KYBERTURVALLISUUS. digitalisoituvassa maailmassa. Digitaalinen murros. Uudet liiketoimintamahdollisuudet

Samankaltaiset tiedostot
Kyber- hyökkäykset. Mitä on #kyberturvallisuus #CyberSecurity.

Kyberturvallisuudesta

Kyberturvallisuuden tila

TEEMME KYBERTURVASTA TOTTA

TEEMME KYBERTURVASTA TOTTA

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Fennian tietoturvavakuutus

KYBERTURVAPALVELUT. VTT auttaa turvaamaan toiminnan jatkuvuuden ja suojautumaan kyberuhilta. VTT Kyberturvapalvelut

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Mihin varautua, kun sairaala varautuu kyberuhkiin? Perttu Halonen Sosiaali- ja terveydenhuollon ATK-päivät,

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

Strategisen tason linjaukset, miten kyberuhkilta opitaan suojautumaan?

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

Kyberturvallisuudessa on kyse luottamuksesta digitalisaation hyötyihin

Kyberturvallisuus on digitalisaation edellytys ja mahdollistaja - miksi ja miten?

TEEMME KYBERTURVASTA TOTTA

Miten suojautua nykyisiltä tieto- ja kyberuhilta? Petri Vilander, Kyberturvallisuuspäällikkö, Elisa Oyj

Espoon kaupunki Pöytäkirja 96. Valtuusto Sivu 1 / Valtuustokysymys kyberturvallisuuden järjestämisestä ja uhkiin varautumisesta

Vesihuolto päivät #vesihuolto2018

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

TILINPÄÄTÖS 2015 JA NÄKYMÄT

VALVO JA VARAUDU PAHIMPAAN

PRH:n strategia vuosille

Pikaopas. Tietoturva, GDPR ja NIS. Version 3.0

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

TIETOPAKETTI EI -KYBERIHMISILLE

KYBERTURVAMARKKINA KASVAA TEEMME KYBERTURVASTA TOTTA

Kustannustehokkuutta tietoturvallisuutta vaarantamatta

Kyber uhat. Heikki Silvennoinen, Miktech oy /Safesaimaa

Yrityksen tietoturva ja siihen liittyvät vakuutus- ja palveluratkaisut

TOIMENPITEET ITPOINT OY ASIAKKAAN HENKILÖTIETOJEN TURVALLISUUDEN VARMISTAMISEKSI

Sisäisen turvallisuuden ja Ulko- ja turvallisuuspoliittinen selonteko

YRITTÄJÄKYSELY 2017 TUTKIMUSRAPORTTI: TIETOTURVA

Yrityksen työeläkevakuutukset, kuntoutus- ja eläkeasiat sekä työkykyjohtamisen työkalut kaikki yhdessä paikassa

- ai miten niin?

SFS-ISO/IEC 27002:2014 Tietoturvallisuuden hallintakeinojen menettelyohjeet

Mobiilin ekosysteemin muutos - kuoleeko tietoturva pilveen?

TIETOTURVALLISUUDESTA TOIMINNAN TURVALLISUUTEEN. Tietoturva Nyt! Säätytalo Toimitusjohtaja Raimo Luoma

Mitä pitää huomioida tämän päivän tietoturvasta ja kuinka varautua kyberturvariskeihin. Mikko Saarenpää Tietohallintopäällikkö MPY Palvelut Oy

Kyber turvallisuus vesilaitoksilla Uhkakuvat ja varautuminen

PK-yrityksen tietoturvasuunnitelman laatiminen

Digitaalinen transformaatio muuttaa asiakkaidemme liiketoimintaa

Rakenna muuri verkkorosvolle. Antti Nuopponen, Nixu Oy

Liiketoimintaa ICT-osaamisesta vahvuuksilla eteenpäin. Jussi Paakkari, teknologiajohtaja, VTT, R&D, ICT

Kyberturvallisuuden implementointi

[Investing in the Data Center Business]

Espoon kaupunkikonsernin tietoturvapolitiikka

SOTE-AKATEMIA TEKNOLOGISEN MURROKSEN JOHTAMINEN SOTE-ALALLA

- ai miten niin? Web:

Riskienhallinta- ja turvallisuuspolitiikka

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

Suomen kuntien vuoden 2015 tieto- ja kyberturvallisuutta koskeva kysely Tervetuloa vastaamaan kyselyyn!

ILMOITUSVELVOLLISEN RISKIARVION LAATIMINEN

Digitalisaation vaikutukset ja mahdollisuudet energia-alan palveluille. Juho Seppälä Digia Oyj

Seuraavaksi: VAHTI-pääsihteeri Kimmo Rousku, VM: Tietoturvallisuuden ja varautumisen roolit valtionhallinnossa

Pilvipalveluiden arvioinnin haasteet

Liite/Kvalt , 29 ISONKYRÖN KUNNAN JA KUNTAKONSERNIN SISÄISEN VALVONNAN JA RISKIENHALLINNAN PERUSTEET. Isonkyrön kunta

Verkkorikollisuus tietoturvauhkana. Valmiusseminaari, ylitarkastaja Sari Kajantie, KRP/Tietotekniikkarikosyksikkö

Sonera perustaa Helsinkiin Suomen suurimman avoimen datakeskuksen. #SoneraB2D

Uudenkaupungin kaupungin sisäisen valvonnan ja riskien hallinnan perusteet

Rajattomat tietoverkot ja niiden rooli pilvipalveluissa. Jukka Nurmi Teknologiajohtaja Cisco Finland

Tietoturva- ja tietosuojariskien hallinta tietojärjestelmäkilpailutuksessa

Verkostoautomaatiojärjestelmien tietoturva

Tietoturvan johtaminen suomalaisen liikkeenjohdon näkökulmasta

Kiertotalous liiketoimintana mahdollisuuksia ja haasteita

Kuinka IdM-hanke pidetään raiteillaan

Forte Netservices Oy. Forte Client Security Services

Ajankohtaista kyberturvallisuudesta. Johtaja Jarkko Saarimäki

Kyberturvallisuus kiinteistöautomaatiossa

Turvallisia palveluja ja asumisratkaisuja ikäihmisille

Muistitko soittaa asiakkaallesi?

Kyberturvallisuus ja finanssialaan kohdistuvat kyberuhat. Tomi Hasu Kyberturvallisuuskeskus

TIETOTILINPÄÄTÖS. Ylitarkastaja Arto Ylipartanen/ Tietosuojavaltuutetun toimisto. Terveydenhuollon ATK-päivät ; Jyväskylä

Elinkeino-ohjelman painoalat

Avoimen ja yhteisen rajapinnan hallintamalli

Espoon kaupunki Tietoturvapolitiikka

Fiksu kaupunki /2013 Virpi Mikkonen / Timo Taskinen

Digia lyhyesti 81 M 5,9 M. Pörssiyhtiö NASDAQ Helsinki

Digitalisaatio ja kyberpuolustus

Digital by Default varautumisessa huomioitavaa

Tietoturvan haasteet grideille

VARAUTUMINEN SOPIMUKSIN KYBERTURVALLISUUSUHKIIN Varautumispäällikkö Erkki Räsänen Huoltovarmuuskeskus, Infrastruktuuriosasto

ONKO YRITYKSILLÄ KYKYÄ SOPEUTUA ENNAKOIMATTOMIIN MUUTOSTILANTEISIIN Valmiusasiamies Jaakko Pekki

Suomen kyberturvallisuuden nykytila ja tulevaisuus

Projektin suunnittelu A71A00300

Teollisuuden digitalisaatio ja johdon ymmärrys kyvykkyyksistä

Julkisen ja yksityisen sektorin kumppanuus innovatiivisten palveluiden mahdollistajana

Suorituskyky- ja riskiperusteinen toimintamalli Liikenteen turvallisuusvirastossa

Mistä on kyse ja mitä hyötyä ne tuovat?

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Projektin suunnittelu A71A00300

Avoimen ja yhteisen rajapinnan hallintasuunnitelma v.1.4

Soveltuvimpien standardien esittely ja vaikutusten arviointi TITAN Tietoturvaa teollisuusautomaatioon Tekes Turvallisuusohjelman hanke

- muotisana vai reaalimaailman ilmiö?

REKRYTOINTI- JA VUOKRAPALVELUT MUUTOKSEN JA KASVUN YTIMESSÄ. Tero Lausala,

VAHTI-riskienhallintaohje. teoriasta käytäntöön

Porvoon kaupungin ja kaupunkikonsernin sisäisen valvonnan ja riskienhallinnan perusteet

Suomi nousuun. Aineeton tuotanto

SPEK2020. strategia

Transkriptio:

KYBERTURVALLISUUS digitalisoituvassa maailmassa 1 2 3 4 5 6 Digitaalinen murros Uudet liiketoimintamahdollisuudet Kyberturvallisuus ei ole uhka, vaan mahdollisuus Näin hallitset kyberriskit Entä jos vahinko on jo sattunut? Kyberturvallisuutta palveluna

1 Digitaalinen murros DIGITALISOITUVA MAAILMA TARJOAA entistä enemmän mahdollisuuksia, mutta siihen liittyy myös uusia uhkia. Mitä enemmän toimimme verkossa, sitä haavoittuvampaa toimintamme on. Digitaalisessa toimintaympäristössä yhteiskunnan ja asiakkaiden vaatimukset kasvavat ja edellyttävät panostuksia. KUN LIIKETOIMINTAA UUDISTETAAN ja kehitetään, tietoturvakysymykset jäävät liian usein taka-alalle. Turhan yleistä on sekin, että yritykset laiminlyövät oman tietoturvansa seurantaa ja päivittämistä. Verkottuvassa yhteis kunnassa yritysjohdon tulee ottaa enemmän vastuuta yrityksen riskien hallinnasta, josta osan muodostaa kyberturvallisuus. ORGANISAATIOISSA KYBERTURVALLISUUTEEN LIITTYVÄT kysymykset on usein jätetty IT-osaston vastuulle, vaikka niiden pitää olla osa liiketoiminnan kovinta ydintä ja riskienhallintaa. Yritysjohdon tulee huolehtia yrityksensä kyvystä kehittää laadukkaita tuotteita ja palveluita tietoturva-asioita laiminlyömättä sekä kehittää osto-osaamistaan kyberturvallisuusasioissa. DIGITALISAATIO MUOKKAA PERINTEISEN tilaaja-tuottajamallin useista toimijoista koostuviksi ekosysteemeiksi ja arvoverkostoiksi. Kun näiden ekosysteemien omistajuus hämärtyy, kysymys niiden kyberturvallisuudesta monimutkaistuu. Se taas avaa myös mahdollisuuksia uudenlaiselle liiketoiminnalle. Trendi on nähtävissä yli toimialarajojen, mikä osaltaan edelleen monimutkaistaa hallittavaa kokonaisuutta. KERROMME TÄSSÄ OPPAASSA, mitä asioita on huomioitava ja mitä askeleita otettava, kun omaa organisaatiota johdetaan kyberturvalliseksi. 8,5 % EOS 17,5 % Liike- 6,5 % Joku muu 1,5 % Ulkopuolinen palveluntarjoaja Kuka vastaa kyber turvallisuudesta organisaatioissa? toiminta- johto vain 56 % organisaatioista käsittelee kyberturvallisuutta johdon tasolla. 33,5 % Tietoturvajohtaja tai -osasto 32,5 % IT-johto tai -osasto

