TTL 60 vuotta Roadshow, Tampere 5.11.2013 TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA Antti Pirinen, Tietoturva ry
Antti Pirinen Tietoturva ry Hallituksessa 2009 -> Sihteeri 2013 Työkokemus: 2012 -> KPMG:n tietoturvavastaava 2010 -> KPMG, tietoturva-asiantuntija 2002 2010: Helsinki Institute of Physics, tutkija, projektipäällikkö 2005 2006: Helsinki Institute of Physics / CERN, tutkija Tietoturva-alalla vuodesta 1999
Mikä Tietoturva ry on? Tietoturva ry on tietoturva-ammattilaisten voittoa tavoittelematon, itsenäinen ja vapaaehtoisvoimin toimiva yhdistys, joka edistää tietoturvallisuutta ja hyvien tietoturvatapojen noudattamista tietoturvallisuuden kaikilla osa-alueilla Toimii yhteistoiminnan edistäjänä tietoturva-alalla Suomen suurin tietoturva-alan yhdistys n. 900 henkilöjäsentä n. 50 yhteisö-/yritysjäsentä Tietotekniikanliiton teemayhdistys
Tietoturva LIIKETOIMINNAN MAHDOLLISTAJA
Miten tietoturva voi mahdollistaa liiketoimintaa? Liiketoiminta: Tietoturvapalvelut (konsultointi, sovellukset tms) Olemassa olevien riskien pienentäminen Uusien ratkaisujen mahdollistaminen Myynnin tai ostamisen yhdessä arvoa nostava vaikutus Myydäänkö turvallisuutta vai laatua? Case tornitalo ja sprinklerit
Tietoturva MITÄ ON TIETOTURVA?
Mitä tietoturva on? Mitä on tietoturva? Turvallisuus on omaisuuden ja ihmisten suojaamista Tietoturva on informaatio-omaisuuden suojaamista (ja niihin kohdistuvien riskien vähentämistä). Tietoturvallisuuden osa-alueet Luottamuksellisuus Saatavuus Eheys
F1 KERS ja jarrut ylipäätään Kimi Räikkönen ja Lotus E21 Kuva: Paul Gilham Copyright: Getty Images New Delhi - http://commons.wikimedia.org/wiki/file:jaypee_international_circuit_2011.svg
Tietoturvapäällikön klassinen poissaoloviesti Hei! Kiitoksia viestistäsi. Valitettavasti juuri nyt en pysty vastaamaan viestiisi, mutta vastaus on EI. Ystävällisin terveisin
Tietoturvan ja johdon keskustelu tietoturvasta Tietoturvavastaava: Meidän pitäisi kehittää meidän toimintaamme seuraavasti Layer 7 palomuuri, SSL, IDS, ITIL, ISO27001, Audit right, SDM, SIEM, incident response, sisäinen tarkastus key controllien toteuttamisesta jne. Johto: Mitä tuo maksaa? Mitä siitä hyödymme? <End of discussion.>
Tietoturva MISSÄ SE MAHDOLLISUUS OLI?
Liiketoiminnan lähtökohdat muuttuneet Liiketoiminnan asettamat prioriteetit ICT:lle (ja tietoturvalle) Kasvun mahdollistaja ja tuki Kustannustehokkuus / tehokkaat ja nopeat prosessit Tuottavuus, Innovaatio Reagointi muutospaineeseen Uudet teknologiat mahdollistavat osaltaan tavoitteiden saavuttamista Mutta toisaalta ne tuovat myös uusia riskejä. Tietotekniikalla on hyvin oleellinen osa liiketoiminnassa Mutta puhuvatko tietohallinto, tietoturvallisuus ja liiketoiminta samaa kieltä?
Liiketoiminnan lähtökohdat muuttuneet
Liiketoiminnan, tietohallinnon ja tietoturvan yhteys Tietohallinto Tietoturva Liiketoiminta
Liiketoiminnan, tietohallinnon ja tietoturvan yhteys Tietoturva Liiketoiminta Tietohallinto
Liiketoiminnan, tietohallinnon ja tietoturvan yhteys Tietohallinto Tietoturva Liiketoiminta
Liiketoiminnan, tietohallinnon ja tietoturvan yhteys Liimaa, paikkaa Tietohallinto Tietoturva Liiketoiminta
Liiketoiminnan, tietohallinnon ja tietoturvan yhteys Avustaa, neuvoo Tietohallinto Tietoturva Liiketoiminta
Tietoturva ja laatu Mitä eroa on tietoturvatyöllä ja laatutyöllä? Tietoturva Laatu
Tietoturva ja laatu Mitä eroa on tietoturvatyöllä ja laatutyöllä? Tietoturva Laatu Laadukas työ tuottaa tasaista laatua häiriöttä.
Tietoturva, laatu ja ketteryys? Miten tietoturva, laatu ja ketteryys keskustelevat? Tietoturva Laatu Ketteryys
Tietoturva, laatu ja ketteryys? Miten tietoturva, laatu ja ketteryys keskustelevat? Tietoturva Laatu Ketteryys
Tietoturva MITÄ ON TIETOTURVA?
Mitä tietoturva on? Mitä on tietoturva? Turvallisuus on omaisuuden ja ihmisten suojaamista Tietoturva on informaatio-omaisuuden suojaamista (ja niihin kohdistuvien riskien vähentämistä). Tietoturvaa ei voi tehdä mielekkäästi tunnistamatta suojattavaa informaatiota ja siihen kohdistuvia uhkia.
Tietoturva: este vai mahdollistaja Mikä on tietoturvallisuuden tarkoitus organisaatiolle? Jos organisaatioiden pitäisi valita onko luottamuksellisuus vai saatavuus tärkeämpää, niin kumman valitsisivat?
Riskien käsittely Tietoturvan tehtävä on kertoa liiketoiminnalle mitä riskejä valintoihin liittyy. Vrt kolmevuotiaan kasvattaminen Toteutuneet riskit eivät ole tietoturvan ongelma, ne ovat liiketoiminnan ongelma!
Mihin kannattaa keskittyä?
YHTEENVETO
Yhteenveto C-level Varmistakaa, että seuraavat asiat ovat organisaatiossanne kunnossa: 1. Organisaatiolla on kyky ymmärtää riskejä ja niiden vaikutuksia 2. Liiketoiminta kertoo selkeästi mitä he haluavat 3. Tietohallinnolla on visio siitä, miten tietotekniikka palvelee liiketoimintaa viiden (5) vuoden kuluttua 4. Tietoturva ei ole irrallinen liimattava palikka. Tietoturva on osa riskienhallintaa, jolla tasapainotetaan mahdollisuuksia ja uhkia. 5. Voitte ulkoistaa tekemisen, mutta vastuuta ette voi ulkoistaa! +1 Laatukontrollit voivat olla myyntivaltti.
Yhteenveto - tietoturva Varmistakaa, että toiminnassanne on seuraavat asiat kunnossa: 1. Olkaa avoimia, uudet toiminnallisuudet voivat olla mahdollisuus ei pelkästään uhka 2. Varmistakaa, että organisaatiossanne on systemaattinen tapa arvioida riskejä 3. Luokaa käyttäjille riittävän turvalliset toimintatavat! 4. Kouluttakaa, kouluttakaa, kouluttakaa! Räätälöikää koulutus sekä johdolle että henkilöstölle 5. Voitte ulkoistaa tekemisen, mutta seurantavastuuta ette voi ulkoistaa! +1 Turvallisuuskontrollit voivat olla myyntivaltti.
Lopuksi 80 % liiketoiminnan tietojen turvallisuudesta luodaan henkilöstön arkipäivän rutiineja kehittämällä ja 20 % teknisten suojaamiskeinojen avulla Tietoturva paranee vasta, kun uhka-arvioon perustuvat tietoturvaratkaisut on implementoitu käytäntöön ja kun käyttäjät niitä käyttävät. Tästä syntyy haluttu kilpailuetu.
KIITOS! Yhteystiedot: Antti Pirinen +358 50 5283894 Antti.pirinen@tietoturva.fi Lähteitä: http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012-press_en_xg.pdf http://www.cert.fi/katsaukset/2012 F-Secure Labs / Mobile Threat Report Q3 2012 Tietoturva ry / Tietoturva 2017 tutkimus 10/2012 Tietotekniikanliitto / IT-Barometri 2011