Tietoturvallisuuden ajankohtaiset haasteet



Samankaltaiset tiedostot
Sähköisten palveluiden tietoturva Maksufoorumi, Suomen Pankki

Tietoturvallisuuden ajankohtaiset haasteet Mitä vaaditaan tietoturvaosaamiselta?

Tietoturvallisuuden ja tietoturvaammattilaisen

Verkkosovellusten tietoturvastrategia

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

On instrument costs in decentralized macroeconomic decision making (Helsingin Kauppakorkeakoulun julkaisuja ; D-31)

Sertifioinnin rooli tietoturvallisuudessa. atbusiness tietoturvatorstai Client-server, n-tier, web-sovellus

Tietoturvallisuuden johtaminen

Uusia tuulia Soneran verkkoratkaisuissa

Green Growth Sessio - Millaisilla kansainvälistymismalleilla kasvumarkkinoille?

Pahin tietoturvauhka istuu vieressäsi Tietoturvatietoisuuden kehittämisestä vauhtia tietoriskien hallintaan

Hyökkäysten havainnoinnin tulevaisuus?

Uusi Ajatus Löytyy Luonnosta 4 (käsikirja) (Finnish Edition)

PK-yrityksen tietoturvasuunnitelman laatiminen

Strategiset kyvykkyydet kilpailukyvyn mahdollistajana Autokaupassa Paula Kilpinen, KTT, Tutkija, Aalto Biz Head of Solutions and Impact, Aalto EE

Tiedätkö, olet oman elämäsi riskienhallintapäällikkö! Miten sovellat riskienhallintaa omassa työssäsi? Pyry Heikkinen

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

TEEMME KYBERTURVASTA TOTTA

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

anna minun kertoa let me tell you

Esikaupallisesti ratkaisu ongelmaan. Timo Valli 58. ebusiness Forum

Mobiilin ekosysteemin muutos - kuoleeko tietoturva pilveen?

Muutoksen hallittu johtaminen ja osaamisen varmistaminen

itsmf Finland Conference 2016 Focus Markus Leinonen COBIT ja governance

TIETOTURVAA TOTEUTTAMASSA

CALL TO ACTION! Jos aamiaistilaisuudessa esillä olleet aiheet kiinnostavat syvemminkin niin klikkaa alta lisää ja pyydä käymään!

Aikamatka digitaaliseen tulevaisuuteen: olemmeko turvassa? Pekka Jykes &

F-SECURE TOTAL. Pysy turvassa verkossa. Suojaa yksityisyytesi. Tietoturva ja VPN kaikille laitteille. f-secure.com/total

Choose Finland-Helsinki Valitse Finland-Helsinki

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

Standardien PCI DSS 3.0 ja Katakri II vertailu

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

TEEMME KYBERTURVASTA TOTTA

Vertaispalaute. Vertaispalaute, /9

Rajattomat tietoverkot ja niiden rooli pilvipalveluissa. Jukka Nurmi Teknologiajohtaja Cisco Finland

Hyvä ja paha pelillistäminen

Liiketoimintajärjestelmien integrointi

Luotain-arviointi. Nykytila-arvio toiminnan osa-alueesta. Trust, Quality & Progress. Jatkuvuus Tietosuoja Tietohallinto Tietoturvallisuus

TEEMME KYBERTURVASTA TOTTA

Capacity Utilization

Information on preparing Presentation

IT-projektitoiminnan riskien hallinta globaalissa ympäristössä. Projektiriskien valvonta ja ohjaus parhaat käytännöt

Kustannustehokkuutta tietoturvallisuutta vaarantamatta

Miksi Suomi on Suomi (Finnish Edition)

Tieto ja sen mallinnus Fonectalla - Teemme tiedosta arvokasta. Aija Palomäki, TDWI jäsenkokous

Erikoiskirjastot somessa. Päivikki Karhula, johtava tietoasiantuntija Eduskunnan kirjasto

Standardit tietoturvan arviointimenetelmät

1. Liikkuvat määreet

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

Kyberturvallisuus kiinteistöautomaatiossa

ULKOISTAMISEN KÄSIKIRJA RIITTA LEHIKOINEN ILKKA TÖYRYLÄ

Kyberturvallisuus edellyttää johtajuutta Salo CyberTalks,

Teknologinen muutos ja yliopistojen tulevaisuus. Tievie-seminaari Helsinki Antti Auer

Keskitetyn integraatiotoiminnon hyödyt

Kilpailukyky, johtaminen ja uusi tietotekniikka. Mika Okkola, liiketoimintajohtaja, Microsoft Oy

Sisällysluettelo. Esipuhe Johdanto Tietoturvallisuuden rooli yritystoiminnassa... 17

The CCR Model and Production Correspondence

RANTALA SARI: Sairaanhoitajan eettisten ohjeiden tunnettavuus ja niiden käyttö hoitotyön tukena sisätautien vuodeosastolla

Tutkimus web-palveluista (1996)

TIETOJÄRJESTELMIEN AMMATILLISET ERIKOISTUMISOPINNOT (30 op)

- ai miten niin?

Alueellinen yhteistoiminta

HAAVOITTUVUUKSIEN HALLINTA RAJOITA HYÖKKÄYSPINTA-ALAASI

Arkkitehtuuritietoisku. eli mitä aina olet halunnut tietää arkkitehtuureista, muttet ole uskaltanut kysyä

Forte Netservices Oy. Forte Client Security Services

FinFamily PostgreSQL installation ( ) FinFamily PostgreSQL

Sähköinen työpöytä. Millainen se oikein on? Kuka sitä (haluaa) käyttää? Aki Antman Sulava Oy

We live in unpredictable times where the rules are. disintegrating. Fortunes can turn. Market leaders can fall.

Taloudelliset väärinkäytökset: kansainvälinen uhka liiketoiminnalle Whistleblowing

Oma sininen meresi (Finnish Edition)

Harjoitustoiminta - Kyberturvallisuuden selkäranka? Mikko Tuomi, CISSP asiantuntija, JAMK / JYVSECTEC

Julkisen hallinnon linjaukset tiedon sijainnista ja hallinnasta. Yhteenveto. Taustaa linjauksille. Linjausten tavoitteet

Tietoyhteiskunnan haavoittuvuus kuinka voimme hallita sitä?

Konesalien rakentamisen suomalaisen kilpailukyvyn kehittäminen. Markkinanäkymät Vesa Weissmann

Windows Phone 7.5 erilainen ja fiksu älypuhelin. Vesa-Matti Paananen Liiketoimintajohtaja, Windows Phone Microsoft Oy

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Datalähtöinen IT-palveluprosessien kehittäminen, analysointi ja suorituskyvyn mittaaminen Prosessipäivät 2016 Matti Erkheikki QPR Software

TAVOITTEIDEN ASETTAMINEN JA MITTAAMINEN

ANTTI LÖNNQVIST JA MIIKKA PALVALIN NEW WAYS OF WORKING JA TIETOTYÖN TUOTTAVUUS

Keskeisiä näkökulmia RCE-verkoston rakentamisessa Central viewpoints to consider when constructing RCE

Valtiovarainministeriön hallinnonalan johdon aamupäivä - puheenvuoroja digitalisaation johtamisesta kyberturvallisuus & riskienhallinta

MEETING PEOPLE COMMUNICATIVE QUESTIONS

Virtualisoidun palvelinkeskuksen tietoturva RSA, the Security Division of EMC

OSAAMMEKO KAIKEN TÄMÄN?

Results on the new polydrug use questions in the Finnish TDI data

Hankkeiden vaikuttavuus: Työkaluja hankesuunnittelun tueksi

Katoaako yksityisyyden suoja pilveen?

Yritysturvallisuuden perusteet

Digitaalisen työvoiman asiantuntija. Jari Annala Digital (R)evolutionist

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Tulevaisuuden päätelaitteet

ICT - HYPAKE. Timo Pekkonen, Kainuun Etu Oy Arja Ranta-aho, Minna Lappi, Fluente Kumppanit Oy

Operatioanalyysi 2011, Harjoitus 3, viikko 39

HELPPOUDEN VOIMA. Business Suite

Tutkimuksen tuki- ja innovaatiopalveluiden toiminnan kehittäminen ja johtaminen. Kirsi Murtosaari Jyväskylän yliopisto

Parempaa liiketoimintaa henkilöstöjohtamisen uusilla välineillä

Suunnitellusti muutokseen seminaari Olli Annala, Satakunnan Yrittäjät

Yksityinen kirjeenvaihto Yksityiskirje

Tietoturvallisuus yhteiskunnan, yritysten ja yksityishenkilöiden kannalta

Transkriptio:

Tietoturvallisuuden ajankohtaiset haasteet ISACA Finland 20-vuotisjuhlaseminaari 20.4.2009 Jari Pirhonen www.iki.fi/japi Turvallisuusjohtaja, CISA, CISSP, CSSLP Samlink www.samlink.fi Sisältö Ristiriitaisia vaatimuksia ja tavoitteita Tarvitsemme uutta näkökulmaa tietoturvan hallintaan Uusia johtamis- ja osaamisvaatimuksia Fokuksena liiketoiminnan ja riskien ymmärtäminen Uusia haasteita Vaatimukset ja uhat lisääntyvät We can't solve problems using the same kind of thinking we used when we created them. -- Einstein 1

Sisältö Ristiriitaisia vaatimuksia ja tavoitteita Tarvitsemme uutta näkökulmaa tietoturvan hallintaan Uusia johtamis- ja osaamisvaatimuksia Fokuksena liiketoiminnan ja riskien ymmärtäminen Uusia haasteita Vaatimukset ja uhat lisääntyvät The chief cause of problems is solutions -- Eric Sevareid Ne jyrää meitin. Pojaat! Ne jyrää meitin. Viime perjantaina 2

Ei ne mitään jyrää. Siellä on miinoitus. Tietoturvabudjetti epäbalanssissa? Lähde: http://1raindrop.typepad.com/ 3

Arvio yritysten tietoturvakypsyydestä Tietämättömyys Tiedostaminen Tekeminen Tehokkuus ~10% KYPSYYS ~30% ~50% ~10% AIKA Lähde: Gartner ja Howard Schmidt puhe 29.4.08 Vuosisadan suunnitteluhaasteet Laitteiden, sovellusten, tiedon ja käyttäjien vahva todentaminen Turvallisten sovellusten tuottaminen ja todentaminen Tietoliikenteen aitouden ja oikeellisuuden varmistaminen Tietoturvaratkaisujen helppokäyttöisyys Kokonaisuuksien turvaaminen Lähde: http://www.engineeringchallenges.org/ 4

Tietoturvan ristiriitaiset vaatimukset Teknologia Toimiala LANGATTOMUUS VOIP SOA WEB 2.0 ALL-IP Häiriötön palvelu FIVA EU SOX PCI BASEL SEPA Luottamuksen edistäminen Todistettavasti oikeat tiedot Julkisuus MEDIA TUOTETOIMITTAJAT ANALYYTIKOT KONSULTIT Tietojen luottamuksellisuus ja tietosuoja Business KUSTANNUKSET TIME-TO-MARKET TUOTTEET & PALVELUT KILPAILIJAT ASIAKKAAT Strategisia ratkaisuja vai tuotteita? TUOTETASO STRATEGINEN TASO PROJEKTITASO palomuurit, haittaohjelmien ja roskapostin torjunta, tietoliikenteen salaus, etäkäyttö, kertakirjautuminen, hyökkäysten havainnointi, käyttäjätietojen hallinta, lokien hallinta, riskien hallinta, mittaaminen, tilannekuvan ylläpito, tietoturvatietoisuus, sovellustietoturva, jatkuvuussuunnittelu, vaatimustenmukaisuus, arkkitehtuuri, 5

Onko tietoturva kilpailutekijä? Tuottavuuden määritelmä: Kuka pystyy toisten kanssa samassa ajassa ja samaa teknologiaa hyödyntäen tuottamaan eniten ja alimmilla yksikkökustannuksilla tavoitellun laatutason täyttävää tuotetta ja hallitsemaan riskit. Tietoturva EI ole kilpailutekijä, jos: ratkaisut ovat tuotelähtöisiä seurataan sokeasti parhaita käytäntöjä tehdään samaa kuin muutkin keskitytään tietoturvan parantamiseen riskien hallinnan sijaan ratkaisujen tehokkuutta ei mitata Olisiko aika kyseenalaistaa totuuksia ja suunnata siniselle merelle? Onko aika kyseenalaistaa vanhat totuudet? LUO Mitä täysin uusia tekijöitä tarvitaan? POISTA Mitkä nyt selviönä pidetyt tekijät ovat turhia? KOROSTA Mitä tekijöitä pitäisi korostaa nykyistä enemmän? Uudet arvot ja toimintamallit Lähde: Kim & Mauborgne, Sinisen meren strategia SUPISTA Mitä tekijöitä pitäisi selvästi supistaa? 6

Sisältö Ristiriitaisia vaatimuksia ja tavoitteita Tarvitsemme uutta näkökulmaa tietoturvan hallintaan Uusia johtamis- ja osaamisvaatimuksia Fokuksena liiketoiminnan ja riskien ymmärtäminen Uusia haasteita Vaatimukset ja uhat lisääntyvät Among the other skills and knowledge you have you need to be able to tell people things they don't want to hear and have them asking for more. -- anonymous Tietoturva-ammattilaisen osaamisvaatimukset 1. Tietojen suojaaminen 2. Tietorikosten tutkiminen 3. Liiketoiminnan jatkuvuus 4. Poikkeamien hallinta 5. Tietoturvakoulutus ja -tietoisuus 6. IT-järjestelmien operointi ja ylläpito 7. Tietoverkkojen turvallisuus 8. Henkilöstöturvallisuus 9. Fyysinen turvallisuus 10. Tuotteiden ja palvelujen hankinta 11. Ulkoisten vaatimusten täyttäminen 12. Riskien hallinta 13. Strateginen johtaminen 14. Sovellusten turvallisuus Lähde: IT Security Essential Body of Knowledge US Department of Homeland Security, National Cyber Security Division O s a a m i s e t R o o l i t HALLINTA SUUNNITTELU TOTEUTUS ARVIOINTI 7

Osaamistarpeet muuttuvat Information Security Forumin mukaan organisaatioiden tietoturvavastaavien odotuksena on, että tietoturvafokus muuttuu tulevaisuudessa selkeästi nykyisestä teknologialähtöisyydestä liiketoimintalähtöiseksi Tietoturvan tarkoitus organisaation strategiaan nivoutunut, liiketoimintaprosesseihin integroitunut Ihmisten osaamistarve liiketoiminta- ja riskienhallintaosaamista tietoturvaosaamisen lisäksi, innovatiivisuus Tehtävät riskienhallinta + vaatimustenmukaisuus + tietoturvakonsultointi, IT ja fyysisen turvallisuuden konvergenssi Kommunikointi riskiperustainen tietoturvatietoisuus Mittarit BSC, KPI, tietoturvan arvo, ratkaisujen tehokkuus Lähde: ISF, Role of Information Security in the Enterprise Ihmiset ovat erilaisia FAKTA Looginen Analyyttinen Faktoihin perustava Kvantitatiivinen Suoraviivainen IDEA Holistinen Intuitiivinen Integroiva Syntetisoiva Kyseenalaistava Järjestelmällinen Organisoitunut Yksityiskohtainen Suunnitelmallinen Kyselijä Tunteikas Fiiliksiin perustava Ihmissuhteisiin perustava Tarinankertoja Elehtijä JÄRJESTYS TUNNE Lähde: Hermann Whole Brain Model 8

Teetkö päätöksiä fiiliksellä vai järjellä? System 1 (fiilis) Automaattinen Vaivaton Nopea Hitaasti mukautuva Totutun mukainen Reaktiivinen Spesifinen Vaikea pukea sanoiksi System 2 (järki) Harkitsevainen Työläs Hidas Nopeasti mukautuva Älyllinen Proaktiivinen Geneerinen Helppo perustella Intuitio, selkärangasta saatu tai kokemukseen perustuva vastaus on usein väärä. Järki pyrkii ennemminkin perustelemaan fiiliksellä saatua vastausta oikeaksi kuin hakemaan oikeaa vastausta. Lähde: Dan Gardner, RISK - The Science And Politics Of Fear Fiilis vs. järki riskienhallinnassa, esimerkkejä Vältämme riskejä varmistaaksemme tuotot - hyväksymme helpommin tappion aiheuttavia riskejä Tapahtumien todennäköisyys on helposti manipuloitavissa. Arvostamme näennäistä varmuutta enemmän kuin epävarmuuden vähentämistä vaikka lopputulos olisi sama Sama omaisuus on arvokkaampi itsellä kuin toisella Useampi peräkkäinen menetys tuntuu isommalta kuin yksi iso, kokonaisarvoltaan samansuuruinen menetys Olemme taipuvaisempia hyväksymään tekemättä jättämisen riskin kuin mahdollisen muutoksen aiheuttaman riskin Välitön tuotto/tappio tuntuu merkittävämmältä kuin sama tuotto/tappio tulevaisuudessa Meillä on pyrkimys vahvistaa tehtyjä päätöksiä sen sijaan, että arvioimme objektiivisesti nykytilannetta Lähde: Max H. Bazerman, Judgement in Managerial Decision Making 9

Voiko auditoija olla puolueeton? Rajoitettu eettisyys (bounded ethicality) Psykologiset prosessit voivat johdattaa ihmisiä toimintaan, joka on vastoin heidän omia eettisiä periaatteitaan. Ristiriitaiset tavoitteet voivat tiedostamattamme vääristää arvioitamme (self-serving bias) Erityisesti, kun auditoijan ja auditoitavan edut ovat kytköksissä Auditoija näkee asiat asiakkaansa etujen näkökulmasta Asiakkaan etu on auditoijan etu Riippumattomuus psykologisesti mahdotonta Meillä on taipumus muodostaa ennakkokäsitys ja sen jälkeen pyrkiä todistamaan ennakkokäsitys oikeaksi Lähde: Max H. Bazerman, Judgement in Managerial Decision Making Sisältö Ristiriitaisia vaatimuksia ja tavoitteita Tarvitsemme uutta näkökulmaa tietoturvan hallintaan Uusia johtamis- ja osaamisvaatimuksia Fokuksena liiketoiminnan ja riskien ymmärtäminen Uusia haasteita Vaatimukset ja uhat lisääntyvät It is not enough to do your best; you must know what to do, and then do your best. -- W. Edwards Deming 10

Haaste: Vaatimustenmukaisuus Ulkoiset vaatimukset lisääntyvät Vaatimukset eivät huomioi yritysten riskinsietokykyä ja halua Tietoturvan toteutuminen on todistettava asiakkaille ja kumppaneille Vaatimusten täyttäminen ei takaa tietoturvaa PCI DSS 11

Tietomurron jälkeinen PCI arviointi Lähde: Verizon 2009 Data Breach Investigations Report Haaste: Tietoturvalliset sovellukset Sovellukset ovat tietojärjestelmien ytimessä Tietoturvallisuus on upotettava systeemityömalliin Olemme riippuvaisia sovelluksista, mutta luotettavien sovellusten tekemiseen ei ole mallia Ohjelmoinnin pitäisi olla tiedettä, ei taidetta Onko tietoturvalla mahdollisuutta, jos sovelluskehitys yleensäkin on vielä lapsenkengissään? Tutkimus 110 isosta projektista (koko keskimäärin 3 M$): 68% projekteista epäonnistuminen todennäköistä Merkittävän epäonnistumisen mahdollisuus 50% (aikataulun ja/tai kustannusten ylitys 60% ja tulokset alle 70%) Lähde: IAG Business Anlysis Benchmark I regularly and normally find that any requirement specification given to me by a new customer, even if it s approved and being used, has between 80 and 180 major defects per page. This is normally a shock for the people involved: How can there be so many? -- Tom Gilb, www.gilb.com 12

Turvallisten palveluiden tekeminen on vaativaa yksittäisten ongelmien löytäminen helppoa ENNEN Linux + ohjelmointi Windows + valmistyökalut NYT Web-selain + syötteen manipulointi xss.nerv.fi listasi 17.4.09 yli 100 haavoittuvaa sivustoa ohjelmoijan tärkein tietoturvaohje: syöte on aina tarkistettava Haaste: Sosiaalinen media Yrityksen suhtautuminen: Facebook, Blogit, Twitter,? Mahdollisuus vai ajanhukkaa? Tietovuodot vs. osaamisen jakaminen Verkostoituminen vs. yksityisyyden suoja 13

Maltego tiedonlouhintaa verkossa Haaste: Tietoturva uusissa arkkitehtuureissa Tyypillisesti sovellusarkkitehdit eivät ymmärrä tietoturvaa eivätkä tietoturva-asiantuntijat sovellusarkkitehtuuria Zachman vs. SABSA Merkittäviä arkkitehtuurisia muutoksia, joiden tietoturvavaikutuksia ei vielä ymmärretä Virtualisointi Palvelukeskeinen arkkitehtuuri (SOA) Pilvipalvelut Web 2.0, Web 3.0 14

Web Web+ Web 2.0 Web 3.0 Tee-se-itse verkkopankki? Pankkikohtaiset palvelut ja käyttöliittymät. Fokus verkkopankissa. Kommunikoinnin tehostaminen: VoIP, videoneuvottelu ja pikaviestintä. Fokus verkkopankissa. Pankkipalvelukomponentit. Mashups. Käyttäjä tekee oman käyttöliittymänsä. Erikoistuneita verkkopankki-liittymiä palveluna. Fokus käyttäjässä. Räätälöidyt, automaattisesti muodostettavat palvelupaketit, jotka sisältävät usean finanssitalon ja palveluntarjoajan palveluja. Fokus käyttäjän palvelutarpeissa. Käyttäjän tunnistaminen, tapahtumien vahvistaminen, verkkopankkisovelluksen turvaaminen. Uusien teknologioiden tietoturvapiirteet ja osaaminen kypsyvät hitaasti. Pankin kontrolli pienenee, käyttötavat voivat olla arvaamattomia, pankkipalvelut integroituvat sovelluksiin. Tietoturvatiedon ja luottamuksen välittäminen. Tarvitaan mekanismi palveluiden luotettavuuden todentamiseen ja muita kehittyneitä turvapalveluita. 15

Yhteenveto Tarvitsemme uutta näkökulmaa tietoturvan hallintaan Vanhat mallit kyseenalaistettava Riskien ymmärtäminen ja toiminnan mittaaminen avainasemassa Fokuksena liiketoiminnan ja riskien ymmärtäminen Tietoturvan rooli muuttuu edelleen riskija liiketoimintalähtöisemmäksi Ihmisten johtamista teknologian hallinnan sijaan Ajatusprosessimme rajoittuneisuuden ymmärtäminen parantaa riskiarviointia Vaatimukset ja uhat lisääntyvät Toimintaympäristö muuttuu monimutkaisemmaksi ja avoimemmaksi Tietoturva upotettava arkkitehtuureihin ja sovelluksiin It is not the strongest of the species that survives, nor the most intelligent that survives. It is the one that is the most adaptable to change. -- Charles Darwin 16

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute