Tietoturva uravalintana Petteri Leiviskä CISM, CISA, CISSP Advisory Information Protection and Business Resilience
Puhuja Vuosikertaa 1973: Atari 2600- ja Commodore 64- sukupolven edustaja Filosofian maisteri (englantilainen filologia), Oulun yliopisto 1998 CISM, CISA, CISSP IT-alalla vuodesta 1997, aiempia työrooleja mm. käyttöliittymäsuunnittelun, teknologiamarkkinoinnin, tietoturvan/tietosuojan sekä operatiivisen liiketoiminnan kriisienhallinnan alueilla Toimii KPMG Oy Ab:n tietoturvaryhmässä hallinnollisena tietoturvakonsulttina ja ryhmän asiakkuuspäällikkönä KPMG on saanut eri maissa useita tunnustuksia mm. nuorien vastavalmistuneiden työllistämisestä, monikulttuurisesta työympäristöstä ja sosiaalisesta vastuullisuudesta 1
Mitä tietoturva oikeastaan on? Tietojärjestelmillä voidaan ymmärtää mitä tahansa tiedonvälitystä tai käsittelyä, joka tapahtuu sähköisesti, esim. kirjallisena tai graafisessa muodossa. Tietojärjestelmän perusta on tiedon ja ajatusten (ideoiden) jakaminen ja käsittely. Tietokoneet ja telekommunikaatioteknologiat ovat oleellisia tietojärjestelmien osia. Tietojärjestelmien voidaan ymmärtää käsittävän niin ihmiset, prosessit, infrastruktuurit, arkkitehtuurin ja tekniset toteutukset. Tietoturva pyrkii varmentamaan tiedon ja tietojärjestelmien oikeellisuuden, luotettavuuden, saatavuuden ja turvallisuuden kaikilla tasoilla. Tietoturva on kriittisen tärkeää yritysten liiketoiminnallisen ja julkisten palveluiden toimivuuden sekä maailmantalouden kannalta. lähde: https://www.isc2.org/uploadedfiles/industry_resources/careerguide06_euro.pdf 2
Tietoturva uravalintana Yhteiskunta tarvitsee tietoturva-ammattilaisia yritykset ymmärtävät, että tieto on yritysten tärkeintä pääomaa niin tuotteiden kuin palveluidenkin suhteen n. 25 vuotta sitten tietoturva alana oli uusi ja suhteellisen mystinen ilmiö yrityksissä herättiin siihen, että liiketoimintaa ylläpitävät tietoverkot ja varannot tuli suojata luvattomalta käytöltä (välttämättä ei tosin vielä tiedetty, miten tämä parhaiten hoidettaisiin) Tänä päivänä tietoturvallisuus on järjestäytynyt ala: standardointi ja teknologinen kehitys edistävät alaa jatkuvasti - valitettavasti myös kyberrikollisuus on organisoitua toimintaa, liittyen mm. identiteetti- ja tietovarantovarkauksiin, järjestäytyneeseen rikollisuuteen, rahanpesuun, yksityisten ihmisten elämien ja yritysten tuhoamiseen Vaativa ura: tietoa, taitoa, tietotaitoa ja sen jatkuvaa ylläpitoa ja ajan hermolla ja myös futuurissa pysymistä Palkitsee tarjoamalla lukemattoman määrän mielenkiintoisia ja jännittäviä haasteita ( Työtä, jolla on tarkoitus ) 3
Tekninen tietoturva Tekninen tietoturvallisuus käsittää organisaation tietojärjestelmien ja sovellusten turvallisuuden Kehitteillä olevien, uusien tai olemassa olevien järjestelmien ja sovellusten tietoturvallisuuden testaamista ja varmistamista Murtotestaus (Internet-järjestelmät), järjestelmien haavoittuvuustestaus, järjestelmien sisäänpääsytestaus (penetraatiotestaus), sosiaalinen hakkerointi (social engineering), tietokantojen murtotestaus Järjestelmäalustojen tietoturvallisuus ja kovennus ja vaatimustenmukaisuus, päätelaitteiden tietoturva, automaatiovalvontaohjelmistojen ja verkkojen (SCADA) turvallisuus, verkkojen tietoturvallisuus (palomuurit, IDS/IPS, arkkitehtuuri, langattomat verkot), monitoimilaitteiden tietoturvallisuus Sovelluskoodin tietoturva-analysointi, mobiilisovellusten tietoturvatestaus, järjestelmäkehityksen tietoturva, vaatimusmäärittelyn tietoturvallisuus IT-forensiikka, pilvipalveluiden tarjoajan, palveluiden ja käyttäjän tietoturva 4
