Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Transkriptio

1 Tietosuojariskienhallinnan palvelutuotteet Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

2 Kyberturvallisuustilanne 2017 Vuonna 2016 realisoituneet uhkat Istekin silmin nähtynä mm. Sähköpostikanavan erilaiset uhkat Kiristystä, huijausta, tilien haltuunottoa, menetettyä tietoa, menetettyä työaikaa Ransomware (kiristyshaittaohjelmat) Kiristystä, tiedostojen salausta, menetettyä tietoa, menetettyä työaikaa Watering hole (haitalliset sivustot) Tiedostojen salausta, menetettyä tietoa, menetettyä työaikaa Toimitusjohtajahuijaukset Internet of Things (IoT) kasvattaa hyökkäyspinta-alaa Kohdistetut haittaohjelmat Ovat arkipäivää Perustason virustorjunnalla, palomuurilla, roskapostisuodatuksella, ilman tilannekuvaa ja forensiikka osaamista ei tule enää toimeen

3 EU Yleinen tietosuoja-asetus (GDPR) Lainsäädännön noudattamisesta osoittamiseen Riskienhallinta tulee pakolliseksi ja keskeiseksi osaksi tietojen käsittelyn suunnittelua Rekisterinpitäjän on toteutettava tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä asetusta Sisäänrakennettu ja oletusarvoinen tietosuoja Tietoturvaloukkauksista ilmoittaminen ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa Valvonta tehostuu Mahdollistaa mm. hallinnollisen sakon (20M /4%) asetuksen rikkomisesta

4 Turvallisuus ja riskienhallinta

5 Riskienhallinnan prosessi (mukaillen ISO 31000:2009) Riskienhallintaympäristön määritteleminen Riskien tunnistaminen Riskianalyysi Seuranta (Määräajoin, muutoksissa) Riskien merkityksen arviointi (PIA, BIA) Riskien käsittely

6 Riskien arviointi Riskien tunnistaminen (motiivit, tapahtumat..) Haavoittuvuuksien tunnistaminen Skenaarioiden rakentaminen Seuranta (Määräajoin, muutoksissa) Todennäköisyyksien arviointi Riskien merkityksen arviointi Hallintakeinojen (kontrollien) valinta

7 Istekin turvallisuus- ja riskienhallintapalvelut Tarjoamme kattavat turvallisuus ja riskienhallintapalvelut ICMT-ratkaisujen elinkaareen kaikkiin vaiheisiin mm. tekniset tietoturvakontrollit, tietoturvapäällikköpalvelut ja tietosuojavastaavapalvelut Plan (suunnittelu) Act (kehittäminen) Do (toteutus) Check (monitorointi)

8 Kyberturvalliset projektit 1- Luokka: Yksittäinen palvelu tai sovellus, jolla ei ole alueellista käyttöä eikä merkittäviä liittymiä muihin järjestelmiin tai kokonaisuuksiin Sisältää tietoturva-arkkitehtuurin konsultointia seuraavasti: Tutustuminen ehdotettuun toteutukseen ( kuva/kaavio/suunnitelma) Annetaan arvio esitetyn ratkaisun tietoturva-arkkitehtuurin soveltuvuudesta esitettyyn käyttötarkoitukseen Järjestelmän haavoittuvuusskannauksen sekä simuloidun hyökkäyksen järjestelmään Asiakkaalle toimitetaan raportti jäännösriskeistä sekä korjausehdotukset Palvelu ei sisällä työpajamenettelyllä toteutettavaa uhkamallinnusta 2 - Luokka: Alueellinen tietojärjestelmä tai keskitetty palvelu, jossa on liittymiä useisiin toimintaympäristöihin 3 - Luokka: Merkittävä järjestelmäkokonaisuus johon sisältyy useita osakokonaisuuksia, integraatioita tai liittymiä useisiin tietojärjestelmiin tai kokonaisuuksiin

9 Kyberturvalliset projektit Paketit 2 ja 3 sisältävät Tarjouksen läpikäynnin ja ulkoisten vaatimusten katselmoinnin Työpajan, jossa yhdessä asiakkaan kanssa katselmoidaan järjestelmän käyttötapaukset ja väärinkäyttötapaukset sekä uhkien mallintaminen Palvelueston liiketoimintavaikutusten ja korvausjärjestelyjen pohdinta ja suunnittelu Julkaisu- ja provisiointitavat sekä pääsynhallinnan periaatteet Tietoturva-arkkitehtuurin ja tietoturvakontrollien valinta Järjestelmän haavoittuvuusskannauksen, sekä simuloidun hyökkäyksen järjestelmään Käyttöönottohyväksynnän asiakkaan hyväksymien jäännösriskien perusteella Baseline-analyysit ja toistuvat haavoittuvusskannaukset sovitaan erikseen tapauskohtaisesti (esimerkiksi aina kun toimittaja päivittää ohjelmistoa)

10 Tietosuojakonsultointi 1- Luokka: Yksittäinen palvelu tai sovellus, jolla ei ole alueellista käyttöä eikä merkittäviä liittymiä muihin järjestelmiin tai kokonaisuuksiin 2 - Luokka: Alueellinen tietojärjestelmä tai keskitetty palvelu, jossa on liittymiä useisiin toimintaympäristöihin 3 - Luokka: Merkittävä järjestelmäkokonaisuus johon sisältyy useita osakokonaisuuksia, integraatioita tai liittymiä useisiin tietojärjestelmiin tai kokonaisuuksiin

11 Tietosuojakonsultointi Luokat 1 ja 2: Läpikäydään asiakkaan tietojärjestelmälle laatimat politiikat, ohjeistukset ja käyttötapaukset Arvioidaan lakien ja asetusten mukaisuus voimassaolevaan lainsäädäntöön, sekä tulossa olevaan EUtietosuoja-asetukseen Kirjoitetaan loppuraportti ja suositukset Luokka 3: Läpikäydään asiakkaan tietojärjestelmälle laatimat politiikat, ohjeistukset ja käyttötapaukset Arvioidaan lakien ja asetusten mukaisuus voimassaolevaan lainsäädäntöön, sekä tulossa olevaan EUtietosuoja-asetukseen Auditoidaan käyttötapaukset pääkäyttäjätasoisten henkilöiden haastatteluilla Kirjoitetaan loppuraportti ja suositukset

12 Palvelujen tekninen tietoturvatarkastus Tarkastuksen jälkeen asiakas saa kokonaiskuvan sisäverkkonsa teknisen tietoturvan tasosta, mahdollisista ongelmakohdista sekä kehityskohteista Loppuraportissa asiakas saa myös arvion mahdollisten ongelmakohtien vaikuttavuudesta

13 Osaaminen ja resurssit: Virustorjunta ja päätelaitetietoturva-asiantuntijoita Päätelaiteturvallisuus, haittaohjelma-analyysit, forensiikka Järjestelmien käyttöönottotarkastukset, tietoturvatarkastukset Tietoturva-asiantuntijoita Tietoturva-arkkitehtuurin konsultointipalvelut, riskiarviot, uhkamallinnus Sovellus ja käyttäjätietoiset palomuuripalvelut, kehittyneet turvallisuusominaisuudet Sähköpostin kokonaisturvallisuus (roskaposti, hiekkalaatikot) Turvalliset julkaisut ja etäyhteydet, monivaiheinen tunnistus Järjestelmien käyttöönottotarkastukset, kyberturvallisuus suositukset Tilannekuvapalvelut SOC toiminta ja SIEM ratkaisut LTT/Sote tietoturva-asiantuntija, tietosuojavastaava Lääketieteellisen tekniikan kyberturvallisuus, turvalliset SoTe applikaatiot ja integraatiot Tietosuojavaatimusten konsultointi

14 Resurssit ja tilat Henkilöstön määrä 1/2017 9hlö (kasvussa) Vahvasti sertifioitua osaamista Henkilöstöstä perusmuotoiset turvallisuusselvitykset Kaikki paikat täytetty hakemusten/testien/haastattelujen kautta Security Operation Center tyyppiset tilat ja työkalut takaavat tehokkaan tiimityöskentelyn

15 Kysymyksiä? marko.ruotsala(ät)istekki.fi