Tietoturvakonsulttina työskentely KPMG:llä



Samankaltaiset tiedostot
TeliaSonera. Marko Koukka. IT viikon seminaari Identiteetin hallinta palveluna, Sonera Secure IDM

VIRTU ja tietoturvatasot

Sähköiseen säilytykseen liittyvät organisaation auditoinnit

Omavalvonta ja laadunhallintajärjestelmä. Elintarvikkeiden tarjoaminen julkisille keittiöille

Suorin reitti Virtu-palveluihin

Virtu tietoturvallisuus. Virtu seminaari

Tietoturvallisuuden ja tietoturvaammattilaisen

Tuntematon uhka Mikä se on ja miten siltä suojaudutaan

Kasva tietoturvallisena yrityksenä

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

Merlin Systems Oy. Kommunikaatiokartoitus päätöksenteon pohjaksi. Riku Pyrrö, Merlin Systems Oy

Toimintaohjeistus. Tietoturvallisuusohjeistus TIETOTURVASUUNNITELMAT

LC Profiler. - Oppimisympäristön keskeisiä piirteitä. Antti Peltonen, LC Prof Oy

Vesihuolto päivät #vesihuolto2018

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Yhteisöllinen oppiminen ja asiakaslähtöinen toiminta avaimet tuottavuuteen ja kasvuun. Tekes-liideri aamukahvitilaisuus 27.5.

VALTIONHALLINNON DIGITAALISEN TUR- VALLISUUDEN ASIANTUNTIJAPALVELU VAL-DIAS PALVELUKUVAUS. Auditointi- ja konsultointipalvelut

LIIKETALOUDEN PERUSTUTKINTO, MERKONOMI 2013

Tietoturvapolitiikka

Identiteetin merkitys seuraavan sukupolven tietoturva-arkkitehtuurissa. Janne Tägtström Security Systems Engineer

Liiketalouden perustutkinto, merkonomi MARKKINOINTIVIESTINNÄN TOIMENPITEIDEN SUUNNITTELU JA TOTEUTUS MAVI 15 osp

Sähköinen työpöytä Suomen Pankissa

Sähköi sen pal l tietototurvatason arviointi

SOPIMUS ASIAKAS- JA POTILASTIETOJÄRJESTEL- MÄSTÄ

TEEMME KYBERTURVASTA TOTTA

Tietoturvallisuuden hallintajärjestelmä pähkinänkuoressa

RAKSAKYMPPI käytännöksi

Verkkopalkan palvelukuvaus

KLKH97 ICT-asiantuntijapalvelut

Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke (SecICT) Kimmo Janhunen SecICT-hankepäällikkö

Tietoturvallisuuden kokonaisvaltainen hallinta Heikki O. Penttinen Castilsec Oy.

VAPAAEHTOISTOIMINTA IKÄIHMISTEN HYVÄKSI. Turvallinen kunta seminaari Hamina Yrjö Heimonen Hyvinkään kaupunki

etaitava -ohjauksen uusilla urilla

Sisäänrakennettu tietosuoja ja ohjelmistokehitys

TIKLI Tietojärjestelmien monialaisen oppimisympäristön kehittäminen ja pilotointi. Päivi Ovaska Projektipäällikkö, yliopettaja, TkT

Consultor Finland Oy. Paasitorni / Markus Andersson Toimitusjohtaja

Tutkinnon osa: Markkinointiviestinnän toimenpiteiden suunnittelu ja toteutus 15 osp Tavoitteet:

LIIKETALOUDEN PERUSTUTKINTO, MERKONOMI 2013

Liiketalouden perustutkinto, merkonomi 2015 KANSAINVÄLISEN KAUPAN LASKUTUS JA RESKONTRAN HOITO

Vastausten ja tulosten luotettavuus. 241 vastausta noin 10 %:n vastausprosentti tyypillinen

Yrityksen jatkuvuussuunnitelma

Pilvipalveluiden arvioinnin haasteet

Alkuraportti. LAPPEENRANNAN TEKNILLINEN YLIOPISTO TIETOJENKÄSITTELYN LAITOS CT10A Kandidaatintyö ja seminaari

Loppuyhteenveto. Valtorin asiakaspäivä Toimitusjohtaja Kari Pessi

MERITEOLLISUUS SUOMESSA JA SEN TARJOAMAT MAHDOLLISUUDET. Tapio Karvonen

Kliinisten auditointien viranomaisvalvonta

Rajattomat tietoverkot ja niiden rooli pilvipalveluissa. Jukka Nurmi Teknologiajohtaja Cisco Finland

Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP)

Luotettava identiteettien ja käyttövaltuuksien hallinta kyberturvallisuuden perustana. Sami Laaksonen, Propentus Oy

Sidosryhmien merkitys taloushallinnon palvelukeskusten toiminnassa

Wiki korvaa intranetin. Olli Aro

Case ISS: Työturvallisuusosaamista JA -asennetta Työturvallisuuspäivän seminaari Matti Paakala ja Vesa Suomalainen

Miten Tekes on mukana uudistamassa yrityksiä ICT:n avulla? Kari Penttinen

VELI - verkottuva liiketoiminta -hanke

Hans Aalto/Neste Jacobs Oy

Hoitokontaktin kirjaamisen auditointi. Matti Liukko MHL-Palvelut oy

TYÖNHAUN DOKUMENTIT OTTY RY:N SPARRAUSAAMU INSINÖÖRIT JA EKONOMIT TALO, SEMINAARILUOKKA

Vihreämmän ajan kuntaseminaari. Päättäjien Aamu

TEEMME KYBERTURVASTA TOTTA

SantaCare Managed WebSecurity Palvelu turvallista Web-liikennettä varten. Mikko Tammiruusu Security Consultant

Paikalla on useimmiten myös laatupäällikkö. Hän antaa auditoinnista palautteen asiantuntija auditoijalle.

TEEMME KYBERTURVASTA TOTTA

Varmista asiakastyytyväisyytesi. ValueFramelta tilitoimistojen oma toiminnanohjaus- ja asiakaspalvelujärjestelmä pilvipalveluna. Suuntaa menestykseen

IT-OSAAJA, TIETOJENKÄSITTELYN ERIKOISTUMISOPINNOT

AEO-Toimijapäivä. Toimitusketjujen uhkien analysointi ja riskienhallinta yhteistyössä sopimuskumppanien kanssa

LIIKETALOUDEN PERUSTUTKINTO, MERKONOMI 2013

CALL TO ACTION! Jos aamiaistilaisuudessa esillä olleet aiheet kiinnostavat syvemminkin niin klikkaa alta lisää ja pyydä käymään!

Yritysturvallisuuden johtamisen arviointi

SIILINJÄRVEN KUNTA SAVON KOULUTUSKUNTAYHTYMÄ. Ruoka- ja ravintolapalvelujen Aromi-tietojärjestelmän yhteiskäytön politiikka. Versio: 1.

Yrityskohtaiset LEAN-valmennukset

Paula Niemi SISÄINEN TARKASTUS KÄYTÄNNÖSSÄ

Yritysturvallisuuden johtamisen arviointi

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

Miksipä Benchmarking?

Lobistech-seminaari Case: HMT

Elisa Oyj Prior Konsultointi Oy

Kulttuurisesti kestävän kehityksen huomioiminen täydennyskoulutuksissa

Kolmannen vuoden työssäoppiminen (10 ov)


Asianajajaliiton tietoturvaohjeet. Asianajosihteeripäivät Asianajaja Hanna Räihä-Mäntyharju Asianajotoimisto Tempo Oy

KASVAVAN KYBERTURVAMARKKINAN PELINTEKIJÄ

Kotitalouksien internet-yhteyksien teknistaloudellinen mallinnus Diplomityö seminaari

LIIKETALOUDEN PERUSTUTKINTO, MERKONOMI 2013

Tutkimus web-palveluista (1996)

IoT ja 3D-tulostus. Riku Immonen

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

Arviointi uuden luomisessa Näkökulma työntekijänä ja luottamushenkilönä

Canorama 2008 projekti

Miksi auditoidaan? Pirkko Puranen FT, Ylitarkastaja

Canorama 2008 projekti

SOINTU ENNAKOIVUUTTA, TEHOKKUUTTA JA TURVALLISUUTTA KOTIHOITOON.

