TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET

Koko: px
Aloita esitys sivulta:

Download "TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET"

Transkriptio

1 HAAGA Raportteja 7 Niina Kinnunen TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET ISBN-10: (pdf) ISBN-13: (pdf) ISSN:

2 HAAGA Raportteja 7 TIETOTURVAN TILA SUOMESSA CASE MALMIN SEUDUN YRITYKSET NIINA KINNUNEN Haaga Instituutin ammattikorkeakoulu Helsinki 2006

3 Copyright: Niina Kinnunen + Haaga Instituutin ammattikorkeakoulu Kansi: Tarja Leponiemi ISBN-10: (pdf) ISBN-13: (pdf) ISSN: Haaga Instituutin ammattikorkeakoulun julkaisuja. HAAGA Raportteja

4 SISÄLLYS TIIVISTELMÄ JOHDANTO Tutkimuksen tausta Tutkimusongelma, tavoitteet ja aiheen rajaus Keskeiset käsitteet TIETOTURVA OSANA YRITYSTÄ JA YHTEISKUNTAA Yleistä tietoturvasta Tietoturva yhteiskunnassa Tietoturva yrityksessä Tietoturvasuunnittelu Tietojen ja riskien merkitys tietoturvalle Laitteet, ohjelmistot ja tietoverkko EMPIIRINEN OSA Tutkimusaineisto Tutkimusmenetelmän esittely TUTKIMUSTULOSTEN ESITTÄMINEN JOHTOPÄÄTÖKSET JA PARANNUSEHDOTUKSET Johtopäätökset Johtopäätöksistä muodostettavat tärkeimmät ehdotukset LOPPUPOHDINTA LÄHDELUETTELO Painetut lähteet Painamattomat lähteet LIITE 1. Kyselylomake... 25

5 TIIVISTELMÄ Tutkimus paneutuu tietoturvaan sekä pienyritysten tietoturvan tilan selvittämiseen. Yritysten tietoturvan tilasta pyritään tekemään johtopäätöksiä valtakunnan tasolla. Tutkimusongelmana on selvittää onko tietoturvasta huolehdittu riittävällä tasolla. Tutkimuksen tavoitteena on selvittää niitä tietoturvan osa-alueita, joissa on parannettavaa. Tutkimuksessa pyritään selvittämään myös tietoturvaan liittyvää koulutustarvetta. Tutkimusaineisto on kerätty kyselyllä. Kysely suoritettiin pääsääntöisesti sähköisesti Internetissä toteutetulla kyselylomakkeella. Kyselylomakkeen URL-osoite lähetettiin 129 Malminseudun yritysyhdistykseen kuuluvalle yritykselle. Vastauksia saapui 16 kappaletta (12,4 %). Tutkimuksessa käytetään ensisijaisesti kvantitatiivista tutkimusmenetelmää. Saaduista vastauksista lasketaan kysymyksittäin saatujen kyllä- ja ei-vastausten määrä. Myös mahdollisten tyhjien vastausten määrä huomioidaan. Tutkimuksessa käytetään jossain määrin myös vertailevaa menetelmää. Yritysten vastauksista haetaan kysymys kysymykseltä yhtäläisyyksiä ja eroja. Kysymyksille pyritään muodostamaan yhteyksiä muihin kysymyksiin eli haetaan toisiinsa liittyviä tai toisistaan riippuvia kysymyksiä ja vertaillaan niistä saatujen vastauksien yhtäläisyyksiä ja eroja eri yritysten välillä. Näin vertailemalla vastauksista pyritään selvittämään onko esimerkiksi toimialalla tai vakinaisten työntekijöiden määrällä vaikutusta saatujen vastausten luonteeseen. Tutkimustulosten mukaan yritykset ovat tietoisia mikä on yrityksen tärkeää tietoa. Tietoturvapolitiikan merkitys yritykselle on myös pääsääntöisesti ymmärretty. Kaikilla yrityksillä ei kuitenkaan ole tietoturvapolitiikkaa. Riskien kartoittaminen on tekemättä useissa yrityksissä. Yritykset eivät ymmärrä varautua sellaiseen mitä ei ole tapahtunut. Tietojen varmennuksesta huolehditaan, mutta varmenteiden säilytyspaikassa on parannettavaa puolessa yrityksistä. Saatujen tutkimustulosten mukaan yritykset eivät ole tiedostaneet yrityksen sisältä tulevien tietoturvauhkien määrää. Yrityksillä on huomattavasti parannettavaa sisäisten tietoturvauhkien huomioimisessa. Yritykset eivät pyri tietoisesti tekemään tietoturvasta kaikkien työntekijöiden tehtävää. Tämä näkyy tutkimustuloksissa esimerkiksi perehdyttämisen ja tietoturvaraportoinnin puuttumisena noin puolessa yrityksistä. Myöskään tietoturvavastuita ei ole jaettu kaikissa yrityksissä. Sisäisen uhkan näkökulmasta tarkasteltuna yrityksiltä puuttuu myös ohjeistus miten toimia, jos epäilee jotakin yrityksen työntekijää tietoturvaväärinkäytöksestä. AVAINSANAT: tietoturva, tietoturvallisuus, tietoturvapolitiikka, tieto, riski, yritys 1

6 1 JOHDANTO 1.1 TUTKIMUKSEN TAUSTA Keväällä 2006 Haaga Instituutin ammattikorkeakoulussa Malmin liiketalousinstituutissa toteutetulla Verkon tietoturva -kurssilla 29 iltaopiskelijaa kävi pienryhmissä selvittämässä yhteensä 12 pääkaupunkiseudulla sijaitsevan pk-yrityksen tietoturvan tilaa. Selvitys tehtiin haastatteluna. Ainoa rajoite selvitykselle oli, että sen piti kohdistua pk-yritykseen. Selvityksessä ilmeni, että tietoturvalla ymmärrettiin pääsääntöisesti virukset ja niiden torjuntaohjelmistot, palomuurit sekä käyttäjätunnukset ja salasanat. Tietoturvaan suhtautumisessa oli havaittavissa huolestuttavaa välinpitämättömyyttä. Huolettomuuteen oli löydettävissä syy siitä, että millekään haastatelluista yrityksistä ei ollut ikinä sattunut mitään suurta tietoturvaan liittyvää vahinkoa tai ongelmaa. Yleinen käsitys oli, että kun virustorjuntaohjelmisto ja palomuuri on asennettu, tietoturva on kunnossa. Näiden ohjelmistojen päivittäminen oli satunnaista suurimmassa osassa yrityksiä. Työntekijöiden Internetin käyttöä oli rajoitettu vain parissa yrityksessä. Missään yrityksessä ei kyseenalaistettu yrityksen työntekijöiden tietoturvaosaamista. Toisaalta sitä ei ollut myöskään tietoisesti selvitetty missään yrityksessä. Haastatellut yritykset eivät osanneet arvioida tietoturvaan käytettävien resurssien määrää. Selvitykseen vastanneet yrityksen edustajat, jotka olivat pääasiassa yrityksen omistajia tai toimitusjohtajia, eivät nähneet yrityksen tietoturvasta huolehtimista osana omaa toimenkuvaa. Tietoturva nähtiin sen sijaan työtehtävänä, jonka hoitaa yksi tai pari työntekijää. Usein näiden henkilöiden nimeäminen oli vaikeaa. Myöskään tietoturvasta vastaavan henkilön asemaa yrityksessä ei osattu pääsääntöisesti kertoa. Joissakin yrityksissä tietoturvasta huolehtiminen oli ulkoistettu. Näissä yrityksissä luotettiin melko sokeasti palvelun tarjoavaan yritykseen, eikä oman yrityksen tietoturvan tilasta ja hoidosta osattu kertoa oikeastaan mitään. Tietoturvapolitiikka tai muu tietoturvaan liittyvä dokumentaatio löytyi vain parista yrityksestä. Useimmissa yrityksissä uusille työntekijöille ei kerrottu perehdytyksessä yrityksen tietoturvakäytäntöjä. Työntekijät eivät selvittäneet niitä myöskään omatoimisesti. Selvityksestä kävi ilmi, että varmuuskopioinnista huolehdittiin säännöllisesti vain harvoissa yrityksissä. Useimmissa yrityksissä työntekijät vastasivat itse varmuuskopioiden ottamisesta. Varmuuskopioiden säilytyspaikassa oli kaikissa yrityksissä parannettavaa. Erittäin pienten yritysten ongelmana oli se, että yrityksen asioidenhoidossa käytettävää tietokonetta käytti perheen muutkin jäsenet. Erityisesti se, että myös lapset saivat käyttää samaa konetta pelatessa ja Internetin käytössä oli huolestuttavaa siitäkin huolimatta, että lapset käyttivät tietokonetta omalla profiililla. Haastatelluista yrityksistä lähes kaikki yritykset arvioivat, että tietoturva on heidän yrityksessään hallinnassa. Epävirallisesti tehdyn selvityksen yhteenvetona voidaan todeta, että yritysten omasta mielestä heidän tietoturvasta oli huolehdittu riittävällä tasolla. Kaikkien yritysten vastauksista oli kuitenkin havaittavissa, että yritysten tietoturvassa on paljon parannettavaa. Myös yritysten työntekijät tarvitsisivat tietoturvakoulutusta. Yritykset eivät kuitenkaan itse välttämättä ymmärrä tietoturvasta huolehtimisensa riittämättömyyttä. Tästä selvitystuloksesta kiinnostuneena lähdettiin tässä julkaisussa tekemään tutkimuksellisempaa selvitystä yritysten tietoturvan tilasta. 1.2 TUTKIMUSONGELMA, TAVOITTEET JA AIHEEN RAJAUS Tässä tutkimuksessa paneudutaan tietoturvaan sekä pienyritysten tietoturvan tilan selvittämiseen. Yritysten tietoturvan tilasta pyritään tekemään johtopäätöksiä valtakunnan tasolla. Tutkimusongelmana on selvittää onko tietoturvasta huolehdittu riittävällä tasolla. Tutkimuksen tavoitteena on selvittää niitä tietoturvan osa-alueita, joissa on parannettavaa. Tutkimuksessa pyritään selvittämään myös tietoturvaan liittyvää koulutustarvetta. Tutkimuksen lähtökohtana on, että yritysten tietoturvan tilassa on parannettavaa ja yrityksille pitäisi tarjota tietoturvatietoutta erityisesti erilaisissa koulutustilaisuuksissa. Tutkimusta varten suoritettiin eikokeellinen empiirinen tutkimus, jossa tutkimusaineisto kerättiin kyselyllä. Tutkittavat yritykset rajattiin Malminseudun yritysyhdistykseen kuuluviin yrityksiin. Tutkimustuloksia pyrittiin saamaan nimenomaan 2

7 pienistä ja keskisuurista yrityksistä. Tutkimusmenetelmästä kerrotaan alaluvussa 3.2 Tutkimusmenetelmän esittely. Myöhemmin esitettävästä tietoturvan viitekehyksestä on havaittavissa, että tietoturva kattaa erittäin laajan kokonaisuuden. Tietoturvakeskustelu julkisuudessa käsittelee usein roskapostia, Internetistä tulevia hyökkäyksiä ja niiden estämistä palomuurilla sekä viruksia. Nämä tietoturvan osa-alueet ovat yleisesti jollain tasolla tiedossa. Keinot niiden huomioimiseen ja niiden aiheuttamien riskien estämiseen ovat myös tietoturvan näkökulmasta yleisesti melko hyviä. Tässä tutkimuksessa tietoturvan tilaa tarkastellaan erityisesti hallinnollisesta näkökulmasta teknisen tietoturvan sijaan. Näiden seikkojen takia roskaposti, Internet-hyökkäykset, palomuurit ja virukset rajataan pois tässä tutkimuksessa käsiteltävistä tietoturva-aiheista. Myöskään langattomien yhteyksien tietoturvaa ja salauksella luotavaa tietoturvaa ei käsitellä tässä tutkimuksessa. Teknistä tietoturvaa käsitellään kuitenkin hallinnollista tietoturvaa tukevilta osin. 1.3 KESKEISET KÄSITTEET Tietoturvallisuudella (information security) tarkoitetaan tavoitetilaa, jossa tiedot, tietojärjestelmät ja palvelut suojataan asianmukaisesti niin, että uhat, jotka kohdistuvat niiden luottamuksellisuuteen, käytettävyyteen ja eheyteen, eivät aiheuta yhteiskunnalle ja sen jäsenille merkittävää vahinkoa. Toisaalta tietoturvallisuudella tarkoitetaan lainsäädäntöä ja muita normeja sekä toimenpiteitä, joilla pyritään varmistamaan tietoturvallisuus normaali- ja poikkeusoloissa. (Valtiovarainministeriö 2003, 51) Tietoturvallisuus ja tietoturva tarkoittavat käytännössä samaa. Tekniikan sanastokeskuksen (Tietotekniikan termitalkoot 2002) määritelmän mukaan tietoturvalla tarkoitetaan niitä järjestelyjä, joilla yritetään varmistaa tiedon luottamuksellisuus, eheys ja käytettävyys. Tällöin käytettävyydellä tarkoitetaan, että tieto on hyödynnettävissä sillä hetkellä, kun sitä halutaan käyttää. Eheydellä tarkoitetaan, että käytettävissä oleva tieto ei poikkea alkuperäisestä tiedosta. Tiedon luottamuksellisuus toteutuu, jos tieto ei ole sivullisten saatavilla. Liikenne- ja viestintäministeriön (2006) tietoturvan määritelmässä korostetaan, että tiedon luottamuksellisuuden, eheyden ja käytettävyyden varmistamiseksi tehtävät toimenpiteet ovat hallinnollisia ja teknisiä. Tietoturvapolitiikka muodostuu yrityksen ylimmän johdon hyväksymistä käytännöistä, joilla saavutetaan haluttu tietoturvallisuuden taso. Tietoturvapolitiikka on julkinen dokumentti, joka on tarkoitettu koko henkilöstölle. Tietoturvapolitiikka on tärkein yrityksen tietoturvakäytäntöjä ja tietoturvallisuusprosessia ohjaava dokumentti. Siinä kuvataan yleisellä tasolla mikä on yrityksen eri liiketoimintaprosessien vaatima tietojen turvaamisaste, millä menetelmillä haluttuun tietoturvatasoon pyritään ja miten tietoturvallisuutta hallinnoidaan ja kehitetään. (Hakala, Vainio & Vuorinen 2006, 7) Tietoturvapolitiikassa asetettujen suuntaviivojen ja reunaehtojen pohjalta laaditaan tietoturvasuunnitelma, joka on luottamuksellinen tai salainen. Se sisältää käytänteet, joilla pyritään haluttuun tietoturvallisuuden tasoon. Tietoturvasuunnitelmassa määritellään kirjallisesti ja yksityiskohtaisesti kussakin tietojärjestelmässä käytettävät työmenetelmät ja tekniset ratkaisut. Tietoturvasuunnitelman pohjalta voidaan laatia tietoturvaohje, joka on käyttäjälle laadittu yksittäistä tietojärjestelmää tai liiketoimintaprosessia käsittelevä erillinen ohje. Myös tämä dokumentti on luottamuksellinen tai salainen. (Hakala ym. 2006, 7, 9 10) Tietoturvan määrittelyä varten on luotu yleisluonteiset tietoturvastandardit, jotka ovat ISO ja ISO ISO on keskeisin tietoturvallisuuden suunnittelua ohjaava standardi, jossa määritetään yrityksen tietoturvallisuuden suunnitteluissa, ylläpidossa ja kehittämisessä huomioitavat osaalueet. Se sisältää yleisperiaatteet ja suuntaviivat tietoturvallisuuden hallitsemiselle. Siinä kuvataan turvallisuuden parantamistoimien käynnistämis- ja toteutustapoja. Lisäksi siinä kerrotaan turvallisuushallinnon ylläpito- ja kehitystapoja. Standardin nimestä on tehty muutosehdotus, jonka myötä standardin nimi muuttuisi tulevaisuudessa ISO 27002:ksi. ISO koskee tietoturvallisuuden hallintajärjestelmää, jonka lyhenne on ISMS. Standardin seuraaminen edellyttää ISO standardia. (Hakala ym. 2006, 46 47, 49) 3

