Toteutuuko tietoturva?

Samankaltaiset tiedostot
TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Luottamuksellinen sähköposti Trafissa

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Kirje -tasolla viestiliikenne suojataan automaattisesti SSL-salauksella, sekä viesti lukitaan Deltagon MessageLock -tekniikalla.

Ohje luottamuksellista tietoa sisältävien sähköpostiviestien lähettämiseen ja vastaanottamiseen

Luottamuksellinen sähköposti Lapin yliopistossa. Ilmoitusviesti

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Tietoturvallisuuden ja tietoturvaammattilaisen

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

Julkinen. Suomen Pankin ja Finanssivalvonnan suojattu sähköposti: ulkoisen käyttäjän ohje

Case VYVI-Turvaposti miten huolehditaan turvallisesta viestinnästä eri sidosryhmien kesken? Tommi Simula Tietoturvapäällikkö Valtori

Vihdin kunnan tietoturvapolitiikka

Tietoturva-asetus ja sen vaikutukset rekisterien ylläpitoon ja tietoluovutuksiin A-P Ollila 1

Tietoturvapolitiikka

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

Ryhmätyö Tietoturva ja tietosuoja digiohjauksessa -verkkotyöpajassa Ryhmien työskentelyn tulokset

Tietoturvapolitiikka Porvoon Kaupunki

Tietoturvapolitiikka

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

Laatua ja tehoa toimintaan

Sähköposti ja tekstiviesti tietoturvatontako? Yrjö Koivusalo tietohallintapäällikkö V-SSHP

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Peruspalvelukuntayhtymä Kallio TIETOSUOJAPOLITIIKKA. Yhtymähallitus

Tietoturva ja viestintä

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Politiikka: Tietosuoja Sivu 1/5

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Toimitilojen tietoturva

Maarit Pirttijärvi Pohjois-Suomen sosiaalialan osaamiskeskus Lapin toimintayksikkö

Tietoturvapolitiikka. Kunnanhallitus Tyrnävän kunta

Espoon kaupunki Tietoturvapolitiikka

Turvaa vihdoin hallitusti sähköpostit, asiakas- ja kumppaniviestintä sekä tietosisällöt

Pikaviestinnän tietoturva

Muutoshistoria Versio Laatija Päiväys Muutokset Hyväksynyt 0.9 Juuso Mikkonen

Espoon kaupunkikonsernin tietoturvapolitiikka

SÄHKÖPOSTIN SALAUSPALVELU

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Tietoturvallisuuden huoneentaulu mitä jokaisen on hyvä muistaa

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

TIETOTURVA. Eduberry tietotekniikka marjanviljelijän apuvälineenä Leena Koponen

Muokkaa otsikon perustyyliä napsauttamalla

Vaivattomasti parasta tietoturvaa

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

Arvoa tuottava IPR-salkku ei synny sattumalta

Kymenlaakson Kyläportaali

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

Lieksan kaupungin tietoturva- ja tietosuojapolitiikka 2019

= LV! "17. Seinäjoen kaupungin tietoturvapolitiikka SE I N ÄJ 0 K I. 1. Johdanto. 2. Tietoturvaan liittyvät tavoitteet ja periaatteet

Pilvipalveluiden arvioinnin haasteet

VIRTU ja tietoturvatasot

Joroisten kunnan tietoturvapolitiikka. Tietoturvapolitiikka. Joroisten kunta

Turun ammattikorkeakoulu (5) Tietojärjestelmien käyttösäännöt

Versio Rovaniemen koulutuskuntayhtymä Hyväksytty

IT-palvelut ja tietoturvallisuus Tampereen yliopistossa

Lapin yliopiston tietoturvapolitiikka

Salatun sähköpostipalvelun käyttöohje

PK-yrityksen tietoturvasuunnitelman laatiminen

SÄHKÖPOSTIN KÄYTÖSTÄ SOSIAALIHUOLLOSSA

iphone ja ipad

KIRKKONUMMEN KUNNAN TIETOTURVAPOLITIIKKA

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

JYVÄSKYLÄN KAUPUNKIKONSERNIN TIETOTURVAPOLITIIKKA

TIETOTURVAPOLITIIKKA

1 (6) VALTIMON KUNTA. Tietoturva- ja tietosuojapolitiikka. Kunnanhallitus

Asianajajaliiton tietoturvaohjeet. Asianajosihteeripäivät Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy

Tietoturvapäivä

Peimarin koulutuskuntayhtymä Liite nro 11 Ammattiopisto Livia Yhtymävaltuusto TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

Yleistä hallinnollisesta tietoturvallisuudesta. Tukikoulutus joulukuu 2007 Tuija Lehtinen

Autentikoivan lähtevän postin palvelimen asetukset

Kieku-tietojärjestelmä Työasemavaatimukset sla-

Tietosisällön eheys. Kimmo Janhunen Riskienhallintapäällikkö

Johtokunta Tietoturva- ja tietosuojapolitiikka

Julkisen hallinnon linjaukset tiedon sijainnista hallinnasta Pauli Kartano

Käytettävyys eli tieto on siihen oikeutettujen hyödynnettävissä haluttuna aikana.

Vihdin kunnan tietosuoja- ja tietoturvapolitiikka

Yrityksen sähköisen sanomaliikenteen automatisointi

Tutkimuslaitosseminaari

Salatun sähköpostipalvelun käyttöohje

Nurmeksen kaupungin tietoturva- ja tietosuojapolitiikka

KOKKOLAN KAUPUNGIN TIETOTURVAPOLITIIKKA

YHDISTYKSEN DIGITAALINEN VIESTINTÄ

Sovelto Oyj JULKINEN

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

TIETOJÄRJESTELMIEN KÄYTTÖSÄÄNNÖT

Yritysturvallisuuden perusteet

TIETOTURVALLISUUDEN UUDET ULOTTOVUUDET TOIMITILOISSA

TIETOTURVAPOLITIIKKA

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Hostingpalvelujen. oikeudelliset kysymykset. Viestintäviraston Abuse-seminaari Jaakko Lindgren

1 (9) Rauman kaupunki. Tietoturvapolitiikka. Kaupunginhallitus hyväksynyt , KH 274, RAU/522/ /2016

SÄHKÖISET JA LAINSÄÄDÄNTÖ

TIETOSUOJAPOLITIIKKA

Pilvee, pilvee, pilvee TERVETULOA! Toni Rantanen

Kyberturvallisuus kiinteistöautomaatiossa

Keksijän muistilista auttaa sinua jäsentämään keksintöäsi ja muistuttaa asioista, joita on hyvä selvittää.

Ilmoitus saapuneesta turvasähköpostiviestistä

Häiriötilanteisiin varautuminen korkeakoulukentässä. Kari Wirman IT Valtakunnalliset IT-päivät Rovaniemi

TIETOTURVA- JA TIETOSUOJAPOLITIIKKA

TIETOTURVA- POLITIIKKA

Transkriptio:

Toteutuuko tietoturva? Infomaatiohallinnon päivä 2010 21.9.2010 Rovaniemi Juha Lappi Email: juha.lappi@deltagon.fi Vt. toimitusjohtaja GSM: (044)5280892

Deltagon Group Oy Kehittää ja myy käyttäjäystävällisiä sähköpostin luottamuksellisuusratkaisuja erityisesti keskisuurille ja suurille organisaatioille Perustajien, yksityisten sijoittajien ja Sitran omistama Historia 2001 D3-tuotteen teknologinen ratkaisu valmis 2002 Ensimmäinen pilottiasiakas 2005 Markkinajohtaja Suomessa 2009 ASP-kumppanikanavan luonti Asiakkaisiimme kuuluu yrityksiä laajasti eri toimialoilta. Tuotteemme on saatavana myös ASP-palveluna kumppaneiltamme

Tieto lisää turvaa Tietoturva ry on tietoturva-ammattilaisten voittoa tavoittelematon, itsenäinen ja vapaaehtoisvoimin toimiva yhdistys, joka edistää tietoturvallisuutta ja tietoturvatietoutta. Tuemme jäsentemme (vuoden 2009 lopussa 913 jäsentä ja lisäksi 52 yhteisöjäsentä) tietoturvallisuuden ammattitaidon kehittämistä. Edistämme hyvien tietoturvatapojen noudattamista tietoturvallisuuden kaikilla osa-alueilla. Tarjoamme jäsenillemme kanavan tietoturvakokemusten vaihtoon ja parhaiden tietoturvakäytäntöjen jakamiseen. jäsentapaamiset seminaarit keskustelutilaisuudet yritysvierailut kansainvälinen yhteistyö CISSP-valmennus ja tutkinto SANS-yhteistyö koulutusyhteistyö tietoturvayhteistyö jäsenetuudet

Toteutuuko tietoturva? Esityksen aiheet: Tausta: Organisaation tietoturvan kehittäminen Luottamuksellisuuden hallinta viestinnässä Case: sähköpostin luottamuksellisuus Tutkimus sähköpostiviestinnän tietoturvakäsityksistä 2010 Tutkimus toukokuussa 2010. Vastaukset painottuivat keskisuuriin ja suuriin organisaatioihin suomalaisten yritysten ylimmästä johdosta mm. hallinnon, myynnin, talouden, IT:n ja tuotannon tehtävissä.

Käsitteitä Mitä on tietoturva? Turvallisuus on omaisuuden ja ihmisten suojaamista Tietoturva on informaatio-omaisuuden suojaamista ja niihin kohdistuvien riskien vähentämistä. Tietoturvalla tarkoitetaan niitä järjestelyitä, joilla yritetään varmistaa tiedon 1. Luottamuksellisuus (Condentiality) 2. Eheys (Integrity) 3. Käytettävyys (Availability) Tietoturvaa ei voi tehdä mielekkäästi tunnistamatta suojattavaa informaatiota ja siihen kohdistuvia uhkia Toteutuessaan tietoturva mahdollistaa vakaan liiketoiminnan sekä säästää aikaa ja rahaa On myös osa organisaation laatua ja luotettavuutta

Suojattava tieto on ensin tunnistettava Ennen kuin tietoturvaa voidaan toteuttaa on turvattava tieto tunnistettava Tiedot voidaan luokitella esim. julkisiin, luottamuksellisiin ja salaisiin Tyypillisesti suojattavia tietoja ovat mm. asiakastiedot, tuotekehitystiedot, liiketoimintatiedot, tuotantotiedot, myyntitiedot, henkilöstötiedot, markkinointitiedot, yrityksen tietojärjestelmiä koskevat tiedot Käyttäjille tarvitaan luokittelun pohjalta konkreettinen käsittelyohje, jonka avulla käyttäjä voi tunnistaa yrityksen kannalta kriittisen tiedon Luottamukselliset tiedot Tietoja voivat käsitellä vain henkilöt, joiden työtehtävät sitä edellyttävät. Tietojen käyttöoikeudet on määriteltävä. Sisältöä ei paljasteta tai muutoin saateta sivullisten tietoon

Uhkien tunnistamisesta tietoturvan hallintaan Tietoturvan tarve on helpoin havaita tarkastelemalla, mitä kaikkea ikävää voi tapahtua. Riski-/uhka-analyysilla pyritään kartoittamaan potentiaalisia tietoturvariskejä, sekä niiden toteutuessa aiheuttamia vaikutuksia liiketoiminnalle Erilaiset turvallisuusohjeistukset voivat myös asettaa tavoitteita ja vaatimuksia tietoturvan toteutukselle Valtiohallinnon tietoturvatasot VAHTI ohjeet Vaatii jatkuvaa seurantaa Uusia riskejä syntyy jatkuvasti Myös tietoturvan toteutumista tulee seurata ERITYISTASO KORKEA TASO KOROTETTU TASO PERUSTASO

Miten tietoturva näkyy käyttäjälle 80 % liiketoiminnan tietojen turvallisuudesta luodaan henkilöstön arkipäivän rutiineja kehittämällä ja 20 % teknisten suojaamiskeinojen avulla Organisaation tietoturva koostuu tyypillisesti mm. Tietoturvapolitiikasta Tietoturvamekanismeistä ja prosesseista Teknisistä ratkaisuista Ohjeistuksesta Käyttäjien perehdytyksistä ja koulutuksista

Luottamuksellisen tiedon suojaaminen viestinnässä Viestinnän luottamuksellisuuden turvaamisessa lisähaasteita verrattuna turvaamiseen organisaation sisällä Kuinka hallitaan ei omalla maalla vaikuttavat riskit Kuinka voidaan vaikuttaa sidosryhmien toimintaan Suojausmenetelmien käytön helppous ja skaalatutuvuus korostuu Omistajat Hallitus Tilitarkastajat Viranomainen A Viranomainen B TIEDOT MAINE PÄÄOMA HENKILÖSTÖ Asiakas A Asiakas B Kumppani A Kumppani B Alihankkija A Alihankkija B

CASE sähköposti - tietoturva haasteet Sähköpostissa ei ole minkäänlaista teknologian tuomaa Miten suojaa luottamuksellisuuteen! What Miten vastaamme vastaamme happened? henkilötietolain ja liiketoiminnan muun vaatimuksiin? Miten saamme lainsäädännön Internet varmistettua, että Miten hoidamme vaatimuksiin? kaikki yksittäiset viestintä luottamuksellinen kumppanit, joilla voi viestintä varmasti oilla mikä tahansa kulkee salattuna? sähköpostiohjelma? Normaali sähköposti on turvatasoltaan kuin postikortti - Viesti on luettavissa sen liikkuessa verkossa - Viestistä voi syntyä kopiota tietämättä - Kuka vaan voi lähettää viestin millä vaan osoitteella -> Mikä materiaali sopii postikortilla toimitettavaksi?

CASE sähköposti - Hallinnollisia yrityksiä Sähköpostissa ei saa lähettää luottamuksellisia viestejä. Suojaamatonta sähköpostia ja faksia käytettäessä varmistetaan, että tieto menee oikeaan osoitteeseen, ja lähetyksen ja vastaanoton suorittaa siihen oikeutettu henkilö.. X KUNNAN Tietoturvapolitiikka Asiakkaan luottamuksellisia tietoja ei saa lähettää sähköpostissa. JA/TAI Luottamuksellinen sähköpostiasiointi tapahtuu vain asiakkaan nimenomaisella luvalla. Sähköpostia käytettäessä luottamukselliset tiedot tulee suojata.

CASE sähköposti Perinteisiä teknisiä ratkaisuja Perinteisiä suojausmenetelmiä: Verkkotason suojaus Gateway tasoiset Tiedostojen suojaus Client pohjaisia Keskeiset haasteet Käyttöönotto, ylläpito, jatkuvuus Käytön ohjeistaminen Käytettävyys Skaalautuvuus liiketoiminnan tarpeisiin Erityyppisten vastaanottajien huomioiminen

CASE sähköposti Missä mennään Tutkimus sähköpostiviestinnän tietoturvakäsityksistä 2010

CASE sähköposti Missä mennään

CASE sähköposti Miten ratkaistavissa Liiketoimintalähtöisesti tarkasteltuna tekniseltä ratkaisulta odotetaan usein mm. seuraavia ominaisuuksia: Helppokäyttöinen Mahdollistaa nopean ja helppokäyttöisen suojatun sähköpostiviestinnän Suojatun viestin lähettäminen onnistuu kenelle vain Ei asennuksia työasemiin (ainakaan vastaanottajalle) Skaalautuu Laaja lähettäjä joukko (eri tasoisia käyttäjiä ja eri käyttötarpeita) Laaja vastaanottaja joukko (toimintaan haasteellista vaikuttaa) Mahdollistaa kaksisuuntaisen viestinnän Keskitetysti hallittavissa Helppo ohjeistaa Ohjeistuksen toteutuminen seurattavissa Integroitavuus mahdollisuus liittää eri järjestelmiin

CASE sähköposti Miten ratkaistavissa Esimerkki Deltagon Sec@GW käytöstä 1. 2. Sec@GW 4. 3. Internet 5. 1. Lähettäjä lähettää sähköpostiviestin normaalisti käyttäen sähköpostiohjelmaa ja lisää vastaanottajan osoitteen perään tunnisteen.s (esimerkiksi vastaan.ottaja@yritys.fi.s) 2. Viesti tunnistetaan.s tunnisteesta salattavaksi viestiksi ja ohjataan Sec@GW-palvelimelle 3. Viesti tallennetaan salattuna sekä luodaan ilmoitusviesti, joka lähetetään vastaanottajalle 4. Vastaanottaja avaa salatun yhteyden (SSL) palvelimelle ilmoitusviestin suojatulla linkillä - kirjattu kirje tasolla matkapuhelimeen lähetetään lisäksi ennen viestin avaamista PIN-koodi 5. Vastaanottaja voi edelleen vastata suojatusti, jolloin viesti on luettavissa normaalina sähköpostina

Yhteenveto: Toteutuuko tietoturva Tietoturva on kaikkien vastuulla Korkean tietoturvatason saavuttaminen ei tänä päivänä ole yleensä niinkään tekninen haaste Suurempana haasteena on tekniikan saaminen oikeasti ihmisten käyttöön Todellinen tietoturvataso nousee vasta toimivan tietoturva ratkaisut ovat käytössä: Teknisten ratkaisujen käytettävyyteen ja käyttäjien ohjeistukseen tulee kiinnittää huomiota Käyttäjästä ei saa tehdä heikointa lenkkiä Liiketoiminnan vaatimukset tulee huomioida mahdollisimman hyvin Oikein määritetyt turvavaatimukset ja käyttöön sopiva tekninen toteutus luo tietoturvan käytännön toteutumisen edellytykset tietoturva onkin mahdollistaja eikä päänsärky myös käyttäjän näkökulmasta TURVAVAATIMUKSET KÄYTETTÄVYYS Tasapaino on onnistumisen eli tietoturvan toteutumisen edellytyksenä

Kiitos Juha Lappi Email: juha.lappi@deltagon.fi Vt. toimitusjohtaja GSM: (044)5280892 Deltagon Group Oy

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute