Mobiilitietoturva käytännössä Petri Ala-Annala Senior Principal, CISM, CISA, CISSP-ISSAP Technology Days 2013 1
Mobiilitietoturva käytännössä 1 Päätelaitteiden turvallisuuden hallinta työkäytössä 2 Älypuhelin- ja tablet-käyttöjärjestelmät 3 Mobiililaitteiden sovellusten turvallisuus 4 Informaation ja yhteyksien suojaaminen 5 Mahdollista, turvaa ja hallitse: kontrollimekanismit Technology Days 2013 2
Mobiilipäätelaitteiden turvallisuuden hallinta työkäytössä Laitteiden, alustojen ja omistajuuden haasteet Technology Days 2013 3
Mobiililaitteiden räjähdysmäinen kasvu 39% 69% 340% 2,170% 2010 177M yrityspctä 2015 246M yrityspctä 2010 173 M yksityispctä 2015 293M yksityispctä 2010 300M älypuhelinta 2015 1017M älypuhelinta 2010 15M tablettia 2015 326M tablettia Technology Days 2013 4
Teknologiat muuttuvat myös työpaikalla 80% 65% 52% Uusista ohjelmista hyödyntävät pilveä Yrityksistä sallii pääsyn verkkoonsa Henkilöstöstä käyttää kolmea tai useampaa laitetta Technology Days 2013 5
Hallitu Ei hallittu Vaihtoehtoisia hallintastrategioita ja omistusmalleja Yrityksen omistama, ei hallittu Yrityksen kannalta merkittävät sovellukset ja tieto hallitaan Yrityksen hallinnoima vakio laite Yrityksen hallinnoima yksityinen laite Yrityksen omistama Työntekijän oma laite Technology Days 2013 6
Jul-10 Sep-10 Nov-10 Jan-11 Mar-11 May-11 Jul-11 Sep-11 Nov-11 Jan-12 Mar-12 May-12 Mobiilihaittaohjelmat miksi kohteena Android? 67% yrityksistä on huolissaan Android uhkista 100 12 000 OS & EKOSYSTEEMI Avoin, useita sovelluskauppoja Pirstaloitunut & päivitys riippuvaisuus 80 60 Family Unique Hash 10 000 8 000 6 000 SUURUUS & TIENAUS 40 4 000 300 miljoona laitetta vuodesta 2008 Helppo rahasampo (>1 M USD) 20 2 000 - - Technology Days 2013 7
Miltä näyttää haittaohjelma mobiililaitteessa? Technology Days 2013 8
Miltä mobiilivirustorjunta näyttää käyttäjälle? Haittaohjelmistosuojaus viruksia ja muita uhkia vastaan ennen kun ne tartuttavat laitteen Web-suojaus selainpohjaisia uhkia vastaan omien ja yrityksen tietojen turvaamiseksi Varkaussuojaus mahdollistaa paikannuksen, etälukituksen sekä etätyhjennyksen kadonneille tai varastetuille laitteille Technology Days 2013 9
Jotkut ottavat enemmän riskejä kuin toiset Technology Days 2013 10
Mobiiliratkaisujen tietoturvassa huomioitava Laitteet Sovellukset Yhteydet ilman että käytettävyys, tiedon saatavuus tai käyttäjäkokemus vaarantuu Technology Days 2013 11
Älypuhelin- ja tablet-käyttöjärjestelmät Asetukset, etähallinta ja ylläpito Technology Days 2013 12
Käyttäjän ja IT:n toiveet ja vaatimukset käyttäjä Vapaus, yksityisyys & tuottavuus Helppo pääsy tiedostoihin ja sovelluksiin Uusimmat teknologiat ja sovellukset Henkilökohtainen koskemattomuus Minä itse autonominen itsepalvelu IT Yksinkertaisuus, turvallisuus & luotettavuus Yritystiedon suojaus Pääsynvaltuutus Helppo hallita ja vakaus Raportointi, audit & monitorointi Technology Days 2013 13
Yrityssähköpostiyhteyksien hallinta ja automatisointi & henkilökohtaiset sähköpostit Technology Days 2013 14
Mobiililaitteiden sovellusten turvallisuus Luotetut sovellukset ja turvallinen dokumenttijakelu Technology Days 2013 15
Turvattu yhteys ios/android/html5 Appsit & sisältö Technology Days 2013 16
Informaation ja yhteyksien suojaaminen Lisähaasteena pilvipalveluiden ja omien laitteiden käyttö Technology Days 2013 17
Yhteys SaaS App miltä tahansa laitteelta Technology Days 2013 18
Mahdollista, turvaa ja hallitse Strategiat ja kontrollimekanismit Technology Days 2013 19
Rakenna mobiilitietoturva ja tuottavuus Käyttöoikeuksien hallinta Yrityksen käyttätunnusten ja salasanojen käyttö yksityisen pilven lisäksi myös julkisessa pilvessä Sovellus ja tiedon suojaus Yritystiedon erottaminen ja jakelu tulisi mahdollistaa myös BYOD laitteille Laite- ja käyttöjärjestelmä hallinta Asetusten määrittely, etähallinta sekä tietoturvakontrollit erilaisille mobiililaitteille Uhkasuojaus Mobiililaitteiden tietoturvauhat ovat todellisuutta ja vaativat aktiivista suojautumista haittaohjelmilta sekä varkauksilta Turvallinen tietojen jako Yritystasoinen yksinkertainen tiedostonjako pilvipalveluna mahdollistaa yllättävän paljon Technology Days 2013 20
MAHDOLLISTA Sähköposti, sovellukset ja sisältö Yritysyhteyksien käyttöönotto Laiteagentit itsepalveluna Julkiset ja sisäiset agentit Yrityksen sisäinen AppStore Sisäisten appsien & julkisten appsien sekä sisällön jako Ryhmähallita ja kielisyystuet Turvallinen sähköposti Turvattu säilö yrityksen spostille, kontakteille, kalenterille Yritys- & yksityistiedon erottelu Asetusten hallinta Muistilista Automatisoidut sposti, VPN, Wi-Fi asetukset Technology Days 2013 21
TURVAA Suojaa yritystieto ja -infrastruktuuri Muistilista Keskitetty politiikka Salasanat, rajoitukset, tyhjennys Kattavat mobiililaiteasetukset Rajattu ja turvallinen tyhjennys Vain yritys sposti, kontaktit ja kalenteri Yritys- & yksityistiedon erottelu Vaatimusten mukaisuus Jailbreak, Rooting, salausvaateet, politiikka Vain luottamuksen arvoiset laitteet Varmennehallinta Integraatio PKI ratkaisuihin Vahva tunnistus VPN & Wi-Fi Technology Days 2013 22
HALLITSE Näkyvyys ja hallinta mobiililaitteisiin Muistilista Keskitetty hallinta Hajautettu ympäristö & roolipohjainen pääsy Tuki Exchange, Office 365, Gmail, Lotus Raportit & ilmoitukset Laitteet, appsit, käyttäjät Hälytykset ja ilmoitukset keskitetysti Työnkulkujen automatisointi Tehostaa ylläpitoa Vakioi käytäntöjä Käyttövarmuus ja skaalautuvuus Mikä on tilanne parin vuoden sisällä? Onko valittu ratkaisu kestävällä pohjalla? Technology Days 2013 23
Symantec Mobile Security Framework Kokonaisvaltainen lähestyminen eri suunnista Läpileikkaus 15 peruselementin avulla Mahdollista 360 o näkymän yrityksen mobiilitietoturvaan Technology Days 2013 24
Symantec Mobile Security Framework 2.2.1 Security Policies & Standards Mobile Security Governance Definition Recommended Practices Exposure if Absent The formal set of policies and standards that establish clear requirements for the deployment, management, and use of mobile technologies across the enterprise. Policies should clearly establish the organization s position and requirements regarding: Acceptable use of corporate mobile technologies Corporate use of personal mobile devices Ability to enforce corporate security requirements on corporate and personally owned devices attached to the network Gaps in appropriate policies and standards can expose the organization to a variety of risks, including, but not limited to: Exposure of sensitive corporate data accessed, or stored, on mobile devices Loss or theft of data (data exfiltration) via mobile devices Rating: Current State: Apple ios: Level 1 Desired Apple ios: Level 3 State: Android: Level 2 Android: Level 3 Blackberry: Level 2 Blackberry: Level 3 Windows: Level 2 Windows: Level 3 Findings: Analysis: Recommendations: SymClient recently implemented a policy permitting use of personally-owned mobile devices to access corporate networks, systems, and information. In conjunction with this new policy, SymClient updated its information classification policies and standards to clearly explain where it is and is not permissible to use mobile devices to store, produce, and/or transmit data considered to be Highly Confidential Restricted Access. Gaps in current policy sets create significant risk for SymClient. Other organizations have faced potentially serious consequences when taking actions to monitor, manage, or remotely wipe personally-owned mobile devices in the absence of proper policies and standards. SymClient faces similar risks as other organizations have encountered. SymClient needs to update its policy sets to address all of the recommended practices for this element. Immediate attention should be given to implementing security policies addressing use of personally-owned mobile devices. Specifically, SymClient should establish clear expectations for end users regarding the actions the organization is permitted to take if personally-owned devices are granted access to corporate networks, systems, and applications. Technology Days 2013 25
Kiitokset Lisätietoja saat Symantec ständiltä Tervetuloa! petri_ala-annala@symantec.com Copyright 2012 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. Technology Days 2013 26