8 2 TIETOTURVA OSANA YRITYSTÄ JA YHTEISKUNTAA 2.1 YLEISTÄ TIETOTURVASTA Tietoturvallisuus muodostuu luottamuksellisuudesta, käytettävyydestä, eheydestä, kiistämättömyydestä ja pääsynvalvonnasta. Luottamuksellisuus (confidentality) toteutuu, kun tietojärjestelmän tietoja pystyy käyttämään vain sellainen henkilö, joka on oikeutettu tietoihin. Käytettävyydellä (availability) tarkoitetaan, että tiedot on mahdollista saada tietojärjestelmästä oikeassa muodossa ja riittävän nopeasti. Eheydellä (integrity) tarkoitetaan, että tietojärjestelmän tiedot ovat paikkansapitäviä ja ne eivät sisällä tahallisesti tai tahattomasti tehtyjä virheitä. Kiistämättömyydellä (non-repudiation) tarkoitetaan sitä, että tietojärjestelmä pystyy tunnistamaan ja tallentamaan järjestelmän käyttäjän tiedot luotettavasti. Pääsynvalvonnalla (access control) tarkoitetaan menetelmiä, joilla rajoitetaan tietojenkäsittelyinfrastruktuurin käyttöä. Määritelmään voidaan sisällyttää myös autenttisuus, joka tarkoittaa tietojärjestelmää käyttävien henkilöiden ja laitteiden luotettavaa tunnistusta. (Hakala ym. 2006, 4 6.) Hakala ym. (2006, 10 12) jakaa tietoturvallisuuden osa-alueisiin seuraavasti: - hallinnollinen turvallisuus - fyysinen turvallisuus - henkilöturvallisuus - tietoaineistoturvallisuus - ohjelmistoturvallisuus - laitteistoturvallisuus - tietoliikenneturvallisuus Hallinnollisella turvallisuudella varmistetaan tietoturvan kehittäminen ja johtaminen. Siinä ovat merkittävässä asemassa lainsäädäntö, lisenssisopimukset ja palvelusopimukset. Fyysisellä turvallisuudella suojataan rakennuksen tiloja ja niihin sijoitettuja laitteita fyysisiltä uhilta sekä ympäristöuhilta. Henkilöturvallisuus käsittää toimet, joilla varmistetaan tietojärjestelmän käyttäjien toimintakyky. Lisäksi rajataan käyttäjien mahdollisuuksia käyttää yrityksen tietoja ja tietojärjestelmiä. Tietoaineistoturvallisuus käsittää toimet, jotka liittyvät tietojen säilyttämiseen, varmentamiseen, palauttamiseen ja tuhoamiseen. Ohjelmistoturvallisuus liittyy ohjelmistoihin ja käsittää esimerkiksi ohjelmistotestauksen sekä ohjelmistoversioiden ja lisenssien hallinnan. Laitteistoturvallisuuden tavoitteena on mitoittaa tietokoneet ja muut tietojärjestelmään kytketyt laitteet tarkoituksenmukaisesti, testata niiden toiminta, järjestää huolto, varautua laitteiden kulumiseen ja vanhenemiseen sekä arvioida ja minimoida laitteiden käytöstä aiheutuvat vaaratekijät. Tietoliikenneturvallisuudessa huolehditaan tiedonsiirtoratkaisujen turvallisuudesta. (Hakala ym. 2006, ) Elinkeinoelämän keskusliitto (2005b) kuvaa tietoturvapolitiikan kehittämistä seuraavassa kuvassa esitetyllä tavalla. 4

9 KUVA 1 Tietoturvapolitiikan kehittäminen (Elinkeinoelämän keskusliitto 2005b) Kuvasta nähdään, että prosessi lähtee liikkeelle hyödykkeiden tuotantoon ja tarjontaan kohdistuvien tiedostettujen ja tiedostamattomien uhkien analysoimisella. Löydetyistä uhkista muodostetaan tietoturvapolitiikan turvallisuusvaatimukset eli tietoturvallisuuden tavoitetila, johon pyritään. Turvallisuustarpeet muodostuvat nykytilan ja turvallisuusvaatimuksissa asetettujen tavoitteiden välisistä eroista. Löydetyt erot parannetaan turvallisuusvaatimuksissa asetettujen tavoitteiden tasolle siirtymäaikana, jonka jälkeen aletaan toimia tietoturvapolitiikan mukaisesti. (Elinkeinoelämän keskusliitto 2005b.) 2.2 TIETOTURVA YHTEISKUNNASSA Helmikuussa 2006 vietettiin kolmatta kertaa kansallista tietoturvapäivää, joka on elinkeinoelämän, julkishallinnon ja järjestöjen yhteinen hanke. Tietoturvapäivän tarkoituksena on lisätä tietoisuutta Internetin mahdollisuuksista ja tietoturvauhista. Tavoitteena on myös kertoa keinoista, joilla tietoturvauhilta voidaan suojautua ja välttyä. Tämän vuoden erityisteeman oli pienten ja keskisuurten yritysten tietoturva. (Tulonen 2006.) Valtiovarainministeriön (2006) mukaan puutteellinen tietoturva aiheuttaa lisätyötä ja -kustannuksia sekä vaarantaa valtion, kansalaisten, yhteisöjen ja asiakkaiden etuja. Valtioneuvosto on linjannut valtion tietoturvallisuuden kehittämisen, tietoturvallisuuden laajaa käsitettä ja valtion organisaatioiden tietoturvatehtävät. Nämä muodostavat periaatepäätöksen valtion tietoturvallisuudesta. Tietoturvallisuutta käsittelevällä Valtiovarainministeriön (2006) www-sivulla todetaan, että tietoyhteiskunnan kehitys, verkottuminen, sähköinen asiointi, toimintojen ja palvelujen siirtyminen tietoverkkoihin, kansainvälistyminen, nopea tekninen kehitys sekä tietoturvahyökkäysten ja muiden uhkien lisääntyminen lisäävät tietoturvallisuuden merkitystä. Tampereen yliopisto tukee Valtiovarainministeriön ajatusta todetessaan, että tietoturvallisuuden merkitys kasvaa yhteiskunnassa, jossa käytetään tietokoneita sekä sähköisen kaupankäynnin suosio kasvaa ja langattomat tietojärjestelmät yleistyvät. Tietoturvallisuutta ei ole huomioitu tietojärjestelmien suunnittelussa, mistä on aiheutunut ongelmia. (Tampereen yliopisto.) Tietoyhteiskunnan kehittämiskeskuksen (2004) mielestä tietoturva on tietojen, tietoja käsittelevien tietojärjestelmien ja tietoja siirtävän tietoliikenteen suojaamista. Tavoitteena on estää niiden vahingoittuminen ja turmeltuminen. Myös luvaton käyttö ja urkinta sekä häirintä ovat suojautumisen tavoitteena muiden uhkien joukossa. Tietokoneiden hyväksikäytöstä aiheutuvat vakavat tietojenkäsittelyhäiriöt ovat iso ongelma yrityksen toiminnassa. 5

10 Kansallinen tietoturva ja sen valvonta kuuluu vuonna 2002 vahvistetun lain mukaan Liikenne- ja viestintäministeriön Viestintäviraston vastuulle. Toimiminen CERT-vastuuviranomaisena (Computer Emergency Response Team) velvoittaa Viestintäviraston keräämään tietoa tietoturvauhkista ja - loukkauksista. Viraston tehtävänä on myös ratkaista ja torjua tietoturvaloukkauksia sekä tiedottaa tietoturvallisuusasioista. Viestintävirasto on muodostanut tietoturvan valvontatehtäviä varten tietoturvallisuusyksikön. Suomessa tätä CERT-toimijaa kutsutaan nimellä CERT.FI. (Liikenne- ja viestintäministeriö 2002.) Viestintävirasto (2005) huomioi, että Suomen perustuslaissa ei ole yhtenäistä tietoturvallisuutta koskevaa lainsäädäntöä. Tietoturvallisuutta käsittelevät säännökset on sisällytetty moniin lakeihin ja asetuksiin. Suomen Rikoslaista löytyy enenevässä määrin pykäliä erilaisia tietoturvaan liittyviä rikoksia varten. Rikosnimikkeet yritysvakoilu ja yrityssalaisuuden väärinkäyttö löytyvät Rikoslain (30:4, 6 ) 30 luvun pykälistä 4 ja 6. Viestintäsalaisuuden loukkaus, törkeä viestintäsalaisuuden loukkaus ja tietomurto löytyvät Rikoslain (38:3, 4, 8 ) 38 luvun pykälistä 3, 4 ja 8. Edellä luetellut rikosnimikkeet liittyvät tietoturvallisuudessa tehtyihin rikosilmoituksiin. Vuonna poliisille tehtiin näitä rikosnimikkeitä sisältäviä rikosilmoituksia 391 kappaletta. Rikoksen tekijä on hyvin usein yrityksen oma tai entinen työntekijä. (Elinkeinoelämän keskusliitto 2001, 9.) Suomen lainsäädännöstä löytyy kuitenkin useita tietoturvallisuusvelvoitteita. VAHTI on Valtiovarainministeriön asettama Valtionhallinnon tietoturvallisuuden johtoryhmä, jonka tehtävänä on ohjata ja kehittää hallinnon tietoturvallisuutta sekä huolehtia sen yhteistyöstä. Valtiovarainministeriön (2006) tietoturvallisuutta käsittelevällä www-sivulla todetaan, että VAHTIn tavoitteena on parantaa valtionhallinnon toimintojen luotettavuutta ja jatkuvuutta kehittämällä tietoturvallisuutta. VAHTI pyrkii myös saamaan tietoturvallisuuden kiinteäksi osaksi valtionhallinnon kaikkea toimintaa. VAHTIn toiminnan tuloksia pystytään hyödyntämään kunnallishallinnossa, yksityisellä sektorilla, kansalaistoiminnassa ja kansainvälisessä yhteistyössä. (Valtiovarainministeriö 2006.) Tampereen yliopistossa on kehitetty erityinen tietoturvakonsortio, jonka perustavoitteet ovat tietoturvallisuuden parantaminen ja yhteistyöverkoston muodostaminen sekä tietoturvallisuuden tutkimuksen ja opetuksen laadun parantaminen. Konsortion kehittäminen on aloitettu syksyllä Konsortion mukaan tietoturvallisuutta tarvitaan luomaan tietojärjestelmien toiminta luotettavaksi. (Tampereen yliopisto.) 2.3 TIETOTURVA YRITYKSESSÄ Aiemmin todettiin, että puutteellinen tietoturva aiheuttaa sekä lisätyötä että -kustannuksia. Toimiva tietoturva säästää aikaa ja rahaa. Kaikilla yrityksen työntekijöillä on vastuu tietoturvasta. Henkilöstön toimintaohjeiden tuntemuksen taso on suoraan verrannollinen tietoturvan toteutumisen tasoon. Panostaminen työntekijöiden perehdyttämiseen on kannattavampaa kuin paksujen ohjekirjojen laatiminen. Välinpitämätön henkilöstö ei tue hyvinkään toteutettuja teknisiä tietoturvaratkaisuja. (Yrityksen tietoturvaopas 2006c; Yrityksen tietoturvaopas, 2006d.) Elinkeinoelämän keskusliiton (2005a) mielestä tietoturvallisuus on osa yritysturvallisuutta. Yritysturvallisuudella tarkoitetaan johdon vastuulla olevaa päivittäistä yritystoimintaa, jossa yrityksen turvallisuusasioita toteutetaan kokonaisvaltaisesti. Yritysturvallisuus nähdään koko henkilöstön asiana. Elinkeinoelämän keskusliiton (2001, 10) mukaan huolimattomuus, ymmärtämättömyys ja osaamattomuus aiheuttavat suurimpia tietoturvallisuuden ongelmia. Myös muut tietojärjestelmien teknisen toteutuksen ja käytön laadulliset tekijät aiheuttavat ongelmia tietoturvallisuuteen. Hakala ym. (2006, ) tukee tätä ajatusta. Kirjassa todetaan, että inhimillinen toiminta, huolimattomuus, kiirehtiminen ja erehdykset vaarantavat eniten yrityksen tietoturvallisuutta. Tällaisia yrityksen tietoturvallisuuteen vaikuttavia tapahtumia täytyy seurata ja tallettaa tietoturvallisuuden ylläpitämiseksi. Tietoturvallisuutta suunnitellaan ja kehitetään keräämällä tietoa aikaisemmin tapahtuneista tietoturvallisuuteen vaikuttaneista tapahtumista. (Hakala ym. 2006, ) Myös Valtiovarainministeriö (2006) näkee tietoturvallisuuden kiinteänä ja keskeisenä osana yrityksen toimintaa ja laatutyötä sekä sen varmistamista. Koko henkilöstön pitää huolehtia tietoturvallisuudesta. Valtiovarainministeriön (2006) mukaan tietoturvallisuuden varmistaminen ja kehittäminen vaatii jatkuvaa ohjeistuksen, toimeenpanon ja henkilöstön osaamisen kehitystyötä. Tietoturvallisuuden käsikirja (Hakala ym. 2006, 20) tukee edellisiä ajatuksia. Kirjassa todetaan, että tietoturvallisuuden arviointi, kehittäminen ja ylläpito muodostavat yhden yrityksen liiketoimintaprosesseista, joka täytyy nähdä jatkuvana toimintana. 6

11 Tämän vuoden tietoturvapäivänä julkaistu Yrityksen tietoturvaopas (2006a) tukee Elinkeinoelämän keskusliiton ja Valtiovarainministeriön näkemyksiä tietoturvan merkityksestä yritystoiminnalle toteamalla, että tietoturva on osa yrityksen liiketoimintaa. Oppaan mukaan tietoturvassa on kyse tekniikasta ja ihmisten työskentelytavoista. Kun tietoturvaa lähdetään rakentamaan, täytyy kartoittaa suojattavat kohteet, tehdä riskianalyysi ja luokitella tiedot. Tietoturvaopas nimeää yhdeksi menestymisen edellytykseksi yritykselle tärkeän tiedon turvaamisen. Erityisesti yrityksen kannalta tärkeiden ja kriittisten tietojen tunnistaminen ja suojaaminen on tärkeää. Tietoturvan ylläpito on jatkuvaa ja suunnitelmallista toimintaa. Tietoturvaa ei saavuteta yksittäisellä toimenpiteellä. (Yrityksen tietoturvaopas 2006b.) Yrityksen tietoturvaopas on kenen tahansa luettavissa Internetissä URL-osoitteessa Tietoliikenteen ja tietotekniikan keskusliitto FiComin viestintäpäällikkö Kristiina Klemetin (Rotstén 2006) mukaan Yrityksen tietoturvaopas on tarkoitettu pk-yrityksille. Erityiseksi kohderyhmäksi Klemetti mainitsee toimitusjohtajat pienissä pkyrityksissä, joilla ei ole erityistä it-, tietotekniikka- tai tietoturvahenkilö vastaamassa yrityksen tietoturvasta. Hakala ym. (2006, 32, 103) mielestä tietoturvallisuuden ylläpito ja edistäminen edellyttää dokumentointia. Dokumentoinnin tulee olla tarpeeksi yksityiskohtaista ja käyttää ennalta sovittua rakennetta. Dokumentoinnissa kirjataan löydetyt ratkaisut ja perustelut käyttöönotettujen ratkaisujen valinnalle. Tietojärjestelmien käytössä voidaan haluttaessa tarjota hyvinkin paljon joustavuutta ja pitää palvelutaso korkealla. On kuitenkin huomattava, että näitä lisättäessä tietoturvallisuuden taso yleensä laskee. Tietoturvallisuus ei voi muodostua myöskään tärkeimmäksi tietojenkäsittelyä ja liiketoimintaprosesseja ohjaavaksi toiminnoksi. Liian kattaviksi ja jäykiksi asetetut turvallisuusmääritykset voivat vaikeuttaa yrityksen varsinaisen liiketoiminnan ydinprosesseja. Siksi yrityksessä tulisi löytää tietojärjestelmillä tarjottavan joustavuuden ja palvelutason sekä tietoturvallisuuden välille sopiva tasapaino. (Hakala ym. 2006, 17.) On oletettavaa, että tietoturvahyökkäykset muuttuvat aiempaa henkilökohtaisemmiksi myös yrityksissä. Näin todetaan IBM:n Global Business Security Index -tietoturvaraportissa, joka julkaistaan vuosittain. Käytännössä nämä hyökkäykset voisivat näkyä yrityksissä esimerkiksi puhelinsoittoina tietohallinnon nimissä tai lähestymisenä sähköpostilla. Yhteydenottojen tavoitteena olisi saada selville salasanoja. IBM:n palvelumyyntipäällikön Markus Hongiston (Kauppalehti 2006, 18 19) mukaan ulkoa tulevien tietoturvakysymysten selvittäminen on tärkeää, eikä omaa vastuuta tietoturvasta voida ulkoistaa. Hongisto näkee yrityksen tietoturvan kokonaisuutena, joka on toteutettava yrityksessä sen liiketoiminnan kautta, ei erillisenä tietotekniikkaa osana. (Kauppalehti 2006, ) Julkisuudessa käytävissä keskusteluissa ja tiedotusvälineissä verkon turvallisuus liitetään erityisesti Internetiin. Tällaisissa yhteyksissä mainitaan esimerkiksi roskaposti ja verkon kautta tulevat hyökkäykset. Jos asiaa tarkastellaan yrityksen tietohallinnon näkökulmasta, oman lähiverkon luottamuksellisuus, käytettävyys ja eheys aiheuttavat suurempia ongelmia kuin Internetistä tulevat uhat. Tietoturvarikkomukset tapahtuvat pääsääntöisesti yrityksen sisällä. 80 % yrityksen vakavista tietoturvarikoksista tapahtuu yrityksen sisällä. (Hakala ym. 2006, 181, 298.) Tätä ajatusta tukee jo aiemmin esitetty Elinkeinoelämän keskusliiton (2001, 9) toteamus siitä, että rikoksen tekijä on hyvin usein yrityksen oma tai entinen työntekijä. Tampereen yliopistossa tehdyn tutkimuksen mukaan valtaosa yritysten tietoturvauhista tulee yritysten sisältä. Samassa tutkimuksessa todetaan, että vain 20 prosenttia tietoturvallisuudesta syntyy teknisillä keinoilla, loppu muodostuu kehittämällä henkilöstön arkirutiineja. (Tulonen 2006) Hakalan ym. (2006, 114) mukaan yrityksen ylimmällä johdolla on kokonaisvastuu tietoturvallisuuden kehittämisestä ja ylläpidosta. Johto vastaa yrityksen yleisen tietoturvallisuustietouden levittämisestä. Johdon tehtävänä on myös tukea tietoturvallisuutta edistävää kouluttautumista. Symantec (2004, 31) jatkaa ajatusta toteamalla, että yritysjohto päättää tietoturvatoiminnan periaatteista. Symantecin mukaan pelkästään esimiesten ja tietotekniikkavastuuhenkilöiden vastuulle jätetyt tietoturvaratkaisut ja menettelytavat eivät voi tehdä yrityksen tietoturvasta tyydyttävää. Symantec näkee tietotekniikkavastuuhenkilöiden ja -päälliköiden aseman kuitenkin entistä myönteisempänä, koska työntekijät ovat halukkaita osallistumaan tietoturvatyöhön joutuessaan suorasti tai epäsuorasti ongelmiin tietoturvan kanssa suorittaessaan arkipäivän työrutiineissa. 7

12 2.4 TIETOTURVASUUNNITTELU Hyvän tietoturvasuunnittelun pohjana on näkemys yrityksen kokonaisturvallisuudesta. Siinä huomioidaan fyysinen turvallisuus, jossa suojataan yrityksen henkilöstöä ja omaisuutta erilaisilta riskeiltä, sekä tietoturvallisuus, jossa suojataan yrityksen tietopääoma sekä estetään tietojenkäsittelylaitteiden ja tietoverkkojen luvaton käyttö. Jotta tietoturvasuunnittelu pystytään tekemään, tulee kartoittaa yrityksen kaikki tietojärjestelmät ja toiminnot. Tietoturvasuunnittelussa voidaan käyttää perinteistä systeemityön vaihejakomallia: esitutkimus, määrittely, suunnittelu, toteutus, testaus, käyttöönotto ja ylläpito. Myös miellekarttatekniikkaa voidaan hyödyntää tietoturvallisuuden suunnittelussa. (Hakala ym. 2006, 14, 22.) Tietoturvasuunnittelun organisoimista, jäsentämistä ja kehittämistä ohjataan standardeilla, joita kutsutaan tietoturvastandardeiksi. Ne asettavat vaatimuksia tietoturvasuunnittelun menettelytavoille ei tietoturvan tasoille tai sisällölle. Standardit määrittelevät mitä tietoturvallisuuden suunnittelutyöhön sisältyy sekä sen tulosten esitysmuodon. Niissä määritetään myös tietoturvallisuuden vastuukysymyksiä. Suomessa käytetään tällä hetkellä kansainvälisiä tietoturvastandardeja, koska kansallisia ei ole vielä olemassa. (Hakala ym. 2006, 21, 46 47, 49.) Tietoturvan suunnittelussa tulee varautua omien työntekijöiden väärinkäytöksiin. Tietoturvariskejä pystytään vähentämään koulutuksella, huolellisella rekrytoinnilla, salassapitositoumuksilla ja sopivilla tietojen käyttöoikeuksilla sekä puuttumalla havaittuun turvallisuusriskejä aiheuttavaan toimintaan nopeasti. Myös asianmukaisesti hoidetuilla irtisanomisilla pystytään vähentämään tietoturvariskejä. Kehittämisellä työntekijöiden perusrutiineja luodaan suurin osa yrityksen liiketoiminnan tietojen turvallisuudesta. Vain viidesosa liiketoiminnan tietojen turvallisuudesta luodaan teknisillä suojaamiskeinoilla. (Yrityksen tietoturvaopas 2006d.) Tietoturvasuunnittelun määrittely-vaihe voidaan jakaa esitutkimukseen ja yleismäärittelyyn. Määrittelyvaiheen pohjana käytetään yrityksen ICT-politiikkaa sekä kokonaisturvallisuus- tai tietoturvapolitiikkaa. Määrittelyn taustatyönä tehdään esitutkimus, jossa kerätään yrityksen aikaisemmissa tietojärjestelmähankkeissa tuotetut dokumentit sekä noudatettaviksi aiotut standardit ja muut tietolähteet. Määrittely on vaativaa ja pitkäkestoista. Sen tavoitteena on selvittää yrityksen kaikki toimintaprosessit sekä niissä käytettävät tieto- ja tietoliikennejärjestelmät. Myös toimintojen vastuuhenkilöt on hyvä selvittää. Määrittelyssä asetetaan myös tavoitteet toimintaprosessien sekä tieto- ja tietoliikennejärjestelmien turvallisuudelle. (Hakala ym. 2006, 55 56, ) 2.5 TIETOJEN JA RISKIEN MERKITYS TIETOTURVALLE Yksi tärkeimmistä yrityksen tietoturvalle määriteltävistä asioista on luoda tietoturvallisuuden suunnittelutyössä käytettävät tietojen ja riskien luokittelut ja niiden pohjana olevat luokittelukriteerit. Kun tietoturvallisuutta määritellään ja suunnitellaan, tarvitaan yksinkertainen tietojen ja riskien luokittelujärjestelmä. Tietojen luokitusjärjestelmällä määritellään mitkä yrityksen tiedot suojataan ensisijaisesti. Riskien luokitusjärjestelmällä kuvataan millaisiin riskeihin varaudutaan ensisijaisesti. (Hakala ym. 2006, 62, 65.) Tietoturvasuunnittelun yleismäärittely-vaiheessa tehdään myös tietojärjestelmäkohtainen riskianalyysi, joka muodostuu riskikartoituksesta ja riskien arvioinnista. Riskikartoituksessa etsitään yrityksen toimintaan liittyvät nykyhetken riskit sekä etsitään tulevaisuuden uhkakuvia. Riskikartoitus tehdään yleisellä tasolla, jolloin etsitään yrityksen tietojärjestelmiin yleisluontoisesti liittyviä riskejä ja uhkakuvia sekä tietojärjestelmäkohtaisesti jokaiselle tietojärjestelmälle omansa. Riskien arvioinnissa arvioidaan millä todennäköisyydellä löydetyt riskit ja uhkakuvat realisoituvat. Lisäksi arvioidaan löydettyjen riskien ja uhkakuvien vaikutus yrityksen toimintaan. Arvioinnissa hyödynnetään tietojen luokitusjärjestelmää. (Hakala ym. 2006, ) Tietoturvallisuuden suunnittelussa varaudutaan löydettyihin riskeihin ja haetaan keinoja niiden välttämiseksi. Lisäksi pyritään pienentämään riskien vaikutusta. Tietoturvallisuuden suunnittelussa etsitään ja valitaan taloudellisimpia keinoja suojautua riskeiltä. Kustannus-hyöty-ajattelu näkyy myös siinä, että tietoisesti tehdyn ratkaisun pohjalta ei suojaudutakaan kaikilta riskeiltä. Yrityksen tietoturvallisuudessa on löydettävissä riskejä, joiden poistaminen kokonaan on joskus mahdotonta. Tällaisten riskien todennäköisyys realisoitua alennetaan mahdollisimman pieneksi sekä varaudutaan riskiin lieventämällä riskin vaikutuksia. Tietoisen päätöksen jälkeen voidaan myös olla varautumatta joihinkin riskeihin. Riskien hallinnassa luodaan kriteerit hyväksyttävälle riskille, joka on riskeiltä suojautumisen tavoitteena. 8

13 Suojautumiskeinojen käyttöönottamisen jälkeen olemassa olevaa riskiä nimitetään jäännösriskiksi, jonka täytyy olla pienempi kuin hyväksyttävä riski. (Hakala ym. 2006, ) Riskiltä suojautuminen aiheuttaa lähes aina kustannuksia. Tiedon suojaamiskustannukset ja tiedon arvo täytyy arvioida, minkä jälkeen suojaamiskustannukset suhteutetaan suojattavan tiedon arvoon. Suojaamiseen käytettävien kustannusten tulee pysyä pienempinä kuin mitä suojattavan tiedon todellinen arvo on. Vaikka riskeiltä suojautuminen olisi miten tehokasta, riskien realisoitumiseen täytyy varautua. Tämä toteutetaan tekemällä kaikille yrityksen tietojärjestelmille erillinen toipumissuunnitelma. Tarkka toipumissuunnitelma helpottaa oikeiden ja tehokkaiden toimenpiteiden tekemistä, kun riski on realisoitunut. (Hakala ym. 2006, 94, 98.) Normaalioloissa piilevien riskien lisäksi yrityksen on varauduttava toimintaan poikkeusoloissa. Suomalaisissa yrityksissä tämä tarkoittaa varautumista esimerkiksi lakkoihin ja työsulkuihin, tulviin ja muihin poikkeuksellisiin sääolosuhteiseen sekä sähkökatkoksiin ja tautiepidemioihin. Tällaisia kriisejä ja poikkeusoloja varten yrityksen tulisi tehdä valmiussuunnitelma, jossa yrityksen tulisi arvioida eri kriisien ja poikkeusolojen vaikutuksia yrityksen toimintaan sekä miettiä miten yrityksen toiminta jatkuu kriisioloissa. Lisäksi yrityksen toiminta pitäisi osata tarvittaessa keskeyttää hallitusti sekä käynnistää uudelleen kriisin jälkeen. (Hakala ym. 2006, ) 2.6 LAITTEET, OHJELMISTOT JA TIETOVERKKO Työasemien tietoturva jaetaan pöytäkoneiden ja kannettavien tietokoneiden tietoturvaan. Käyttäjien osaaminen ja motivaatio ovat keskeisiä käytettäessä työasemia tietoturvallisesti. Kaikille käyttäjille pitäisi antaa ohjeistus laitteiden ja verkkopalvelujen oikeaoppisesta käytöstä. Myös sovellusten oikeasta käytöstä pitäisi tarvittaessa antaa ohjeistusta ja koulutusta. (Hakala ym. 2006, ) Verkon turvallisuuden ja sen suojauksen perusperiaatteen mukaan käyttäjälle annetaan vain välttämättömät oikeudet niihin laitteisiin ja niissä oleviin tietoihin, jotka hän tarvitsee. Tietoturvasuunnitelmaa tehtäessä tulee huomioida, että se on tasapainottelua tietojärjestelmällä tarjottavien palveluiden tason ja niistä aiheutuvien uhkatekijöiden välillä. (Hakala ym. 2006, 183.) Myös käyttöjärjestelmissä jokaiselle käyttäjälle annetaan henkilökohtainen käyttäjätunnus, jonka perusteella tietokoneiden käyttäjille pystytään antamaan keskenään erilaisia käyttöoikeuksia. Käyttöoikeuksia annettaessa pitäisi pyrkiä varmistamaan käyttäjälle sujuva työskentely omien työtehtäviensä hoitamiseksi. Yleinen periaate on, että aluksi käyttäjälle annetaan peruskäyttöoikeudet, jonka jälkeen käyttäjän oikeuksia lisätään tarpeen mukaan. Käyttöjärjestelmän toimintaa ja käyttöoikeuksien käyttöä seurataan palvelinjärjestelmän valvonnassa eli auditoinnissa. (Hakala ym. 2006, , 156.) Työasemien vakiointi tehostaa yrityksen työskentelyä. Vakioinnilla tarkoitetaan, että käyttöjärjestelmien ja käyttäjäympäristöjen asetukset sekä sovellusohjelmien kokoonpanot määritellään samanlaisia työtehtäviä tekeville käyttäjille keskenään samanlaisiksi. Tällöin työasemia voidaan monistaa koneelta toiselle. (Hakala ym. 2006, 133.) Palvelintietokoneet jaetaan toiminnan mukaan yrityksen peruspalvelimiksi ja ulkoisia palveluita tuottaviksi palvelimiksi. Palvelimissa käytetään vikasietoisia tekniikoita, joiden tavoitteena on vähentää laiterikon aiheutuvia käyttökatkoja. Käytännössä palvelimessa on yhden komponentin sijaan useita samoja komponentteja, kuten kiintolevyjä, tuulettimia, muistipiirejä ja virtalähteitä. (Hakala ym. 2006, ) Palvelinten käyttö tiedon tallennuspaikkana helpottaa tiedon varmistusten hallintaa. Ohjelmistopuolella tulee huolehtia käyttöjärjestelmien ja ohjelmistojen tietoturvapäivityksistä ja muista korjauspäivityksistä. Yleisimmät tietoturvaohjelmistot ovat virustentorjuntaohjelmistoja ja palomuurisovelluksia. Virustorjuntaohjelmien virustietokanta pitää päivittää riittävän usein jopa päivittäin. (Hakala ym. 2006, 135, 170.) Kannettavien tietokoneiden tietoturvan haasteena on se, että tietokoneen järjestelmää käytetään yrityksen sisäjärjestelmässä ja ulkopuolisissa järjestelmissä. Myös tiedon tallennus ja varmennus sekä virustietokantojen päivitys ovat keskeisiä. Tietoliikenneyhteyksien rakentaminen ja tietoliikenteen salaus korostuvat turvallisessa etätyöskentelyssä. Kannettavassa tietokoneessa säilytettävä kriittinen tieto täytyy olla turvassa myös silloin, jos kannettava joutuu ulkopuolisen henkilön haltuun. (Hakala ym. 2006, 137.) 9

14 Palvelinten varmistaminen on yksi yrityksen tietojärjestelmien perustoiminnoista. Laissa kuvataan miten vanhaa tietoa tulee säilyttää. Varmistusten käytännöt täytyy suunnitella ja toteuttaa huolellisesti. Myös varmistusten tapa, tiheys ja kohde täytyy suunnitella huolellisesti. Datan varmistaminen on yrityksen toiminnan kannalta tärkeintä. Datan tuhoutuminen on helpompi huomata kuin datan muuttuminen. Aika ajoin dataa joudutaan palauttamaan pitkänkin ajan kuluttua. Vanhaa dataa ei välttämättä pysty palauttamaan päivitettyyn ohjelmistoversioon. Siksi joskus on tärkeää varmistaa koko järjestelmä etenkin ennen suuria muutoksia. (Hakala ym. 2006, ) Tämän hetken tärkeimmät varmistusmediat ovat cd ja dvd, ulkoinen kiintolevy, varmistusnauha sekä nauharobotti. Varmistustietoja kannattaa säilyttää eri rakennuksessa kuin missä atk-tilat ovat. Säilytystilan on kestettävä tulipaloa ja vesivahinkoa sekä muita mahdollisia ongelmatilanteita. Varmistusten käytettävyys on hyvä testata. Tiedon muuttuminen tai tuhoutuminen aiheuttaa eniten tiedon eheyden ja saatavuuden ongelmia, minkä takia palautuksissa käsitellään useimmiten dataa. Palvelinjärjestelmän ongelmat johtuvat yleensä laiterikoista. Palvelinjärjestelmä tuhoutuu harvoin. Testaamalla ohjelmisto- ja käyttöjärjestelmäpäivitykset perusteellisesti ennen käyttöönottoa minimoidaan käyttöjärjestelmien ja ohjelmistojen tuhoutumista. (Hakala ym. 2006, 144, 146.) Tiedon eheys hoidetaan pääsääntöisesti ohjelmoinnilla ja sovellussuunnittelulla. Luottamuksellisuuden ja käytettävyyden ylläpito ovat keskeisiä tehtäviä verkon turvallisuuden varmistamisessa. Verkon luottamuksellisuutta ja käytettävyyttä ylläpidetään kontrolleilla. Näiden tietoliikenteen kontrollien tavoitteena on säilyttää verkossa liikkuvan tiedon luottamuksellisuus sekä varmistaa, että verkossa olevat palvelut ovat saatavilla. Tiedon saannin estyminen on uhka, joka kohdistuu tietoverkkoihin yleisimmin. Se myös realisoituu useimmiten. Käytännössä uhka realisoituu, kun jokin verkon laite vikaantuu tai tiedon saanti estetään tahallisella hyökkäyksellä, jolla tukitaan palvelun toiminta. Viime aikoina hyökkäykset ovat kohdistuneet yleisimmin postipalvelimiin. (Hakala ym. 2006, , 186.) Verkonhallinnan tärkein tehtävä on turvata verkossa tarjottavien palveluiden toimivuus. Verkonhaltijan on varmistettava myös palvelimen ja sitä käyttävien asiakkaiden välillä olevien yhteyksien ylläpito sekä yhteyksien luotettavuus ja turvallisuus. Lisäksi verkonhaltijan vastuulla on verkon siirtokapasiteetin riittävyys. (Hakala ym. 2006, 259.) Verkolla ja palvelimilla tarjottavan kapasiteetin on oltava riittävä. Verkon rakenne on suunniteltava ennen verkon suojaamiseen liittyvien päätösten tekemistä. Rakenteen suunnittelussa mietitään mihin verkon osaan palvelut sijoitetaan sekä millaisia aktiivilaitteita, kaapelijärjestelmiä ja laajaverkkoliittymiä käytetään. Tietoliikenteen pullonkaulojen määrä minimoidaan ja oma sisäverkko rakennetaan siten, että sinne pääsee ulkoa vain suojattuja yhteyksiä käyttämällä. Palomuuri on laite tai ohjelmisto, jolla estetään luvattoman henkilön pääsy verkkoon tai verkossa tarjottavaan yksittäiseen palveluun. (Hakala ym. 2006, 184, 187.) Aikaisemmin sisäverkoissa käytettiin reitittimiä. Nykyisissä sisäverkoissa reitittimet korvataan kytkimillä. Kytkimet mahdollistavat useimpien verkon arkkitehtuurista aiheutuvien ongelmien ratkaisemisen. Ne tekevät mahdolliseksi myös vikasietoisten verkkojen toteuttamisen ja virtuaalisten lähiverkkojen yhdistämisen. Virtuaalisilla lähiverkoilla pystytään keskeisesti parantamaan siirrettävien tietojen luottamuksellisuutta. Dynaaminen reititys mahdollistaa varareittien hyödyntämisen staattista reititystä tehokkaammin. Lisäksi dynaamisella reitityksellä pystytään käyttämään rinnakkaisia reittejä sekä tasaamaan verkon kuormitusta. (Hakala ym. 2006, 227, 230, 239.) 10

15 3 EMPIIRINEN OSA 3.1 TUTKIMUSAINEISTO Tämän tutkimuksen osana on suoritettu ei-kokeellinen empiirinen tutkimus. Tutkimusaineisto on kerätty kirjallisella kyselyllä. Kysely on toteutettu pääasiallisesti sähköisesti. Internetiin on laadittu wwwsivu, joka on ollut ASP-koodilla tehty kyselylomake. Www-sivu on siirretty Internetiin Malmin liiketalousinstituutin palvelimelle. Tämän jälkeen on lähetetty sähköposti kaikille sellaisille sähköpostitse tavoitettavissa oleville Malminseudun yritysyhdistykseen kuuluville yrityksille, joiden sähköpostiosoite on löytynyt Malminseudun yritysyhdistyksen www-sivustolta (http://www.malminseudunyritysyhdistys.fi). Yhteensä sähköposteja on lähetetty 136. Lähetettyihin sähköposteihin on tullut 7 vastausta, että vastaanottajan sähköpostiosoite ei ole käytössä. Näin ollen on oletettavaa, että sähköposti on mennyt perille 129 yritykselle. Sähköpostissa on kerrottu kyselylomakkeen URL-osoite ja yritystä on pyydetty vastaamaan kyselyyn eli täyttämään kyselylomakkeen Internetissä. Yritysten vastaustiedot on siirretty lomakkeelta tutkijan luomaan Microsoft Access -tietokantaan. Vastauksia saapui määräaikaan mennessä yhteensä 16 kappaletta eli kyselyyn vastasi 12,4 prosenttia niistä 129 yrityksestä, joille sähköposti meni oletettavasti perille. Näistä 16 vastauksesta 2 saatiin sähköpostilla, koska sähköisen kyselylomakkeen täyttämisessä oli yrityksellä ongelmia. Lisäksi yksi vastaus saatiin paperilla yritysvierailun yhteydessä. Kaikissa kolmessa yrityksessä vastattiin täsmälleen samoihin kysymyksiin kuin sähköisessä kyselylomakkeessa. Kaikki vastanneet yritykset sijaitsevat Helsingissä. Suurin osa yrityksistä eli 10 yritystä sijaitsee Helsingin Malmin kaupunginosassa. Kyselyyn vastasi yksi yritys myös Tapaninkylästä, Suutarilasta ja Puistolasta. Lisäksi yksi yritys ilmoittaa, että sen yrityksellä on toimipiste Oulunkylässä, Pukinmäellä ja Hakaniemessä. Kaksi yritystä ei ole määritellyt sijaintiansa Helsingin kaupunkia tarkemmaksi. Yrityksistä selvitettiin myös vakinaisten työntekijöiden määrä. Myöhemmin puhuttaessa työntekijöiden määrästä tarkoitetaan nimenomaan vakinaisten työntekijöiden määrää. Yritysten ilmoittamien työntekijöiden määrän keskiarvoksi saadaan 13,4 työntekijää. Tekesin (2006) määritelmän mukaan yritys on henkilöstömäärältään pk-yritys, jos sen työntekijämäärä on alle 250. Kaikki vastanneet yritykset täyttävät tämän ehdon, sillä työntekijämäärältään suurimman yrityksen vastauksessa ilmoitetaan työntekijöiden määräksi 100. Loput vastanneista yrityksistä ovat työntekijämäärältään pieniä. Laskettaessa näiden 15 pienimmän yrityksen työntekijämäärän keskiarvo, saadaan tulokseksi 7,6 työntekijää. Kaikkien 16 yrityksen työntekijämäärät on esitetty taulukossa 1. TAULUKKO 1 Kyselyyn vastanneiden yritysten vakinaisten työntekijöiden määrät Työntekijöitä Taulukosta 1 nähdään, että yritysten työntekijöiden määrä vaihtelee välillä Toiseksi suurimmassa yrityksessä on 19 työntekijää. Seuraavaksi suurimmissa yrityksissä on 15 ja 12 sekä kahdessa 11

16 yrityksessä 10 työntekijää. Vastanneista 16 yrityksestä kymmenessä on alle 10 työntekijää. Näistä yhdessä yrityksessä on 9 työntekijää, yhdessä 7 ja kahdessa 6 työntekijää. Loput kuusi yritystä on alle 5 työntekijän yrityksiä. Näistä kolmessa on 4 työntekijää, kahdessa 3 ja yhdessä 2 työntekijää. Myöhemmin tutkimustulosten esittelyssä, kun yrityksiä vertaillaan koon mukaan, vertailu tehdään yritysten työntekijöiden määrän mukaan. Toimialaa koskeneeseen kysymykseen tuli 15 vastausta eli yksi yritys ei ole ilmoittanut toimialaansa. Yrityksen toimiala -kysymyksen vastauskenttä oli vapaateksti-muotoinen, eli yritys sai itse kirjoittaa vapaasti toimialakuvauksensa. Tilastokeskuksen (2002) toimialaluokituksessa yritykset jaetaan toimialan mukaan 18 pääluokkaan. Taulukossa 2 on esitetty Tilastokeskuksen toimialaluokituksen mukainen yritysten jakautuminen eri toimialoille. TAULUKKO 2 Kyselyyn vastanneiden yritysten edustamat toimialat Toimiala Yritystä (kpl) Teollisuus 6 Sähkö-, kaasu- ja vesihuolto 1 Tukku- ja vähittäiskauppa 4 Majoitus- ja ravitsemistoiminta 1 Kuljetus, varastointi ja tietoliikenne 1 Koulutus 1 Terveydenhuolto- ja sosiaalipalvelut 1 Taulukosta 2 voidaan havaita, että vastanneet 15 yritystä edustavat yhteensä seitsemää toimialaa. Eniten kyselyyn vastasi teollisuuden sekä tukku- ja vähittäiskaupan toimialoihin kuuluvia yrityksiä. Teollisuuden toimialan yrityksiä vastasi kuusi yritystä sekä tukku- ja vähittäiskaupan toimialalta neljä yritystä. Kyselyyn osallistui yksi sähkö-, kaasu- ja vesihuollon yritys sekä yksi kuljetusyritys. Lisäksi vastaajien joukossa oli yksi koulutusta tarjoava yritys, yksi majoitus- ja ravitsemistoiminnan yritys sekä yksi terveydenhuolto- ja sosiaalipalveluja tuottava yritys. Kyselyssä pyydettiin kertomaan kyselyyn vastanneen henkilön asema yrityksessä. Tähän kysymykseen saatiin 14 vastausta eli kaksi vastaaja ei ilmoittanut asemaansa yrityksessä. Kyselyyn vastasi 10 yrityksessä toimitusjohtaja. Yhdessä yrityksessä kyselyyn vastasi vastuunalainen yhtiömies ja yhdessä hallituksen puheenjohtaja. Lisäksi yksi vastaaja ilmoitti olevansa hallinnollisista asioista vastaava henkilö ja yksi atk-päällikkö. Taulukossa 3 esitetään yhteenveto vastaajien asemasta. TAULUKKO 3 Kyselyyn vastanneiden henkilöiden asema yrityksessä Asema yrityksessä Vastaajia (kpl) Toimitusjohtaja 10 Vastuunalainen yhtiömies 1 Hallituksen puheenjohtaja 1 Atk-päällikkö 1 Hallinnollisista asioista vastaava 1 Ei ilmoita asemaansa 2 Yrityksistä voidaan antaa vain vähän tarkkoja tietoja, koska ainakin osassa yrityksiä yritysten toimialasta ja henkilöstömäärästä olisi helposti pääteltävissä mistä yrityksestä on kyse. Yrityksistä voidaan kuitenkin kertoa seuraavat asiat: YR1 malmilainen keskisuuri tukku- ja vähittäiskaupan alan yritys YR2 malmilainen pieni tukku- ja vähittäiskaupan alan yritys YR3 malmilainen pieni teollisuudenalan yritys YR4 pieni koulutusalan yritys, jolla on toimipiste kolmessa Helsingin kaupunginosassa YR5 malmilainen pieni teollisuudenalan yritys YR6 pieni helsinkiläinen kuljetusalan yritys YR7 pieni teollisuudenalan yritys, joka sijaitsee Helsingin Suutarilassa YR8 malmilainen pieni tukku- ja vähittäiskaupan alan yritys YR9 malmilainen pieni teollisuudenalan yritys YR10 malmilainen pieni teollisuudenalan yritys 12

17 YR11 pieni helsinkiläinen majoitus- ja ravitsemistoiminnan alan yritys YR12 malmilainen pieni yritys, jonka toimialaa ei ole kerrottu YR13 pieni tukku- ja vähittäiskaupan alan yritys Helsingin Puistolassa YR14 malmilainen pieni teollisuudenalan yritys YR15 pieni sähkö-, kaasu- ja vesihuoltoalan yritys Helsingin Tapaninkylässä YR16 malmilainen pieni terveydenhuolto- ja sosiaalipalvelualan yritys Kyselylomake jaetaan kahteen osaan. Kyselyn viisi ensimmäistä kysymystä kartoittavat yrityksen taustatietoja. Varsinaisesti tietoturvan tilaa selvitetään 26 kysymyksellä. Nämä kysymykset on aseteltu siten, että käyttäjä vastaa niihin kyllä tai ei. Kyselylomakkeeseen ei ole tehty tarkistuskoodia, joka pakottaisi käyttäjän vastaamaan jokaiseen kohtaan. Näin ollen jokainen yritys ei ole välttämättä vastannut kaikkiin kysymyksiin. Kyselyn tarkoituksena on selvittää millainen on yritysten tietoturvan tila eräillä tietoturvan osa-alueilla. Kysymyksillä tutkitaan tietoturvan hallinnollisen hoitamisen tasoa, esimerkiksi suunnitelmien ja vastuiden osalta. Yrityksiltä kysytään tietoturvan kehittämisestä ja raportoimisesta sekä selvitetään tiedon arvon merkitystä yritykselle. Kyselyssä kartoitetaan myös varmuuskopiointiin suhtautumista. 3.2 TUTKIMUSMENETELMÄN ESITTELY Tutkittavia yrityksiä on 16. Tutkimustulosten käsittelyssä käytetään ensisijaisesti kvantitatiivista tutkimusmenetelmää. Saadut vastaukset käydään kysymys kysymykseltä läpi ja lasketaan saatujen kyllävastausten ja ei-vastausten määrä. Myös mahdollisten tyhjien vastausten määrä lasketaan. Tutkimuksessa käytetään jossain määrin vertailevaa menetelmää. Yritysten vastauksista haetaan kysymys kysymykseltä yhtäläisyyksiä ja eroja. Kysymyksille pyritään muodostamaan yhteyksiä muihin kysymyksiin eli haetaan toisiinsa liittyviä tai toisistaan riippuvia kysymyksiä ja vertaillaan niistä saatujen vastauksien yhtäläisyyksiä ja eroja eri yritysten välillä. Näin vertailemalla vastauksista pyritään selvittämään onko esimerkiksi toimialalla tai vakinaisten työntekijöiden määrällä vaikutusta saatujen vastausten luonteeseen. Jos tällaisia yhteyksiä löydetään, verrataan kyseisten kysymysten vastauksia keskenään ja mietitään miten mainitut asiat ovat suhteessa toisiinsa. Samalla mietitään ovatko vastaukset yllättäviä vai voidaanko niiden katsoa olevan odotetunlaisia. Vastauksista pyritään löytämään niitä tietoturvan osa-alueita, joista yrityksissä on huolehdittu riittävällä tasolla. Toisaalta vastauksista pyritään nostamaan esiin ne tietoturvan osa-alueet, joihin yritysten tulisi kiinnittää enemmän huomiota ja parantaa niitä. Vastauksista pyritään selvittämään myös, mitkä tietoturvan osa-alueet yritykset kokevat tärkeinä ja vastaavasti epäoleellisina. Yksi yrityksistä on työntekijämäärältään selkeästi suurempi kuin muut yritykset. Saaduista vastauksista pyritään selvittämään poikkeavatko tämän yrityksen vastaukset muiden yritysten vastauksista jollakin tietoturvan osa-alueella. Vastanneista yrityksistä yli puolet eli 10 yritystä toimii teollisuuden tai tukku- ja vähittäiskaupan alalla. Erityisesti näillä toimialoilla toimivien yritysten vastauksista pyritään löytämään toimialaluokkakohtaisia yhtäläisyyksiä tietoturvan tilassa. Kaikki vastanneet yritykset sijaitsevat Helsingissä, pääasiassa Malmilla. Muutkin yritykset sijaitsevat Malmin lähettyvillä, joten yritysten sijainnista ei pyritä etsimään erityisiä piirteitä vastausten esittelyssä. 13

18 4 TUTKIMUSTULOSTEN ESITTÄMINEN Selkeä enemmistö vastanneista yrityksistä ilmoittaa, että yrityksellä on selkeä johdon hyväksymä tietoturvapolitiikka. Tietoturvapolitiikka löytyy 11 yritykseltä. Samalla vain 5 yritystä ilmoittaa, että yrityksestä ei löydy tällaista tietoturvapolitiikkaa. Sen sijaan tietoturvasuunnitelmaa ei löydy läheskään kaikista yrityksistä. Yhdeksän yritystä ilmoittaa, että yrityksellä ei ole tietoturvasuunnitelmaa. Tietoturvasuunnitelma on tehty seitsemässä yrityksessä. Kaikki yritykset, joille tietoturvasuunnitelma on tehty, ovat sellaisia, joista löytyy myös johdon hyväksymä tietoturvapolitiikka. Sen sijaan neljässä sellaisessa yrityksessä, joissa on yrityksen hyväksymä tietoturvapolitiikka, ei ole tehty tietoturvasuunnitelmaa. Vastauksista on nähtävissä, että työntekijöiden määrä vaikuttaa jossain määrin tietoturvapolitiikan olemassa oloon: kaikkiaan 11 tietoturvapolitiikan löytymisestä ilmoittavasta yrityksestä yhdeksän kuuluu kymmenen työntekijämäärältään suurimman yrityksen joukkoon. Tietoturvasuunnitelma sen sijaan löytyy kaiken kokoisista yrityksistä. Työntekijöiden määrä ei näyttäisi vaikuttavan myöskään siihen löytyykö yrityksestä sekä tietoturvapolitiikka että tietoturvasuunnitelma, sillä myös toisesta 3 työntekijän yrityksestä on löydettävissä molemmat. Kymmenestä suurimmasta yrityksestä ainoastaan yhdeltä yritykseltä ei löydy tietoturvapolitiikkaa eikä tietoturvasuunnitelmaa. Jos tarkastellaan kaikkia yrityksiä, viideltä yritykseltä ei löydy kumpaakaan edellä mainituista. Tarkasteltaessa yrityksiä toimialoittain huomataan, että kaikissa kuudessa teollisuuden alan yrityksessä on tehty tietoturvapolitiikka, mutta tietoturvasuunnitelma puuttuu kahdelta yritykseltä. Tukku- ja vähittäiskaupan alan yritysten vastauksista ei näiltä osin löydy keskinäisiä yhtäläisyyksiä. Tietoturvavastuut on määritelty yhdeksässä yrityksessä. Seitsemän yritystä ilmoittaa, että tietoturvavastuista ei ole tehty määrittelyä. Työntekijöiden määrä näyttäisi vaikuttavan jossain määrin tietoturvavastuiden määrittelyyn, sillä kyllä-vastanneista yhdeksästä yrityksestä kuusi kuuluu seitsemän työntekijämäärältään suurimman yrityksen joukkoon. Tietoturvavastuiden määrittelyitä on tehty kuitenkin myös pienimmissä yrityksissä, sillä molemmat kolmen työntekijän yritykset ilmoittavat, että tietoturvavastuut on määritelty. Molemmat näistä yrityksistä ovat siinä suhteessa edistyksellisiä, että niissä on olemassa myös johdon hyväksymä tietoturvapolitiikka. Tietoturvasuunnitelma löytyy kuitenkin vain toisesta yrityksestä. Toinen näistä yrityksistä kuuluu teollisuuden toimialaan ja toinen sähkö-, kaasu- ja vesihuollon alaan. Tietoturvallisuuden riskikartoitus on tehty vain viidessä yrityksessä. Nämä yritykset kuuluvat työntekijämäärältään 10 suurimman yrityksen joukkoon. 11 yritystä vastaa, että yrityksessä ei ole tehty tietoturvallisuuden riskikartoitusta. Kuudessa näistä yrityksistä on olemassa kuitenkin tietoturvapolitiikka. Kaikki kyllä-vastanneet yritykset ovat sellaisia, joissa on tehty tietoturvapolitiikka ja määritelty tietoturvavastuut. Tietoturvasuunnitelmakin on tehty neljässä yrityksessä viidestä. Kun tutkimustuloksia tarkastellaan työntekijämäärän suhteen, huomataan, että kuudesta suurimmasta yrityksestä riskikartoituksen on tehnyt neljä yritystä. Vastaavasti kuudesta pienimmästä yrityksestä yksikään ei ole tehnyt tietoturvallisuuden riskikartoitusta. Toimialalla ei näyttäisi vaikuttavan tuloksiin mitenkään, sillä sekä kyllä- että ei-vastauksia on tullut eri toimialoissa. Lähes kaikki yritykset eli 14 yritystä vastaa, että yrityksessä ei ole tehty tietoturvallisuuden kehittämissuunnitelmaa. Tietoturvallisuuden kehittämissuunnitelma on tehty ainoastaan kahdessa yrityksessä. Kaikki kymmenen toimitusjohtajaa vastaavat, että yrityksellä ei ole tietoturvallisuuden kehittämissuunnitelmaa. Molemmissa näistä yrityksistä on olemassa tietoturvapolitiikka ja tietoturvasuunnitelma. Kyseisissä yrityksissä on määritelty myös tietoturvavastuut ja tehty riskikartoitus. Toinen yrityksistä on teollisuuden ja toinen kuljetusalan yritys. Yritykset edustavat työntekijämäärältään vastanneiden yritysten keskiarvoa. Näin ollen työntekijämäärällä ei näyttäisi olevan vaikutusta kehittämissuunnitelman olemassaoloon. Ei-vastanneista yrityksistä kolmessa on kuitenkin tehty tietoturvallisuuden riskikartoitus. Kaikki 16 kyselyyn vastannutta yritystä ilmoittavat tietävänsä mikä on heidän yrityksessänsä arvokasta tietoa. Yritykset myös pääsääntöisesti tietävät miten yrityksen arvokasta tietoa valvotaan, sillä vain kaksi yritystä vastaa, että ei tiedä miten yrityksen arvokasta tietoa valvotaan. Näiden kahden yrityksen kesken ei ole löydettävissä mitään yhtäläisyyksiä työntekijämäärän tai toimialan suhteen. Vain kolme yritystä ilmoittaa, että yrityksessä katoaa tietoa. Yksi näistä yrityksistä on toinen niistä yrityksistä, jotka ilmoittavat, että eivät tiedä miten heidän yrityksessään valvotaan arvokasta tietoa. Työntekijämäärältään ja toimialaltaan näillä kolmella yrityksellä ei ole yhtäläisyyttä. 13 yrityksessä tietoa ei ilmoiteta katoavan. 14

19 11 yrityksen vastauksen mukaan, jos yrityksestä varastettaisiin tietokone, sen sisältämää tietoa voitaisiin hyödyntää. Viiden yrityksen vastauksissa tiedon hyödyntämistä ei pidetä mahdollisena. Kaikki kuusi kyselyyn vastannutta teollisuuden alan yritystä kuuluvat niihin 11 yritykseen, joissa tiedon hyödyntäminen varastetusta koneesta pidetään mahdollisena. Myös tukku- ja vähittäiskaupan yritykset yhtä lukuunottamatta pitävät tiedon hyödyntämistä varastetusta tietokoneesta mahdollisena. Puolessa eli 8 vastanneessa yrityksessä on tietojen suojaamisesta huolehdittu siten, että yrityksessä mahdollisesti syttyvä tulipalo ei voi tuhota yrityksen tärkeitä tietoja ja pysäyttää yrityksen liiketoimintaa. Kuitenkin vajaassa puolessa eli 7 yrityksessä tietojen tuhoutumista tulipalossa ja liiketoiminnan pysähtymistä pidetään mahdollisena. Yksi yritys vastaa kysymykseen kyllä ja ei, eli tulipalo voi tuhota osan yrityksen tiedoista. Vastauksista on nähtävissä, että työntekijöiden määrä ei vaikuta tietojen tulipalolta suojaamisen tasoon. Myöskään toimialoittain kohdistuvassa tarkastelussa ei ole nähtävissä mitään yhtäläisyyttä toimialojen välillä. Mainittakoon kuitenkin, että teollisuuden alojen yrityksistä kolme vastaa tähän kysymykseen kyllä, ja niistäkin yksi on se yritys, joka vastaa kysymykseen kyllä ja ei. Kymmenen yritystä vastaa, että yrityksestä irtisanottu työntekijä voi tuhota tärkeitä tietoja tai viedä ne eteenpäin ja hyötyä niistä. Kuudessa yrityksessä tällaista toimintaa ei pidetä mahdollisena. Työntekijämäärä ei näyttäisi vaikuttavan vastaukseen, sillä molempia vastauksia on kaiken kokoisissa yrityksissä. Teollisuuden toimialalla toimivista kuudesta yrityksestä vain yksi vastaa tähän kysymykseen kielteisesti. Näin ollen viidessä vastanneessa teollisuuden alan yrityksessä pidetään tietojen tuhoamista ja hyödyntämistä irtosanotun työntekijän toimesta mahdollisena. Yksi kysymys koskee ohjelmistojen salasanojen säilytyspaikkaa. Vastanneista henkilöistä neljä tietää yrityksessä jonkun henkilön, joka säilyttää ohjelmistosalasanaa tietokoneen lähettyvillä. Kyllävastanneet yritykset ovat kaiken suuruisia ja ne edustavat eri toimialoja. Kolmessa niistä löytyy tietoturvapolitiikka. Vain yhdessä kyllä-vastanneessa yrityksessä on tehty tietoturvallisuuden riskikartoitus. Ei-vastauksia tuli tähän kysymykseen 12 yritykseltä. Kuudessa yrityksessä käyttäjätunnus annetaan pyydettäessä toisen henkilön, esimerkiksi mikrotukihenkilön, tietoon. Viisi näistä yrityksistä kuuluu kahdeksan työntekijämäärältään suurimman yrityksen joukkoon. Lähes kaikki yritykset, joissa käyttäjätunnus annetaan pyydettäessä, ilmoittavat tietävänsä miten yrityksen tärkeää tietoa valvotaan. Ainoastaan yksi näistä kuudesta yrityksestä ei tiedä valvonnan periaatteita. Kymmenessä yrityksessä käyttäjätunnuksia ei anneta pyydettäessäkään muiden henkilöiden tietoisuuteen. Toimialan mukaisessa tarkastelussa ei ole nähtävissä keskinäistä yhteneväisyyttä eri toimialojen sisällä. Yli puolessa yrityksistä eli 9 yrityksessä on tunnistettu tietoturvallisuuden kehittämistarpeet. Seitsemän yritystä vastaa, että tietoturvallisuuden kehittämistarpeiden tunnistusta ei ole tehty. Työntekijämäärän mukaan tarkasteltuna ei ole löydettävissä mitään yhtäläisyyttä erikokoisten yritysten kesken. Sen sijaan toimialoittain tarkasteltaessa huomataan, että yhtä lukuunottamatta kaikissa muissa teollisuuden alan yrityksissä on tunnistettu tietoturvallisuuden kehittämistarpeet. Kehittämistarpeiden tunnistuksessa saatuja tuloksia ei ole kuitenkaan välttämättä hyödynnetä täydellisesti, sillä vain yhdessä niistä yhdeksästä yrityksestä, jossa tietoturvallisuuden kehittämistarpeet on tunnistettu, on tehty tietoturvallisuuden kehittämissuunnitelma. On kuitenkin huomioitava, että kehittämissuunnitelma on tehty kaiken kaikkiaankin vain kahdessa yrityksessä. Tietoturvallisuuden kehittämistarpeet tunnistaneista yhdeksästä yrityksestä kolmessa on tehty myös tietoturvallisuuden riskikartoitus. Viidellä kehittämistunnistuksen tehneistä yrityksistä on olemassa tietoturvasuunnitelma. Tietoturvaan liittyvistä tapahtumista ja heikkouksista raportoidaan kuudessa yrityksessä. Kuitenkin enemmistö yrityksistä eli 10 yritystä ilmoittaa, että tällaista raportointia ei tehdä. Työntekijämäärä ei näyttäisi vaikuttavan yritysten vastauksiin, sillä raportointia tehdään kaiken kokoisissa yrityksissä. Myöskään yrityksen toimialalla ei kyselyllä saatujen vastausten mukaan ole vaikutusta tietoturvaraportoinnin tekemiseen tai tekemättömyyteen. Henkilöstö perehdytetään tietoturvan käytäntöihin yhdeksässä yrityksessä. Näistä yrityksistä viisi kuuluu seitsemän työntekijämäärältään suurimman yrityksen joukkoon. Perehdytystä tehdään kuitenkin kaikkein pienimmissäkin yrityksissä. Tietoturvakäytäntöjen perehdytystä ei tehdä seitsemässä yrityksessä. Yhdessä yrityksessä, jossa perehdytystä annetaan, ei ole olemassa tietoturvapolitiikkaa. Vastaavasti kolmessa yrityksessä, joissa yritykselle on luotu tietoturvapolitiikka, työntekijöitä ei perehdytetä tietoturvan käytäntöihin. Yhdessä yrityksessä, jossa on määritelty tietoturvavastuut, työntekijöille ei anneta tietoturvaperehdytystä. Teollisuuden alan yrityksistä tietoturvaan perehdyttämistä tapahtuu viidessä yrityksessä. 15