2 Uudet liiketoimintamahdollisuudet NOPEASYKLISESSÄ DIGITALISOITUVASSA MAAILMASSA yrityksillä on tarve kehittää liiketoimintaansa edistäviä IT-ratkaisuja rinnakkain sekä perinteisillä että ketterillä menetelmillä. Kun nykyisiä toimintamalleja uudistetaan ja uusia liiketoimintamalleja kehitetään, kyber turvallisuuskysymykset täytyy pitää koko ajan prosesseissa mukana. Jos tietoturvakysymykset laiminlyödään, voidaan menettää se hyöty, joka on arvioitu saatavan nopeasti markkinoille tuodusta tuotteesta tai palvelusta. Jokainen uusi laite tai koodinpätkä voi olla uusi tietoturvauhka. Tietoturvariskien minimoimiseksi sovelluskehittäjiltä tulee vaatia nyt enemmän kriittisyyttä. ESINEIDEN INTERNET TUO kyberuhkiin uuden ulottuvuuden, kun digitaalinen ympäristö ohjaa yhä useammin fyysisiä laitteita. MYÖS PILVIPALVELUJEN YLEISTYMINEN tuo mukanaan uusia kyberuhkia. Yritysten kannattaa miettiä tarkkaan mitä strategisia tietoja pilveen viedään, kuka omistaa pilvipalvelun, kenelle tietoja luovutetaan ja miten tietosuojakysymykset on ratkaistu. Tyypillisesti pilvipalveluihin liitetään laaja varjo-it:n käsite. Varjo-IT:llä tarkoitetaan palveluita, joita henkilöstö käyttää päivittäin työtehtäviensä hoitamiseen, vaikka niitä ole koskaan yritystasolla käyttöön suunniteltu tai hyväksytty. TIETOTURVAUHKISTA ON TULLUT osa arkeamme eikä kukaan ole täysin suojassa tietomurroilta, verkkokalasteluilta tai palvelun estohyökkäyksiltä. Kyber uhkat ovat jalostuneet harrastelijoiden hyökkäyksistä järjestäytyneeksi rikollisuudeksi ja osaksi valtioiden välistä järjestelmällistä tiedustelutoimintaa. Kyberrikollisia on siellä missä raha liikkuu. yli 80 % organisaatioista uskoo, että kyberuhkiin varautumisen tarve on muuttunut kuluneen vuoden aikana.

2 Uudet liiketoimintamahdollisuudet SAMALLA KUN UHKAT lisääntyvät, kyber- ja tietoturvaa koskevat vaatimukset kovenevat. EU:n tietosuoja-asetus ja tiukentuva lainsäädäntö lisäävät paineita ylläpitää kokonaisvaltaisia tietoturvaratkaisuja. Organisaatiot itsekin vaativat häiriötöntä ja luotettavaa toimintaa koko arvoketjultaan. VAIKKA YRITYKSET OVAT viime vuosina investoineet kyberturvallisuuteen voimakkaasti, osa niistä on silti valmistautunut tietoturvauhkan toteutumiseen yllättävän huonosti. Omaa toimintaa on pyritty suojaamaan pääosin ostamalla tietoturva teknologiaa. Teknisten ratkaisujen on virheellisesti uskottu huolehtivan ongelmista automaattisesti eikä niiden toimintaa ole seurattu järjestelmällisesti. Samalla moni yritys on jättänyt miettimättä, miten sen pitää toimia kun se on joutunut tietoturvaloukkauk sen kohteeksi. Todellisuudessa suurin kustannus organisaation kyberturvallisuuden yllä pitämisessä tulee riittävästä ja tarpeeksi kyvykkäästä henkilökunnasta. Perinteiset turvamekanismit tulossa tiensä päähän Hallitsematon riski Budjetti Resurssit Kyvykkyydet Innovointi Turvallisuus Regulaatio Uhkat ENNEN NYT Innovointi Tehokkuus- ja tuottavuusvaatimukset yhdistettynä teknologiseen kehitykseen ajavat toimintaympäristön nopeaa muutosta ja uusia tapoja soveltaa olemassaolevaa. Uhkat Uhkatoimijat hyödyntävät uusia teknologioita ja innovaatioiden mukanaan tuomia mahdollisuuksia muita toimijoita nopeammin ilman regulaation asettamia rajoitteita. Regulaatio Lainsäädäntö, viranomaismääräykset ja standardit kehittyvät nopeasti nostaen vaatimustasoa ja kustannuksia. Regulaatio on kuitenkin aina askeleen jäljessä uhkakenttää ja innovaatioita.

3 Kyberturvallisuus ei ole uhka, vaan mahdollisuus KYBERTURVALLISUUS TARKOITTAA KOKONAISVALTAISTA tietoturvallisuuden ylläpitämistä ja kehittämistä verkottuneessa yhteiskunnassa. Oikeiden tietoturvaprosessien, hallintamallien ja työkalujen avulla voidaan turvata toiminnan jatkuvuus sekä kehittää ja valvoa omaa toimintaympäristöä. TIETO- JA KYBERTURVALLISUUS ovat liiketoiminnalle mahdollistajia. Usein niitä kuitenkin erehdytään pitämään pakollisena pahana, jonkinlaisena tarkistuspisteenä juuri ennen tuotantoon siirtymistä. Jos kyberturvallisuus huomioidaan vasta näin myöhäisessä vaiheessa, se on liiketoiminnalle enää pelkkä este. Kyberturvallisuustoimijoiden vastuulla on tarjota toimivia ratkaisuja, ei vain ongelmia ja syitä olla tekemättä asioita. DIGITALISAATION MYÖTÄ ERILAISET ketterät kehitysmallit ovat voimakkaasti kasvattaneet suosiotaan. Näissä malleissa kyber- ja tietoturvan merkitys korostuu entisestään. Kyberturvallisuus tulee ottaa ketterään kehittämiseen mukaan jo ideointivaiheessa eikä vasta sitten kun ohjelmisto on jo kehitetty. KUN LIIKETOIMINTAA KEHITETÄÄN, on hyvä muistaa, että kyberturvallisuutta rakennetaan pala kerrallaan. Kyberturvallisuus rakentuu perusasioiden hallitsemisesta, arvokkaan tietopääoman tunnistamisesta, tarpeettomien riskien välttämisestä, hyökkäyspinnan pienentämisestä ja havainnointikyvyn parantamisesta. Vasta sitten kun nämä asiat ovat kunnossa kannattaa panostaa erityisen kehittyneiden uhkien tunnistamiseen ja niiltä suojautumiseen. KYBERTURVALLISUUS ON MYÖS toiminnan kypsyyttä. Järkevää ei ole tavoitella kaikkea heti, vaan edetä vaiheittain. Ensin tehdään perustukset, aivan niin kuin taloa rakennettaessa; lopputulos on parempi, jos perustukset valetaan ennen rungon pystyttämistä ja vesikaton kiinnittämistä. Kyber- ja tietoturvallisuuden rakentamisen tavoitteena on kokonaisuutena jatkuvasti optimoitava ja mitattava toiminta, jota johdetaan kuten muutakin ydinliiketoimintaa.

4 Näin hallitset kyberriskit KYBERTURVALLISUUS ON RISKIENHALLINTAA. Organisaation on tiedettävä, miltä se suojautuu ja miten se sen tekee. Riskit voivat olla strategisia ja operatiivisia tai taloudellisia ja toiminnan jatkuvuutta uhkaavia. Riskit voivat liittyä myös maineeseen ja aineettomiin hyödykkeisiin tai ne voivat olla luonteeltaan juridisia tai geopoliittisia. LAAJASTI JULKISUUTTA SAANEET kyberturvallisuuden loukkaukset ja haittatapahtumat ovat merkittävästi lisänneet yleistä riskitietoutta. Ongelmana on kuitenkin edelleen todellisten riskien tunnistaminen ja arvottaminen oman liiketoiminnan näkökulmasta. Tavoitteena on päästä priorisoituun ja riskilähtöiseen päätöksentekoon siitä, mitkä riskit tulee käsitellä ja millä tavoin tai panoksin. Organisaatioiden tulee miettiä oman toimintansa kannalta keskeisimpiä riskejä ja niiden vaikutuksia esimerkiksi näin: Mitä tarkoittaa maineen ryvettyminen julkisuudessa? Kuinka paljon liike vaihtoa jää saamatta, jos keskeinen toiminto keskeytyy viikoksi, kuu kaudeksi tai vuodeksi? Miten käy liiketoiminnalle, jos tuotekehityspanokset valuvat kilpailijalle? 1 JOS RISKEILLE PYSTYTÄÄN määrittämään arvo, on helpompaa päättää niiden hallintakeinojen priorisoinnista ja investoinneista. Kybervakuuttaminen on nopeasti yleistyvä ja hyvä kyberturvallisuuteen liittyvien liiketoimintariskien hallintakeino, mutta vakuutuksen hankkiminen edellyttää yllä oleviin kysymyksiin vastaamista. KUN RISKIT ON tunnistettu, niitä voidaan hallita neljällä eri tavalla. Riskeiltä voi yrittää välttyä. Riskejä voi pienentää rajoittamalla niiden todennäköisyyttä tai vaikutusta. 2 3 Riskejä voi jakaa esimerkiksi vakuuttamalla tai siirtämällä riskiä sopimusteitse. 4 Riskit voi hyväksyä.

4 Näin hallitset kyberriskit KYBERRISKIEN VÄLTTÄMINEN ON hyvin teoreettista, sillä kybertoimintaympäristö on enenevässä määrin läsnä kaikessa toiminnassamme. Kolme muuta keinoa sen sijaan ovat käytettävissä. KYBERRISKIN PIENENTÄMINEN KOOSTUU lukemattomista eri toimenpiteistä. Perinteisesti riskejä on pyritty pienentämään preventiivisillä eli ennaltaehkäisevillä kontrolleilla, kuten käyttämällä palomuureja ja tunkeutumisen estojärjestelmiä tai pienentämällä hyökkäys pinta-alaa. Nämä keinot ovat edelleen tarpeen, mutta niitäkin on parannettava jatkuvasti sitä mukaa kuin kyberuhkat kehittyvät. Esimerkiksi verkon reunan puolustaminen ei enää riitä, vaan puolustusta on tehtävä myös syvyyssuunnassa ja sisäverkon sisällä. Koska parhaatkin nykyisistä preventiivisistä turvamekanismeista torjuvat vain osan uhkista, tarvitaan lisäksi kyky havaita toimintaympäristössä esiintyvät poikkeamat. Tällaiset poikkeamat voivat liittyä tietojärjestelmän kokoonpanomuutoksiin tai esimerkiksi verkkoliikenteen tai käyttäjän käyttäytymisen muutoksiin. VÄHINTÄÄN YHTÄ TÄRKEÄÄ on varautua sellaiseen tilanteeseen, jossa riski on toteutunut. Jotta vaste haittatapahtumiin on tehokas, tarvitaan riittävästi osaamista ja harjoittelua sekä investointeja työkaluihin. KYBERUHKIEN JATKUVA MUUTTUMINEN on haaste paitsi IT-henkilöstölle, myös loppukäyttäjille. Loppukäyttäjien kouluttaminen ja tietoisuuskampanjat kuitenkin j äävät vaikutuksiltaan vähäisiksi, sillä kohdennetut hyökkäykset ja huijaukset paranevat jatkuvasti niin, että haitallista linkkiä tai sähköpostiviestiä on toisinaan mahdotonta silmämääräisesti erottaa oikeasta. Tehokkaampaa on pienentää vahinkojen syntymisen mahdollisuutta valvonnan ja rajoittamisen keinoin. Riskienhallinta on optimointia Riskin todennäköisyys ja arvo toteutuessaan HYVÄKSYTTÄVÄ JÄÄNNÖSRISKI Vakuuttamisen kustannus Turvamekanismien kustannus Riskien välttämisen, pienentämisen ja siirtämisen kustannus

