Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

Transkriptio

1 Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy

2 Tietoturvallisuuden päätavoitteet organisaatioissa Tietoturvallisuuden oikean tason varmistaminen kokonaisvaltaisesti Johtoa kiinnostaa vain kokonaisuus Tietoturvallisuuden tason osoittaminen sidosryhmille Kustannustehokkuus toteutettava mahdollisimman edullisesti

3 Tietoturvallisuuden varmistaminen kattavasti Mitä se vaatii? Tietoturvallisuus oltava kunnossa kaikilla alueilla Tietojärjestelmät omat, SaaS, pilvipalvelut Työasemat, mobiililaitteet sovelluksineen Tietoverkot / Kyberturvallisuus Ihmiset (eri rooleissa) Rakennukset, toimistot, muut tilat Tietoturvallisuuden johtaminen, organisointi, prosessit Heikoin lenkki ratkaisee turvallisuuden tason

4 Tietoturvallisuuden varmistaminen kattavasti Mitä se vaatii? Yksittäiset tietoturvaratkaisut ovat hyviä ja välttämättömiä, mutta Ne eivät riitä!

5 Tietoturvallisuuden varmistaminen kattavasti Miten se tehdään? Tunnistamme tiedot joita käsittelemme ja niiden kriittisyyden Tunnistamme kaikki kohteet joissa tieto esiintyy Tietojärjestelmät, kyberavaruus, päätelaitteet, tilat... Otamme huomioon ihmiset jotka tietoja käsittelevät Tunnemme tietoihin kohdistuvat riskit ja hallitsemme ne Toteutamme kaikkialla optimaaliset tiedon suojaamistoimet Johdamme, mittaamme ja ylläpidämme kaikkea tätä Pystymme osoittamaan että tietoturva on kunnossa - kokonaisuudessaan

6 Toisin sanoen Tietoturvallisuutta täytyy hallita Suunnitellusti Järjestelmällisesti Kaikki osa-alueet kattavasti

7 Tietoturvallisuuden haasteita pk-yrityksissä Vaatii asiantuntemusta useilta alueilta Vaadittavaa tietoturvaosaamista ei yleensä ole, vaan luotetaan palveluntarjoajaan Ei yleisesti hyväksyttyjä mittareita, joilla voi osoittaa että asiat ovat kunnossa edes itselleen Epätietoisuus: mitä pitää tehdä tietoturvan varmistamiseksi, mikä on riittävää, mistä aloitetaan? Liian vaikeaa

8 Tietoturvallisuuden haasteita suurissa yrityksissä Vaatii asiantuntemusta monilta eri alueilta Mistä saadaan optimaaliset tiedon suojaamistoimet kaikkiin tilanteisiin? Kokonaisuuden varmistaminen vaatii yksityiskohtien varmistamista yli koko organisaation ja kaikkien tietojärjestelmien eli hallintaa suuri haaste erityisesti suurissa organisaatioissa Luotava järjestelmä hallintaan, vaatii paljon työpanosta eri tahoilta tulee kalliiksi!

9 Tietoturvan viitekehyksistä tukea Kansainväliset standardit ISO/IEC sarja Suomalaiset viranomaisohjeet ja -vaatimukset VAHTI, KATAKRI Antavat tietoturvan hallinnalle prosessin ja kattavat yleisimmät osa-alueet Mahdollisuus sertifointiin Puutteita: raskaat toteuttaa, eivät vähennä työmäärää

10 Minimitoimet Käytetään jotain viitekehystä mallina Tunnistetaan suojattavat kohteet ja riskit Huolehditaan, että ainakin perustason suojaukset ovat olemassa peilataan viitekehykseen vaaditaan palveluntarjoajilta Dokumentoidaan kaikki tämä Teetetään tietoturvakartoituksia tarvittaessa

11 Vieläkin haasteita Miten voidaan varmistua ettei puutteita / aukkoja ole? Palveluntarjoajien ratkaisuja vaikea varmistaa Kartoitukset ja auditoinnit ovat kalliita ja vanhenevat nopeasti Jatkuvan ylläpidon tarve jäljellä

12 Tarve tietoturvan hallinnan tietojärjestelmälle Markkinoilla tarve ratkaisulle, joka auttaa pieniä ja suuria yrityksiä hallitsemaan tietoturvallisuutta helposti ja kustannustehokkaasti Suunnittelimme CastilSecin vastaamaan näihin tarpeisiin

13 CastilSecin toimintaperiaate CastilSeciin syötetään tiedot organisaation suojattavista kohteista turvaluokituksineen CastilSec antaa suositukset erilaisille kohteille soveltuvista tietoturvamenettelyistä ja tuottaa Kokonaiskuvan tietoturvallisuuden nykytilasta Merkittävimmät tietoriskit Suunnitelman halutun tason saavuttamiseksi ja ylläpitämiseksi

14 CastilSec vastaa tietoturvan hallinnan tarpeisiin Tietoturvasta vastaavien hallintatyökalu Varmistaa riittävän tietoturvan pienessä tai suuressa organisaatiossa eri versioilla tosin Tuottaa ajantasaiset raportit johdon käyttöön Mahdollistaa kattavan tietoriskien hallinnan Koordinoi tietoturvallisuuteen liittyviä tehtäviä

15 CastilSecin hyödyt CastilSecin avulla organisaatio varmistaa, että sen tietoturvallisuus on halutulla tasolla ja tietoriskit ovat hallinnassa Ja voi osoittaa sen sidosryhmille Tuloksena optimaalinen ja todennettu tietoturvallisuus läpi koko organisaation - kustannustehokkaimmalla tavalla

16 Yhteystiedot Castilsec Oy Lahden Tiedepuisto Niemenkatu 73, Lahti Heikki O. Penttinen, DI, toimitusjohtaja