Tietoturvakonsulttina työskentely KPMG:llä Helsingin Yliopisto 28 Helmikuuta 2014
Agenda Agenda Työtehtävistä yleisesti Esimerkkejä Osaamisen/toiminnan kehittäminen 1
Turvallisuuden arviointi / auditointi Viitekehykset Suomen valtio (KATAKRI, Tietoturvatasot, VAHTI-ohjeet) Muut valtiot ja organisaatiot (NIST, SANS, CIS, OWASP) Toimittajat (Microsoft, Oracle) KPMG:n suositukset Asetetut vaatimukset Kohde Yksittäinen laite, Verkkoavaruus, Sovellus Organisaation toiminta Kumppanit Myynti Aloituspalaveri Walkthrough Auditointi Raportointi 2
Turvallisuuteen liittyvä konsultointi Sisältö mm. IT -järjestelmäkehitysprojekteissa avustaminen Arkkitehtuurikehityksessä avustaminen Turvallisuusjärjestelmien ja prosessien valinta ja rakentaminen (IDS, IDM, Lokienhallinta) Turvallisuuden hallintajärjestelmien kehittäminen Organisointi Kesto muutamasta päivästä pariin vuoteen Monesti alkaa nykytilan arvioinnilla Sisältö monesti päätetään lopullisesti toimeksiannon aikana 3
Esimerkkejä projekteista
Esimerkkejä projekteista (tyypillinen sovelluskehitysavustaminen) Asiakas: Julkispuolen toimija Kohde: Uusi kehitettävä järjestelmä, jossa Internetiin näkyvä osa sekä sisäiseen käyttöön tarkoitettu osa Miten projekti eteni: Aloituspalaveri Selvisi, että onkin kaksi erillistä järjestelmää Asiakkaan suunnittelu/vaatimusmäärittelyvaiheessa haastateltiin kehitysväkeä sekä käytiin läpi erilaisia määrityksiä ja kommentoitiin niitä Kehityskaaren aikana asiakkaalla oli kysymyksiä, joihin vastattiin Järjestelmien ollessa lähes valmiita, käytiin läpi sovelluskoodia Järjestelmien ollessa valmiita, tehtiin sekä sovelluksiin että ympäristöön murtotestaus Raportointi 5
Esimerkkejä projekteista (reagointikyvyn parantaminen) Asiakas: Infrastruktuurialan yritys Kohde: Organisaation verkko Miten projekti eteni: Asiakkaan kanssa keskusteltiin ongelmasta Selvisi, että he saavat raportteja eri haittaohjelmista verkon reunalla, mutta heillä ei ole aikaa/osaamista tutustua niihin KPMG käy säännöllisesti läpi raporteissa olevat havainnot sekä tutkii, ovatko ne ns. falsepositive havaintoja vai onko niiden kautta päästy murtautumaan Tämän lisäksi verkon reagointikyky ja turvallisuus ovat parantuneet tehtyjen toimenpiteiden ansiosta 6
Esimerkkejä projekteista (alihankkijoiden auditointi) Asiakas: Suuri pankki Kohde: Asiakkaan toimittajat Miten projekti eteni: UK:n toimisto aloitti projektin Tarkoituksena auditoida pankin 1000 suurinta toimittajaa Ongelmana auditoinnissa resurssien puute Yksittäisen alihankkijan läpikäynti kaksivaiheinen Ensin muutaman tunnin soitto, jossa asioita käytiin läpi Sitten päivän onsite-käynti Auditoijat monesta eri maasta varustettuna vaihtelevalla osaamistasolla QA tärkeässä roolissa 7
Mitä muita työtehtäviä pääsee tekemään Toiminnan / työkalujen kehittäminen Erilaisten tapahtumien järjestäminen Kouluttaminen Yleiset IT:hen liittyvät tehtävät (esim. arkkitehtuurikehittäminen) Tilintarkastukseen liittyvät tehtävät Tietoturvallisuuteen liittyvien julkaisujen tekeminen (esim. VAHTI-ohjeet) Oman turvallisuuden kehittäminen Yritysjärjestelyt Asiakasyhteistyö Tekemistä enemmän kuin aikaa -> oman ajankäytön hallinta avainasemassa 8
Osaamisen kehittäminen
Osaamisen/toiminnan kehittäminen Työssä oppiminen Ehdottomasti suurin osa oppimisesta on tätä Eri teknologioita, erilaisia asiakkaita, erilaisia toimeksiantoja Itseopiskelu Julkinen Internet Internet-oppimisympäristöt (luentomuotoiset ja murtodemoympäristöt) Kirjat Kisat Kurssit Itseopiskelu Työssä oppiminen 10
Osaamisen/toiminnan kehittäminen Kurssit KPMG:n järjestämät kurssit ja seminaarit Sisäiset kurssit (projektinhallinta, sisäiset työkalut, esimiestyö) Muille järjestetyt kurssit (IT ja tietoturva) Muiden järjestämät kurssit ja seminaarit Osallistuminen sovitaan esimiehen kanssa, säännölliset keskustelut Kisat / Muu toiminta Kuukausittainen Phrack the Phracker challenge Crazy Cola tehdasympäristö Kisat Kurssit Itseopiskelu Työssä oppiminen 11
Osaamisen/toiminnan kehittäminen Toiminnan kehittäminen / yhteinen toiminta Tiimipalaveri, säännölliset jutustelut Performance Development -kierros LANit, Tiimipäivät Erilaisia kerhoja, erilaisia tapahtumia 12
Millä taustalla KPMG:llä tehdään tietoturvaa Koulutus Yliopisto (teknillinen, kaupallinen tai lakitutkinto) Ammattikorkeakoulu (Turvallisuusalan koulutus tai tekninen koulutus) Monella omaa harrastuneisuutta tietoturvasta. Monella työkokemusta tietoturvasta, verkoista tai sovelluskehityksestä. Uusilla työntekijöillä vaihteleva määrä kokemusta. 13
Yhteenveto Auditointia ja konsultointia Monenlaisia yrityksiä, teknologioita, ratkaisuja ja toimintatapoja Projektissa useita toimijoita Toiminnassa tekniikan lisäksi vahvasti ihminen mukana 14
Kiitos Matti Järvinen Head of Technical Security Services