Hallinnollinen tietoturva Hallinnollinen tietoturvallisuus luo perustan organisaation kokonaisturvallisuudelle. Hallinnollisen tietoturvallisuuden toteuttaminen edellyttää organisaation tietoturvallisuustyön huolellista organisoimista, tietoturvallisuuteen liittyvien vastuiden määrittämistä, tarvittavien politiikkojen ja ohjeistusten luomista sekä kaiken tämän jalkauttamista osaksi jokapäiväistä toimintaa Tietoturvan hallinta (johtaminen), standardit (esim. ISO27001, KATAKRI), projekti- ja hankejohtaminen, ulkoistamisen tietoturvallisuus, tietoturva- ja järjestelmädokumentaatio Liiketoiminnan varmentaminen (varmennuslausunnot), tietoturvasertifioinnit (esim. ISO27001), tietoturva-auditoinnit Tietosuoja-auditoinnit, vaatimustenmukaisuuden varmistaminen, riskianalyysit ja vaikuttavuusarvioinnit, tietovuotojen hallinta Liiketoiminnan jatkuvuus- ja toipumissuunnittelu, riskienhallinta 5
Tietoturvatyötehtävät muutamia esimerkkejä Tietoturvan johtaminen Vaatimustenmäärittely Sovellus- ja järjestelmäkehitystietoturva Auditointi ja valvonta Liiketoiminnan jatkuvuussuunnittelu Kryptografia Tietokonerikollisuuden torjunta Tietoturvaan liittyvä riskienhallinta Tietoturva-arkkitehtuuri Telekommunikaatio- ja tietoverkkoturvallisuus Tietosuoja jne. 6
Tietoturvan ammattisertifioinneista Ammattisertifioinnit ovat tietoturva-ammattilaisen erinomainen myyntivaltti - tapa osoittaa hankittua ja virallisesti todennettua osaamista Muutamia tunnettuja tietoturvan ammattisertifikaatteja ovat mm. CISSP (Certified Information Systems Security Professional) CPTE (Certified Penetration Testing Engineer) CISA (Certified Information Security Auditor) CISM (Certified Information Security Manager) Tarjoavia globaaleja organisaatioita mm. (ISC)2 (https://www.isc2.org/) ISACA (http://isaca.org) Perusvaatimuksena työkokemus/työskentely tietoturvaan liittyvien tehtävien parissa Hyödyttävät myös työnantajaa KPMG on saanut eri maissa useita tunnustuksia mm. nuorien vastavalmistuneiden työllistämisestä, monikulttuurisesta työympäristöstä ja sosiaalisesta vastuullisuudesta 7
KPMG tietoturvapalvelut Hallinnollinen tietoturva Hallinnollinen tietoturvallisuus luo perustan organisaation kokonaisturvallisuudelle. Hallinnollisen tietoturvallisuuden toteuttaminen edellyttää organisaation tietoturvallisuustyön huolellista organisoimista, tietoturvallisuuteen liittyvien vastuiden määrittämistä, tarvittavien politiikkojen ja ohjeistusten luomista sekä kaiken tämän jalkauttamista osaksi jokapäiväistä toimintaa. Tekninen tietoturva Tekninen tietoturvallisuus käsittää organisaation tietojärjestelmien ja sovellusten turvallisuuden Autamme organisaatioita varmistamaan ja testaamaan kehitteillä olevien, uusien tai olemassa olevien järjestelmien tietoturvallisuuden. Tavoitteena on varmistaa, että järjestelmiin ei murtauduta tai tietoja käytetä väärin. Kokonaisarkkitehtuuri Arkkitehtuurin avulla luodaan yhteinen kieli liiketoiminnan, IT-ammattilaisten ja tietoturva-ammattilaisten välille. Arkkitehtuuri kuvaa kohdealueensa rakenneosat, niiden ulospäin näkyvät ominaisuudet ja niiden väliset yhteydet ja riippuvuudet. Se on työkalu kompleksisuuden hallintaan muodostaen rungon palveluiden suunnittelulle ja toteutukselle. Tietoturvakoulutus Julkiset kurssimme ja organisaatioille räätälöidyt koulutukset lisäävät organisaatioiden työntekijöiden tietoturvatietämystä ja osaltaan auttavat jalkauttamaan tietoturvallisuuden osaksi jokapäiväistä toimintaa. Kurssit voivat tähdätä johonkin ammattitutkintoon kuten CISSP, CISM tai CPTE tai liittyä johonkin tiettyyn aiheeseen, esimerkiksi tietosuojaan. 8
KPMG tuottaa tuoretta tutkimustietoa tietoturvasta Maaliskuu 2012 Tietoturvaraportti (2012) Vuosittainen analyysi yleisimmistä ja vakavimmista tietoturvapuutteista organisaatioissa. VAHTI-ohjeet Useita VAHTI-ryhmän kanssa yhteistyössä tuotettuja julkaisuja tietoturvallisuuden hallintaan. Marraskuu 2012 Data Loss Barometer Kansainvälinen vuosittain julkaistava tutkimus merkittävimmistä tietovuodoista ja niiden syistä. 2009 Liiketoiminnan jatkuvuussuunnittelu ja ICTvarautuminen käsittelee jatkuvuuteen liittyviä kysymyksiä organisaatioiden kannalta. 2006 Yrityksen tietoturvakäsikirja yrityksen tietoturvallisuutta ja sen hallintaa käytännönläheisesti käsittelevä kirja. KPMG tuottaa alan uusinta tutkimustietoa koordinoidusti ympäri maailmaa Ajankohtaisia aiheita, viimeisimpiä tutkimustuloksia sekä aktiivista keskustelua myös KPMG:n tietoturvablogissa osoitteessa: http://www.hackingthroughcomplexity.fi 9
KPMG tietoturvablogi www.hackingthroughcomplexity.fi KPMG on saanut eri maissa useita tunnustuksia mm. nuorien vastavalmistuneiden työllistämisestä, monikulttuurisesta työympäristöstä ja sosiaalisesta vastuullisuudesta 10
KPMG vahva Suomessa ja maailmalla Yrityksen nimi KPMG Oy Ab Osoite PL 1037, 00101 Helsinki, Mannerheimintie 20 B Toimipisteet Helsinki (pääkonttori), aluekonttorit 18 Y-tunnus 1805485-9 Liikevaihto 95,8 milj. euroa (2012) Kansainvälinen yhteys KPMG International KPMG on yksi maailman johtavista asiantuntijaorganisaatioista. Palveluihimme kuuluvat tilintarkastus, vero- ja neuvontapalvelut. KPMG:n jäsenyritysten verkosto toimii yli 152 000 asiantuntijan voimin 156 maassa ympäri maailmaa. Suomessa KPMG:n palveluksessa on yli 750 henkilöä 18 paikkakunnalla. Toimimme julkisyhteisöjen tukena, kun tavoitteena on tulevaisuuteen tähtäävien ratkaisujen löytäminen. Asiantuntijamme ovat aktiivisesti mukana julkisen sektorin toiminnan kehittämisessä. Kehitämme palveluvalikoimaamme jatkuvasti ottaen huomioon valtion, kuntien ja kuntayhtymien ja seurakuntien sekä niiden alaisten virastojen, liikelaitosten ja tytäryhtiöiden erityistarpeet muuttuvissa tilanteissa. Autamme rakentamaan käytännönläheisiä ja kestäviä ratkaisuja, joiden avulla yhteiskuntamme hyvinvointi ja kilpailukyky globaalissa ympäristössä vahvistuvat, suhdanteista riippumatta. Yhteistyöprojekteissa toimimme asiakkaan kumppanina koko hankkeen ajan, aina suunnittelusta toteutukseen ja hankkeen vaikuttavuuden arviointiin asti. Parhaan lopputuloksen saavuttamiseksi hyödynnämme KPMG:n kansainvälisen organisaation kokemusta sekä yksityisen sektorin parhaita käytäntöjä. 11
KPMG People Employer awards KPMG - maailman toiseksi halutuin työnantaja KPMG on jo kolmatta vuotta peräkkäin sijoittunut kakkoseksi Universumin vuosittaisessa tutkimuksessa, jossa kartoitetaan kauppa- ja liiketaloustieteen sekä teknisten alojen opiskelijoiden työnantajamielikuvia. Omalla toimialallaan KPMG sijoittui ykköseksi. Universum on maailman johtava työnantajakuvan tutkimiseen ja kehittämiseen keskittynyt yritys, jolla on 20 vuoden kokemus työnantajakuvan rakentamisesta. Sustainability awards KPMG on saanut eri maissa useita tunnustuksia mm. nuorien vastavalmistuneiden työllistämisestä, monikulttuurisesta työympäristöstä ja sosiaalisesta vastuullisuudesta 12
Kiitos! KPMG PL 1037, 00101 Helsinki (Mannerheimintie 20 B) P: 020 760 3000 F: 020 760 3399 kpmg.fi 2013 KPMG Oy Ab, a Finnish limited liability company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International.