4 Näin hallitset kyberriskit RISKIENHALLINTA ON AINA tasapainoilua kustannusten ja hyötyjen välillä. Jokaisen organisaation on päätettävä, mikä on riittävä kyberturvallisuuden kypsyyden taso juuri sille. Kypsyystasoa ja nykyistä kustannus-hyötybalanssia voi selvittää erilaisilla kypsyystaso- ja Health Check -analyyseilla. JOS KYBERTURVALLISUUSPALVELUITA ja osaamista ostetaan palveluna, tietoturvan kokonaiskustannukset pienenevät eikä kertainvestointeja tarvitse tehdä. Asiakas saa parhaat osaajat ja asiantuntijat käyttöönsä kellon ympäri. Tiettyihin teknologioihin ei myöskään tarvitse sitoutua, vaan asiakkaalla on aina käytössään tarkoituksen mukaisimmat palvelut ja laitteet. Johda organisaatiosi kyberturvalliseksi TIEDOSTA RISKIT. Arvioi organisaatioosi kohdistuvia uhkia ja niistä aiheutuvia liiketoiminta riskejä. Arvioi organisaatiosi tietoturvallisuuden nykytilannetta, uhkakuvia, heikkouksia, valvontaa ja vaatimuksia. Suunnittele toteutusta, teknologiavalintoja ja kumppaneita. SUOJAA TOIMINTASI. Turvaa organisaatiosi kriittisten toimintojen jatkuvuus ja salassa pidettävät tiedot. Suojaa automaatiojärjestelmäsi ja kriittinen infra struktuurisi. Muista myös fyysisen tietoturvan suojaaminen, kuten identiteetin- ja pääsynhallinta. Hallitse riskejä esimerkiksi kybervakuutuksilla. TOIMI TURVALLISESTI. Havainnoi uhkia tarvittaessa ympäri vuorokauden. Tunnista, luokittele ja analysoi uhkat. Reagoi tietoturvauhkiin ja -poikkeamiin. Ylläpidä turvamekanismeja. Tutki palveluntarjoajien avulla mahdollisia tietoturvauhkia. Määrittele myös toimintamallit tilanteisiin, joissa organisaatiosi joutuu toteutuvan riskin kohteeksi. Ennakoi tulevat uhkat ja varaudu niihin.

5 Entä jos vahinko on jo sattunut? 3 4 Kokoa organisaatiosi tietoturvasta vastaavan tahon ja/tai palveluntarjoajasi kanssa tieto turvatapahtuman hallintaryhmä, johon kuuluvat palvelun omistaja, ylläpitäjät, infra, viestintä, laki, tutkinta ja muut tarvittavat tahot. Yhdessä tietoturvaasiantuntijoiden kanssa: Kerää herkimmin tuhoutuva todistusaineisto ensin. Tallenna otos muistin sisällöstä ja koneen tilasta, tee täydellinen kopio kovalevystä, kerää lokit palomuurista ja pysäytä varmuuskopiokierto. Kerää taustatiedot: kuka havaitsi, mitä, miten, missä ja milloin? 2 Toimi näin, kun havaitset tietomurron: Ota yhteyttä organisaatiosi tietoturvasta vastaavaan tahoon ja/ tai palveluntarjoajaasi. 5Ryhmä arvioi tilanteen ja päättää tarvittavista toimenpiteistä, kuten viranomaisyhteistyöstä ja rikosilmoituksesta. Irrota kone verkosta, kun asiantuntijat ovat tilanteen arvioineet ja kehottaneet näin tehdä. 1Älä hätäänny Älä sulje konetta. Vältä koneen käyttämistä. Pidä kirjaa tehdyistä toimenpiteistä.

6 Kyberturvallisuutta palveluna TUTKIMUSTEN MUKAAN KYBERHYÖKKÄYKSEN kohteeksi joutuneista yrityksistä vain kuusi prosenttia havaitsee hyökkäyksen itse. Tyypillinen kyberhyökkäys jatkuu huomaamatta yli vuoden. 77 prosenttia yritysjohdosta uskoo organisaationsa tunnistavan hyökkäykset, mutta yritysten IT-johdossa tiedetään, ettei tilanne ole näin valoisa (Lähteet: Center for a new American Security: Active Cyber Defense A Framework for Policymakers 2/2013 ja Forrester Research study on targeted threats). HARVALLA ORGANISAATIOLLA ON resursseja tai osaamista huolehtia itse kyberturvallisuudestaan riittävän hyvin. Kyberturvallisuuden hallinta onkin luontevaa ulkoistaa osittain tai kokonaan kumppanille ja ostaa kyberturvallisuus palveluna. CGI ON SUOMEN ainoa täyden palvelun kyberturvallisuustoimittaja. Autamme asiakkaitamme tiedostamaan riskejä, suojaamaan toimintoja ja tietoja sekä toimimaan turvallisesti digitaalisessa maailmassa. KONSULTOINTIPALVELUMME AUTTAVAT ASIAKASTA tiedostamaan liiketoimintaympäristön riskejä. Laadimme kyberturvallisuusstrategioita ja teemme uhkamallinnuksia sekä haavoittuvuuksien, riskien ja vaatimusten hallintaa. Health Check -terveystarkastuksella voimme arvioida asiakkaidemme tietoturvan tasoa ja panostuksia. PROJEKTI- JA TIETOTURVARATKAISUILLA autamme varmistamaan asiakkaittemme turvamekanismien toteutukset, kyberturvallisuuden suorituskyvyn ja kehittämisen sekä liiketoiminnan jatkuvuuden hallinnan. JATKUVIEN PALVELUIDEN ANSIOSTA asiakkaamme voivat toimia turvallisesti, kun huolehdimme heidän kyberturvallisuutensa ylläpidosta ja tutkimme nopeasti tieto turvatapahtumat. 84 % ei usko pystyvänsä havaitsemaan omaan organisaatioonsa kohdistuvia kyberhyökkäyksiä. OLEMME AVANNEET SUOMEEN CGI:n uusimman kyberturvallisuuskeskuksen, jossa asiantuntijat valvovat verkossa ja tietoliikenteessä ilmeneviä uhkia, hyökkäyksiä ja haittaohjelmia sekä huolehtivat kyberpuolustuksen käytännön toimenpiteistä tarvittaessa ympäri vuorokauden. Lähde: CGI:n Kyberturvallisuuden taso suomalaisissa organisaatioissa -tutkimus, 4/2016.

Miksi yhteistyöhön CGI:n kanssa? Kokemuksemme ja asiantuntemuksemme kattavat kaikki toimialat. Palvelemme paikallisesti ja lähellä asiakasta. Käytössämme on maailmanlaajuinen asiantuntijaverkosto, toimintamallit, uhkatieto sekä tarvittaessa globaalit kyberturvallisuuskeskukset. Toteutamme palvelut aina asiakastarpeiden ja toiveiden mukaisesti, kustannustehokkaasti ja teknologiariippumattomasti. Meillä on kokonaisnäkemys ja -vastuu tietoturvasta ja kyberturvallisuudesta. Asiakkaamme voivat hyödyntää jo tehtyjä investointeja.

CGI auttaa asiakkaitaan tiedostamaan riskejä, suojaamaan toimintoja ja tietoja sekä toimimaan turvallisesti digitaalisessa maailmassa. Yhteystiedot/Lisätietoja: www.cgi.fi/kyber Jan Mickos Kyberturvallisuusjohtaja jan.mickos@cgi.com Mika Heino Johtaja, kyberturvallisuuskeskus mika.heino@cgi.com Jens Säynäjärvi Johtaja, kyberturvallisuuskonsultointi jens.saynajarvi@cgi.com

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute