Laitteiston fyysinen
turvallisuus
Laitteiden fyysinen turvallisuus on suhteellisen laaja käsite
ja siksi vaikeasti hallittavaa. Näiden pohja luodaan jo
rakennusvaiheessa. Tähän liittyy mm. kulunvalvonta,
murtosuojaus, lukitseminen, turvamerkinnät, paloturvallisuus
ja hälytys/vartiointi. Yleensä kun puhutaan fyysisestä
turvallisuudesta, tarkoitetaan turvallisuusominaisuuksia, jota
hallitaan fyysisillä tietokonelaitteistoilla. Virhetilanteita
tietoturvalle synnyttävät väärä käyttöympäristö,
laitteistovirheet, huollon puute ja virheellinen käyttö.
Fyysiset tietoturvaratkaisut ovat perusta tietoturvassa.
Fyysiseen tietoturvaan sisältyy myös luonnonkatastrofien tai
ympäristön haittavaikutuksien estämistä laitteistoihin.
Tilat Tietokonelaitteistoja sisältävät
tilat pitäisi pyrkiä suunnittelemaan siten, että niissä
otetaan huomioon erilaiset laitteistoon kohdistuvat
turvallisuusuhat. Uhkia voi olla runsaasti erilaisia, joten
kaikkiin on vaikeaa varautua, mutta oman alueen tavallisimmat
uhat pitää huomioida. Jos tilat ovat alueella, jolla tapahtuu
enemmän rikollisuutta, pitää vartiointiin ja murtosuojaukseen
satsata. Jos taas luonnononnettomuudet ovat uhkana, näihin
pitää varautua omilla suojausmenetelmillä.
Konesalisuojaus on tärkeää niiden suuren tietomäärän vuoksi.
Tilat tulisi osastoida erillisiksi ja niiden tulee olla
erillisiä palotiloja. Näiden pitää pystyä toimimaan toisistaan
riippumattomina. Jos tulee poikkeustila, pitää
käyttöhenkilöstön pystyä jatkamaan työskentelyä tästä
huolimatta.
Vesivuodot otetaan huomioon vettä sisältävissä tiloissa
ja suojana käytetään esimerkiksi kotelointia tai muuta
vastaavaa järjestelmää.
Tiloissa tapahtuva toiminta pitäisi olla valvottua. Aina
pitäisi olla selvillä kenellä on pääsy määrättyihin tiloihin,
mutta silti tiloissa on pystyttävä toimimaan myös
konttoriaikojen ulkopuolella. Vierailijoille ja työntekijöille
voidaan varata erilliset tilat. Henkilöstöä pitää kouluttaa,
jotta he ymmärtävät kulunvalvonnan tärkeyden ja vieraiden
liikkumisen rajoittamisen toimitiloissa.
Tiloissa pitää olla vähintään lain määräämä
sammutusjärjestelmä, jolla estetään tulipalo tai savuvahinko.
Vahinkoa voidaan estää myös ennakoivalla
paloilmoitusjärjestelmillä. Jokaisessa konesalitiloissa
pitäisi olla myös salikohtainen sammutusjärjestelmä, jotta
jokainen osasto voidaan sammuttaa erikseen. Myös
käsisammutuskalustoa pitäisi olla jokaisella osastolla
riittävästi.
Tilat pitää joskus varustaa rikosilmoitinjärjestelmillä.
Kaikki ikkunat, ovat ja tilat tulisi olla valvottuja ja
valvonta pitää aktivoida aina kun tiloissa ei työskennellä.
Joskus yrityksen pitää rajoittaa myös työskentelyaikoja
paikoissa, joissa murtautuminen tai tiloihin luvaton
pyrkiminen on yleisempää ja riskit suurempia. Tilojen valvonta
voidaan järjestää ulkoisesti turvallisuusyritysten avulla tai
etävalvonnalla.
Sähkönsyöttö voidaan varmistaa kahdella erillisellä
sähkönjakelulla tai varavoimakoneilla, jotka on mitoitettu
yrityksen tietojärjestelmien käyttöön. Tasainen ja katkeamaton
virransyöttö voidaan varmistaa UPS-suojauksilla. Nämä tasaavat
sähkövirrat, vaikka salaman aiheuttaman virtapiikin takia.
Laitteistoturvallisuus
Laitteistoturvallisuudella tarkoitetaan kaikkien yrityksen
laitteiden suojaamista. Suojaamisella pyritään estämään
laitteiston väärinkäyttö, varastaminen ja vahingoittaminen.
Tärkeimpiä laitteita ovat kannettavat koneet, palvelimet ja
älypuhelimet. Myös omat käyttöpolitiikat antavat suojaa. Jos
työpaikka tarjoaa tarvittavat laitteistot, ei omia laitteita
tarvitse tuoda työpaikalle ja tällöin tietoturvallisuus
paranee. Laitteiston sijoittaminen vaikuttaa siten, että
fyysinen vahingoittaminen tai varkauksien aiheuttama riski
pienenee.
Laitteistoturvallisuuteen vaikuttavat tekijät ovat myös
lukitukset ja pääsynvalvonta. Pääsynvalvonnalla voidaan estää
ulkopuolisten pääsy tilaan, jossa laitteita on ja lukituksella
laitteet voidaan liittää kiinteään esineeseen niin, että niitä
ei voida siirtää.
Usein yrityksessä laitteistot dokumentoidaan ja merkitään
niin, että on tiedossa kenellä ja missä laitteet ovat. Näin
tietoja ei joudu vääriin käsiin hukattujen laitteistojen
kautta.
Laitteistoturvallisuuteen liittyy myös tallennusmedian
asianmukainen hävittäminen laitteen rikkoutumisen tai käytöstä
poiston jälkeen.
Inventaario Yrityksen olisi hyvä tietää
mitä laitteita yrityksellä on ja missä ne sijaitsevat.
Laitteet voidaan turva luokitella ja merkitä ne fyysisesti.
Laitteista tehdään dokumentaatio, eli jonkinlainen tietokanta
siitä, mitä laitteita on ja missä tilassa ne ovat. Tästä
ilmenee mikä laite on kyseessä, kuka sen käyttäjä on ja
laitteen tärkeys. Tärkeydellä tiedetään mihin laitteisiin
pitää keskittää enemmän turvallisuustoimintoja.
Käyttöpolitiikka Yrityksellä olisi oltava
laitteisiin liittyvä käyttöpolitiikka, eli tehdään selväksi
henkilöstölle, miten haluat heidän toimivan laitteiston
suhteen. Kuka saa käyttää määrättyjä laitteita, saako
laitteita käyttää kotona tai omia laitteita työpaikalla. Myös
mihin tarkoitukseen laitteita saa työpaikalla käyttää ja mihin
saa dataa tallentaa.
Ohjeistaminen
Henkilöstöä pitää
kouluttaa, jotta he osaisivat huolehtia laitteistosta. Käyttö-
ja turvallisuuskoulutuksia olisi syytä pitää määrätyin
väliajoin. Henkilöstö ei ymmärrä aina turvallisuustoimien
tärkeyttä omassa työssään, vaikka IT-vastaaville se olisi
itsestään selvyys.
Kouluttamisella estetään, ettei kukaan pääse kopioimaan tai
tuhoamaan tietoja oman osaamattomuuden, taloudellisen hyödyn
tai pahantahtoisuuden vuoksi. Tietoja voidaan hukata myös
vahingossa. Joku voi käyttää toisia henkilöitä hyödyksi
tahallisesti tai tahattomasti, jotta pääsee käsiksi tietoihin.
Hallinnollinen tietoturva sisältää käyttäjien koulutusta,
tiedottamista ja erilaisten käyttösopimusten tekemistä. Tätä
on myös uusittava ajoittain, koska asian tärkeys unohtuu
käyttäjiltä pikkuhiljaa. Samoin myös käyttäjien työmoraali on
pidettävä korkealla, jotta he eivät sorru virheisiin niin
helposti.
Käyttäjien on ymmärrettävä käyttäjätunnusten tarkoitus ja
niiden käyttö. Salasanat pitää olla näkymättömissä muilta.
Samoin uusien käyttäjien myötä salasanat on vaihdettava.
Tietokoneiden käyttöä voidaan seurata eri tunnuksien avulla.
Jos jotain tapahtuu, tiedetään kenen tunnuksilla tämä on
tehty. Tämä on myös tehtävä selväksi koneiden käyttäjille ja
vahingon seurauksista on tiedotettava. Suurin osa hakkereiden
toiminnasta perustuu salasanojen kalasteluun tietokoneiden
parissa työskenteleviltä henkilöiltä.
Laitteiston poistaminen käytöstä
Henkilöstö ei aina ymmärrä miten tietoja voidaan tuoda
uudelleen esiin, vaikka laite olisi viallinen tai poistettu
käytöstä. Siksi oikeaoppinen laitteen poistaminen on tärkeää.
Joskus kovalevyjen tiedosto tasoinen poistaminen riittää,
mutta usein kovalevy pitää tuhota fyysisesti, jotta
tiedostojen uudelleen lukeminen vaikeutuu. |