20 Yhdessä yrityksessä, joissa työntekijöille ei anneta tietoturvaperehdytystä, työntekijän tiedetään säilyttävän ohjelmistosalasanaa tietokoneen lähettyvillä. Kyseisessä yrityksessä sekä yhdessä toisessa eivastanneessa yrityksessä annetaan käyttäjätunnukset pyydettäessä toisen työntekijän tietoisuuteen. Kummastakaan yrityksestä ei löydy tietoturvapolitiikkaa. Vastaavasti kolmessa tietoturvaperehdytystä antavassa yrityksessä joku työntekijä säilyttää ohjelmistosalasanaa tietokoneen lähettyvillä. Näissä yrityksissä on olemassa myös tietoturvapolitiikka. Samoissa yrityksissä annetaan myös käyttäjätunnukset pyydettäessä toisen työntekijän tietoisuuteen. Työntekijöiden pääsyä eri Internet-sivustoille on rajoitettu kuudessa yrityksessä. Suurimmassa osassa eli kymmenessä yrityksessä sivustojen käytön rajoittamista ei ole kuitenkaan tehty. Kyllä-vastanneet yritykset ovat kaiken kokoisia ja ne edustavat eri toimialoja. Neljässä niistä on tehty tietoturvallisuuden riskikartoitus. Yhdestä kyllä-vastanneesta yrityksestä ei löydy tietoturvapolitiikkaa. Viidessä yrityksessä, joissa Internet-sivustojen käyttöä ei ole rajoitettu, ei perehdytetä työntekijöitä tietoturvan käytäntöihin. Näistä kahdessa yrityksessä ei myöskään tiedetä, miten yrityksen arvokasta tietoa valvotaan. Vain kolmessa yrityksessä joku yrityksen työntekijöistä niin sanotusti etätyöskentelee tietokoneella. Tällä tarkoitetaan sitä, että työntekijä työskentelee verkon välityksellä esimerkiksi kotoa. 12 yritystä vastaa, että yrityksessä ei kukaan työskentele etänä. Yksi yritys ei ole vastannut lainkaan tähän kysymykseen. Kyllä-vastauksen antaneet yritykset ovat kaiken kokoisia, eivätkä ne edusta mitään yksittäistä toimialaa. Kysymykseen, onko etätyön tietoturvasta huolehdittu, pyydettiin vastaamaan vain, jos yrityksessä on etätyöskentelijöitä. Kysymykseen on saatu kolme vastausta, jotka ovat niiltä yrityksiltä, jotka ilmoittivat, että yrityksessä on etätyöskentelijöitä. Kaikki nämä kolme yritystä vastaavat kysymykseen kyllä eli heidän mielestänsä yrityksen etätyön tietoturvasta on huolehdittu. Yhdessä näistä yrityksistä ei ole määritelty tietoturvavastuita. Samassa yrityksessä ei myöskään perehdytetä työntekijöitä tietoturvan käytäntöihin. 11 yrityksessä on sovittu tärkeiden työtehtävien varahenkilöjärjestystä. Viidessä yrityksessä tällaista varahenkilöjärjestelyä ei ole tehty. Kyllä-vastanneet yritykset ovat pääsääntöisesti työntekijämäärältään suurimpia. Neljän pienimmän yrityksen joukossa vain yksi yritys ilmoittaa, että tärkeiden työtehtävien varahenkilöjärjestelystä on sovittu. Toimialakohtaisesti ei ole nähtävissä mitään yhteneväisyyttä eri alojen välillä. Esimerkiksi sekä teollisuuden että tukku- ja vähittäiskaupan alan yritykset antavat sekä kyllä- että ei-vastauksia. Kolmessa varahenkilöjärjestelyn tehneessä yrityksessä ei ole olemassa tietoturvapolitiikkaa. Kuudessa kyllä-vastanneessa yrityksessä työntekijät perehdytetään tietoturvakäytäntöihin. Ei-vastanneista yrityksistä tietoturvaperehdytystä annetaan kolmessa yrityksessä ja kahdessa ei anneta. Vain yhdessä ei-vastanneessa yrityksessä on tehty tietoturvallisuuden riskikartoitus. Ainoastaan kolmessa yrityksessä on olemassa ohjeet miten tulee toimia, jos työntekijä epäilee jotakin toista työntekijää tietoturvaväärinkäytöksestä. Loput 13 yritystä ilmoittavat, että yrityksellä ei ole tällaisia ohjeita. Toimialan mukaan tarkasteltuna ei ole nähtävissä yhteneväisyyttä eri aloilla. Kaksi väärinkäytösohjeistuksesta huolehtinutta yritystä on työntekijämäärältään suuria. Kolmas yritys on työntekijämäärältään keskiarvoa pienempi. Kaikissa kolmessa kyllä-vastanneessa yrityksessä oli olemassa tietoturvapolitiikka. Niissä on määritelty myös tietoturvavastuut ja tehty riskikartoitus. Yrityksistä vain 2 ilmoittaa, että yrityksessä raportoidaan tietoturvaan liittyvistä tapahtumista ja heikkouksista. Eivastanneista yrityksistä tietoturvaraportointia tehdään neljässä yrityksessä. Kahdeksasta eivastanneesta yrityksestä löytyy tietoturvapolitiikka ja tietoturvasuunnitelmakin löytyy viideltä. Lähes kaikissa eli 13 yrityksessä annetaan työntekijöille käyttöoikeudet vain niihin tietoihin, joita työtehtävät vaativat. Kaikki teollisuuden alan ja kolme tukku- ja vähittäiskaupan alan yritystä kuuluvat tähän joukkoon. Vain kolmen yrityksessä käyttäjäoikeudet annetaan jollakin toisella periaatteella. Eivastanneet yritykset ovat työntekijämäärältään keskiarvoa pienempiä yrityksiä. Näistä yksi yritys ei tiedä miten yrityksen arvokasta tietoa valvotaan. Kaikissa 16 yrityksessä otetaan tiedoista varmuuskopioita. Näistä kolme yritystä kuitenkin ilmoittaa, että yrityksessä katoaa tietoa. 11 yritystä ilmoittaa, että varmuuskopioiden toimivuus testataan riittävin väliajoin. Viidessä yrityksessä varmuuskopioiden testausta ei tehdä. Näistä yksi yritys ilmoittaa, että yrityksellä katoaa tietoa. Kyllä- ja ei-vastauksia tulee kaiken kokoisissa yrityksissä ja kaikilla toimialoilla. Kaksi yritystä, jotka epäilevät, että tulipalo voisi tuhota yrityksen tiedot ja pysäyttää yrityksen liiketoiminnan, eivät testaa varmuuskopioiden toimivuutta riittävin väliajoin. Neljässä yrityksessä, joissa irtisanottu työntekijä voi tuhota tärkeitä tietoja tai viedä niitä eteenpäin, ei myöskään testata varmuuskopioiden toimivuutta. Myöskään siinä yrityksessä, jossa työntekijöiden käyttöoikeuksia tietoihin ei an- 16

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa HELIA TIKO 25.9.2006 ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki Tietoturva tiedon varastoinnissa 1 Sisällysluettelo Miksi Tietoturvaa? Tietoturva vrs. Tietosuoja Uhkia Tietoturvan osa-alueet

Lisätiedot

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi

PK-yrityksen tietoturvasuunnitelman laatiminen www.turkuamk.fi Matti Laakso / Tietoturvapäivä 8.2.2011 PK-yrityksen tietoturvasuunnitelman laatiminen Tietoturvasuunnitelma 1/3 Toimenpiteiden ja dokumentoinnin lopputuloksena syntyvä kokonaisuus -- kirjallinen tietoturvasuunnitelma

Lisätiedot

Tietoturvapolitiikka

Tietoturvapolitiikka Mäntsälä Hyväksyntä Julkisuusluokka JULKINEN Sijainti Versio 0.9 2/8 Sisällys 1 Johdanto... 4 2 Mitä tietoturvallisuus on?... 4 2.1 Tietoturvallisuuden hallinta... 5 2.2 Riskienhallinta sekä jatkuvuuden

Lisätiedot

Lappeenrannan kaupungin tietoturvaperiaatteet 2016

Lappeenrannan kaupungin tietoturvaperiaatteet 2016 1 (7) Lappeenrannan kaupungin tietoturvaperiaatteet 2016 Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen 25.11.2015 Valmis Tietohallintotyöryhmän käsittelyyn. 1.0 3.12.2015

Lisätiedot

Vihdin kunnan tietoturvapolitiikka

Vihdin kunnan tietoturvapolitiikka Vihdin kunnan tietoturvapolitiikka Kunnanhallitus 2.3.2015 50, liite 2 Kunnan johtoryhmä 18.11.2014 Tietohallinnon ohjausryhmä (Thor) 24.9.2014 Sisällys 1 Johdanto... 2 2 Mitä tietoturvallisuus on?...

Lisätiedot

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka Porvoon Kaupunki Tietoturvapolitiikka Porvoon Kaupunki 1 Sisältö 1 Johdanto... 3 2 Mitä tietoturvallisuus on?... 4 Tietoturvallisuuden hallinta... 4 Riskienhallinta sekä jatkuvuuden hallinta ja varautuminen... 5 3 Tietoturvallisuustavoitteet...

Lisätiedot

Pilvipalveluiden arvioinnin haasteet

Pilvipalveluiden arvioinnin haasteet Pilvipalveluiden arvioinnin haasteet Tietoturvallisuus- ja jatkuvuuden hallinnan vaatimukset ICT-hankinnoissa, 12.5.2014 Laura Kiviharju Pilvipalvelut Pilvilaskenta (CloudComputing) tarkoittaa internetissä

Lisätiedot

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17

Sisällysluettelo. Esipuhe... 10. 1 Johdanto... 15. 2 Tietoturvallisuuden rooli yritystoiminnassa... 17 Esipuhe...................................................... 10 1 Johdanto............................................... 15 2 Tietoturvallisuuden rooli yritystoiminnassa.............. 17 2.1 Mitä on

Lisätiedot

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT TIETOTURVALLISUUDEN KEHITTÄMINEN Opettaja: Tuija Kyrölä 040-5455465 tuija.kyrola@kolumbus.fi Toimintaohjeistus Tietoturvallisuusohjeistus I-TASO II-TASO III-TASO Ylin johto hyväksyy Konsernihallinto valmistelee

Lisätiedot

TIETOTURVA- POLITIIKKA

TIETOTURVA- POLITIIKKA TIETOTURVA- POLITIIKKA Kaupunginhallitus 3.9.2013 216 HAAPAJÄRVEN KAUPUNGIN TIETOTURVAPOLITIIKKA 1. JOHDANTO... 3 2. KATTAVUUS... 3 3. TIETOTURVA... 3 4. TIETOTURVATYÖ... 4 5. ORGANISOINTI JA VASTUUT...

Lisätiedot

Kymenlaakson Kyläportaali

Kymenlaakson Kyläportaali Kymenlaakson Kyläportaali Klamilan vertaistukiopastus Tietoturva Tietoturvan neljä peruspilaria 1. Luottamuksellisuus 2. Eheys 3. Saatavuus 4. (Luotettavuus) Luottamuksellisuus Käsiteltävää tietoa ei paljasteta

Lisätiedot

TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA TIETOTURVAPOLITIIKKA Lapin ammattikorkeakoulun rehtori on hyväksynyt tietoturvapolitiikan 18.3.2014. Voimassa toistaiseksi. 2 Sisällysluettelo 1 Yleistä... 3 1.1 Tietoturvallisuuden kolme ulottuvuutta...

Lisätiedot

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet Yleisesittely Julkaisutilaisuus 12.6.2014 Teknologiajohtaja Aki Siponen, Microsoft Oy SFS-ISO/IEC 27002:2013 tietoturvallisuuden

Lisätiedot

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä

Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä Tietoturvallisuuden arviointilaitokset apuna yritysturvallisuuden ja viranomaisten tietoturvallisuuden kehittämisessä FINAS-päivä 22.1.2013 Helsingin Messukeskus Laura Kiviharju Viestintävirasto Viestintäviraston

Lisätiedot

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta

Tietoturvapolitiikka. Kunnanhallitus 27.2.2012 42 Tyrnävän kunta Tietoturvapolitiikka Kunnanhallitus 27.2.2012 42 Tyrnävän kunta 2 SISÄLLYSLUETTELO 1. YLEISTÄ 3 2. POLITIIKAN SOVELTAMINEN JA LAAJUUS 3 3. TIETOTURVAPOLITIIKKA, TAVOITTEET JA PERIAATTEET 4 4. TIETOJEN

Lisätiedot

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015

Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunkikonsernin tietoturvapolitiikka 25.5.2015 Espoon kaupunki 2015 Tietoturvapolitiikka 1 (7) Yhteenveto Tietoturvapolitiikka on kaupunginhallituksen ja kaupunginjohdon tahdonilmaisu tietoturvan

Lisätiedot

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020

Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Valtiontalouden tarkastusviraston toimintakäsikirja Tietoturvapolitiikka 2014-2020 Sisällys Valtiontalouden tarkastusviraston tietoturvapolitiikka... 2 1 Johdanto... 3 2 Vastuut... 3 2.1 Tarkastusviraston

Lisätiedot

Espoon kaupunki Tietoturvapolitiikka

Espoon kaupunki Tietoturvapolitiikka Tietoturvapolitiikan käsittely: Tarkastettu Tietoturvaryhmä 07.01.2016 27.01.2016 Hyväksytty Kaupunginhallitus pp.kk.2016 Tietoturvapolitiikan muutokset: Päiväys / Tekijä Kohta Muutoksen kuvaus 28.01.2016

Lisätiedot

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana

Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Kokemuksia tietoturvallisuuden kehittämisestä tietoturvapolitiikan viitoittamana Terveydenhuollon Atk-päivät Tampere-talo 26.5.2010 Antti-Olli Taipale Tietohallintojohtaja Päijät-Hämeen sosiaali- ja terveysyhtymä

Lisätiedot

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat?

Tietoturva ja tietosuoja. Millaisia ovat tietoyhteiskunnan vaarat? Tietoturva ja tietosuoja Millaisia ovat tietoyhteiskunnan vaarat? Mitä on tietoturva? Miten määrittelisit tietoturvallisuuden? Entä tietosuojan? Mitä ylipäänsä on tieto siinä määrin, kuin se ihmisiä kiinnostaa?

Lisätiedot

Tietoturvapäivä 7.2.2012

Tietoturvapäivä 7.2.2012 Tietoturvapäivä 7.2.2012 Esko Vainikka, yliopettaja, CISSP Tietoturvapäivä Turun ammattikorkeakoulussa Lämpimästi tervetuloa 4. Tietoturvapäivä tapahtumaan Turun ammattikorkeakoulussa Kiitokset jo etukäteen

Lisätiedot

Laatua ja tehoa toimintaan

Laatua ja tehoa toimintaan Laatua ja tehoa toimintaan Tietoturvallisuus osana laatua Kuntamarkkinat 12.9.2013 Aapo Immonen, Senior Manager, FCG konsultointi Oy 5.9.2013 Page 1 Sisältö Tavoitteet Tietoturvallisuutta ohjaavat tekijät

Lisätiedot

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA JYVÄSKYLÄN KAUPUNKI Tietohallinto JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA VERSIO 1.0 11.5.2009 SISÄLLYSLUETTELO 1 JOHDANTO... 1 2 KATTAVUUS... 1 3 MITÄ TIETOTURVA ON... 1 4 MIKSI TIETOTURVAA...

Lisätiedot

TIETOTURVAA TOTEUTTAMASSA

TIETOTURVAA TOTEUTTAMASSA TIETOTURVAA TOTEUTTAMASSA Ari Andreasson Juha Koivisto TIETOTURVAA TOTEUTTAMASSA TIETOSANOMA Tekijät ja Tietosanoma Oy ISBN 978-951-885-334-6 KL 61.7 Tietosanoma Oy Bulevardi 19 C 00120 Helsinki 09 694

Lisätiedot

Ammattikorkeakoulu 108 Liite 1

Ammattikorkeakoulu 108 Liite 1 2 (7) Tietoturvapolitiikka Johdanto Tietoturvapolitiikka on ammattikorkeakoulun johdon kannanotto, joka määrittelee ammattikorkeakoulun tietoturvallisuuden tavoitteet, vastuut ja toteutuskeinot. Ammattikorkeakoululla

Lisätiedot

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä TIETOTILINPÄÄTÖS Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto Terveydenhuollon ATK-päivät 20.5.2014; Jyväskylä 20.5.2014 TSV:n tsto/ylitarkastaja Arto Ylipartanen 2 LUENNON AIHEET 1.

Lisätiedot

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt

Turun ammattikorkeakoulu 13.09.2005 1(5) Tietojärjestelmien käyttösäännöt Turun ammattikorkeakoulu 13.09.2005 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT Sisällysluettelo: 1 Sääntöjen tarkoitus... 2 2 Käytön periaatteet... 2 3 Käyttöoikeus ja käyttäjätunnukset... 4 4 Käyttöoikeuden

Lisätiedot

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012

Tietoverkkojen turvallisuus. Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Tietoverkkojen turvallisuus Tuomas Aura T-110.2100 Johdatus tietoliikenteeseen kevät 2012 Luennon sisältö 1. Palomuurit ja rajavalvonta NAT palomuurina Tilaton, tilallinen ja sovellustason palomuuri Virtuaaliverkkoyhteys

Lisätiedot

Varmaa ja vaivatonta

Varmaa ja vaivatonta Varmaa ja vaivatonta viestintää kaikille Suomessa Tekninen valvonta sähköisissä palveluissa Päällikkö Jarkko Saarimäki Tähän joku aloituskuva, esim. ilmapallopoika jarkko.saarimaki@ficora.fi Ennakkokysymys

Lisätiedot

Toshiba EasyGuard käytännössä: Portégé M300

Toshiba EasyGuard käytännössä: Portégé M300 Erinomainen ja vankkatekoinen all-in-one-ultrakannettava. Toshiba EasyGuard sisältää monia ominaisuuksia, joiden avulla yritysasiakkaat voivat parantaa tietoturvaansa, tehostaa järjestelmän suojausta ja

Lisätiedot

Standardien PCI DSS 3.0 ja Katakri II vertailu

Standardien PCI DSS 3.0 ja Katakri II vertailu Standardien PC DSS 3.0 ja Katakri vertailu Copyright Solinor Oy 2014 Solinor Oy, Teollisuuskatu 21 A, F-00510 HELSNK, FNLAND +358 10 279 2940 / www.solinor.com / Business D 17967170 Standardien PC DSS

Lisätiedot

Sähköi sen pal l tietototurvatason arviointi

Sähköi sen pal l tietototurvatason arviointi Sähköisen palvelun l tietototurvatason arviointi Kirsi Janhunen Arviointia tehdään monesta syystä Itsearviointi Sisäinen arviointi Sisäinen tarkastus Vertaisarviointi Ulkoinen arviointi Lähtökohtana usein

Lisätiedot

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN

TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN TEUVAN KUNNAN TIETOTURVAPOLITIIKKA JA -OHJEET 1.4.2015 ALKAEN Khall 9.3.2015 73 2 Sisältö 1. TIETOTURVAPOLITIIKKA... 3 1.1. Tietoturvatyö... 3 1.2. Tietoturvallisuuden osa alueet... 4 1.3. Vastuut ja valvonta...

Lisätiedot

Valtiontalouden tarkastusviraston tietoturvapolitiikka

Valtiontalouden tarkastusviraston tietoturvapolitiikka Valtiontalouden tarkastusviraston tietoturvapolitiikka Valtiontalouden tarkastusvirasto on tänään vahvistanut oheisen tietoturvapolitiikan. Päätös on voimassa 1.5.2008 lukien toistaiseksi. Helsingissä

Lisätiedot

Diplomityöseminaari. 8.12.2005 Teknillinen Korkeakoulu

Diplomityöseminaari. 8.12.2005 Teknillinen Korkeakoulu Diplomityöseminaari 8.12.2005 Teknillinen Korkeakoulu Työn otsikko: Tekijä: Valvoja: Ohjaaja: Tekninen tiedonhankinta ja yrityksen tietojen turvaaminen Pekka Rissanen Prof Sven-Gustav Häggman DI Ilkka

Lisätiedot

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen 20.5.2015, Vesihuolto 2015 Insta Automation Oy, Jyri Stenberg Yhteiskunnan turvallisuusstrategia Suomalaisen yhteiskunnan elintärkeitä toimintoja

Lisätiedot

Tietoturvallisuuden ja tietoturvaammattilaisen

Tietoturvallisuuden ja tietoturvaammattilaisen Tietoturvallisuuden ja tietoturvaammattilaisen haasteet Turvallisuusjohtaminen 2006 25.10.2006 Jari Pirhonen puheenjohtaja Tietoturva ry Turvallisuusjohtaja, CISSP, CISA Oy Samlink Ab Tieto lisää turvaa

Lisätiedot

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA

TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA TURVALLISUUDEN HUOMIOMINEN OHJELMISTON HANKINTAKETJUSSA Turvallinen ohjelmistokehitys seminaari 30.9.2008 1 Turvallisuusvaatimukset ohjelmiston hankinnassa Tehtävä/toiminta liittyvä toiminnot/prosessit

Lisätiedot

Tutkimus web-palveluista (1996) http://www.trouble.org/survey/

Tutkimus web-palveluista (1996) http://www.trouble.org/survey/ Tietoturva Internet kaupankäynnissä E-Commerce for Extended Enterprise 29.4.98 Jari Pirhonen (Jari.Pirhonen@atbusiness.com) AtBusiness Communications Oy http://www.atbusiness.com Tutkimus web-palveluista

Lisätiedot

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT 1(5) TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT YT-neuvosto hyväksynyt 21.11.2007 Vahvistanut: kuntayhtymän johtaja Pentti Leipälä 4.1.2008 1. SÄÄNTÖJEN TARKOITUS 1 2. KÄYTÖN PERIAATTEET

Lisätiedot

Oppimisvaikeudet pohjoismaisilla työpaikoilla kyselyn tuloksia

Oppimisvaikeudet pohjoismaisilla työpaikoilla kyselyn tuloksia Oppimisvaikeudet pohjoismaisilla työpaikoilla kyselyn tuloksia Tutkija Jouni Puumalainen 20.01.2015 27.1.2015 1 Selvityksen toteuttaminen - Sähköinen kysely - Neljässä maassa: Suomi, Norja, Ruotsi, Islanti

Lisätiedot

Kuntarekry.fi. case: pilvipalvelut 13.2.2014. KL-Kuntarekry Oy / Tuula Nurminen

Kuntarekry.fi. case: pilvipalvelut 13.2.2014. KL-Kuntarekry Oy / Tuula Nurminen case: pilvipalvelut 13.2.2014 KL-Kuntarekry Oy / Tuula Nurminen 1 11.2.2014 Pilvipalveluiden luokittelusta 1. Yksityinen pilvipalvelu, (Private cloud) Organisaation oma tai vuokrattu palvelu, jolloin resurssit

Lisätiedot

Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka

Johtokunta 7.12.2009 193. Tietoturva- ja tietosuojapolitiikka Johtokunta 7.12.2009 193 Tietoturva- ja tietosuojapolitiikka Sisällys: 1. Johdanto 3 2. Tietoturvapolitiikan tavoitteet ja toteutuksen periaatteet 4 3. Tietosuojapolitiikan tavoitteet ja toteutuksen periaatteet

Lisätiedot

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA

6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA 6 SULKAVAN KUNNAN TIETOTURVAPOLITIIKKA Tietoturvallisuuspolitiikka on lähtökohta tietoturvallisuuden ja valmiuden kehittämiselle organisaatiossa. Sen avulla määritellään tietoturvallisuuden periaatteet

Lisätiedot

JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä

JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä JHS 179 ICT-palvelujen kehittäminen: Kokonaisarkkitehtuurimenetelmä Liite 5 Arkkitehtuuriperiaatteiden kuvaus Versio: 1.1 Julkaistu: 8.2.2011 Voimassaoloaika: toistaiseksi Sisällys 1 Arkkitehtuuriperiaatteet...

Lisätiedot

Toisen vuoden työssäoppiminen (10 ov)

Toisen vuoden työssäoppiminen (10 ov) Toisen vuoden työssäoppiminen (10 ov) 1. Toimintaympäristöjen (5 ov) Opintojakson sisältö Toimintaympäristöjen 5 ov ammattitaitovaatimus Mitä opiskelija osaa suoritettuaan tämän jakson Opiskelija osaa

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA Johdanto Tietosuojapolitiikassa kuvataan henkilöön liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käytön periaatteet ja menetelmät

Lisätiedot

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä Antti Nilsson 9.1.2008 Valvoja Prof. Jukka Manner Esityksen sisältö Kohdeorganisaation esittely Työn tausta ja tavoitteet Kirjallisuus

Lisätiedot

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA TTL 60 vuotta Roadshow, Tampere 5.11.2013 TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA Antti Pirinen, Tietoturva ry Antti Pirinen Tietoturva ry Hallituksessa 2009 -> Sihteeri 2013 Työkokemus: 2012 -> KPMG:n

Lisätiedot

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA

Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA Oulunkaaren kuntayhtymä TIETOTURVAPOLITIIKKA Johdanto Tiedon käsittely on oleellinen osa Oulunkaaren kuntayhtymän toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus ja virheettömyys ovat

Lisätiedot

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland Älykäs verkottuminen ja käyttäjänhallinta Pekka Töytäri TeliaSonera Finland 1 Älykäs verkottuminen Tekniikka, organisaatio ja prosessit muodostavat yhtenäisesti toimivan palvelualustan Älykäs toiminnallisuus

Lisätiedot

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA

TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA TERVEYDENHUOLLON TOIMINTAYKSIKÖN TIETOTURVAPOLITIIKKA Hyväksytty: Hämeenkyrön lautakunta 2.11.2011 Tarkastettu 29.4.2014 OK 1. JOHDANTO Tietojenkäsittely tukee Hämeenkyrön kunnan / n terveydenhuollon toimintayksikön

Lisätiedot

Tietoturvavinkkejä pilvitallennuspalveluiden

Tietoturvavinkkejä pilvitallennuspalveluiden Tietoturvavinkkejä pilvitallennuspalveluiden turvallisempaan käyttöön 11/2014 Sisällysluettelo Johdanto... 3 1 Mikä on pilvipalvelu?... 3 2 Mikä on pilvitallennuspalvelu?... 3 3 Ovatko pilvipalvelut turvallisia?...

Lisätiedot

KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ 2008 1

KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ 2008 1 KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ 2008 KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ 2008 1 Tiivistelmä Yrittäjien lomat Suomen Yrittäjien huhtikuussa 2008 tekemässä jäsenkyselyssä tiedusteltiin yrittäjiltä

Lisätiedot

-------- = LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

-------- = LV! 17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet -------- Seinäjoen kaupungin tietoturvapolitiikka 1. Johdanto Tietoturva nähdään julkishallinnon organisaatioissa oleellisena osana normaalia toimintaa ja palveluiden laatua, kokonaisturvallisuutta ja

Lisätiedot

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus 10.4.2014 41

Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA. Yhtymähallitus 10.4.2014 41 Peruspalvelukuntayhtymä Kallio TIETOTURVAPOLITIIKKA 41 Johdanto Tiedon käsittely on oleellinen osa Peruspalvelukuntayhtymä Kallion toimintaa ja palveluiden tuottamista. Tietojenkäsittelyn tehokkuus, toimintakyky,

Lisätiedot

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta Suomalaisen tietoturvayhtiö Silverskin Information Securityn tilaamassa tutkimuksessa kysyttiin sadan yritysjohtajan näkemyksiä tietoturvan

Lisätiedot

Selvitys paristojen ja akkujen keräyksestä vähittäiskaupoissa Henna Kaunismaa

Selvitys paristojen ja akkujen keräyksestä vähittäiskaupoissa Henna Kaunismaa Selvitys paristojen ja akkujen keräyksestä vähittäiskaupoissa Henna Kaunismaa Hämeenlinnan ympäristöjulkaisuja 14 Lähdeviite: Kaunismaa Henna 2011: Selvitys paristojen ja akkujen keräyksestä vähittäiskaupoissa.

Lisätiedot

1. Yhteystiedot * Etunimi. Sukunimi. Matkapuhelin. Sähköposti. Postitoimipaikka. Organisaatio. Kunta

1. Yhteystiedot * Etunimi. Sukunimi. Matkapuhelin. Sähköposti. Postitoimipaikka. Organisaatio. Kunta Koulujen tietotekniikkakartoitus 2013 Koulujen tietotekniikkakartoitus 2013 on osa laajempaa kunnille ja kuntayhtymille lähetettävää tietotekniikkakartoitusta. Kysely koskee kunnallisia perusopetuksen

Lisätiedot

Tietosuoja- ja tietoturvapolitiikka

Tietosuoja- ja tietoturvapolitiikka Tietosuoja- ja tietoturvapolitiikka Johtoryhmä 13.3.2012 Johtoryhmä 10.4.2012 Yhtymähallitus 24.4.2012 2 (8) Versiohistoria: Versio Pvm: Laatija: Kommentit: 0.1 24.2.2011 Navicre Oy Katselmoitavaksi 0.2

Lisätiedot

HELPPOUDEN VOIMA. Business Suite

HELPPOUDEN VOIMA. Business Suite HELPPOUDEN VOIMA Business Suite UHKA ON TODELLINEN Online-uhkat ovat todellinen yrityksiä haittaava ongelma yrityksen toimialasta riippumatta. Jos sinulla on tietoja tai rahaa, voit joutua kohteeksi. Tietoturvatapausten

Lisätiedot

Lukio ja sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikka selvitys 2014

Lukio ja sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikka selvitys 2014 Lukio ja sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikka selvitys 2014 Kurt Torsell Kartoituksen toteutus Suomen Kuntaliitto toteutti syksyllä 2013 ensimmäistä kertaa kouluille suunnatun

Lisätiedot

OHJE 1 (5) 16.12.2011 VALMERI-KYSELYN KÄYTTÖOHJEET. Kyselyn sisältö ja tarkoitus

OHJE 1 (5) 16.12.2011 VALMERI-KYSELYN KÄYTTÖOHJEET. Kyselyn sisältö ja tarkoitus OHJE 1 (5) VALMERI-KYSELYN KÄYTTÖOHJEET Kyselyn sisältö ja tarkoitus Valmeri-kysely on työntekijöille suunnattu tiivis työolosuhdekysely, jolla saadaan yleiskuva henkilöstön käsityksistä työoloistaan kyselyn

Lisätiedot

TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Toiminnan raportointi ja seuranta, tapahtuneisiin poikkeamiin nopea reagointi.

TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Toiminnan raportointi ja seuranta, tapahtuneisiin poikkeamiin nopea reagointi. TIETOTEKNIIKAN HYÖDYNTÄMINEN OSANA LIIKETOIMINTAPROSESSEJA: Sähköisen liiketoiminnan mahdollisuudet: Sisäiset ja ulkoiset prosessit Toiminnan tehostaminen, reaaliaikaisuus Toiminnan raportointi ja seuranta,

Lisätiedot

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa

Suojaamattomia automaatiolaitteita suomalaisissa verkoissa Suojaamattomia automaatiolaitteita suomalaisissa verkoissa 29.6.2015 Sisällysluettelo Suojaamattomia automaatiolaitteita suomalaisissa verkoissa... 3 Keskeisiä tuloksia ja havaintoja... 3 Mahdollisia uhkia...

Lisätiedot

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö

Kyberturvallisuus. Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö Kyberturvallisuus Jarkko Saarimäki Turvallisuussääntelyryhmän päällikkö Kyberturvallisuuskeskuksen yhteiskunnallinen vaikuttavuuus Kansallinen CERT-toiminto; ohjeet, tiedotteet, haavoittuvuuskoordinaatio

Lisätiedot

T-110.5690 Yritysturvallisuuden seminaari

T-110.5690 Yritysturvallisuuden seminaari T-110.5690 Yritysturvallisuuden seminaari 16.11.2005 2. esitys Mikko Hopeakivi Ross Anderson: Security Engineering Security Engineering: A Guide to Building Dependable Distributed Systems Ross Anderson

Lisätiedot

Jämsän kaupungin tietoturvapolitiikka

Jämsän kaupungin tietoturvapolitiikka 4.11.2014 Jämsän kaupungin tietoturvapolitiikka Jämsän kaupunki Hallintopalvelut SISÄLLYSLUETTELO 1 TIETOTURVAPOLITIIKKA... 1 2 TIETOTURVALLISUUS... 2 2.1 Tavoitteet ja tietoturvallisuuden merkitys...

Lisätiedot

1. Tietokonejärjestelmien turvauhat

1. Tietokonejärjestelmien turvauhat 1 1. Tietokonejärjestelmien turvauhat Kun yhteiskunta tulee riippuvaisemmaksi tietokoneista, tietokonerikollisuus ei tule ainoastaan vakavammaksi seurauksiltaan vaan myös houkuttelevammaksi rikollisille.

Lisätiedot

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuus tietoturvauhkana Valmiusseminaari, 11.10.2005 ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö Verkkorikollisuuden erityispiirteet Verkkorikollisuus on ammattimaista ja tähtää

Lisätiedot

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö

Ulkoistamisen hallittu prosessi. Veli-Pekka Kuparinen valmiuspäällikkö Ulkoistamisen hallittu prosessi Veli-Pekka Kuparinen valmiuspäällikkö Muutos ja tietoturvallisuus -ohje Korvaa Vahti-ohjeen 2/1999 ja laajentaa sen tarkastelunäkökulmaa Työryhmänä jaosto, konsulttina WM-data

Lisätiedot

Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös

Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös Liittymät Euroclear Finlandin järjestelmiin, tietoliikenne ja osapuolen järjestelmät Toimitusjohtajan päätös Tilinhoitajille Selvitysosapuolille Liikkeeseenlaskijan asiamiehille Sääntöviite: 1.5.9, 5)

Lisätiedot

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! 1(16) Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn! Arvoisa vastaaja, Tällä kyselyllä selvitetään Suomen kuntien tieto- ja kyberturvallisuuden

Lisätiedot

Hans Aalto/Neste Jacobs Oy

Hans Aalto/Neste Jacobs Oy 1 2 Automaation kehitystrendit - haasteita tietoturvallisuudelle Hans Aalto, Neste Jacobs Oy Osastonjohtaja/Automaatiosuunnittelu Suomen Automaatioseura, hallituksen puheenjohtaja 1.1.2005 alk. Neste Jacobs

Lisätiedot

Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen

Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen Yleistä hallinnollisesta tietoturvallisuudesta Tukikoulutus joulukuu 2007 Tuija Lehtinen Tieto Tieto on suojattava kohde, jolla on tietty arvo organisaatiossa Tieto voi esiintyä monessa muodossa: painettuna

Lisätiedot

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa

Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa Tiedonkäsittelyn ohjaus ja sääntely valtionhallinnossa neuvotteleva virkamies Mikael Kiviniemi VAHTIn pj, DI Hallinnon kehittämisosasto Valtiovarainministeriön tehtäviä Hallinnon rakenteiden ja ohjausjärjestelmien

Lisätiedot

Abuse-seminaari 12.9.2006

Abuse-seminaari 12.9.2006 Abuse-seminaari Abuse-seminaari 12.9.2006 9.30-10.00 Kahvi 10.00-10.15 Tervetuliaissanat ja seminaarin työjärjestyksen esittely Erka Koivunen, Viestintävirasto 10.15-11.00 Internet Abuse -toiminnot teleyrityksessä

Lisätiedot

Kunnan varautuminen tietotekniikan näkökulmasta -case Oulun Tietotekniikka. varajohtaja Seppo A. Pyykkö

Kunnan varautuminen tietotekniikan näkökulmasta -case Oulun Tietotekniikka. varajohtaja Seppo A. Pyykkö Kunnan varautuminen tietotekniikan näkökulmasta -case Oulun Tietotekniikka varajohtaja Seppo A. Pyykkö Oulun Kaupunki VSS-ORGANISAATIO Luonnos EVAKUOINTI OU-KO Pelastuslaitos Tied Huolto tsto YMP tsto

Lisätiedot

Mobiililaitteiden tietoturva

Mobiililaitteiden tietoturva Mobiililaitteiden tietoturva 2009-02-23 Raahe Erka Erka Koivunen Koivunen Yksikön Yksikön päällikkö päällikkö CERT-FI CERT-FI CERT-FI:n esittely CERT-FI kansallinen CERT-viranomainen Coordinated CERT ==

Lisätiedot

IT-palvelujen ka yttö sa a nnö t

IT-palvelujen ka yttö sa a nnö t IT-palvelujen ka yttö sa a nnö t Tampereen yliopisto Yliopistopalvelut / tietohallinto Rehtorin päätös 28.8.2014. Sisällysluettelo 1 Soveltamisala... 2 2 Käyttövaltuudet ja käyttäjätunnus... 2 2.1 Käyttövaltuudet...

Lisätiedot

Ohje riskien arvioinnin työkalun käyttämiseksi

Ohje riskien arvioinnin työkalun käyttämiseksi Riskien arvioinnin työkalu ohjelmapalveluiden tuottajille Ohje riskien arvioinnin työkalun käyttämiseksi Tämä riskien arvioinnin työkalu on tarkoitettu matkailualan ohjelmapalveluja tarjoaville yrityksille.

Lisätiedot

Standardit tietoturvan arviointimenetelmät

Standardit tietoturvan arviointimenetelmät Standardit tietoturvan arviointimenetelmät Tietoturvaa teollisuusautomaatioon (TITAN) VTT Auditorio, Vuorimiehentie 5, Espoo, 9.11.2010 Jarkko Holappa Tietoturvallisuuden arviointi osana tietoturvan hallintaa

Lisätiedot

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke TITAN-SEMINAARI 9.11.2010 Pasi Ahonen, VTT TITAN projektissa koottiin

Lisätiedot

Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi.

Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi. Onko sinun yritykselläsi jo tietotekniikka Palveluksessa? vtoasp -palvelun avulla siirrät tietojärjestelmäsi haasteet ammattilaisten hoidettaviksi. vtoasp -palvelu 1) Huolehtii yrityksesi tietojärjestelmän

Lisätiedot

Sähköisen liiketoiminnan kehittäminen Päijät-Hämeen pk-yrityksissä. Ari Saloranta 09.09.2004

Sähköisen liiketoiminnan kehittäminen Päijät-Hämeen pk-yrityksissä. Ari Saloranta 09.09.2004 Sähköisen liiketoiminnan kehittäminen Päijät-Hämeen pk-yrityksissä Ari Saloranta 09.09.2004 datatiimi - Tietojenkäsittely Päijät-Hämeen suurin tietotekniikan yrityskouluttaja Yrityksen henkilöstökoulutus

Lisätiedot

VALVO JA VARAUDU PAHIMPAAN

VALVO JA VARAUDU PAHIMPAAN VALVO JA VARAUDU PAHIMPAAN Erkki Sivonen Senior Account Manager Nordic LAN&WAN Communication erkki.sivonen@lanwan.fi 5/13/2015 5/13/2015 5/13/2015 1.10.2013 UUSI SÄHKÖMARKKINALAKI JATKUVUUDENHALLINNAN

Lisätiedot

KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ

KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ tutkimus KESÄTYÖNTEKIJÄT JA LOMAT PK-YRITYKSISSÄ 2009 1 Tiivistelmä Yrittäjien lomat Suomen Yrittäjien maaliskuun 2009 lopussa tekemässä jäsenkyselyssä tiedusteltiin yrittäjiltä lomista ja lomatoiveista

Lisätiedot

IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT

IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT KOULUTUKSEN KOHDERYHMÄ SISÄLTÖ Koulutuksen tavoitteena on antaa opiskelijalle valmiudet uusien tietoteknisten menetelmien ja välineiden hyödyntämiseen.

Lisätiedot

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA TIETOTURVA- JA TIETOSUOJAPOLITIIKKA Hyväksytty kunnanhallituksessa 20.01.2014 23 1. YLEISTÄ Tietoturva- ja tietosuojapolitiikka asiakirjana sisältää ne periaatteet, toimintatavat, vastuut, toimivallat,

Lisätiedot

IT-PÄÄTTÄJÄBAROMETRI 2016 ATEA FINLAND OY

IT-PÄÄTTÄJÄBAROMETRI 2016 ATEA FINLAND OY IT-PÄÄTTÄJÄBAROMETRI 2016 ATEA FINLAND OY It-päättäjäbarometri 2016 Atean it-päättäjäbarometri toteutettiin kuudetta kertaa huhtikuun 2016 aikana sähköisenä kyselylomakkeena. Kyselyyn vastasi määräaikaan

Lisätiedot

Perusopetuksen ja lukioiden tieto- ja viestintätekniikka Sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikkaselvitys 23.4.

Perusopetuksen ja lukioiden tieto- ja viestintätekniikka Sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikkaselvitys 23.4. Perusopetuksen ja lukioiden tieto- ja viestintätekniikka Sähköiset ylioppilaskirjoitukset Tieto- ja viestintätekniikkaselvitys 23.4.2014 Kurt Torsell Kartoituksen toteutus Suomen Kuntaliitto toteutti syksyllä

Lisätiedot

Kehittämiskysely 2012. Tulokset

Kehittämiskysely 2012. Tulokset Kehittämiskysely 2012 Tulokset Tausta Kehittämiskysely toteutettiin eteläpohjalaisissa kaluste- ja asumisteollisuuden yrityksissä loka-marraskuussa 2012 Kyselyn tavoitteena oli kartoittaa kohderyhmään

Lisätiedot

ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa

ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa ABB Drives and Controls, 26.05.2015 Koneenrakentajan ja laitetoimittajan yhteistoiminta toiminnallisen turvallisuuden varmistamisessa Sisältö 1. Koneenrakentajan haasteita koneiden turvallistamisessa 2.

Lisätiedot

1 YLEISKUVAUS... 2. 1.1 Verkkoturvapalvelu... 2. 1.1.1 Verkkoturvapalvelun edut... 2. 1.2 Palvelun perusominaisuudet... 2

1 YLEISKUVAUS... 2. 1.1 Verkkoturvapalvelu... 2. 1.1.1 Verkkoturvapalvelun edut... 2. 1.2 Palvelun perusominaisuudet... 2 Palvelukuvaus 1 Sisällysluettelo 1 YLEISKUVAUS... 2 1.1 Verkkoturvapalvelu... 2 1.1.1 Verkkoturvapalvelun edut... 2 1.2 Palvelun perusominaisuudet... 2 1.2.1 Suodatettava liikenne... 3 1.3 Palvelun rajoitukset...

Lisätiedot

1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ. Tutkinnon osa: Verkkopalvelujen tuottaminen ja ylläpito 15 osp Tavoitteet:

1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ. Tutkinnon osa: Verkkopalvelujen tuottaminen ja ylläpito 15 osp Tavoitteet: 1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa: Verkkopalvelujen tuottaminen ja ylläpito 15 osp Tavoitteet: Opiskelija tuottaa verkkopalvelujen sisältöä verkkopalvelusovellukseen. Hän osallistuu

Lisätiedot

Tietoturva Kehityksen este vai varmistaja?

Tietoturva Kehityksen este vai varmistaja? Tietoturva Kehityksen este vai varmistaja? Valtion IT-johtaja Yrjö Benson 11.2.2010 Tietoturvan rakenne VAHTI Ulkokerros Hallinnollinen tietoturva Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus

Lisätiedot

Suomen kyberturvallisuusstrategia ja toimeenpano-ohjelma Jari Pajunen Turvallisuuskomitean sihteeristö

Suomen kyberturvallisuusstrategia ja toimeenpano-ohjelma Jari Pajunen Turvallisuuskomitean sihteeristö Suomen kyberturvallisuusstrategia ja toimeenpano-ohjelma Jari Pajunen Turvallisuuskomitean sihteeristö 7.2.2014 1 Taloussanomat/It-viikko uutisoi 17.1.2014 "Jääkaappi osallistui roskapostin lähettämiseen

Lisätiedot

Sisäinen valvonta ja riskienhallinta. Suomen Kuntaliitto 7.6.2012 Marja-Liisa Ylitalo erityisasiantuntija

Sisäinen valvonta ja riskienhallinta. Suomen Kuntaliitto 7.6.2012 Marja-Liisa Ylitalo erityisasiantuntija Sisäinen valvonta ja riskienhallinta Suomen Kuntaliitto Marja-Liisa Ylitalo erityisasiantuntija Sisäinen valvonta ja riskienhallinta Kuntalaki: kunta pyrkii edistämään asukkaidensa hyvinvointia ja kestävää

Lisätiedot

TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO

TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO TIETOTURVA- JA TIETOSUOJARIKKOMUSTEN SEURAAMUSTAULUKKO 3.4.2015 Taustaa Lainsäädäntö edellyttää (esim. sosiaali- ja terveydenhuollossa) palveluista vastuussa olevan valvomaan asiakas/potilastietojen käyttöä

Lisätiedot

Opiskelija tekee työasemaympäristöön ja sen hankintaan liittyviä toimistotehtäviä ja laskutoimituksia sekä hyödyntää kielitaitoaan.

Opiskelija tekee työasemaympäristöön ja sen hankintaan liittyviä toimistotehtäviä ja laskutoimituksia sekä hyödyntää kielitaitoaan. 1(7) TYÖSSÄOPPIMINEN JA AMMATTIOSAAMISEN NÄYTTÖ Tutkinnon osa : Järjestelmän hankinta ja käyttöönotto 20 osp Tavoitteet: Opiskelija toimii työasemaympäristössä asentaen sekä laitteistoja että ohjelmistoja,

Lisätiedot