.003+02:00

Tietoturvallisuus- ja tietosuoja-aihe ei mene eteenpäin askartelemalla vain teknisten aiheiden kanssa ja ja toimimalla suljetuissa piireissä. Meidän tulisi näyttää esimerkkiä siitä, miten kiinnostuneita ja sitoutuneita olemme ammattiaiheestamme. Tämä tapahtuu vaikuttavimmin ja tehokkaimmin menemällä mukaan reaalimaailmaan, missä muutkin ihmiset ovat. Tätä edustaa tänään sosiaalinen netti (social web), jossa erityisesti Facebook on voimakkaasti johdossa.

Tällä hetkellä Facebookissa on suorastaan tyhjiö tietoturvallisuuden aiheista. Olemme kuitenkin luoneet sinne pienen idun, Tietoturvallisuus-sivuston. Tulkaa mukaan sivuston faneiksi!

Miten turvallisuutta?

2009-11-24T18:52:00.002+02:00

Maailman tapahtumat virtaavat ympärillämme reaaliajassa ja meistä riippumattomasti. Mikä on turvallisuuspolitiikkamme? Sulkeudummeko kammioomme ja vielä vedämme verkot tiiviisti ikkunoiden eteen, jotta emme näkisi mitä siellä koko ajan tapahtuu. Entä jos kuitenkin pikkasen tirkistelisimme:

Vai olisiko sittenkin turvallisempaa ja parempaa mennä mukaan vaikuttamaan maailman realiteetteihin?

Ajateltavaa kansallisille tietoyhteiskunta- ja tietoturvallisuushankkeille

2009-11-21T16:10:00.002+02:00

Julkisen hallinnon tulisi aloittaa itsestään omalla kollaboratiivisella ja innovatiivisesti demokraattisella toimintaympäristöllään (collaborative platform) eikä vain määritellä hurskaita toiveita muille. (Viite Don Tapscott)

Turvasta huolettomuuteen

2009-11-19T20:04:00.002+02:00

Tuntuu kummalliselta, että information security –käsitteen suomenkieliseksi vastineeksi on iskostunut tietoturva, vaikka oikeampi termi olisi tietoturvallisuus. Tietoturvallisuus on myönteisempi ja proaktiivisempi ilmaisu, kun taas turva tuo mieleen vain reaktiivisen ratkaisun jotain vastaan, jota lähinnä vastaa englannin sanaa safety. Securityn alkuperäinen merkitys tarkoittaa huoletonta olotilaa ja toimintaa (vrt. latinan sēcūrus huoleton = sē- (prefix) ilman, erossa + cūr(a) huoli + -us adjektiivi suffix). Tämä seikka on sikäli merkityksellinen, koska tietoturvallisuusaihe on saanut varsin negatiivisen sävyn ja sen yhteydessä ollaan aina vain varottelemassa jostakin pahasta. Käytännössähän tietoturvallisuus on hyvin myönteinen asia ja erityisesti tietoyhteiskunnan verkoissa on turvallista liikkua (vrt. kirjoituksemme).

EU:n arktinen informaatiokeskus – Suomen ehdotus keskusteltavana

2009-11-19T10:38:00.001+02:00

Lapin yliopiston arktisen keskuksen 20-vuotisjuhlassa 29.9.2009 tuli esille ajatus tämän kansainvälisen tiedekeskuksen laajentamisesta EU:n tasolle. Paikallisen menestystarinan lisäksi ajatus nojautuu EU:n tiedonantoon syksyltä 2008, jossa ehdotetaan eurooppalaisen arktisen informaatiokeskuksen perustamista.

==> Lue lisää ...

Standardit ovat elämänlankoja

2009-11-19T10:32:00.001+02:00

Vaikka standardit auttavat, niin ne ovat samalla laaja ja vaativa alue. Siksi nuorten saaminen toimintaan mukaan on tärkeää.

==> Lue lisää ...

Aikaansa seuraava tietoturvallisuus

2009-10-17T15:46:00.008+03:00

Tietoturvallisuus ammattilaisten tavoitteena tulisi olla proaktiivinen organisaatioiden, yhteiskunnan ja kansalaisten ammattimainen palveleminen nyt ja myös tulevaisuudessa. Tässä mielessä meidän tulisi periaatteillamme ja menetelmillämme seurata yleistä kehittymistä tietotoiminnassa. Mistä löytyisi tähän hyvä perusta ja näkemys tulevaisuuden haasteista? Mikä tulisi olla skenaariomme ammattialueemme kehittämiseksi? Mitä uusia menetelmäratkaisuja tähän tarvittaisiin?

Vrt. seuraava YouTube-katsaus:

... ja Suomessa:

http://news.cnet.com/8301-17939_109-10374831-2.html
http://network.nationalpost.com/np/blogs/posted/archive/2009/10/15/finland-makes-broadband-internet-a-legal-right.aspx

Tietoturvallisuus ja käytännön kompleksiset vuorovaikutusprosessit

2009-10-09T17:41:00.004+03:00

Keskustelussa standardeista on korostettu niiden käyttöä ja siitä saatavaa hyötyä. Saksalaiset ovat arvioineet tätä ja saaneet vaikutukseksi yhden prosentin koko bruttokansantuotteesta. Laajan tutkimuksen mukaan standardien vaikutus on suurempi kuin patenteilla ja lisensseillä. Mikä mahtaa olla hyöty tietoturvallisuuden hallinnan standardeista?

==> Lue lisää ...

Pärjääkö sinnikkyydellä?

2009-09-25T18:18:00.001+03:00

Vaikka sisulla ja sinnikkyydellä on selviydytty aikaisemmista talouskriiseistä, niin nyt tarvitaan uudenlaista venymiskykyä, jotta selvittäisiin käsillä olevasta tilanteesta ja pärjättäisiin seuraavan aikakauden työskentelyavaruudessa.

==> Lue lisää ...

ISO/IEC 27000 –perhesuunnittelu organisaatioiden liiketoiminnan tarpeisiin

2009-09-20T15:39:00.001+03:00

Standardisoinnin yleinen tarkoitus tähtää parempiin tuotteisiin, pienempiin tuotanto- ja käyttökustannuksiin sekä ihmisten ja organisaatioiden välisen kanssakäymisen helpottumiseen ja samalla myös paremman turvallisuuden aikaansaamiseen. Tietoturvallisuuden hallinnan standardeilla tähdätään organisaatioiden toiminnan tai tuotteiden tietoturvallisuuden odotusten ja tarpeiden täyttämiseen ja suorituskyvyn parantamiseen.

==> Lue lisää ...

Liiketoiminnan johtamisessa tarvitaan tietoturvallisuuden hallinnan kansainvälisiä standardeja

2009-09-19T20:53:00.002+03:00

Standardisointi on laajin ja monipuolisin vapaaehtoinen organisaatioiden kansainvälisen yhteistyön muoto, joten sillä on merkittävä vaikutus organisaatioiden välisessä kanssakäymisessä ja toiminnan kehittämisessä sekä myös ristiriitojen ehkäisemisessä ja lievittämisessä. Tämä on haasteena myös tietoturvallisuuden standardisoinnille.

==> Lue lisää ...

Bitit versus paperi – Miten pysyä kehityksen eturintamassa?

2009-09-19T20:49:00.001+03:00

Kun tietotekniikka mikrotietokoneiden yleistyessä otettiin laajaan käyttöön myös pk-yrityksissä 1980-luvun alussa, ajateltiin paperin käytön hiipuvan.

==> Lue lisää ...

Kemijoen lohi on pyhä asia

2009-09-19T20:45:00.001+03:00

Numeroilla leikkiminen on vaarallista peliä. Ne antavat suunnan, mutta mennäänkö oikeaan vai väärään?

==> Lue lisää ...

Korkeakoulujen rakenteet uudistumassa – murtuvatko muurit?

2009-09-19T20:21:00.001+03:00

Tässä tilanteessa oleellista on pystyä uudistumaan, kilpailla parhaista osaajista, yrityksistä, asiakkaista, verkostoista ja rahoittajista.

==> Lue lisää ...

Asiantuntijatekstin koskemattomuus

2009-09-19T20:14:00.001+03:00

Vuosittain kirjoittajat saattavat joutua tilanteeseen, jossa joku ulkopuolinen muuttaa tekstiä oman makunsa mukaan. On tekstejä,joiden laatu paranee ammattitaitoisen henkilön ohjauksessa. Mutta miten mahtaa olla asiantuntija-artikkelin kohdalla?

==> Lue lisää ...

Netti tukee ihmisten arkea

2009-09-19T19:58:00.003+03:00

Tiedon valtaväylänä internet on tämän päivän arjen tietoyhteiskunnan toimintaympäristö ja välttämättömyyshyödyke. Internet on arjessamme kaikessa läsnä ja lisäksi sen suhteen on vielä rajattomasti hyödyntämättömiä mahdollisuuksia. Internet on turvallisempi ympäristö kuin monet muut yhteiskuntamme yleisistä toimintakentistä, kun siellä osaa liikkua.

==> Lue lisää ...

Voiko avoimuus pelastaa korkeakoulut?

2009-08-19T20:22:00.004+03:00

Keskustelua avoimista ohjelmista, järjestelmistä, viihteestä ja tietoaineistoista on käyty pitkään. Se on kiteytynyt esimerkiksi keskusteluun Microsoftin ylivallasta, tekijänoikeuksista ja julkaisupolitiikasta netissä. Professori David Wiley Brigham Young yliopistosta totesi huhtikuussa 2009, että ne yliopistot, jotka eivät lähde avoimeen toimintaan, ovat tarpeettomia vuoteen 2020 mennessä.

==> Lue lisää (Lapin Kansa 16.8.2009)

Tietoturvan uhkat lohikäärmeen mittoihin

2009-04-19T18:24:00.002+03:00

Eikö valtion turvallisuuteen liittyvät tietoaineistot ole vieläkin tärkeämpiä kuin yksittäisen liiketoimintaa harjoittavan yrityksen aineistot? Eikö niitä olisi suojeltava monin verroin tarkemmin kuin liiketoiminnan vastaavia aineistoja?

==> Lue lisää ...

Liiketoimintaprosessit organisaation tietoturvallisuuden ydinaihe

2009-04-18T18:22:00.005+03:00

Nykyaikaisissa liiketoimintaolosuhteissa ja erityisesti toimittaessa maailmanlaajuisesti ja hyödyntämällä laajamittaisesti sähköisen tietoteknologian keinoja on tietoturvallisuuden merkitys korostunut kaikenlaisten organisaatioiden ja yksilöiden toiminnassa. Tietoturvallisuus voi käytännössä toteutua vain siten, että rganisaatioiden todellinen toiminta – toisin sanoen organisaatioiden liiketoimintaprosessit – ovat aidosti ja asianmukaisesti hallinnassa. Tämä koskee kaikenlaisia organisaatioita, pieniä ja suuria yrityksiä, julkisorganisaatioita ja kolmannen sektorin organisaatioita.

==> Lue lisää: Osa 1 ja Osa 2

Kirjallisuutta

1. Anttila, J. (1998): Managing and assuring information security in integration with the business management of a company. In Jan HP Eloff and Rossow von Solms (editors): Information security, Small systems security & information security management, Volume 2. IFIP TC 11 Wg 11.1. Vienna – Budapest. http://qualityintegration.biz/Tonava.html
2. Anttila, J. (2008): Managing business processes. http://qualityintegration.biz/BusinessProcessManagement.html
3. Anttila, J., Kajava, J., Varonen, R. (2007): General managerial tools for business-integrated information security management. Julkaisussa Lindfors, J. (ed.). Applied information technology research - Articles by co-operative science network. University of Lapland, Department of research methodology. Reports, Essays and working papers 2, Rovaniemi.
4. Anttila, J., Kajava, J., Varonen, R. (2004): Balanced Integration of Information Security into Business Management. In Ralf Steinmetz, Andreas Mauthe (eds.): EUROMICRO 2004. Rennes, France. IEEE Computer Society, IEEE. Los Alamitos, California, USA. http://qualityintegration.biz/Rennes2004.html
5. Anttila, J. Kajava, J. Varonen, R. Quirchmayr, G. (2008): Business Integrated Information Security Management. In Lopez, J., Furnell, S., Katsikas, S., and Patel, A. (eds.): Securing Information and Communication Systems: Principles, Technologies, and Applications. Chapter 3. Artech House. Boston|London.
6. Anttila, J., Kajava, J. (2004): Tietoturvallisuus – Tietoturvallisuus on arkipäiväisen luonnollinen mutta ei mikään yksinkertainen asia. Sähkö & Tele, Vol. 77 nro 8/2004. Sähköinsinööriliitto ry. Helsinki.
7. Kajava, J., Anttila, J., Savola, R., Röning, J. (2005): Tietoturvan hallinnan standardien merkitys maailmanlaajuisessa liiketoiminnassa ja yhteistyössä. SFS–Tiedotus. Vol. 37 nro 6/2005. Helsinki.
8. Anttila, J., Kajava, J. (2006): PDCA –malli tietoturvallisuuden integroinnissa organisaation liiketoiminnan johtamiseen. SFS–Tiedotus. Vol. 38 nro 2/2006. Helsinki.
9. Kajava, J., Anttila, J. (2008): Tietoturvallisuuden hallinnan standardit ja menettelyohjeet – kehittyminen ja hyödyntäminen. SFS–Tiedotus. Vol. 40 nro 3/2008. Helsinki.
10. Anttila, J., Kajava, J. (2008): Miten standardit syntyvät ja miten ne muuttuvat käytännöiksi – näkökulmana tietoturvallisuuden hallinta. SFS–Tiedotus. Vol. 40 nro 5/2008. Helsinki.
11. Stacey, R. (2002): Organizations as complex responsive processes of relating. Journal of Innovative Management. Vol. 8, No. 2. Salem. USA.
12. Stacey, R. (2002): The Stacey Matrix. http://www.gp-training.net/training/communication_skills/consultation/equipoise/complexity/stacey.htm
13. Naidoo, M. (2005): I am because we are (A never ending story). The emergence of a living theory of inclusional and responsive practice. http://www.actionresearch.net/naidoo.shtml
14. ISO/IEC (2005): ISO/IEC 27000, Tietoturvallisuuden hallinnan standardiperhe. Geneve
15. ISO (2000...2008): ISO 9000, Laadunhallinnan standardiperhe. Geneve.
16. Rummler, G. Brace, A. (1990): Improving performance. Jossey-Brass Publishers. San Francisco.
17. Nevanlinna, R. (1976): Muisteltua. Otava. Helsinki.

Huolenpito tietoturvasta jokaisen asiaksi

2009-04-18T18:09:00.001+03:00

Vaikka tietoturvallisuudesta puhutaan väärinkäytösten ja rikosten yhteydessä, kyseessä on pohjimmiltaan myönteinen asia, jonka avulla rakennetaan luottamusta. Jokainen tietoturvaan liittyvä ongelma on ainutkertainen ja ainutlaatuinen. Tietotekniikan ammattilaiset odottavat, että rikolliset löytävät kehittyvästä tekniikasta uusia keinoja rikosten suorittamiseen ja toimivat reaktiivisesti. Todellisen turvan saa kuitenkin vain ottamalla turvallisuusratkaisut huomioon laitteiston, järjestelmän tai liiketoiminnan proaktiivisella suunnittelulla, siis integroimalla tietoturva osaksi kokonaisuutta.

==> Lue lisää ...

Lapset turvaan verkkoavaruudesta

2009-04-16T17:51:00.001+03:00

Lasten turvallisuuden kannalta olemme lähtöruudussa. Kauniit ohjelmat osoittautuvat hurskasteluksi, toimenpiteisiin on tartuttava heti eikä toukokuun 18 päivänä.

== > Lue lisää ...

Isoveli liikenteen turvana

2009-04-16T17:16:00.001+03:00

Liikenteessä olemme jo keskellä kameraviidakkoa ja kontrolleja. Nyt on syytä pohtia, kuka ohjaa, jopa kontrolloi toimintaa.

== > Lue lisää ...

Bitit versus paperi

2009-04-16T11:49:00.001+03:00

Kun tietotekniikka mikrotietokoneiden yleistyessä otettiin laajaan käyttöön organisaatioissa, ajateltiin paperin käytön hiipuvan. Pitkässä juoksussa bitit ovat voittamassa. Toistaiseksi on edetty ottaen askeleita eteenpäin, mutta samalla myös takaisinpäin. Kysymys bitit versus paperi on vain jäävuoren huippu. Ydinkysymys on se, miten yhä paisuvia tietomääriä pystytään hallitsemaan.

==> Lue lisää ...

Organisaatioiden turvallinen toiminta syntyy prosesseilla

2009-04-12T19:57:00.001+03:00

Organisaatioiden toimintojen kokonaisvaltaista johtamista tarkastellaan ammattimaisesti liiketoimintaprosessien hallinnan avulla. Prosessien kautta saadaan myös tietoturvallisuuden saumaton integrointi liiketoiminnan johtamiseen. Organisaatioissa tietoturvallisuutta ei voi saavuttaa liiketoiminnasta erillisillä tietoturvallisuustoimenpiteillä tai -järjestelmillä. Painopisteen siirtäminen rakenteista prosesseihin edellyttää perinteisten organisaation johtamistapojen ja tietoturvallisuusperiaatteiden radikaalia uudistamista.

==> Lue lisää ...

Ihminen tietoyhteiskunnan verkostoissa

2009-04-12T19:35:00.002+03:00

Ihmiset ovat tottuneet pitämään kiinni kaikesta omistamastaan estääkseen sen joutumisen väärinkäytösten kohteeksi. Tämän päivän tietoyhteiskunnan verkostoissa henkilö- ja pankkitilitunnuksista on tullut rikollisten tavoittelemia ja rahaan rinnastettavia kohteita. Toiminta on organisoitu ammattimaisesti. Miten tähän tulisi suhtautua koko kansakunnan sekä sen organisaatioiden ja kansalaisten tietoturvallisuuden ja sen hallinnan kannalta?

==> Lue lisää ...

Liikenneohjausko nettiin?

2009-02-13T20:26:00.009+02:00

Osaamalla liikennesäännöt on tiedon valtaväylilläkin turvallista liikkua ja toimia. Tilanne vastaa vähintäänkin muita yleisiä toimintaympäristöjä – maanteitä, ilmateitä ja vesiteitä. Internet kuitenkin antaa enemmän mahdollisuuksia. Siitä on tullut yhteiskunnan toimijoiden, yksilöiden ja organisaatioiden jokapäiväinen toimintakenttä. Se kattaa yhteiskunnan toimintojen koko kirjon. Samoin kuin muillakin alueilla, sielläkin on mukana monenlaisia toimijoita, joiden käyttäytyminen täytyy ottaa huomioon.

==> Lue Lisää ...

Turvallista arkista nettielämää

2009-02-04T17:50:00.001+02:00

Internetin palvelut antavat rajattomia mahdollisuuksia kaikille organisaatioille ja yksilöille. Monia yhteiskunnan kriittisiä perusrakenteita ohjataan internetin kautta. Arkinen nettielämä on turvallista.

==> Lue lisää …

Turvallisuusaiheeseen uusi ja oikea painotus: Tiedon valtaväylillä on turvallista kulkea ja toimia

2009-02-01T11:25:00.001+02:00

Tiedon valtaväylänä Internet on tämän päivän arjen tietoyhteiskunnan toimintaympäristö ja välttämättömyyshyödyke. Internet on arjessamme kaikessa läsnä ja lisäksi sen suhteen on vielä rajattomasti hyödyntämättömiä mahdollisuuksia. Internet on turvallisempi ympäristö kuin monet muut yhteiskuntamme yleisistä toimintakentistä, kun siinä osaa liikkua. Aivan samoin kuin muillakin alueilla, siellä on mukana monenlaisia toimijoita, joiden mahdollisesti haitallinen käyttäytyminen täytyy ottaa huomioon.

==> Lue lisää ...

Internet on yhteiskuntien tukipylväs

2009-01-14T19:27:00.001+02:00

Tietoturvallisuuden kannalta tiedon valtaväylillä tiedon saatavuus, tiedon oikeellisuus ja tiedon luottamuksellisuus antavat ylivertaisia ja uusia mahdollisuuksia.

==> Lue Lisää …

Turvallisuuden heikko lenkki

2009-01-14T19:25:00.000+02:00

Saksasta kantautuu vakavia viestejä juuri joulunaluspäivinä. Yli 21 miljoonan saksalaisen henkilö- ja tilitiedot ovat päätyneet epämääräisiä teitä myyntiin pimeille markkinoille. Tätä laitonta tietopakettia kaupitellaan noin 12 miljoonan euron hintaan. Missä turvallisuudessamme on heikko lenkki?

==> Lue Lisää …

Vievätkö hyvät käytännöt opetuksessa hyvään oppimiseen?

2009-01-13T21:18:00.002+02:00

50-vuotiaan Oulun yliopiston juhlavuoden tilaisuuksiin Iiittyi toukokuussa 2008 OpinTori -tapahtuma. Sen tavoitteena oli levittää opetuksen, ohjauksen ja opiskelun hyviä käytäntöjä sekä lisätä opetuksen arvostusta ja edistää opettajien mahdolIisuutta meritoitua opetuksen kehittämistyössä.

==> Lue lisää Teksti 1 Teksti 2

The dark side of RFID – New challenges for information security and privacy

2009-01-13T17:56:00.008+02:00

New technology has continuously changed the face of computing, and each change has involved an improvement in computer architecture and information processing. There are strong indications that the next paradigm shift in information technology will be kicked off by tiny radio frequency identification tags (RFID tags). These lowly devices are being ushered in by corporations like Wal-Mart to facilitate business logistics, but other uses are waiting in the wings. As usual with any technology, criminally-minded individuals have been quick to exploit smart tags for their own purposes. Thus, it is in place to take a look at the dark side of RFID technology to see how it may affect the security and privacy of citizens.

The following two articles of Jorma Kajava, Juhani Anttila and Rauno Varonen on this topic:

Radio frequency identification as a challenge to information security and privacy
The dark side of rfid – New challenges for information security and privacy

were included in two large handbooks and encyclopedia of IGI Global (IdeaGroup, Inc.):

This topic has been considered also in Finnish in a previous blog post.

A comprehensive new book on information security

2009-01-12T19:07:00.011+02:00

The book was published by Artech House, Boston/London in 2008. The experts that contributed to this book come from a wide range of backgrounds. Many of them have also been active in the events of our information security network of the Northern Finland. The writers have endeavored to provide up-to-date information addressing security and related emerging technologies from all of its facets - mathematical, engineering, legal, social, privacy and forensics, education, training awareness, and managerial, which includes chapters on the following:

Basics of security concepts, services, and threats
Models for quality of the business integrated information security management
Principles of user authentication technologies
Principles of authorization and access control and their applications
Security of data-centric applications
Principles of modern cryptology and new research challenges in this field
Network security and its dynamics
Public key and privilege management infrastructures
Architectural and functional characteristics of smart cards and similar tokens
Privacy issues and privacy-enhancing technologies from legal and technical perspectives
Legal and technical issues relating to secure content-filtering technologies
A model for cybercrime investigations for forensic examination and presentation
Systemic-holistic approach to IT security with subjective details based on objective knowledge
Secure electronic voting systems using cryptology models and protocols
Requirements and architecture for mobile wiki systems security

Chapter 3 in the book (pages 21 ... 34) on “Business-integrated information security management” was made by Juhani Anttila, Jorma Kajava, Rauno Varonen and Gerald Quirchmayr.

This topic has also been considered in Finnish and in English in two previous blog posts: #1 and #2

Tietotekniikan ja –palvelujen ulkoistaminen ja innovaatiot

2009-01-10T20:09:00.001+02:00

Teollisuudessa siirtyminen massatuotantoon merkitsee myös sitä, että yksittäiset tuotteen osat voidaan tilata ulkopuoliselta yritykseltä alihankintana. Seuraava vaihe on hajauttaa myös palvelut, ulkoistaa jonkun palvelun tuotanto siihen erikoistuneelle organisaatiolle. Tästä seuraa kuitenkin myös merkittäviä haasteita tietoturvallisuuden hallinnalle.

==> Lue lisää ...

Tietoturvan mittaaminen - prosesseista ymmärrykseen

2009-01-10T17:58:00.001+02:00

Tietoturvan mittaamisessa prosessiajattelulla on tärkeä osuus. Myös ihminen, hänen ymmätämyksensä ja tuntemuksensa ovat oleellisia tässä mittaustehtävdssä. Mittauksilla ei tavoitella tiukentuvia kontrolleja vaan elämisen arvoista yhteiskuntaa.

==> Lue lisää ...

Uutta innovaatiota etsimässä – Tietoturva ja paperikoneteknologia

2009-01-04T19:14:00.001+02:00

Tietoturvalla ja paperikoneteknologialla ei pikaisella tarkastelulla näyttäisi olevan erityisti yhteistä mielenkiintoa. Paperikoneteknologialla pystytään tuottamaan paperin lisäksi esimerkiksi edullisia RFID-tarroja ja aurinkokennoja. Tuotanto ja tuotettavat tuotteet ovat hallittavissa vain tuotantoprosessien ohjauksen kautta. Miten organisaatioiden toiminnassa saadaan toteutetuksi haluttu tietoturvalIisuus?

==> Lue lisää …

Tietotyötä pohjoisessa – Verkottumisen ja Barentsin alueen mahdollisuudet Pohjois-Suomen tietotyön kehittämisessä (Knowledge Work in the North)

2009-01-02T10:54:00.006+02:00

Perinteisesti työnteko Suomessa on ollut konkreettisiin tulostavoitteisiin tähtäävää toimintaa. Tietotyössä tulokset ovat usein abstraktissa muodossa, esimerkiksi tutkimuksia, suunnitelmia ja sovellusohjelmia, ja siten perinteisen tuotannollisen työn tuloksista poikkeavia. Erityisen merkityksellistä tietotyötä on toiminnan johtaminen. Tietoturvallisuuskysymykset tulevat merkityksellisiksi tietotyön ulkoistamisessa jopa kaukomaille. 90-luvun alussa opittiin, ettei pelkkä paperien käsittely riitä kansakunnan ravitsemiseen. Riittääkö nykytilanteessa osaamisemme tietotyössä pitämään elinkeinoelämämme organisaatiot kilpailukykyisinä ja yritykset kotimaassa? Miten toiminnan laajeneminen Barentsin alueella heijastuu tiedon ja osaamisen kysyntään Pohjois-Suomessa ja onko siihen voimavaroja vastata niin yhteistyökyvykkyyden kuin tuotannon volyymin kannalta?

==> Lue lisää …

In Finland, work has traditionally focused on concrete objectives. In knowledge work, the outcomes are very often abstract in form – research results, plans, and software applications - and thus deviate from what is expected in traditional production. One wholly singular form of knowledge work is management. Information security questions become important in oursourcing knowledge work even to faraway countries. The early 1990s taught us that merely processing paper documents is not enough to feed a nation. But, are our competencies in knowledge work today enough to keep Finnish business competitive and keep Finnish companies in Finland? How will the growth we see in the Barents Region be reflected in the demand for knowledge and know-how in Northern Finland? Do we have the resources with networking capability in the scale required?

==> Read more … (see pages 49 ... 55)

Tietoturvallisuus on arkipäiväistä

2009-01-01T19:52:00.001+02:00

Tietoturvallisuus on arkipäiväisen luonnollinen mutta ei mikään yksinkertainen asia. Tietoturvallisuus on viime aikoina ollut usein julkisuudessa esillä. Sitä koskevissa kannanotoissa ja kirjoituksissa ovat kuitenkin korostuneet tietotekniikan näkökulmat, alan standardit, viranomaismääräykset ja suositukset sekä asiantuntijakäsitteet. Lisäksi on tuotu ensisijaisesti esille negatiivisia seikkoja, puutteellisesta tietoturvallisuudesta aiheutuneita harmeja yksilöille ja organisaatioille. Näitä kaikkia aiheita on varmasti syytä käsitellä, mutta kuitenkin perimmältään tietoturvallisuus on arkipäiväinen ja luonnollinen sekä pääasiallisesti myönteisiä piirteitä käsittävä asiakokonaisuus.

==> Lue lisää: Teksti 1 Teksti 2

Kompetenssi ja tietoturva

2008-12-31T22:34:00.001+02:00

Tietoturvan kompetensseista puhuminen on arveluttavaa.

Lue kuitenkin lisää …

Tietoturvayrityksiä syntyy vain teknisen työn kautta

2008-12-31T17:20:00.001+02:00

Vain muutamasta prosentista aloittajia syntyy todellisia menestyjiä. Muut joutuvat palaamaan lähtöpisteeseensä.

==> Lue lisää …

Tietoaineistojen turvallisuus puntarissa

2008-12-31T15:34:00.003+02:00

Tietoturvallisuudessa on keskeisimpiä aiheita tietojen luottamuksellisuus. Tämä tarkoittaa sitä, että tietoaineistojen sisällöt ovat vain aineistoihin oikeutettujen saatavilla eikä niitä paljasteta muille. Jos ulkopuolinen pääsee käsiksi turvaluokiteltuun tietoaineistoon, niin aineiston luottamuksellisuus on rikkoutunut.

==> Lue lisää Teksti 1 Teksti 2

Nettikamerat yksityisyyden uhkana

2008-12-31T15:15:00.003+02:00

Sinun yksityisyytesi saattaa kiinnostaa jotakuta – ehkä vain huvin vuoksi. Entä jos siitä on jotain hyötyä toiselle? Tai jos joku ei pidä sinun tavastasi toimia siten kuin toimit ja mahdollisesti harkitsee toimenpiteitä siihen vaikuttamiseksi tavalla tai toisella.

Ovatko kaikkialle levinneet nettikamerat yksityisyytemme uhkana? Onko meillä enää yksityisyyttä? Ovatko uudet palvelut kaksimielistä yksityisyyttä?

Yksityisyys on perinteisissä tietoturvallisuustarkasteluissa valitettavasti jäänyt lapsipuolen asemaan, vaikka se on kaiken tietoturvallisuuden ydinasia.

==> Lue lisää: Teksti 1 Teksti 2 Teksti 3

Tietoturvallisuutta selkokielellä - haasteita tietoturvallisuuden asiantuntijoille

2008-12-30T19:59:00.002+02:00

Vuosien takainen ystävämme esitti hiljakkoin kysymyksen, miksi tietoturvallisuudesta ei puhuta selkokielellä. Kysymys tuntui selkeältä, mutta vastausta siihen ei ole helppo antaa. Kuitenkin aihe on merkittävä arjen tietoyhteiskunnassa niin organisaatioiden kuin yksittäisten kansalaistenkin kohdalla.

==> Lue lisää …

PDCA- ja prosessimallit tietoturvallisuuden integroinnissa liiketoiminnan johtamiseen (PDCA and process models in information security integration)

2008-12-30T17:06:00.018+02:00

Tietoturvallisuuden hallinnassa ovat yleiset standardit ja organisaation johtamisen toimintamallit hyödyllisiä liiketoimintoihin integroituja tietoturvaratkaisuja kehitettäessä ja toteutettaessa yhteistyötä eri organisaatioiden kesken. Oleellista on kuitenkin, että kyseiset standardit ja mallit ymmärretään oikein ja niitä sovelletaan vaikuttavasti ja tehokkaasti organisaatioiden omien liiketoimintatarpeiden ja odotusten mukaisesti.

Tietoturvallisuuden hallinnan käytännön toteuttamista varten ovat erityisesti PDCA -malli ja prosessimalli tulleet suosituiksi. Näihin myös vahvasti perustuvat tietoturvallisuuden hallinnan yleiset perusstandardit (ISO/IEC 27000 standardiperhe). Näiden mallien avulla tietoturvallisuuden hallinta voidaan toteuttaa osana organisaation yleistä johtamisjärjestelmää, toisin sanoen integroituna organisaation liiketoiminnan johtamiseen.

PDCA-malli ja prosessimalli ovat kauan käytettyjä ja kehittyneitä kaikenlaisten organisaatioiden yleisiä johtamisen perusmalleista. Mallit ovat varsin yksinkertaisia mutta samalla myös antoisia nykyaikaisissakin liiketoimintaolosuhteissa. Kuitenkaan kyseisten mallien kaikkia mahdollisuuksia ei osata hyödyntää ja niistä on vallalla paljon jopa virheellisiä käsityksiä.

==>Lue lisää Teksti 1 Teksti 2 Teksti 3

Two methodological frameworks, the PDCA Model (PDCA: Plan - Do - Check - Act) and the Process Management Model are basic elements in the newest international standardization of information security management. Both models were originally developed for overall business management in any type of organization, and entered information security management through the ISO 9000 standards for quality management These models offer multifarious possibilities for information security management that is seamlessly integrated (embedded) with general business management activities. In any case also all relevant aspects of modern business environments should be understood and considered in the context of these models and information security management.

==> Read more ...

Tietoturvallisuuden hallinnan standardien merkitys maailmanlaajuisessa liiketoiminnassa (Information security standards in global business)

2008-12-30T16:56:00.007+02:00

Kaiken standardisoinnin yleiset tarkoitukset tähtäävät:
- Parempiin tuotteisiin
- Pienempiin tuotantokustannuksiin
- Ihmisten ja organisaatioiden välisen kanssakäymisen helpottumiseen

Kaikki nämä näkohdat ovat myös yhteydessä paremman tietoturvallisuuden aikaansaamiseen.

==> Lue lisää …

Information security-related issues are assuming an increasingly important role in our society. These issues, however, have a surprisingly dualistic nature: Almost everyone seems to be somehow familiar with them, but very few have a deeper understanding. Due to its multifaceted nature, information security should not be regarded as a separate concern. It is deeply intertwined with a multitude of business-related and societal functions. Of particular interest here is the integration, or embedding of information security into real business processes. The significance of information security standards for global business and industry should be understood. The role of security management should be analyzed against the changing situation of the global market. A security management approach applying international standards, enables companies - and also other organizations - to carry out their business and cooperate globally.

==> Read more …

Kiire yhteiskuntamme toimivuuden uhkana

2008-12-29T18:35:00.005+02:00

Tapasimme eurooppalaiskollegojamme, jotka kertoivat, että kiire työnteossa on ottanut vallan. Kun aamulla tulee kahdeksalta töihin, niin töitä jatkuu iltakymmeneen. Silti ei ehdi päivän työaikana myöhään iltaan tehdä muuta kuin kyseisen päivän kiireelliset ja pakolliset työt. Ja kiire jatkuu myös sen jälkeen. Kun henkilö poistuu työpaikalta, hän taittaa kannettavan kainaloonsa ja jatkaa työskentelyä kotonaan aamukahteen. Myös viikonvaihteessa tahtoo olla samanlaista. Kansainvälisesti verkottuneella ystävällämme on yhteistyökumppaneita ympäri maailmaa kaikilla aikavyöhykkeillä. Jos edellä kuvattu liittyisi jonkun yrittäjän päivän työnkuvaan, se olisi helpompi ymmärtää. Mutta kun se tapahtuu johtavassa asemassa tai huippuasiantuntijana olevalle henkilölle yliopistossa, niin se panee miettimään kiireen hintaa. Jos työpanos käytetään täysin arjen rutiinien pyörittämiseen, niin silloin ei jää aikaa uudistumiselle.

Miten kiire vaikuttaa organisaatioiden tietoturvallisuudessa?

==> Lue lisää Teksti 1 Teksti 2

Mitä heikot signaalit sanovat tietoturvallisuudesta

2008-12-27T12:50:00.003+02:00

Yhteiskunnassamme on runsaasti todellista ja potentiaalista tietoa, jonka avulla yritystoimija voi ohjata toimintaansa entistä parempien tulosten aikaansaamiseksi. Ympärillämme monista eri lähteistä tulevat erilaiset informaatiosignaalit edustavat dataa, jota voimme analysoida ja sen pohjalta tehdä johtopäätöksiä toimintatilanteemme mukaisesti. Mitä sitten heikot signaalit sanovat tietoturvallisuudesta?

==>Lue lisää Teksti 1 Teksti 2

RFID – turvallisuuden peruskomponentti ja rikollisten työväline

2008-12-26T18:01:00.006+02:00

Radiotaajuinen tunnistaminen (RFID, Radio Frequency Identification) on ollut käytössä pitkään useissa erikoissovelluksissa. Nyt kuitenkin uudet yksinkertaiset ja halvat passiiviset RFID-komponentit sieppaavat tehon sieltä, missä sitä on saatavana. Nämä uudet tietotekniikan miniatyyriratkaisut tuovat paitsi uusia mahdollisuuksia myös ennalta arvaamattomia uhkia. Niillä on tarkoitettu tuomaan säästöjä logistiikkaan, mutta samalla ne soveltuvat erittäin hyvin turvallisuutta edistäviksi komponentiksi. Yhtä hyvin ne soveltuvat myös rikollisen toiminnan käyttöön. Yhteiskunnan jäsenten näkökulmasta tämä pieni komponentti merkitsee kaikenlaisen tunnistamisen ja valvonnan lisääntymistä ja tehostumista.

==> Lue lisää: Teksti 1 Teksti 2

Valtion tietoturvallisuuden kehitysohjelma

2008-12-26T11:46:00.004+02:00

Valtioneuvoston tietoturvallisuuden periaatepäätökset ovat toimineet tienviittoina valtion tietoturvallisuutta kehitettäessä vuodesta 1989 alkaen. Käytännössä kuitenkin epävarmuutta on aiheuttanut se, että samoistakin asioista on useita rinnakkaisia ohjeita. Miksi ei voisi olla yhtä yhteistä sivustoa kaikkien käyttäjien tavoitettavissa?

==> Lue lisää

Tietoliikenteessä riittää haasteita

2008-12-25T16:53:00.004+02:00

Pahin ohjelmistotuholainen on tietokoneen käyttäjä, joka ei osaa. Monet eivät toimi pahalla mielellä vaan ymmärtämättömyyttään.

Uudet radiotaajuisen tunnistamisen (RFID) tatkaisut sieppaavat tehon (ja tietoa), missä sitä on saatavana. RFID-tunnisteita alkaa olla kohta kaikkialla, jatekniikka kehittyy entistä älykkäämmäksi ja halvemmaksi. Tällöin alkaa korostua valvonnan ja yksityisyyden välinen arvostus.

==> Lue lisää

Taidolla tietoyhteiskunnan verkoissa

2008-12-23T16:55:00.004+02:00

Organisaatio pyrkii toteuttamaan toiminta-ajatuksensa ja visionsa omien tarpeidensa mukaisesti. Tässä strategialla on keskeinen asema. Miten on sitten tilanne yhteiskunnassa kokonaisuudessaan? Minkälaisia strategisia mahdollisuuksia sen suhteen on olemassa - ja erityisesti tietoturvallisuuden suhteen?

==> Lue lisää ...

Kameroilla liikenneturvallisuutta – liikenteellä innovaatioita

2008-12-23T16:51:00.002+02:00

Moottoriajoneuvojen käyttöönoton yhteydessä pidettiin välttämättömänä, että automobiilin edessä oli juoksija varoituslipun kanssa. Reilun sadan vuoden kehityksen jälkeen kehitys on viemässä siihen, että pääväylät on reunustettu kameroilla. Voimme vain kysyä yksittäisinä tienkäyttäjinä, minne olemme matkalla? Kameroiden loisteessa filmimaailman keskukseen vai uuteen karuun yhteiskuntaan, jossa yksityisyyttä ei ole.

==> Lue lisää ...

Standardit tulevaisuutta vahvistamassa

2008-12-23T16:19:00.007+02:00

Uudet teknologiat mahdollistavat vaatimista älytalojen toteuttamisen. Tällöin on yleensä päätavoitteena ollut kestävän kehityksen vaatimusten toteuttaminen, missä ovat erityisesti energiakysymykset korostuneet. Älytalot ovat kuitenkin vielä jotain paljon enemmän, kun niitä tarkastellaan tietonäkökulmasta. Tällöin tullaan myös kysymykseen tietoturvallisuudesta. Kansainväliset standardit auttavat sekä energia- että turvallisuusvaatimusten laadukkaasta toteuttamisesta.

⇒Lue lisää: Teksti 1 Teksti 2

Kasvot ja ilmeet turvallisuutta parantamassa

2008-12-19T21:37:00.005+02:00

Kesällä 2008 julkaistu pikku-uutinen kertoi Oulun yliopiston uudesta kansainvälisestä projektista, jossa tietokone tulkitsee ihmisen ilmeet ja liikkumisen videokameran kuvista. Paitsi ilmeiden automaattiseen tunnistamiseen videokuvista projekti tähtää uuden menetelmän kehittämiseen, jossa tietokoneohjelma osaa erottaa liikkuvasta kuvasta ihmisen ja seurata häntä kuvalähteestä toiseen. Aiemmin on tutkittu pääasiallisesti yksittäisiä pysäytettyjä kuvia. Lähi-infrapunakameran avulla voidaan tunnistaa kasvojen ilmeitä jopa lähes pimeässä.

Mitä tekemistä tällä on tietoturvallisuuden kanssa?
==> Lue lisää

Miten standardit syntyvät miten ne muuttuvat käytännöiksi – näkökulmana tietoturvallisuuden hallinta

2008-12-16T15:16:00.003+02:00

Standardien syntymiseen liittyy paljon harhakuvia ja epätietoisuutta. Käsittelemme seuraavassa artikkelissamme sitä, kuinka standardit syntyvät ja kuinka ne muuttuvat käytännöiksi. Tarkastelemme asiaa myös tietoturvallisuuden hallinnan näkökulmasta. Suomen laki ja suomalaisten valtionorganisaatioiden toiminta antavat lisänäkökulman tarkastelussamme. Kokemuksemme standardisoinnista tulevat pitkäaikaisen standardien laadinnan sekä kommentoinnin myötä kansainväliseltä kentältä ja yritysstandardisoinnista.
==> Lue lisää

Tietoturvallisuuden hallinnan standardit ja menettelyohjeet - kehittyminen ja hyödyntäminen

2008-12-16T13:38:00.003+02:00

Tietoturvallisuuden tutkija kokee mielenkiintoisen havainnon, kun hänelle selviää se, kuinka monessa suomalaisessa valtion organisaatiossa on niin omien työntekijöiden kuin kaikkien muiden kiinnostuneiden kansalaisten vapaasti saatavilla ohjeet tietoturvallisesta työskentelystä.
==>Lue lisää

Tietoturvallisuuden talvikoulu 2007

2007-04-12T10:56:00.000+03:00

Tänä vuonna tietoturvallisuuden kansainvälinen talvikoulu IPICS’2007 (European Intensive Programme on Information Security Management and Technology) pidettiin jo kahdeksannen kerran 26.3 - 4.4.2007 välisenä aikana. Osallistujia ja luennoitsijoita oli jälleen useasta maasta. Etäisin osanottaja oli Intiasta. Tänä vuonna tapahtumapaikkana oli Saija Taivalkoskella.

Talvikoulun ohjelma myötäili aikaisempien vuosien teemoja seuraavasti:

Jorma Kajava: Information Security Management
Juha Roning: Software Security
Reijo Savola: Security Metrics
Janne Uusilehto: Mobile Systems Security
Chris Wills: Soft Systems, Methodology in Security
Guenther Pernul: Database Security
Bart Preneel: Cryptography
Karl Posch: RFID Security
Gerald Quirchmayr: Business Continuity
Juhani Anttila: Modern approach for enhancing information security awareness by using new tools of disruptive IT (Interactive Technology)

Tilaisuuden materiaalia voi tiedustella talvipäivien päätoteuttajalta Jorma Kajavalta Lapin yliopistosta.

Onko jo ylikuumentumista turvallisuuden suhteen?

2007-04-12T10:15:00.000+03:00

Lentokenttien turvallisuustarkastuksista on käyty kriittistä keskustelua siitä, onko niissä menty jo liiallisuuksiin. Paljon matkustelevat varmasti myöntävät, että kritiikissä on perää. Joissain paikoin on aivan turhantuntuista muodollisuutta ja sitten taas paikoitellen on paljon lievenpää, kun samoista asioista ei välitetä ollenkaan.

Nyt sama keskustelu on tullut myös tietoturvallisuuden alueelle. Ainakin CA:n ja Symbianin mielestä tietoturvaan kohdistuvia uhkia voi liioitella. Mitä johtopäätöksiä tällaisesta keskustelusta voisi tehdä? Ainakin kaikkien mahdollisten turvallisuustoimenpiteiden edellyttäminen ja toteuttaminen on liioittelua. Se jo osoittaa ammattitaidon puutetta, kun ei osata keskittyä oleelliseen. Myöskään uhilla pelottelu ei ole asiallista ja sellainen edistää vääränlaista suhtautumista tietoturvallisuuteen. Tehokkaasti suunnattujen reaktiivisten toimenpiteiden lisäksi myös tietoturvallisuuden alueella tarvittaisiin proaktiivisia, innovatiivisia, ratkaisuja.

Miten organisaatiomme ylin johto on sitoutunut tietoturvallisuuteen? (Senior executives commitment into security)

2006-10-27T20:16:00.005+03:00

Suomalaisissa organisaatioissa suoritettujen tutkimusten mukaan näyttävät ihmiset – mukaan lukien organisaatioiden johtotehtävissä olevat – olevan hyvin tietoisia tietoturvallisuuden yleisperusteista, pitävän tietoturvallisuutta tärkeänä ja olevan motivoituneitakin siihen. Onhan ollut esillä myös varsin runsaasti tietoturvallisuuteen liittyviä uutisia ja yleistä koulutusta, ja myös monissa organisaatioissa on järjestetty vastaavasti sisäistä koulutusta. Kuitenkin asian varsinainen ymmärrys on kovin pinnallista ja sitä on vain harvoilla.

Huolestuttavaa on, että ylimmän johdon edustajat eivät yleensä ole kiinnostuneita tietoturvallisuudesta heidän oman johtamisroolinsa osalta. He eivät tunne tietoturvallisuuden johtamisen keinoja käytännössä ja saattavat delegoida johtamisvastuunsa asiantuntijoille tai suorastaan ulkoistaa sen ulkopuolisille konsulteille.

Kaikki kansainvälisestikin arvostetut referenssit korostavat, että organisaation tietoturvallisuuden johtamista ei voi menestyksellisesti siirtää pois johdon vastuulta. Johtamisvastuu koskee sekä organisaation operatiivista toimintaa että strategista kehittämistä. Asia on tuotu esille mm. tietoturvallisuuden hallinnan tärkeimmässä kansainvälisessä perusstandardissa ISO/IEC 17799:2005. Samaa toteavat OECD:n (2002) tietoturvallisuussuositukset ja -periaatteet, jotka erityisesti painottavat, että tietoturvallisuus edellyttää organisaatiokulttuurin syntymistä ja kehittämistä. Edellä mainittu koskee yhteiskuntamme kaikkia organisaatioita. Asian merkitystä lisää vielä se, että kaikkien organisaatioiden toiminta perustuu tänään lisääntyvässä määrin tietoon, tietoturvallisriskit ovat organisaatioiden merkittäviä liiketoimintariskejä ja suurimmat tietoturvallisuusrikkomukset tapahtuvat organisaatioiden oman henkilökunnan toimesta.

Miksi sitten käytännössä johdon sitoutuminen on epätyydyttävää? Tietoturvallisuuden ammatilliset peruskäsitteet, erityisesti eheys, käytettävyys ja luottamuksellisuus, ovat vaikeasti ymmärrettäviä ja vieraita ei-asiantuntijoille - ja jopa asiantuntijoillekin. Tietoturvallisuuden hallinnan yleiset standardit ja ohjeet (erityisesti ISO/IEC 27001:2005, ISO/IEC 17799:2005, ISO/IEC 17799–1:1996, and OECD Guidelines) ovat monimutkaisia ja hämmentäviä. Tilannetta vaikeuttavat vielä yleisesti tietojärjestelmiä ja tietojen hallintaa ohjaavat tärkeät julkaisut (mm. ISO/IEC 20000:2005, ITIL, COBIT, Sarbanes-Oxley Act) sekä lukuisat organisaatioiden yleistä johtamista koskevat opit ja julkaisut, mm. ISO 9000 –standardit. Lisäksi tietoturvallisuus on monitieteellinen aihe, ja tieto jota turvallisuuden hallinta koskee on pääosaltaan ns. hiljaista tietoa (tacit knowledge). Ammattimainen tietoturvallisuuden hallinta edellyttää siten paljon erityistietoa. Kuitenkin organisaatioiden johtohenkilöt ovat hyvin yksilöllisiä ja vahvan muodollisen asemansa tuntevia ”generalisteja”, joiden kommunikointi erityisspesialistien kanssa on vaikeata toteuttaa käytännössä tehokkaasti.

Kun organisaatioiden ylin johto ei ole riittävästi sitoutunut tietoturvallisuuden johtamiseen, siitä seuraa, että:

tietoturvallisuutta ei johdeta organisaatioiden todellisten liiketoimintatarpeiden mukaisesti
tietoturvallisuuden hallinta nähdään vain reaktiivisena, ongelmia ehkäisevänä ja joidenkin yleisten standardivaatimusten – tai vieläpä vain ns. minimivaatimusten – täyttämisenä, jolloin myös toteutuksista puuttuu aito organisaatiokohtainen innovatiivisuus
organisaatiot puuhastelevat erillisten ja rajattujen, esim. vain teknisluonteisten, aiheiden parissa
organisaatioissa tehdään ”kosmeettisia” ja pinnallisia ratkaisuja tai ei itse asiassa tehdä mitään vaan toivotaan vain ettei mitään vakavaa sattuisi
organisaatiot pysyvät ja kärsivät hiljaa ongelmistaan ja osaamattomuudestaan

Tehokkaimpana keinona organisaatioiden ylimmän johdon saamiseksi sitoutumaan tietoturvallisuuteen on tietoturvallisuuden hallinnan saattaminen johtamisasemassa ja –tehtävissä olevien henkilöiden varsinaiseen työkenttään kuuluvaksi. Tässä voidaan nähdä kaksi osa-aluetta:

Tietoturvallisuus integroidaan saumattomasti johdon päätöksiin sekä strategisiin ja operatiivisiin johtamistoimintoihin.
Vahvistetaan organisaation yleistä tietoturvallisuustietoisuutta ja –kulttuuria.

Näihin pääseminen kuitenkin edellyttää merkittäviä asennemuutoksia niin organisaatioiden johtohenkilöissä kuin tietoturvallisuuden asiantuntijoissakin.

Tietoturvallisuuden hallinnan yleinen paradoksaalinen tosiasia on, että tietoturvallisuudessa täytyy organisaatioiden aina olla valmiina, mutta siinä ei voi koskaan tulla valmiiksi.

==>Lue lisää Teksti 1 Teksti 2

For senior executives, information security is a basic requirement for business success. Yet, despite being well-motivated, top managers often have only a superficial understanding of information security, which may lead them to make decisions that are not conductive to rctising lhe organization's security level. Enhancing information security awareness among all employees has been found necessqty, but the key to success is raising the awareness level of senior mqnagement. Playing a decisive role, they must assume overall responsibility for information security. The question is how to achieve this in an fficient and natural way.

==> Read more ...

Mihin ulottuu tietoturva?

2006-10-26T08:39:00.000+03:00

Jo seitsemännen kerran toteutui 26.10.2006 Rovaniemellä Tietoturva ja laki –tilaisuus. Tilaisuuden järjestivät Lapin yliopiston oikeusinformatiikan ja menetelmätieteiden laitokset sekä Pohjan viestikilta. Lisäksi tärkeinä vaikuttajina on ollut useita Pohjois-Suomen organisaatioita. Tapahtumapaikkana oli Lääninhallituksen sali.

Tämänkertaisen tietoturvallisuuspäivän otsikko oli tehty kysymyksen muotoon: Mihin ulottuu tietoturva? Aihetta tarkasteltiin seuraavien puheenvuorojen kautta:

Seminaarin avaus: Ahti Saarenpää / Lapin yliopisto ja Juhani Peltoluoma / Pohjan Viestikilta
Mihin ulottuu tietoturva?: Ahti Saarenpää / Lapin yliopisto
Pohjoisuus ja tietoturva: Jorma Kajava / Lapin yliopisto
Poliisin tietoturvatyö Rovaniemellä: Aarno Hallikainen / Poliisin tietohallintokeskus
Haittaohjelmat: Seppo Sundberg / Valtiokonttori
Rajavartiolaitos ja Pohjois-Suomen tietoturvaverkosto: Jaakko Ritola / Rajavartiolaitos
Muuttunut johtamisympäristö ja tietoturva: Juha Mattila / Puolustuslaitos
Yhteenveto: Ahti Saarenpää / Lapin yliopisto

Tilaisuuden päätteeksi oli cocktail-tilaisuus ja sen yhteydessä osallistujien välistä verkottumista.

Luonnollinen on turvallista

2006-10-21T16:51:00.000+03:00

Rauno Salminen on Taivalkoskella asuva kansainvälistä arvostusta saanut taiteilija. Hän on mm. osallistunut töillään maailmanlaajuisesti moniin näyttelyihin. Rauno on jo toistakymmentä vuotta tukenut omalla osaamisalueellaan Pohjois-Suomen tietoturvallisuusverkoston toimintaa. Kaikki verkostomme monissa tilaisuuksissa esiintyneet puhujat muistavat hänet, koska ovat saaneet osallistumisestaan muistolahjaksi Raunon ajankohtaisen ja juuri kyseistä tilaisuutta varten tekemän teoksen. Monilla on ollut myös mahdollisuus henkilökohtaisesti tutustua Raunoon sekä hänen mieleenpainuviin ajatuksiinsa.

Taivalkosken ja sen lähiseutujen maisemia eri vuodenaikojen väreissä kuvaavat Raunon työt omalla ajattomalla tavallaan hyvin symbolisoivat kauneutta, varmuutta ja turvallisuutta.

Seuraavassa kuvassa on Rauno Salmisen akvarelli "Maaruska", joka julkaistiin vuoden 2002 Tietoturvallisuus ja laki seminaarin julkaisun kansikuvana (Pohjois-Suomen Tuomarikoulun julkaisuja 2/2002).

Sähkö & Tele tietoturvallisuudesta

2006-10-19T19:36:00.003+03:00

On hyvin merkittävää, että verkostoomme on liittyneenä monenlaisia toimijoita. Aiheemme esille saamisen kannalta on lehdistö tärkeä yhteistoimintakumppani. Sähkö & Tele (ISSN 0789-676X) on sähkötekniikan ja elektroniikan teknistieteellinen ammattilehti, jonka julkaisijana on Sähköinsinööriliitto ry. Tähän lehteen verkkomme jäsenillä on ollut läheiset yhteydet jo vuosia, ja viime vuosina lehti on julkaissut monia kirjoituksiamme. Erityisesti voimme huomioida lehdessä sen korkeatasoisen ja tehokkaan kirjoitusten toimitustavan.

Sähkö & Tele -lehdessä olemme viime aikoina julkaisseet seuraavia kirjoituksia:

"Tietoturvallisuus – Tietoturvallisuus on arkipäiväisen luonnollinen mutta ei mikään yksinkertainen asia" (Juhani Anttila, Jorma Kajava). Sähkö & Tele, Vol. 77 nro 8/2004, ss. 31 – 33
"Tietotekniikan ja -palvelujen ulkoistaminen ja innovaatiot" (Jorma Kajava, Juhani Anttila). Sähkö & Tele, Vol. 78 nro 1/2005, ss.33 - 35
“Varautuminen yhteiskunnan kriittisiin perusrakenteisiin kohdistuviin uhkiin” (Jorma Kajava, Reijo Savola). Sähkö & Tele, Vol. 78 nro 4/2005, ss. 45 - 46
“Mitä heikot signaalit sanovat tietoturvallisuudesta” (Jorma Kajava, Juhani Anttila, Reijo Savola). Sähkö & Tele, Vol. 78 nro 6/2005, ss.10 - 13. ISSN 0789-676X.
“Kriisien hallinta” (Jorma Kajava, Juhani Anttila, Reijo Savola, Juha Röning). Sähkö & Tele, Vol. 79 nro 1/2006, ss.49 - 55. ISSN 0789-676X.
“Ylimmän johdon sitoutuminen tietoturvaan – motivaatiota ja vastuuntuntoa” (Jorma Kajava, Juhani Anttila, Reijo Savola, Juha Röning). Sähkö & Tele, Vol. 79 nro 2/2006, ss. 13-16.
“RFID – mahdollisuuksia ja uhkia” (Jorma Kajava, Juhani Anttila). Sähkö & Tele, Vol. 79 nro 3/2006, ss. 9-13
“Tietotyötä pohjoisessa – verkottumisen ja Barentsin alueen mahdollisuudet Pohjois-Suomen tietotyön kehittämisessä” (Jorma Kajava, Ilkka Kamaja, Juhani Anttila, Mikko Ilkko). Sähkö & Tele, Vol. 79 nro 5/2006, ss.55 - 60

Aktiivinen syksy jatkuu verkostossamme

2006-10-19T18:33:00.000+03:00

Pohjan Viestikilta ry järjesti 12.10.2006 yhteistyökumppaniensa, PPO Oy:n, Oulun ja Lapin yliopistojen, Oulun lääninhallituksen, Puolustusvoimien ja VTT:n kanssa IV Pohjanmaan tietoturvaseminaarin Nivalassa, Teknologiakeskus Nitekissä.

Seminaarin ohjelma oli jälleen antoisan monipuolinen ja myös osanottajia oli runsaasti 50 henkeä:

Seminaarin avaus, Pauli Korpi-Tassi, PPO
Pohjan Viestikilta - yhteyksien rakentaja, Juhani Peltoluoma, Pohjan Viestikilta
Ohjelmistohaavoittuvuuksien hallinta, Juha Röning, OUSPG
Haittaohjelmat, Jari Pirnes, Verohallitus
RFID ja tietoturva, Jorma Kajava, Lapin yliopisto
Kriittiset perusrakenteet ja turvallisuus, Heimo Pentikäinen, VTT
Tietoaineistoturvallisuuden hallinta: PPOn tallennus- ja varmistuspalvelut, Sami Tiinanen, PPO
PPOn tietoturvapalvelut, Pasi Korhonen, PPO

Viestiristi Gerald Quirchmayrille

2006-10-16T19:15:00.000+03:00

Kansainvälisen kriisien hallinnan workshopin yhteydessä syyskuun 28. päivänä 2006 Rovaniemellä luovutettiin viestiristi professori Gerald Quirchmayrille. Hän on Wienin yliopiston hajautettujen ja multimediapohjaisten järjestelmien laitoksen johtaja ja samalla myös professorina Etelä-Australian yliopistossa Adelaidessa. Prof. Quirchmayr on ollut mukana tietoturvallisuusverkostomme toiminnassa monia vuosia monipuolisena ja kansainvälisesti arvostettuna asiantuntijana.

Kuvassa Jorma Kajava luovuttaa ansiomerkin ja kiittää prof. Quirchmayria tietoturvallisuusverkostomme monivuotisesta ja monipuolisesta tukemisesta.

Toimiminen verkostossa

2006-10-15T10:40:00.000+03:00

Tämä blogi on erityisesti Pohjois-Suomen tietoturvallisuusverkoston toimintaa tarkasteleva foorumi. Verkostomme asia-aiheena on tietoturvallisuus ymmärrettynä laajasti, mutta mitä se sitten tarkoittaa, että toimimme verkostona. Myös tietoturvallisuusverkosto toimii yleisten verkostoperiaatteiden mukaisesti.

Käsitykseni on, että aito verkosto on aina itsestään syntynyt ja kehittyy sekä sitten myös joskus kuolee itsestään. Verkosto on myös osiltaan jatkuvassa uusiutumisen tilassa. Toisin sanoen mikään yksittäinen toimija ei voi johtaa verkostoa – jos ei nyt oteta huomioon jotain jumalallisia vaikuttajia. Myöskään tällainen verkosto kokonaisuudessaan ei ole kokonaisuutena tarkkaan määriteltävissä. Yleisesti tarkastellen verkostolla ei siis ole määriteltyä tai sovittua johtajaa eikä myöskään johtamisjärjestelmää sanan varsinaisessa merkityksessä. Tästä seuraa, että verkostolla ei myöskään voi olla yhteisesti jaettuja arvoja tai normeja, sovittuja toimintaperiaatteita, -politiikkaa, tai –strategiaa. Verkostossamme voi olla mukana aina myös sellaisia, jotka eivät ole kaikkien muiden mielestä toivottuja tai haluttuja. Itse asiassa verkossamme voi olla myös jopa joidenkin mielestä tyhmiä tai vihamielisiä, eikä näiden vaikutuksia voi täysin estää.

Johtamisaihe on ollut vahvasti esillä kaikissa verkostoaihetta käsitelleissä tilaisuuksissa ja kirjoituksissa. On esitetty kysymyksiä: Eikö ongelmana ole juuri verkostojen johtaminen, ja mitä tietoa sitä varten on saatavissa? Miten kannattaisi mitata verkostojen kustannus-hyöty-suhdetta? Miten verkostoitumista voisi edistää XXX-alueella? Miten voitaisiin vaikuttaa julkisen sektorin verkostotaitoihin ja muutosvastarintaan? Mitä kriteerejä olisi priorisoitava, kun puhutaan tuottavista verkostoista? Mikä on kriteeri sille, että kaksi verkoston osapuolta voidaan katsoa ”verkottuneeksi”?

Johtaminen verkostossa palautuu verkoston kunkin yksittäisen toimijan (organisaation tai yksilön) omaksi sisäiseksi johtamiseksi. Mikä vaikutus tällä sitten on koko verkoston rakenteeseen ja toimintaan, riippuu erityisesti voimasuhteista ja kommunikoinnin tehokkuudesta verkostotoimijoiden kesken. Valdis Krebs on määritellyt toimijan verkostossa vaikuttamista kuvaavia tunnussuureita:

Aktiivisuus (activity)= tehokas toimiminen verkossa
Pääsy (access) = pääsy verkoston resursseihin
Tavoittavuus (reach)= vaikutusulottuvuus, kytkeytymiskyky toisiin toimijoihin ja sen nopeus
Ohjaus (control) = ohjausvoima verkoston resursseihin
Valta (power) = vaikutusvalta saada asiat tehdyksi

Koska kaikki verkostotoimijat ovat itsenäisiä, heillä on myös jokaisella omat intressinsä olla mukana tai pyrkiä pysymään verkostossa. Entistä enemmän verkostotoimijoina ovat yritysten ja organisaatioiden sijasta yksilöt. Verkostossa on aina olemassa eri intressien välillä ristiriitoja. Kunkin toimijan ja myös koko verkoston kannalta on hyödyllistä monenvälinen Win / Win –toiminta ja toimijoiden jatkuva oppiminen. Millaiseksi verkoston toiminta muodostuu, riippuu paljon toimijoille koituvista transaktiokustannuksista.

Yleisesti arvostetuissa yritystoimintaa koskevissa verkostotutkimuksissa ja kehityshankkeissa tarkastellaan pääasiallisesti esim. tiettyjen vahvojen yritysten tai muiden organisaatioiden ympärille luotuja toimittaja-, asiakas- tai partneriverkostoja. Näissä myös normaalisti tuodaan esille yhteisiä arvoja, strategioita ja kehitysohjelmia. Tällaiset verkostot ovat kuitenkin verkostomielessä hyvin erikoistapauksia tai suorastaan surkastuneita, ja ne voidaan nähdä monesti yritysten ulkoistettuina jatkeina tai suorastaan ”orjaverkostoina”. Helposti tulee mieleen, että bisnesmielessä hyödyllisintä olisi paradoksaalinen tilanne, missä toimijat tietoisesti hyödyntävät verkostoissaan sekä tiettyä systemaattisuutta että ”verkostovallattomuutta”. Ja sitä paitsi tämähän juuri vastaakin luonnollisia realiteetteja ympärillämme. Paitsi että miten tietoisia olemme asian suhteen?

Globalisaatio on kuuma aihe

2006-10-13T16:30:00.000+03:00

Käsittelimme Pohjoisen Tutkimusfoorumissa Pohjois-Suomen tietotyön kehittämisen haasteita ja mahdollisuuksia. Samaa teemaa sivutaan myös laajemmalti koko EU:n puitteissa. Valtion korkeimmalla tasolla globalisaatioaihe on ollut näyttävästi esillä, ja on luvassa, että aiheen tarkastelu tulee samalla tavoin vielä jatkumaankin. Pääministeri Vanhasen amerikkalaiselta professori Richard Baldwinilta tilaaman globalisaatioselvitys Globalisation: the great unbundling(s) julkistettiin 20.9.2006.

Raportti korostaa, että globalisaatio muuttuu entistä arvaamattomammaksi. Äkilliset ja vaikeasti ennakoitavat muutokset kuuluvat globalisaation uusiin pelisääntöihin. Tähän sisältyy, että on vaikea ennustaa voittajia ja häviäjiä. Ennakoimattomuutta lisää toimijoiden väliset kompleksiset vuorovaikutukset liiketoiminnoissa. Maailmanlaajuinen kilpailu voi viedä myös Suomesta koulutetun väen töitä, ei vain teollisuustöitä. Kilpailu muuttuu yritysten välisestä kilpailusta osaamisryhmien ja yksilöiden väliseksi. Eivät perinteistenkään turvattujen ammattien edustajat eivät ole erossa globalisaatiolta. Kansainvälisen yrityksen ekonomi tai insinööri voi huomata työnsä siirtyvän Kiinaan tai Venäjälle. Turvallisuuspalvelutkin voidaan toteuttaa etätyönä Intiasta.

Globalisaatiotilanteeseen sisältyy kriisien aineksia, joihin pitäisi suhtautua päättäväisesti.

Baldwinin raportti järkyttää myös suomalaista koulutusajattelua. Pitkä koulutus tai esim. tietotekninen osaaminen ei suojaakaan Suomen työvoimaa. Nyt ei ole it-insinööreistä pulaa, mutta metalliteollisuus ja rakennusala kaipaavat kipeästi hitsaajia ja asentajia. Yleisesti viestitään, että nuorien ei kannatakaan mennä yliopistoon, vaan mieluummin ammattikoulun putkiasentajalinjalle. Alipalkattuja akateemisia on jo nyt suuri joukko.

Jos esimerkiksi tuotekehitys, tietohallinto ja rahoitus voidaan hoitaa Intiasta käsin, niin aina kuitenkin tarvitaan paikallistuntemusta. Oma kieli ja oma lainsäädäntö voivat suojata ulkomaiselta kilpailulta. Vaikeasti korvattavia ovat myös henkilökohtaiset kontaktit. Nämä seikat korostavat varmasti toimivien ja monipuolisten palvelujen sekä verkostojen merkitystä.

Suomessa uskotaan vahvasti tietoyhteiskunnan mahdollisuuksiin. Vastikään hallituksen julkaisemassa uudessa tietoyhteiskuntastrategiassa jo aivan sen alkukappaleessa korostetaan, että tarkoituksena on tämän kehityksen avulla päästä kiinailmiöstä kohti suomi-ilmiötä. Tämä erityisesti asettaa haasteita sähköisen kommunikaation vahvistamista Pk-sektorin liiketoiminnassa. Ja luonnollisesti kaiken perustana on tietoyhteiskunnan perusratkaisujen toiminnan haavoittuvuuden estäminen ja luottamuksen ylläpitäminen.

Tietoturvallisuutta pohjoismaisen tutkimusfoorumin konferenssissa

2006-10-12T09:58:00.001+03:00

Pohjoisen tutkimusfoorumin neljäs avoin tapaaminen järjestettiin tunnuksella Rajaton Pohjola "Perämerenkaarella" Oulussa, Torniossa, Haaparannalla ja Luulajassa 4.–8.10.2006. Tilaisuudessa olivat avainpuhujina mm. Suomen presidentti Tarja Halonen ja Islannin presidentti Olafur Ragnar Grimsson. Osanottajia oli laajasti pohjoisen alueen maista ympäri maapalloa. Northern Research Forumin yleisenä tarkoituksena on edistää dialogia tutkimusyhteisön ja muiden arktisten alueiden toimijoiden välillä. Käsiteltävät kysymykset liittyvät ”sirkumpolaarisiin” ongelmiin ja mahdollisuuksiin koskien mm. kestävää kehitystä, rauhaa ja turvallisuutta, sosiaali- ja ympäristöpolitiikkaa sekä globaalimuutoksia.

Tässä tilaisuudessa ryhmämme, Jorma Kajava, Ilkka Kamaja, Juhani Anttila ja Mikko Ilkko, esitelmä käsitteli aihetta Verkottumisen ja Barentsin alueen mahdollisuudet Pohjois-Suomen tietotyön kehittämisessä, jossa nostimme esille keskeisiä kysymyksinä: Miten toiminnan laajeneminen Barentsin alueella heijastuu tiedon ja osaamisen kysyntään Pohjois-Suomessa ja onko siihen voimavaroja vastata niin yhteistyökyvykkyyden kuin tuotannon volyymin kannalta? Miten palvelutoiminnan ulkoistuksessa tulsi varautua tietoturvallisuuden kysymyksiin? Miten tässä tilanteessa voitaisiin ottaa esille monitieteisyyden toimintamallien ja tieteenteoreettisten tutkimusten hyödyntäminen?

Nyt Suomen koillisella lähialueella ollaan käynnistämässä laajoja hankkeita energian ja raaka-aineiden hyödyntämiseksi. Barentsinmerellä arvioidaan olevan 25 prosenttia maailman öljy- ja kaasuesiintymistä. Niistä suurin osa sijaitsee Venäjän alueella. Venäjän arvioidaan omistavan maailman suurimmat maakaasuresurssit. Suomen pohjoispuolella sijaitsevat merialueet ovat muuttumassa kylmän sodan aikaisesta sotilaallisstrategisesti merkittävästä alueesta energiastrategisen kilpailun näyttämöksi. Lähi-idän tilanteen jatkuessa epävarmana kansainvälinen huomio tullee kiinnittymään yhä voimakkaammin Barentsin alueelle. Ei siis ole vaikeata arvata, että tuotannon ja palvelujen ulkoistamisen suunta tulee muuttumaan meille edullisemmaksi. Yllättäen kaukaisesta sijainnista onkin etua, olemme suhteellisen lähellä suuria ”apajia”.

Kun palveluja siirretään yrityksen ulkopuolelle, niin toiminnan luonteesta, laajuudesta ja monipuolisuudesta riippuu, miten ja missä määrin tietoja tulee suojata. Kun suunnittelua siirretään yrityksen ulkopuolelle, niin silloin on paljon suurempia uhkia siitä, että yrityksen strategisesti tärkeiden tietojen luottamuksellisuus tulee uhatuksi. Kuitenkin modernissa liiketoimintaympäristössä toimiva joutuu yhteistyön nimissä paljastamaan yhteistyökumppaneille ja tärkeimmille asiakkaillekin merkittävässä määrin luottamuksellisia suunnittelutietoja. Silloinkin on pidettävä huoli siitä, ettei strategisia tietoja joudu asiattomille.

Palvelutoiminta on toimintakenttä, jossa on laaja kehittämispotentiaali ja jonka vaatima suunnittelu- ja toteutustyö edellyttää asiantuntijuutta ja läsnäoloa käyttäjien tai tutkimus- ja kehittämiskohteen suhteen. Se voidaan lisäksi ymmärtää laaja-alaisesti, jolloin siihen sisältyvät julkinen ja yksityinen sektori sekä tutkimus-, kehitys-, suunnittelu- ja toteutustehtävät. Tuekseen tämän toiminnan kehittyminen tarvitsee ainakin innovaatiotoiminnan kehittämistä siten, että se tukee tehokkaasti sekä sosiaalisia että teknologiainnovaatioita.

Kaukomailta on tullut viestejä, joiden mukaan tietoturvaan liittyvät ongelmat ovat vaikeita. Ulkomaiset työntekijät eivät ymmärrä esimerkiksi luottamuksellisuussopimuksen sitovuutta. Monet laajat organisaatiot tekivät aikoinaan ulkoistamissopimuksia liian pikaisen kartoituksen perusteella ja esillä on ollut ulkoistamisen lopettamisia (insourcing), joissa toiminnot palautetaan alkuperäiselle yritykselle tai uusi yhteistyökumppani alkaa tuottaa palvelujja.

Ulkoistamisen yhteydessä oleellista on, että asiakkaita koskevat tietoaineistot täyttävät tietoturvan perusvaatimukset; tietojen luottamuksellisuuden, tietojen oikeellisuuden ja tarkkuuden ja tietojen saatavuuden. Tällöin luottamuksellisuuden menettäminen olisi palveluntarjoajalle katastrofaalista. Ulkoistamisen yhteydessä korostuu ihmisten luotettavuus.

Kun kumpikin ulkoistamisen osapuoli tuntee tarkoin toiminta-alueen, tietotekniikan erityiskysymykset ja sopimusjuridiikan, ulkoistamisella ovat onnistumisen edellytykset. Jos on kyseessä laaja ulkoistaminen, johon sisältyy esimerkiksi merkittävä tietotekniikan ulkoistaminen, on vaarana menettää myös yrityksen kannalta strategista osaamista. Jos sitä menetetään, yrityksen kehittyminen voi vakavasti häiriintyä ja vinoutua.

Tietoturvamenettelyjen ja -tavoitteiden määrittely ulkoistamisen yhteydessä on tärkeää. Tämä edellyttää, että tietoturvatietoisuus on asiallisesti hallinnassa ja että tietoturvan hallinta organisaatiossa on ammattitaitoista.

Yritystemme koko Pohjois-Suomessa on pieni. Samoin jokaisella yrityksellä on ”oma menestystarinansa”. Kuinka hajallaan olevat yritykset saataisiin suunnatuksi samansuuntaisesti yhteisiä päämääriä tavoittelemaan, ei kilpailemaan toisiaan hengiltä? Yksittäisten yritysten tuotantokapasiteetti ei riitä tarvittavan volyymin saavuttamiseen. Tarvitaan laajaa ja tehokasta verkostomaista yhteistyötä nimenomaan pk –sektorilla, jotta myös Pohjois-Suomessa työnteko olisi arvossaan ja laajuudeltaan riittävää.

Tulevien vuosien aikana Pohjois-Suomen pk –sektorin tehokas verkostoituminen on yksi tärkeimmistä kansantalouteemme vaikuttavista tekijöistä. Esitämme jo alkaneeseen tutkimus- ja kehitystyöhön verkostokyvykkyyden edistämistä, jolla tarkoitamme verkostoon kuuluvan yrityksen tai organisaation kykyä toimia verkostossa 1) prosessipohjaisesti, verkostossa suoritettavien toimintojen tehokkaana suorittajana, 2) hallitulla ja ammattimaisella tavalla, mm. sovittuja standardeja ja toimintatapoja käyttäen, 3) tietoturvatietoisena verkostokumppanina. Tämä tarkoittaa kunkin yksittäisen verkostossa toimivan organisaation oman johtamissystematiikan ja myös yhteistoimintaosaamisen kehittymistä. On syytä rakentaa toimialakohtaisia yritysten verkostoja, joita aluksi voidaan käyttää koulutuksessa, valmennuksessa ja nykyaikaisen verkostotoiminnan oppimisessa. Yhteistoimintaverkoilla on kasvava merkitys, kun varsinaisen tuotannon volyymi kasvaa.

Turvallisuus ja osaaminen ovat avaimet Pohjois-Suomen menestykseen tulevaisuudessa.

Foorumin esitelmäjulkaisu

Kriisien hallinta ja tietoturvallisuusverkosto

2006-10-08T21:48:00.002+03:00

Turvallisuusalan tapahtumia on Suomen EU:n puheenjohtajakauden aikana runsaasti, myös jopa päällekkäisesti. Pohjois-Suomen tietoturvallisuusverkoston puitteissa toteutettiin Rovaniemellä kansainvälinen kriisien hallinnan tilaisuus The Second Crisis Management Workshop syyskuun 28. päivänä 2006. Vastaavalla tavalla järjestettiin myös Suomen toimesta vuoden 2005 ensimmäinen vastaava workshop Brysselissä hyvin lyhyellä varoitusajalla. Koska olemme toimineet jo vuosikymmenen aktiivisesti kansallisessa ja kansainvälisessä asiantuntijaverkostossa, niin workshopien nopea kokoaminen onnistui hyvin.

Kriisien hallinta liittyy EU:n seitsemännen puiteohjelman valmisteluun ja siellä turvallisuusasioiden ryhmään kuuluvaan PASR –hankekokonaisuuteen (Preparatory Action for Security Research). EU arvioi kaikki ohjelman kuusi rinnakkaisina toteutettua workshopia ja palkitsi suomalaisten Brysselissä järjestämän tilaisuuden parhaaksi. Brysselissä järjestettiin syksyllä 2005 samanaikaisesti kaksi suomalaista kriisienhallinnan seminaaria. Toisen tilaisuuden järjesti CMI presidentti Martti Ahtisaaren johdolla 400 tärkeimmälle kansainvälisen politiikan edustajalle aiheena siviilikriisien hallinta. Yhteensattumasta johtuen meidän tilaisuutemme osallistujat saivat kutsun presidentiltä osallistua toisena päivänä hänen johtamaansa tilaisuuteen.

Turvallisuuteen ja tietoturvaan liittyvistä monista erilaisista tapahtumista valtaosa on kaupallisten yritysten tarjoamia tuote-esittelyyn liittyviä ”ilmaisia” tilaisuuksia. Tietoa on myös alettu myydä varsin korkeaan hintaan erilaisten kurssien muodossa. Myös tieteellisellä puolella on tullut tavaksi, että sponsorien tuen lisäksi osallistujilta ja esitelmien pitäjiltä peritään suhteellisen korkeita osallistumismaksuja. Rovaniemen tietoturvaverkoston nimissä pystyimme kuitenkin tarjoamaan syyskuun 28. päivän tilaisuuden ilman mitään maksuja. Tilaisuuden kieli oli englanti. Tilaisuus oli tarkoitettu niin asiantuntijoille kuin alaa opiskeleville sekä kaikille aiheesta kiinnostuneille.

Rovaniemen workshopin pääpuhuja oli professori Gerald Quirchmayr. Hän toimii Wienin yliopiston hajautettujen ja multimediapohjaisten järjestelmien laitoksen johtajana ja samalla myös professorina Etelä-Australian yliopistossa Adelaidessa. Hänen aiheensa lähti riskianalyyseistä ja päättyi liiketoiminnan jatkuvuuden suunnitteluun. Toinen tunnettu asiantuntija oli englantilainen Christopher C. Wills. Hän toimii Kingstonin yliopistossa teknologiakeskuksen johtajana. Hän on toiminut myös vuosia yhteistyössä Britannian poliisin kanssa terrorisminvastaisessa työssä, jossa pyritään ennalta ehkäisemään ja torjumaan vakavia iskuja.

28.9.2006 worshopin kokopäiväinen ohjelma oli kokonaisuudessaan seuraava:

Opening: Mauri Ylä-Kotola
Juha Röning: Vulnerability management of the information infrastructure from the protocol dependence point of view
Jorma Kajava: Weak Signals in Crisis Prevention
Jari Aalto: Barents Rescue’2007 Exercise
Gerald Quirchmayr: From Risk Analysis to Continuity Management
Gregoire Soukiassian: Security, Risk Control & Crisis Managment in eXtreme situations : The Disaster Recovery Plan
Christopher C. Wills: Threat and Risk Assessment, A Soft Systems Approach
Juhani Anttila: Business crisis, A turning point with a decisive change - Viewpoints for business management
Veikko Rouhiainen: VTT´s security research supporting crisis management
Timo Nuutinen: Crisis Management Current Affairs
Conclusions: Jorma Kajava

Tilaisuuden järjestäjäorganisaatiot olivat Lapin yliopisto, Oulun yliopisto, Infotech Oulu, Rovaniemen ammattikorkeakoulu, Lapin lääninhallitus, Puolustusvoimat, Poliisin tietohallintokeskus, Pohjan viestikilta, Säteilyturvakeskus, VTT sekä Rovaniemen kehitys Oy.

Kriisien hallinta on varsin laaja alue. Edellä mainittiin jo siviilikriisien ja sotilaskriisien hallinta. Myös liiketoimintoihin liittyy vakavia kriisejä. Lapin yliopisto julkaisi juuri omat toimintaohjeensa kriisitilanteisiin. Ohjeet koskevat sellaisia tilanteita, jolloin tietoon tulee henkilökuntaa, opiskelijoita tai työ/opiskeluyhteisöä koskeva traumaattinen tapahtuma. Luonnonkatastrofit ovat aiheuttaneet kaikkein suurimmat ei-sotilaalliset kriisit. Terroriteot ja niiden ennalta torjuminen on yhä vakavampi asia koko yhteiskunnan toiminnan kannalta ja niihin varautuminen aiheuttaa erittäin huomattavat kustannukset yhteiskunnille.

Kriisien hallinnan yhteydessä on oleellista pyrkiä ennalta estämään ja torjumaan mahdolliset uhkat. Modernia tieto- ja tietoliikennetekniikkaa käyttäen voidaan riskejä lieventää huomattavasti, mutta täyttä varmuutta ei koskaan saavuteta. Jos kriisi pääsee puhkeamaan, niin organisaatioilla on oltava valmiina palautumis- ja toipumissuunnitelmat. Mitä varhaisemmassa vaiheessa kriisiin päästään tarttumaan, sitä pienemmillä vahingoilla on mahdollista selviytyä. Laatu ja sen hallinnan ymmärtäminen on erittäin keskeinen liike-elämän osa-alue, jolla toimintaa saadaan parannettua. Tietoturvan merkitys koko laajuudessaan on myös tulossa ihmisten tietoisuuteen. Enää ei puhuta pelkästään teknisistä suojauksista, vaan ymmärretään, että niiden rinnalla yhä tärkeämpää on tietotekniikan käyttäjien tietoturvatietoisuus ja organisaatioiden ylimmän johdon sitoutuminen tietoturvatyöhön.

Kriisien torjunta modernia tieto- ja viestintätekniikkaa käyttäen on myös EU:n seitsemännen puiteohjelman keskeinen turvallisuuskysymys. Tärkeät turva-asiat uudessa puiteohjelmassa ovat SeNTRE (Security Network for Technological Research in Europe) työryhmän viidennessä työohjelmassa, jossa esillä on paitsi tietoverkkojen turvallisuus myös tuotteiden ja ihmisten liikkuvuudesta aiheutuvat turvallisuuskysymykset mukaan lukien konttikuljetukset; kemialliset ja biologiset aseet mukaan lukien tautien levittämiseen liittyvät kriisit; tunnistaminen ja biometria sekä kriittisten perusrakenteiden ja verkkojen turvaaminen.

Kriisien hallinnan yhteydessä oleellista on, että onnistuneella työllä pystytään pelastamaan ihmishenkiä. Kriisien hallinnalla pystytään myös lieventämään inhimillisiä kärsimyksiä. Esimerkiksi Libanonissa kriisien hallinnassa lähdetään sodan aiheuttamien tilanteiden, kuten räjähtämättömien ammusten eliminoinnista. Raivaustyön jälkeen vuorossa on jälleenrakennus ja toiminnan palauttaminen. Toiminnan rinnalla ihmisten fyysinen ja humanitäärinen auttaminen ja tukeminen ovat erittäin tärkeitä. Tästä työstä kylmä bisnes on kaukana.

Rovaniemen tietoturvaverkoston toiminnan kannalta on erittäin tärkeää rakentaa koulutukseen liittyvää yhteistyötä. Tästä esimerkkinä on täällä järjestettävä tietoturva-alan erikoistumisopinnot, jotka pyörivät jo toista vuottaan. Myös erilaisten turva-alan tilaisuuksien järjestäminen on oleellinen osa kokonaisuutta. Jo perinteikkääksi muodostunut Tietoturva ja Laki toteutetaan jo seitsemännen kerran lokakuun 26 päivänä 2006 Rovaniemellä. Rovaniemellä tietoturvaverkosto on ollut kokoava tekijä myös turvallisuusalueen määrätietoisessa kansainvälistymisessä. Tätä suuntausta tukee myös yhtenä esimerkkinä Rovaniemellä marraskuussa 2006 järjestettävä kaupallinen MISTI –tietoturvatapahtuma.

Mainituista tilaisuuksista ja niiden materiaaleista voi saada tietoa Jorma Kajavalta (jorma.kajava@ulapland.fi)

Kriisien hallintaa olemme käsitelleet joidenkin ajankohtaisten teemojen osalta myös Sähkö&Tele-lehden artikkelissamme.

Tietoturvallisuuden talvikoulu 2006

2006-10-01T19:31:00.000+03:00

Tämän vuotinen seitsemäs tietoturvallisuuden talvikoulu, European Intensive Programme on Information Security Management and Technology, IPICS 2006, toteutettiin 3 – 10.3.2006 Talvalkosken Maijanlammella, puolustusvoimien harjoitusalueella. Jälleen osanottaja- ja puhujajoukko oli edustava.

Talvikoulussa oli seuraavat esitykset, joissa monipuolisesti käsiteltiin tietoturvallisuuden aiheita:

Anttila, Juhani / Quality Integration, Helsinki (FI): General managerial tools for business-integrated information security management
Häyrynen, Antti / Nokia, Oulu (FI): Information security standardization in Mobile Communication
Kaila, Urpo / CSC, Espoo (FI): Challenges for Information Security Management in NREN's
Kajava, Jorma / University of Lapland (FI): Information Security Management
Kajava, Jorma / University of Lapland (FI): New Challenges for Information Security Management
Kajava, Jorma / University of Lapland (FI): Balanced Integration of Information Security into Business Management.
Kajava, Jorma / University of Lapland (FI): Weak Signals in Crisis Prevention
Kajava, Jorma / University of Lapland (FI): Significance of Information Security Management Standards for Global Business and Industry
Kamaja Ilkka / University of Lapland (FI): Multidisciplinary Research
Muschall, Bjoern / University of Regensburg (DE): Database Security
Posch,Karl / Graz Technical University (AT): Technical Realisations of Crypto Algorithms
Preneel, Bart / Katholieke Universiteit Leuven BE): An Introduction to Cryptology
Quirchmayr, Gerald / University of Vienna (AT) and University of South Australia, Adelaide): Business Continuity Management
Röning, Juha / University of Oulu (FI): From Frontier to Frontier Combat
Råman, Jari / University of Lapland, Rovaniemi (FI): Trends in the Regulation of Information security
Savola, Reijo / VTT Electronics, Oulu (FI): Can we measure information security
Savola, Reijo / VTT Electronics, Oulu (FI): Measuring Information Security
Savola, Reijo / VTT Electronics, Oulu (FI): Introduction to IS Challenges in Industrial Automation Systems
Tuikkala Ilkka / University of Lapland (FI): Integrated Business Networks.

Tilaisuuden luentomateriaalia voi tiedustella Jorma Kajavalta (jorma.kajava@ulapland.fi)

Tietoturvallisuuden integrointi (sulauttaminen liiketoimintaan) – integroitu tietoturvallisuuden hallinta

2005-03-23T19:44:00.002+02:00

Tänään jälleen keskustelussa arvostettujen tietoturvallisuusasiantuntijoiden kanssa tuli selvästi esille, miten hajanaisesti tietoturvallisuusalan toteuttamista ja kehittämistä maassamme toteutetaan. Yksittäisten organisaatioidenkin puitteissa aiheesta voi olla erilaisia käsityksiä. Tietoturvallisuusaihe on luonteeltaan hyvin moninäkökulmainen, ja sen toteuttamisessa tarvitaan monenlaista asiantuntemusta. esim. koskien tietoteknisiä järjestelmiä ja laitteita, ohjelmistoja, tietoliikenneverkkoja, lakikysymyksiä, liiketoimintojen ja organisaatioiden johtamista, ihmisten käyttäytymiskysymyksiä, yhteiskunnallisia aiheita, jne.

Tästä monivivahteisuudesta johtuu myös, että alan kieli ja käsitteistö eivät ole yhtenäistä. Eri osa-alueilla toimivilla asiantuntijoilla on erilaisia vakiintuneita käytäntöperinteitä. Voi olla, että samasta asiasta käytetään erilaisia käsiteilmaisuja tai samalla käsitteellä voi eri alueilla olla eri merkitykset. Yhtenäisyyttä ei voi saada aikaan standardeilla, määräyksillä tai lainsäädännöllä. Tulee hyväksyä tosiasiana, että tietoturvallisuuden laajassa toimijayhteisössä on monenlaisia osayhteisöjä. Oleellista olisi, että näiden välille voitaisiin saada hyödyllistä ja tehokasta yhteistoimintaa ja kommunikaatiota.

Integroitu tietoturvallisuuden hallinta voidaan ymmärtää tietoturvallisuuden kokonaisvaltaisena hallintana, missä erilaisuudet täydentävät toisiaan ja antavat toisilleen virikkeitä uusien innovatiivisten ideoiden ja käytännön ratkaisujen synnyttämiseksi.

Käytännössä voidaan havaita monia integraatiotasoja. Integrointitasojen ja kokonaisvaltaisen toiminnan hahmottamiseksi ja ymmärtämiseksi voidaan hyödyntää hyvin tunnettua sveitsiläisen professori Seghezzin mallia sovellettuna tietoturvallisuuteen organisaatioissa ja yhteiskunnassa.

Tämä kuva haluaa korostaa, että kokonaisvaltaisessa yhteensopivuudessa ratkaisut näillä kaikilla tasoilla voivat vaikuttaa joko myönteisesti tai kielteisesti. Ratkaisujen ei tarvitse välttämättä olla juuri tietoturvallisuuskysymysten ratkaisuja, vaan myös niihin etäisestikin liittyvillä seikoilla voi olla merkittävä vaikutus.

==> Lue lisää ...

Tietoturva-ammattilaiset kokoontuvat jälleen Ouluun

2005-03-16T09:55:00.000+02:00

Oulun yliopistossa järjestetään 30.3 - 7.4.2005 kuudes kansainvälinen tietoturvaseminaari IPICS 2005 (European Intensive Programme on Information and Communication Technologies Security). IPICS-seminaarissa (talvikoulussa) on mukana osanottajia kaikkiaan 11 eri yliopistosta Australiasta, Belgiasta, Englannista, Irlannista, Itävallasta, Kreikasta, Saksasta ja Suomesta. Mukana on puhujia myös IT-alan yrityksistä. Tilaisuus on todella merkittävä säännölliseksi muodostunut tietoturvallisuustapahtuma Suomessa. Seminaarissa kohtaavat tietoturva-ammattilaiset ja tärkeimmät alan opettajat sekä tutkijat. Tietoturvallisuuden eri osa-alueisiin pureudutaan päivittäin eri asiantuntijoiden näkemysten kautta. Luentoja on päivittäin kahdeksan tuntia englanniksi. Kansainvälisten huippuasiantuntijoiden vierailu on myös merkittävä tilaisuus oululaisille tutkijoille ja tietoturvallisuuden opiskelijoille. Yhtenä tavoitteena onkin saada opiskelijoille, nuorille tutkijoille ja tuleville tietoturvan ammattilaisille tuntumaa kansainväliseen ympäristöön ja yhteistyöhön sekä suoria kontakteja ulkomaisiin alan ammattilaisiin. Tilaisuuden puheenjohtajina toimivat Jorma Kajava, Gerald Quirchmayr and Juha Röning.

IPICS järjestetään kaksi kertaa vuodessa. Kesäisin pidettävien seminaarien (kesäkoulujen) pitopaikat vaihtuvat, mutta talvisin tapahtuma pidetään Oulussa. Tämän vuotisen tapahtuman järjestelyistä vastaavat Oulun yliopiston tietojenkäsittelytieteiden laitos, sähkö- ja tietotekniikan osasto sekä kansainvälisten asioiden yksikkö. Mukana yhteistyökumppaneina ovat myös Computer Associates, EU-ohjelma Information Society Technologies, IFIP TC-11.1 &TC- 8.5, Infotech Oulu, Pohjankilta ja Puolustusvoimat.

Seminaarin luentoaiheita ovat:

Tietoturvallisuuden tutkimus EU:n IST (Information Society Technologies) –ohjelmassa
Mobiilin tietoliikenteen tietoturvallisuuden standardointi
Langattomien IP-verkkojen tietoturvallisuustutkimus
Verkkojen turvallisuuden hallinta ja verkonhallinnan turvallisuus
Salausteoria ja -tekniikka
Tiedostoturvallisuus
Tietotekniikan käyttö rikostapauksissa (Forensic Computing)
Biometrinen tunnistaminen
Yksityisyyden suojaaminen
Hallinnon sähköiset palvelut (e-Government)
Puolustusvoimien tietopohjaiset operaatiot
Tietoturvallisuuden hallinta organisaatioissa
Tietoturvallisuuden integrointi organisaation johtamiseen prosessimaisesti ja laadunhallinnan keinoja hyödyntämällä
Tietoturvallisuuden mittaaminen organisaatioissa
Uhat ja riskien hallinta
Liiketoiminnan jatkuvuuden hallinta
Tietoturvallisuus heterogeeniisissa järjestelmissä (V2V virtualisointi)
Tietoturvallisuuden hallinnan uudet haasteet

Käsiteltävät aiheet osoittavat, miten laaja-alainen tietoturvallisuuden alue on ja miten paljon siihen sisältyy erilaisia tutkimus- ja kehittämiskohteita. Seminaariohjelma tuo myös esille, miten aihetta käsitellään tänään arvostettujen yliopistojen koulutus- ja tutkimusohjelmissa. Kriittinen tarkastelu myös paljastaa aiheen käsittelyn pirstaloituneisuuden. Suuri kysymys tuleekin vastaan, miten tällaiseen kompleksiseen mutta tärkeään aihealueeseen voitaisiin saada kokonaisvaltainen hahmottuminen käytännön tarpeita varten organisaatioissa ja myös kansallisella tasolla.

Yksityiskohtaisia tietoja IPICS-tapahtumista voi saadaJorma Kajavalta ( jorma.kajava@oulu.fi ), joka on antanut vuosien aikana merkittävän sekä asiantuntevan ja persoonallisen panoksen näiden Oulun talvikoulutapahtumien toteutumiseksi.

Tietoturvallisuus on arkipäiväinen asia

2005-03-15T08:30:00.001+02:00

Tietoturvallisuutta koskevissa kannanotoissa ja kirjoituksissa ovat monesti korostuneet tietotekniikan näkökulmat, alan standardit, viranomaismääräykset ja suositukset sekä asiantuntijakäsitteet. Lisäksi on tuotu ensisijaisesti esille negatiivisia seikkoja, puutteellisesta tietoturvallisuudesta aiheutuneita harmeja yksilöille ja organisaatioille. Näitä kaikkia aiheita on varmasti syytä tarkastella, mutta kuitenkin perimmältään tietoturvallisuus on arkipäiväinen ja luonnollinen sekä pääasiallisesti myönteisiä piirteitä käsittävä asiakokonaisuus.

Asiantuntijat kuvaavat tietoturvallisuutta tavallisesti käsitteillä eheys, käytettävyys ja luottamuksellisuus. Eheys liittyy tiedon virheettömyyteen ja tarkkuuteen. Tämä tarkoittaa esim., että kaupassa vaaka punnitsee ostokset oikein ja tarkasti, vaa'an tulostama viivakoodi vastaa punnitsemistulosta ja kassan lukulaite lukee virheettömästi ja vielä kassakonekin laskee oikein. Käytettävyys tarkoittaa, että tietoa on saatavilla juuri silloin, kun sitä tarvitaan ja niin kauan aikaa, kuin on tarpeen. Esim. sääennusteen tiedot antavat mahdollisuuden pukeutua asianmukaisesti matkalle lähdettäessä. Kaytettävyyttä on, että tiedon saa ajallaan käyttöön. Luottamuksellisuus liittyy siihen, miten voi pitää omia tietojaan vain itsellään tai vaihtaa niitä jonkun toisen kanssa ilman, että tiedot "vuotavat" joillekin muille tai että joku muu voisi muuttaa niitä oman tarkoituksensa mukaisesti ilman oikeutta. Luottamuksellisuutta on, kun voin aidosti ja tosiasiallisesti luottaa keskustelukumppaniini nyt ja myöhemminkin.

Tietoturvallisuus on merkittävä elämän laadun tekijä ja nykyaikaisen yhteiskunnan toiminnan perusta. Siksi se on yhtä luonnollista kuin itse elämä ja toimintakin. Aivan kuten elämiseen yleisestikin, tietoturvallisuuteen liittyy aina sekä hyviä että pahoja piirteitä ja ilmiöitä, Ttietoturvattomuus ei kuitenkaan koskaan tapahdu ilman syytä. Syynä voi olla teknisten ratkaisujen rajoitukset, puutteet tai viat tai ihmisten vilpillinen, ilkeä tai vihamielinen toiminta. Kaikessa toiminnassa on aina jossakin määrin tietoturvallisuutta ja aina myös turvattomuutta tai tietoturvallisuuden riskejä. Ei voi olla täysin turvallista olotilaa mutta ei myöskään täysin turvatonta. On aina kysymys aste-eroista. Onko vallitseva tilanne riittävä, riippuu täysin tapauksesta ja tilanteesta.

Tietoturvallisuus on arkipäiväisen luonnollinen asia. Se ei kuitenkaan tarkoita, että se välttämättä olisi yksinkertaista tai itsestään selvää. Tietoturvallisuus on monivivahteista kuin elämä itse.

==> Lue lisää ...

Toimijayhteisömme

2005-03-14T20:09:00.000+02:00

Tämä blogi palvelee tietoturvallisuuden tutkijoita, käytännän toteuttajia, viranomaisia ja harrastajia, jotka ovat innostuneita jakamaan tietojaan ja yhteisesti oppimaan lisää tietoturvallisuuteen liittyvistä aiheista.

Toimijayhteisö perustuu toiminta-ajatukseltaan Etienne Wengerin erinomaisiin "Community of Practice" -periaatteisiin. Aiheesta on kirjoitettu paljon esim. monilla Internetin sivuilla. Käsitteelle on myös olemassa monella tavoin sanoitettuja määritelmiä ja selityksiä. Valitettavasti tämä mielenkiintoinen ja hyödyllinen käsite on vaikea kääntää suomeksi eikä siitä myöskään ole paljoa kirjoitelty suomeksi.