Tietoturva - toiminnan peruskivi Tietoyhteiskunta- ja tietoturvaseminaari, 16.3.2012 Jan Mickos
Globaali ajattelu, paikallinen asiantuntemus Logica Suomessa
Logica-konsernin liiketoimintatietoa 2010 Logica-konsernin liikevaihto 4 325 miljoonaa euroa Ulkoistamispalveluiden osuus liikevaihdosta 43 % Ranska 22% Iso- Britannia 19% Toimintaalueet Muu maailma 6% Muu Eurooppa 9% Muut pohjoismaat 6% Suomi 9% Pankki ja vakuutus 16% Telecom 8% Toimialat Julkinen sektori 31% Ruotsi 15% Energia 17% Benelux 14% Teollisuus, kauppa ja palvelut 28%
Logica Security Advisory Yleiskuvaus: Logica Security Advisory on korkean tietoturvan asiantuntijapalveluiden tuottamiseen keskittyvä yksikkö. Palvelut tuotetaan perustuen alan parhaimpaan osaamiseen yhdistettynä kokonaisvaltaisesti turvallisuutta kehittävään lähestymistapaan, prosesseihin ja menetelmiin. Palvelumme kattavat niin teknisen tietoturvan kuin hallinnollisen, fyysisen ja henkilöstöturvallisuuden osa-alueet. Asiantuntijamme ovat kokeneita ja sertifioituja: CISSP, CISA, CISM, CRISC, ISO 27001 Auditor, CSSLP Asiakkaitamme: Mm. TeliaSonera, Oikeusministeriö, Pääesikunta, Neste Oil, Valtiokonttori, Ålandsbanken, Puolustusvoimat, Säteilyturvakeskus, Finnair. Useat Suomalaiset pankit, Valtion virastot ja Kunnat Lähestymistapamme Tekninen tietoturva Hyökkäystestaus Verkko- ja palvelinturvallisuuden suunnittelu ja todentaminen Tunkeutumisen havaitsemis- ja estojärjestelmät (IDS / IPS) Tietojärjestelmä turvallisuus Riskilähtöinen tietoturvaarkkitehtuurin suunnittelu Haavoittuvuustestaus Auditoinnit ja tarkastukset Turvallinen systeemityö Identiteetin ja pääsyn hallinta Turvallisten ja luotettavien julkisen avaimen järjestelmiin (PKI) perustuvat ratkaisut Luottamusverkostot ja federointi Käyttövaltuushallinnan prosessit Turvallisuuden hallinta Haavoittuvuushallinta Human Intelligence Tietoturvallisuuden hallintajärjestelmät (ISMS) Turvallisuustilannekuvat Riskienhallinta ja vaatimustenmukaisuus Riskienhallintamenetelmien arviointi ja kehittäminen Riskikartoitukset Vaatimuslähtöinen turvallisuussuunnittelu No. 4
Uhkakuvat muuttuvat Tietovuodot yleistyvät, laajenevat ja julkisuusarvo kasvaa Kohteina tavallinen kansa (henkilötiedot, luottokorttitiedot, jne ) ja viranomaistieto No. 5
Muita tietoturvatapahtumia Tapaninpäivän myrsky 2012 Kymmenet tuhannet kotitaloudet ilman sähköä, jopa viikkoja Tietoliikenteen lankaverkot katki suurilla alueilla (ilmajohdot samoissa tolpissa sähköjen kanssa) Matkapuhelinverkon varavoimajärjestelyt riittämättömiä, ihmiset loukussa kodeissaan (tiet poikki), ilman lämmitystä (sähköt poikki), ilman vettä (pumput ei toimi), ilman viestintäyhteyksiä (tietoliikenneverkot poikki) Poliisin tiedotettua historiallisen suuresta tietomurrosta verkkosivuillaan 2011, verkkosivut kaatuivat yllättävän suuresta kuormasta Virallisen viestinnän rinnalle syntyi suuri määrä vaihtoehtoisia tietolähteitä, osin suoranaisia huijauksia ja hyökkäyksiä, osin dis-informaation levittämistä Nokian vesikriisi 2007 400 000 litraa jätevettä sekoittui juomaveteen Kriisiviestintä epäonnistui, eikä kriisiin oltu varauduttu mitenkään Tuhannet sairastuivat, muutama kuoli Jne.
Tietoturvatavoitteet Eheys Jäljitettävyys Tieto Saatavuus Luottamuksellisuus
JHS 173 Ohjaavat tekijät Lait ja asetukset Valtioneuvoston periaatepäätös valtionhallinnon tietoturvallisuuden kehittämisestä (VAHTI 7/2009, 26.11.2009) Tietoturvatasot (TTT) ICT-varautumisen tasot Tietoturva-asetus Asetuksen täytäntöönpano-ohje (VAHTI 2/2010) Sopimukset Kansallinen turvallisuusauditointikriteeristö (KATAKRI v.1.0 & 2.0) No. 8
Tietoturvallisuuden hallintajärjestelmä Tietoisuus ja tietoturvakulttuuri Tietoturvapolitiikka ja johdon sitoutuminen Tietoturvaorganisaatio ja vastuut Tietoturvamenettelyt ja toimintaohjeet Riskienhallinnan menettelyt Suojattavien kohteitten tunnistaminen Tiedon luokitusjärjestelmä ja käsittelysäännöt Turvamekanismien valinta ja implementointi Jatkuvan mittaamisen ja parantamisen prosessit Tallenteiden käsittely Toiminnan jatkuvuuden turvaaminen Johdon katselmus ja jäännösriskin käsittely No. 9
Ratkaisutarjontamme Human Intelligence Auditoinnit ja tarkastukset Identiteetin- ja pääsynhallinta Turvallisuuspalvelut Riskien hallinta ja vaatimustenmukaisuus Hallintajärjestelmät Haavoittuvuushallinta Haavoittuvuustestaus Koulutuspalvelut Turvallisuussuunnittelu No. 10
Kiitos! jan.mickos@logica.com Logica Suomi Oy Karvaamokuja 2, 00380 Helsinki Suomi www.logica.fi Jan Mickos Director, Security Advisory T: +358 (40) 847 8740 E: jan.mickos@logica.com Logica is a business and technology service company, employing 39,000 people. It provides business consulting, systems integration and outsourcing to clients around the world, including many of Europe's largest businesses. Logica creates value for clients by successfully integrating people, business and technology. It is committed to long term collaboration, applying insight to create innovative answers to clients business needs. Logica is listed on both the London Stock Exchange and Euronext (Amsterdam) (LSE: LOG; Euronext: LOG). More information is available at www.logica.com