Yritysturvallisuuden perusteet Teemupekka Virtanen Helsinki University of Technology Telecommunication Software and Multimedia Laboratory teemupekka.virtanen@hut.fi Järjestelyihin liittyviä asioita Tilatkaa opetusmonisteet Oppimateriaali Ei kalvoja Kotisivu Päivittyy Kalvot 1
2.Luento Johtaminen Turvallisuusjohtaminen ja turvallisuuden organisointi yrityksessä Turvallisuus yrityksen liiketoiminnan osana Turvallisuustoiminnan sisältö, tavoitteet ja organisointi Tiedottaminen Turvallisuus keinona profiloitua Monet asiakkaat ovat valmiita ostamaan turvallista tuotetta ja myös maksamaan siitä Monet asiakkaat halauavat siirtää osan riskistä alihankkijalle ja edellyttävät tiettyä turvatasoa tai toimintavarmuutta Turvallisille tuotteille ja palveluille on olemassa omat markkinansa, jossa hinta ei välttämättä ole tärkein valintaperuste 2
Turvallisuus ja tehokkuus Turvallisuuden tehtävänä on estää häiriöitä varsinaisessa toiminnassa Tehokas toiminta edellyttää häiriöttömyyttä Jos kaikki aika kuluu sotkujen siivoamisessa ei aikaa riitä varsinaiselle työlle Rikosten määrä 3
Turvallisuusjohtamisen malleja TT-Yritysturvallisuustoimisto Teollisuuden keskusliiton yritysturvallisuustoimisto on useita vuosia toiminut turvallisuustoiminnan edistäjänä teollisuudessa Valmistaa materiaalia ja järjestää koulutusta turvallisuuteen liittyen Perustuu Markku Pesosen väitöskirjaan yrityksen turvallisuusjärjestelyistä (1993) 4
Henkilöturvallisuus Valmiussuunnittelu Ympäristöturvallisuus Ulkomaantoimintojen turvallisuus Työturvallisuus Tietoturvallisuus Kiinteistö- ja toimitilaturvallisuus Pelastustoiminta Rikosturvallisuus Tuotannon ja toiminnan turvallisuus VAHTI Valtionhallinnon tietoturvallisuuden johtoryhmä on valtiovarainministeriön johdolla toimiva ryhmä, jossa on edustaja keskeisistä ministeriöistä ja laitoksista Ensimmäinen periaatepäätös tietoturvallisuudesta 1992 Useita ohjeita tietoturvallisuuteen liittyen 5
Eheys Luottamuksellisuus Käytettävyys ISO 17799 Alkujaan British Standard, nykyään kansainvälinen standardi Esittelee joukon kontrolleja, jotka on tuotava normaalien työprosessien osaksi Etuna standardinomaisuus Yhdenmukainen tapa Helppo tarkastaa 6
Tietoturvallisuus Tietoturvallisuuden tarkoituksena on taata liiketoiminnan jatkuminen ja minimoida liiketoiminnalle aiheutuvat vahingot estämällä ja minimoimalla turvallisuuteen liittyvien tapahtumien vaikutus Standardin rakenne Turvallisuuspolitiikka Turvallisuuden organisointi Tietoaineistojen luokitus ja valvonta Tietoturvallisuus henkilöstön kannalta Fyysinen turva ja turva ympäristöä vastaan Tietokoneiden ja tietoverkkojen hallinta Järjestelmään pääsyn valvonta Tietojenkäsittelyn kehittäminen ja ylläpito Liiketoiminnan jatkuvuuden suunnittelu Vaatimustenmukaisuus 7
Avaintoimenpiteet Tietoturvallisuuspolitiikan määrittelyasiakirja Tietoturvallisuutta koskevien vastuiden jako Tietoturvallisuuden koulutus ja harjoittelu Turvallisuuteen liittyvien tapahtumien raportointi Virustarkistukset Liiketoiminnan jatkuvuuden suunnitteluprosessi Tekijänoikeuden suojaamien ohjelmien kopioinnin valvominen Organisaatiota koskevien tallenteiden valvominen Tietosuoja Turvalllisuuspolitikan noudattaminen Muita ISO-standardeja ISO 15408 Common Criteria Tietojärjestelmien luokittelu ISO 21827 Security Engineering Capability Maturity Model Organisaation kyky toteuttaa tietoturvallisuuteen liittyviä prosesseja 8
Oma malli Kehitys aloitettiin osana puolustusvoimien turvallisuustoiminnan suunnittelua Pyrkii helpottamaan turvallisuustoiminnan organisointia Toiminnan turvallisuus Toimitilaturvallisuus Henkilöstöturvallisuus Tieto Henkilö Materia Maine Tietotekninen turvallisuus 9
Suojattavat kohteet Erilaiset asiat, jotka ovat arvokkaita organisaatiolle Arvo voi perustua Rahallinen arvo Toiminnallinen arvo Mielikuva-arvo Omaisuus Arvo-omaisuus Rahallinen arvo Raha, arvopaperit, taide Kiinteistöt Toiminnallinen arvo (toimitilat) Rahallinen arvo (sijoitukset) Koneet ja laitteet Toiminnallinen arvo Varasto Toiminnallinen arvo 10
Omaisuuteen liittyvät riskit Tieto Välttämätöntä toiminnalle Raaka-aine Toimintatapa Rahallinen arvo Tiedon saamiseksi tehty työ Myytävä tieto Tiedon arvo määräytyy myös sen mukaan kuinka harva sen tuntee 11
Tietoon liittyvät riskit Henkilöt Ihmisissä yhdistyvät omaisuus ja tieto Käsipareja Tietovarastoja 12
Henkilöihin liittyvät riskit Maine Yrityksen toiminnan kannalta usein yhtä tärkeää kuin omaisuus ja tieto Vaikuttaa ihmisten ostopäätöksiin Vaikuttaa osakkeiden arvoon 13
Toimintaan liittyvät riskit Pakolliset suojausmenetelmät Menetelmät, joiden täytyy olla olemassa kaikissa yrityksissä Perusta kaikille muille toimenpiteille 14
Turvallisuusjohtaminen Turvallisuuden yhdistäminen liiketoimintaan Liiketoiminnan suojaaminen Turvallisuustason valinta Riskianalyysi Turvallisuustoiminnan organisointi Luokittelu Etsitään toiminnan kannalta olennaiset asiat Todetaan, millä tavalla ne ovat arvokkaita Luottamuksellisuus eheys käytettävyys Päätetään, kuinka arvokkaita ne ovat jollakin asteikolla 15
Valinnaiset menetelmät Valinnaisilla menetelmillä rakennetaan varsinainen suojaus Menetelmistä valitaan tilanteeseen ja kohteeseen parhaiten sopivat On tärkeää pitää suojaus yhtä vahvana kaikkialla, vaikka menetelmät vaihtuisivatkin välillä Fyysinen turvallisuus Myös toimitilaturvallisuus tai tilaturvallisuus Luodaan erilaisia alueita, joille pääsyä rajoitetaan ulkopuolisilta Voidaan jakaa estämiseen, havaitsemiseen ja torjumiseen 16
Tietotekninen turvallisuus Luodaan erilaisia alueita, joille pääsyä rajoitetaan ulkopuolisilta Voidaan jakaa estämiseen, havaitsemiseen ja torjumiseen Henkilöstöturvallisuus Määrittelee, kuka on ulkopuolinen Varmistaa, että henkilökunnasta ei ole uhkaa Turvallinen työhönotto Turvallisuus osana kehitystä Turvallinen ulospotkiminen Varmistaa henkilökunnan pätevyyden ja osaamisen 17
Toiminnan turvallisuus Toiminnan laatu Varsinainen työ on suunniteltu niin, että se tehdään turvallisesti Resursseja on riittävästi Henkilöitä Aikaa Kunnolliset prosessit, joita pystytään valvomaan Turvallisuuden kehittäminen 18
Turvallisuuden organisointi perinteisesti Yrityksissä on määräysten mukaan oltava joukko vastaavia henkilöitä Suojelujohtaja, valmiuspäällikkö, työsuojelupäällikkö,... Turvallisuustietoisessa yrityksessä on myös turvallisuuspäällikkö Turvallisuuspäällikkö tekee ohjeet turvallisuusasioissa (=ovien lukitseminen) ja valvoo niiden noudattamista Tulos- ja turvallisuusjohtaminen Turvallisuus on osa normaalia johtamista Ylempi taso antaa tiettyjä turvallisuuteen liittyviä reunaehtoja ja alempi taso toimii niiden puitteissa Alempi taso voi itse päättää toimintansa edellyttävän joissakin asioissa korkeampia vaatimuksia kuin ylhäältä edellytetään 19
90 Get requirement from the upper level The mail service has to work Assign the requirements for the subprocesses 90 The Internetconnection has to work 90 The Intranetconnection has to work 45 Mail server A has to work 45 Mail server B has to work 90 The workstation has to work Send the requirements to the lower level Oman mallin organisointi Turvallisuusjohtaminen on osa johdon työtä Johto asettaa vaatimukset vastaamaan likketoimintastrategiaa Henkilöstöturvallisuus on turvallista henkilöstöhallintoa Palkkaus, tuloskeskustelut ym. ovat normaaleja henkilöstöhallinnon prosesseja Fyysinen turvallisuus liittyy kiinteistöhallintoon Tietotekninen turvallisuus liittyy tietohallintoon Toiminnan turvallisuus on jokaisen esimiehen vastuulla 20
Ulostaminen Jos vaadittavat turvallisuustasot ja reunaehdot on määritelty kunnolla organisaation sisällä, on myös toimintojen ulkoistaminen helppoa Turvallisuusteen liittyvät vaatimukset on kirjattava sopimuksiin Turvallisuudesta maksettava hinta on osa palvelun hintaa Turvallisuustiedottaminen Kun jotain tapahtuu, tiedottaminen on osa tapahtuman käsittelyä Suunniteltaessa etukäteen toimenpiteitä on suunniteltava myös tiedotus Kuka tiedottaa Kuinka paljon kerrotaan Mitä pyydetään Tiedottamisen onnistuminen vaikuttaa Maineeseen Toiminnan jatkumiseen 21
Tiedottamisen tavoitteet Osapuolet tietävät mitä on tapahtunut Osapuolet osaavat toimia oikein uudessa tilanteessa Luottamus säilyy Tiedottamisen ongelmat Ei ole päätetty, kuka tiedottaa Useita ristiriitaisia viestejä Ketä uskotaan? Tiedottaja ei tiedä riittävästi Viesti on väärä tai epäuskottava Kerrotaan vääriä asioita Paljastuu huijaukseksi Selittelyä 22
Ajankohtaista Turvallisuden roolin ymmärtäminen Sonera GE Moneyn tietoturvapäällikkö Tietoliikenteen tietosuoja Yhteenveto Turvallisuuden avulla voidaan tehostaa tuotantoa ja profiloitua markkinoilla halutulla tavalla Turvallisuuden organisointiin on olemassa erilaisia tapoja ja malleja, organisointi on tehtävä organisaatiolle luonnollisella tavalla Tiedottaminen on suunniteltava osana turvallisuutta 23