TTL 60 vuotta Roadshow, Joensuu 26.4.2013 TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA Antti Pirinen, Tietoturva ry
Antti Pirinen Tietoturva ry Hallituksessa 2009 -> Sihteeri 2013 Työkokemus: 2012 -> KPMG:n tietoturvavastaava 2010 -> KPMG, tietoturva asiantuntija 2002 2010: Helsinki Institute of Physics, tutkija, projektipäällikkö 2005 2006: Helsinki Institute of Physics / CERN, tutkija Tietoturva-alalla vuodesta 1999
Mikä Tietoturva ry on? Tietoturva ry on tietoturva-ammattilaisten voittoa tavoittelematon, itsenäinen ja vapaaehtoisvoimin toimiva yhdistys, joka edistää tietoturvallisuutta ja hyvien tietoturvatapojen noudattamista tietoturvallisuuden kaikilla osa-alueilla Toimii yhteistoiminnan edistäjänä tietoturva-alalla Suomen suurin tietoturva-alan yhdistys n. 900 henkilöjäsentä n. 50 yhteisö-/yritysjäsentä Tietotekniikanliiton teemayhdistys
Tietoturvapäällikön klassinen poissaoloviesti Hei! Kiitoksia viestistäsi. Valitettavasti juuri nyt en pysty vastaamaan viestiisi, mutta vastaus on EI. Ystävällisin terveisin
F1 KERS ja jarrut ylipäätään Kimi Räikkönen ja Lotus E21 Kuva: Paul Gilham Copyright: Getty Images New Delhi - http://commons.wikimedia.org/wiki/file:jaypee_international_circuit_2011.svg
Mitä tietoturva on? Mitä on tietoturva? Turvallisuus on omaisuuden ja ihmisten suojaamista Tietoturva on informaatio-omaisuuden suojaamista (ja niihin kohdistuvien riskien vähentämistä). Tietoturvaa ei voi tehdä mielekkäästi tunnistamatta suojattavaa informaatiota ja siihen kohdistuvia uhkia.
Liiketoiminnan lähtökohdat muuttuneet Liiketoiminnan asettamat prioriteetit ICT:lle ja tietoturvalle Kasvun mahdollistaja ja tuki Kustannustehokkuus / tehokkaat ja nopeat prosessit Tuottavuus, Innovaatio Reagointi muutospaineeseen Uudet teknologiat mahdollistavat osaltaan tavoitteiden saavuttamista Mutta toisaalta ne tuovat myös uusia riskejä. Tietotekniikalla on hyvin oleellinen osa liiketoiminnassa Mutta puhuvatko tietohallinto, tietoturvallisuus ja liiketoiminta samaa kieltä?
Liiketoiminnan lähtökohdat muuttuneet
Tietoturva: este vai mahdollistaja Mikä on tietoturvallisuuden tarkoitus organisaatiolle? Jos organisaatioiden pitäisi valita onko luottamuksellisuus vai saatavuus tärkeämpää, niin kumman valitsisivat?
Mobiliteetti liikkuuko tietoturva mukana? Mobiilityön edellytyksenä on se, että TIETO on mukana tai TIETOON on pääsy siellä missä työtä tehdään Myös turvallisuuden pitää kulkea mukana! Tietoturvallisuuden kannalta huomioitavaa Tiedon sijainti ja sen riittävä suojaus Käytettävät yhteydet, luotettavuus Pääsynhallinta & tunnistus Päätelaitteet ja hallinta
Kuluttajistuminen: BYOD Tietotekniikan Liitto ry:n IT-barometri 2011/2012
Kuluttajistuminen: BYOD Tietotekniikan Liitto ry:n IT-barometri 2011/2012 Tietotekniikan Liitto ry:n IT-barometri 2011/2012
Kuluttajistuminen: BYOD Tietotekniikan Liitto ry:n IT-barometri 2011/2012 Tietotekniikan Liitto ry:n IT-barometri 2011/2012 Tietotekniikan Liitto ry:n IT-barometri 2011/2012
Kuluttajistuminen: BYOD On hyvä muistaa kysyä mihin tarkoitukseen ja myös miksi Käyttötarkoitus ja tietosisältö määrää tarvittavan turvatason Mitä tietoa käsitellään? Millä aplikaatiolla (yrityksen omat vai vapaasti valittavat)? Päätelaitteiden turva-asetukset? Tietoturvavaatimukset päätelaitteille? Integroidut palvelut minne tieto voi tallentaa ja millä ehdoin?
Kuluttajistuminen: BYOD
Kuluttajistuminen: SOME-palvelut Tietoa jaetaan pääosin yksilönä sosiaalisessa mediassa Fiilikset, ystävät, perhe, CV, harrastukset, valokuvat mutta myös esimerkiksi työtehtävät, tilatiedot, paikannus Tietoa on helppo yhdistää! Kerättäessä esimerkiksi eri palveluihin ja eri henkilöiden samasta asiasta merkityksettömältä tuntuvia viestejä yhteen voi kokonaisuus olla merkittävä ja johtaa luottamuksellisen tiedon paljastumiseen Työntekijän maantieteellinen sijainti ei aina ole neutraalia tietoa Sosiaalinen media on erityisen helppo kenttä sosiaaliselle hakkeroinnille (social engineering) Esim. suositukset luotettavalta taholta
Kuluttajistuminen: SOME-palvelut
Pilvipalvelut Tärkeimmät ominaispiirteet: Resursseja voidaan ottaa käyttöön tarvittaessa itsepalveluna (On-demand selfservice) Resursseja käytetään verkon yli (Broad network access) Palvelun tarjoajan resurssit ovat jaetut usean asiakkaan kesken (Resource pooling) Kapasiteettia voidaan kasvattaa tai pienentää joustavasti (Rapid elasticity) Kapasiteetin käyttöä mitataan (Measured service) Palvelumallit: Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) Toteutusmallit: yksityinen pilvi, yhteisöpilvi, julkinen pilvi, hybridipilvi
Pilvipalvelut
Liiketoiminnan, tietohallinnon ja tietoturvan yhteys Tietohallinto Tietoturva Liiketoiminta
Liiketoiminnan, tietohallinnon ja tietoturvan yhteys Avustaa, neuvoo Tietohallinto Tietoturva Liiketoiminta
Riskien käsittely Tietoturvan tehtävä on kertoa liiketoiminnalle mitä riskejä valintoihin liittyy. Vrt kolmevuotiaan kasvattaminen Toteutuneet riskit eivät ole tietoturvan ongelma, ne ovat liiketoiminnan ongelma!
Mihin kannattaa keskittyä?
Yhteenveto C-level Varmistakaa, että seuraavat asiat ovat organisaatiossanne kunnossa: 1. Organisaatiolla on kyky ymmärtää riskejä ja niiden vaikutuksia 2. Liiketoiminta kertoo selkeästi mitä he haluavat 3. Tietohallinnolla on visio siitä, miten tietotekniikka palvelee liiketoimintaa viiden (5) vuoden kuluttua 4. Tietoturva ei ole irrallinen liimattava palikka. Tietoturva on osa riskienhallintaa, jolla tasapainotetaan mahdollisuuksia ja uhkia. 5. Voitte ulkoistaa tekemisen, vastuuta ette voi ulkoistaa!
Yhteenveto - tietoturva Varmistakaa, että toiminnassanne on seuraavat asiat kunnossa: 1. Olkaa avoimia, uudet toiminnallisuudet voivat olla mahdollisuus ei pelkästään uhka 2. Varmistakaa, että organisaatiossanne on systemaattinen tapa arvioida riskejä 3. Luokaa käyttäjille riittävän turvalliset toimintatavat! 4. Kouluttakaa, kouluttakaa, kouluttakaa! Räätälöikää koulutus sekä johdolle että henkilöstölle 5. Voitte ulkoistaa tekemisen, seurantavastuuta ette voi ulkoistaa!
Lopuksi 80 % liiketoiminnan tietojen turvallisuudesta luodaan henkilöstön arkipäivän rutiineja kehittämällä ja 20 % teknisten suojaamiskeinojen avulla Tietoturva paranee vasta, kun uhka-arvioon perustuvat tietoturvaratkaisut on implementoitu käytäntöön ja kun käyttäjät niitä käyttävät
KIITOS! Yhteystiedot: Antti Pirinen +358 50 528 3894 Antti.pirinen@tietoturva.fi Lähteitä: http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012-press_en_xg.pdf http://www.cert.fi/katsaukset/2012 F-Secure Labs / Mobile Threat Report Q3 2012 Tietoturva ry / Tietoturva 2017 tutkimus 10/2012 Tietotekniikanliitto / IT-Barometri 2011