Työn ja perheen yhdistäminen silloin, kun perheessä on erityislapsi

Lapsen varhaiskasvatussuunnitelma 3 Lapsen vasu osaksi varhaiskasvatuksen arjen pedagogiikkaa

EDISTYMISRAPORTTI - PS Virtuaaliyhteisöjen muodostaminen Versio 1.0

Tilannetietoisuus läpinäkyvyys antaa välineet parempaan palveluun

Valvontasuunnitelma 2015 Ilmailu

KLKH97 ICT-asiantuntijapalvelut

Tehoa toimintaan. ValueFramelta toiminnanohjaus, projektinhallinta ja asiakkuudenhallinta pilvipalveluna. Ohjaa toimintaasi

Kansainvälisen ISO/IEC sertifioinnin toteuttaminen CSC:llä

Sähköposti (vrt. kirjeopisto) Skype. Useita julkisia ja. ratkaisujen hahmottelu, avoin kommentointi. Yksi tai useita. suljettuja keskustelualueita

Transkriptio:

Tietoturvakonsulttina työskentely KPMG:llä Helsingin Yliopisto 28 Helmikuuta 2014

Agenda Agenda Työtehtävistä yleisesti Esimerkkejä Osaamisen/toiminnan kehittäminen 1

Turvallisuuden arviointi / auditointi Viitekehykset Suomen valtio (KATAKRI, Tietoturvatasot, VAHTI-ohjeet) Muut valtiot ja organisaatiot (NIST, SANS, CIS, OWASP) Toimittajat (Microsoft, Oracle) KPMG:n suositukset Asetetut vaatimukset Kohde Yksittäinen laite, Verkkoavaruus, Sovellus Organisaation toiminta Kumppanit Myynti Aloituspalaveri Walkthrough Auditointi Raportointi 2

Turvallisuuteen liittyvä konsultointi Sisältö mm. IT -järjestelmäkehitysprojekteissa avustaminen Arkkitehtuurikehityksessä avustaminen Turvallisuusjärjestelmien ja prosessien valinta ja rakentaminen (IDS, IDM, Lokienhallinta) Turvallisuuden hallintajärjestelmien kehittäminen Organisointi Kesto muutamasta päivästä pariin vuoteen Monesti alkaa nykytilan arvioinnilla Sisältö monesti päätetään lopullisesti toimeksiannon aikana 3

Esimerkkejä projekteista

Esimerkkejä projekteista (tyypillinen sovelluskehitysavustaminen) Asiakas: Julkispuolen toimija Kohde: Uusi kehitettävä järjestelmä, jossa Internetiin näkyvä osa sekä sisäiseen käyttöön tarkoitettu osa Miten projekti eteni: Aloituspalaveri Selvisi, että onkin kaksi erillistä järjestelmää Asiakkaan suunnittelu/vaatimusmäärittelyvaiheessa haastateltiin kehitysväkeä sekä käytiin läpi erilaisia määrityksiä ja kommentoitiin niitä Kehityskaaren aikana asiakkaalla oli kysymyksiä, joihin vastattiin Järjestelmien ollessa lähes valmiita, käytiin läpi sovelluskoodia Järjestelmien ollessa valmiita, tehtiin sekä sovelluksiin että ympäristöön murtotestaus Raportointi 5

Esimerkkejä projekteista (reagointikyvyn parantaminen) Asiakas: Infrastruktuurialan yritys Kohde: Organisaation verkko Miten projekti eteni: Asiakkaan kanssa keskusteltiin ongelmasta Selvisi, että he saavat raportteja eri haittaohjelmista verkon reunalla, mutta heillä ei ole aikaa/osaamista tutustua niihin KPMG käy säännöllisesti läpi raporteissa olevat havainnot sekä tutkii, ovatko ne ns. falsepositive havaintoja vai onko niiden kautta päästy murtautumaan Tämän lisäksi verkon reagointikyky ja turvallisuus ovat parantuneet tehtyjen toimenpiteiden ansiosta 6

Esimerkkejä projekteista (alihankkijoiden auditointi) Asiakas: Suuri pankki Kohde: Asiakkaan toimittajat Miten projekti eteni: UK:n toimisto aloitti projektin Tarkoituksena auditoida pankin 1000 suurinta toimittajaa Ongelmana auditoinnissa resurssien puute Yksittäisen alihankkijan läpikäynti kaksivaiheinen Ensin muutaman tunnin soitto, jossa asioita käytiin läpi Sitten päivän onsite-käynti Auditoijat monesta eri maasta varustettuna vaihtelevalla osaamistasolla QA tärkeässä roolissa 7

Mitä muita työtehtäviä pääsee tekemään Toiminnan / työkalujen kehittäminen Erilaisten tapahtumien järjestäminen Kouluttaminen Yleiset IT:hen liittyvät tehtävät (esim. arkkitehtuurikehittäminen) Tilintarkastukseen liittyvät tehtävät Tietoturvallisuuteen liittyvien julkaisujen tekeminen (esim. VAHTI-ohjeet) Oman turvallisuuden kehittäminen Yritysjärjestelyt Asiakasyhteistyö Tekemistä enemmän kuin aikaa -> oman ajankäytön hallinta avainasemassa 8

Osaamisen kehittäminen

Osaamisen/toiminnan kehittäminen Työssä oppiminen Ehdottomasti suurin osa oppimisesta on tätä Eri teknologioita, erilaisia asiakkaita, erilaisia toimeksiantoja Itseopiskelu Julkinen Internet Internet-oppimisympäristöt (luentomuotoiset ja murtodemoympäristöt) Kirjat Kisat Kurssit Itseopiskelu Työssä oppiminen 10

Osaamisen/toiminnan kehittäminen Kurssit KPMG:n järjestämät kurssit ja seminaarit Sisäiset kurssit (projektinhallinta, sisäiset työkalut, esimiestyö) Muille järjestetyt kurssit (IT ja tietoturva) Muiden järjestämät kurssit ja seminaarit Osallistuminen sovitaan esimiehen kanssa, säännölliset keskustelut Kisat / Muu toiminta Kuukausittainen Phrack the Phracker challenge Crazy Cola tehdasympäristö Kisat Kurssit Itseopiskelu Työssä oppiminen 11

Osaamisen/toiminnan kehittäminen Toiminnan kehittäminen / yhteinen toiminta Tiimipalaveri, säännölliset jutustelut Performance Development -kierros LANit, Tiimipäivät Erilaisia kerhoja, erilaisia tapahtumia 12

Millä taustalla KPMG:llä tehdään tietoturvaa Koulutus Yliopisto (teknillinen, kaupallinen tai lakitutkinto) Ammattikorkeakoulu (Turvallisuusalan koulutus tai tekninen koulutus) Monella omaa harrastuneisuutta tietoturvasta. Monella työkokemusta tietoturvasta, verkoista tai sovelluskehityksestä. Uusilla työntekijöillä vaihteleva määrä kokemusta. 13

Yhteenveto Auditointia ja konsultointia Monenlaisia yrityksiä, teknologioita, ratkaisuja ja toimintatapoja Projektissa useita toimijoita Toiminnassa tekniikan lisäksi vahvasti ihminen mukana 14

Kiitos Matti Järvinen Head of Technical Security Services

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute