Niinpä tietysti rikotaan, muttei tietenkään täällä Suomessa, eihän.

No katsotaanpa peiliin: Tunnustan itse tehneeni syntiä ja se joka on viaton heittäköön kivellä, kunhan ei kovin isolla.

Tietoturvaohjeistuksessa, noin yleensä ja ohjeistajia yksilöimättä on usinkin muutamia perusvirheitä, jotka tekevät niiden pilkunpäälle noudattamisen hankalaksi, jollei mahdottomaksi.

1. Tietoturvaohjeet lähestyvät ongelmaa kieltolinjalla. Ei saa tehdä sitä, on jyrkästi kiellettyä jne. No, tietoturvariskit eivät katoa mihinkään kieltämällä.

2. Ohjeen laatija(t) innostuvat liikaa aiheesta ja kieltävät lähestulkoon kaiken, eli työtehtävien hoitamisesta tulee likipitäen mahdotonta annettujen rajoitusten puitteissa.

3. Ohjeistus menee useinkin naurettavan yksityiskohtaiseksi, jolloin tietoturvaohjeesta tulee kutakuinkin tiiliskiven paksuinen pumaka. Kertokaapa kuka oikeasti viitsi lukea 120 sivun ohjeistusta?

4 Kielletään, rajoitetaan, muttei yleensäkkään valvota ohjeistuksen noudattamista. No ei tietenkään, jos tiukkapipoisinta ohjeistusta vielä valvottaisiinkin, pysähtyisi monessa konttorissa työnteko siihen

Tietoturvaohjeistus pitäisi pyrkiä laatimaan myönteiseen, nimenomaan oikeisiin käytäntöihin ohjaavaan sävyyn, vai väittääkö joku pitävänsä komentelusta?

Ohjeitus tulee olla lyhyt (kaikki yli 30 sivun on taatusti turhaa). Siinä tulee keskittyä vain oleelliseen, keskimääräistä (heh, eihän sellaista olekkaan) käyttäjää ei kiinnosta teknojargoni.

Ja kaikkein oleellisin seikka: Vaadituista työtehtävistä on pystyttävä suoriutumaan ilman kohtuutonta lisävaivaa, annettua ohjeistusta noudattaen. Jos ttötehtävien hoitaminen vaatii annetuista ohjeista poikkeamista, edes pieneltä osin, koko ohjeistus mielletään helposti tyhmänä ja sen noudattamista ei muiltakaan osin pidetä tarpeellisena.

Ja pelkkä ohjeistus ei todellakaan riitä, työpaikan johtamiskulttuurin on tuettava, positiivisella tavalla, oikeita menettelytapoja. Ja kun jotain asiaa ei saa tehdä, estetään se mieluummin tekniikkaa käyttäen, kuin hallinnollisella kieltomääräyksellä.

On lisäksi muistettava, että tekniikka elää ja kehittyy, Tietoturvaohje ei ole staattinen olotila, sen on kehityttävä samassa tahdissa käyttöön tulevien tekniikoiden mukana. En millään malta olla muistelematta aikaa, jolloin USB muistit alkoivat olla hinnaltaan kutakuinkin kipurajan alapuolella. No niitähän toki alkoi ilmaantua käyttöön. Vasta reilun vuoden kuluttua tietohallintojohtohenkilöt saivat viimein sovittua pelisäännöt ja laadittua ohjeet ko. välineen käytöstä. Lienee turha mainita että ohjeistus oli erittäin yksityiskohtainen, siinä kiellettiin tietysti muistitikkujen käyttö, ellei kyseinen väline ollut työnantajan hankkima, siihen oli merkitty sarjanumero ja henkilöt jotka sitä saivat käyttää rajattiin organisaatiohierarkiassa osastopäällikkötasolle. Seuraukset arvannee helposti. Kukaan, joka tämän kätevän tallennusvälineen oli hankkinut ei tietenkään luopunut sen käytöstä, ja koska virallisten "tikkujen" saaminen oli tehty lähes toivottoman kankeaksi ja muistitikkujen nopea tekninen kehitys teki virallisista hetkessä toivottoman vanhanaikaisia, eivät edes näitä virallisia tallennusvälineitä saaneet henkilöt kovinkaan tunnollisesti noudattaneet käytöstä annettuja ohjeita.

Myönnän toki että tietoturvan ylläpitämiseksi on pakko antaa kieltoja ja rajoituksia. Mutta haluan sanoa, että selkeä, lyhyt ja positiivisella tavalla ohjaava ohjeistu, yhdessä sitä tukevien käytäntöjen ja laitteistojen sekä asiallisen valvonnan kanssa luovat paremmat mahdollisuudet tietoturvalliseen toimintaan, kuin monet tällähetkellä käytössä olevat, kielleolistat.

Tunnustan lopuksi, olleeni itsekkin laatimassa tietoturvaohjeisstuksia, enkä voi kehua pystyneeni edellä esittämiini periaatteisiin kovinkaan hyvin.