Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

Transkriptio

1 Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana Sami Laaksonen, Propentus Oy

2 Propentus Oy Perustettu vuonna 2003 Toimipisteet Kouvolassa, Lahdessa ja Kotkassa 100 % kotimainen AAA-luottoluokitus 45 IAM-ammattilaista Ydinkyvykkyydet Kumppanit Abloy - Avain- ja kulunhallinta JYVSECTEC - Kyberturvallisuus Silverskin information security Oy - Tietoturvariskien auditointi NetIQ - Pääsynhallinta Identiteetin elinkaaren hallinta Palvelukeskeisyys Liiketoimintafokus yhdistettynä teknologiaan Innovatiiviset ratkaisumallit Propentus Oy

3 Tietosuoja-asetus tulee Organisaatiot ovat kirjanpitovelvollisia eli heidän tulee huolehtia mm. tietojen käsittelyn monitoroinnista, katselmoinneista sekä pääsynhallinnasta Organisaatioiden tulee kuvata kaikki tietojen käsittelyyn liittyvät prosessit Jokaisella julkisen puolen organisaatiolla tulee olla tietosuojavirkailija (Data Protection Officer, DPO). Lisäksi virkailija tulee olla kaikilla isoilla yrityksillä, joilla on enemmän kuin 250 työntekijää. Organisaatioiden vuosikertomuksen kiinteäksi osaksi tulee lausunto tietosuojan vaatimuksenmukaisuudesta, joka perustuu organisaation tietosuojan säännölliseen mittaamiseen ja raportointiin Propentus Oy

4 Perusajatus Propentus Oy

5 Kun prosessit pettävät, voi lopputulos olla karmaiseva Germanwings plane crash: Lufthansa chief snubs questions on why Andreas Lubitz was allowed to fly Propentus Oy

6 Jopa 80 % tietoturvaongelmista aiheutuu työntekijöiden toimista 10 % minkä tahansa ryhmän tai yhteisön jäsenistä tekisi rikoksen, jos tietäisi selviävänsä siitä rangaistuksetta (FBI) Propentus Oy

7 Kyberturvallisuudella huolehditaan (liike)toiminnan turvallisuudesta, joka koostuu tietoturvallisuudesta sekä jatkuvuudenhallinnasta Tivi 22.4, Kimmo Rousku Propentus Oy

8 Kuka on vastuussa turvallisuudesta? OMISTAJAT HALLITUS TOIMITUSJOHTAJA JOHTAJAT PÄÄLLIKÖT TYÖNTEKIJÄT JA SIDOSRYHMÄT ASIAKKAAT Propentus Oy

9 TIEDÄTKÖ miten IHMISET ja TIETO liikkuvat organisaatiossasi? Propentus Oy

10 TIEDÄTKÖ kenellä on esim. valtuus KÄSITELLÄ tietoa, PÄÄSTÄ pilvipalveluihin tai KULKEA ovista ja mistä syystä? Propentus Oy

11 Kun meillä on tieto, pystymme rakentamaan turvallisuuden HALLINTAMALLEJA ja TOIMINTATAPOJA Propentus Oy

12 Käyttövaltuushallinnan haasteita Käytössä on lukuisia järjestelmiä, joihin kaikkiin tarvitaan omat tunnukset Työntekijöiden suuri liikkuvuus ja paljon pätkätyöläisiä Paljon ulkoisia työntekijöitä, kumppaneita ja alihankkijoita, joille tarvitaan pääsy organisaation järjestelmiin ja toimipisteisiin Viranomaisvaatimukset täyttävä raportointi ja auditointi (SOX, VAHTI) Yhteiskäyttötunnukset - kuka hyväksyi esim. työn ja kuka tarkisti? Tietoturvallinen prosessi mm. valtuuksien poisto kriisitilanteessa Työntekijöiden työroolin mukaiset käyttövaltuudet Valtuuksien siirto ja hyväksyntä eri järjestelmissä Pääsy pilvipalveluihin Vastuu vieritetty yleisesti IT-puolelle Käyttöoikeuksien myöntäminen ja poistaminen vaatii paljon manuaalista työtä Propentus Oy

13 Tietoturva ja fyysinen turvallisuus ovat elinehto monella alalla Pankit Sairaalat Tuotantolaitokset Lentokentät Satamat Rakennustyömaat Propentus Oy

14 MITÄ hallinnoidaan ja KUINKA? Propentus Oy

15 Propentus Oy

16 Henkilötiedot HR-järjestelmä Omat työntekijät Työsopimukset ja työsuhteiden hallinta Propentus Oy

17 Sidosryhmätiedot ja organisaatiot Sidosryhmät Partnerit, konsultit, asiakkaat jne. Ulkoiset organisaatiot ja henkilöt Sopimukset Propentus Oy

18 Esineet ja asiat Identity of Things / Internet of Things Esineet ja asiat Palvelimet, kulunhallintajärjestelmät, nosturit, avaimet jne Propentus Oy

19 Käyttövaltuuskohteet Kulunhallinta Kulkukortit, avaimet Sisäiset tietojärjestelmät SAP, AD, sähköposti Pilvipalvelut Salesforce, Office 365 IT-omaisuus Tietokoneet, puhelimet Muu omaisuus Luottokortit, työsuhdeautot BYOD Käyttäjän omat laitteet Propentus Oy

20 Hallintaprosessit Hakuprosessi Hyväksyntäprosessi Toteutusprosessi Katselmoinnit Roolienhallinta Propentus Oy

21 Raportointi ja auditointi Viranomaisvalvonta Lait ja säännökset Raportointi Auditointi Kuka valvoo? Kuka tarkistaa? Kenellä vastuu? Propentus Oy

22 Kun prosessit toimivat, on lopputulos loistava Henkilötiedot oikein Taustaselvitykset kunnossa Kulkuluvat kunnossa Järjestelmäoikeudet kunnossa Lupa nousuun myönnetty Propentus Oy

23 KIITOS. Markkinointi- ja myyntijohtaja Sami Laaksonen +358 (0) Propentus Oy

24