Kustannustehokkuutta tietoturvallisuutta vaarantamatta IBM Internet Security Systems Kaisa Puusola, Security Sales Manager Kaisa.puusola@fi.ibm.com
Agenda IBM Internet Security Systems Tietoturvallisuuden ongelmat ja haasteet Monimutkaisuus ja saarekkeisuus Tietoturvallisuuden todellinen uhka Ratkaisut ongelmiin ja haasteisiin Tämän päivän toiminta ja tavoitetila Esimerkkicaseja 2
Monimutkaisuus ja kustannukset Tietoturvallisuuden prioriteetit % IT-budjetista Ratkaisu Prioriteetti Käyttäjien ja pääsynhallinta 5 Palomuuri 3 Työasema-palomuuri 7 Virtual Private Network (VPN) 6 Tunkeutumisen havainnointi (IDS) 1 Virustorjunta 11 Anti-spam 12 Spam Filtering 10 Web-filtteröinti 13 Päivitykset (patching) 8 Tietoturvallisuuden hallinta 2 Haavoittuvuustarkistus 9 Muut 4 Lähde: Asiakashaastattelut 9 % 7 % 15 % 45 % Yritykset etsivät tapoja monimutkaisuuden pienentämiseksi. Yritykset vaativat integroituja ratkaisuja, jotka pienentävät suojauksen kokonaiskustannuksia ja parantavat tietoturvallisuutta. Henkilöstö on suurin kuluerä IT-budjetista 24 % Palvelut Henkilöstö Ohjelmisot Rauta Appliancelaitteet 3
Tietoturvallisuuden todellinen uhka Uudet motiivit ja menetelmät: muuttuvat riskit ja monimutkaisuuden lisäriskit Monimutkaisuus on tietoturvallisuuden suurin uhka Lähde: InformationWeek 2008 Security Survey Vaatimustenmukaisuus: ongelmat ratkaistaan pistemäisillä ratkaisuilla IT-innovaatiot: uudet tavat työskennellä ja uudet tavat kommunikoida Liiketoiminnan monimutkaisuus Taloustilanne globaalisti: taloudellisten vaatimusten koventuminen Liiketoiminnan joustavuus: toiminnan parantaminen ja asiakkaiden palveleminen 4
Uudet motiivit ja menetelmät Uhkat monimutkaistuvat Kohdennetut hyökkäykset yrityksiä tai sovelluksia vastaan Pystytäänkö estämään tai edes havaitsemaan? Syväosaamisen tarve kasvaa Tässä on ristiriita liiketoiminnan näkökulman kanssa. Tietoliikenne/tietoturva-asiat on tuotettava minimihinnalla, muuten pois yrityksen tuloskesta. Suomessa rajallisesti ammattilaisia, Ei ole kustannustehokasta kannattaa miettiä mistä syväosaamista saa silloin kun sitä tarvitsee Mille tasolle osaaminen pidettävä omassa yrityksessä? 24/7 palvelua ei pyöritetä 2-3 henkilöllä (lomat, illat, viikonloput) - riski itsessään Johtamisasia 5
IT-innovaatiot Mobiliteetti kasvaa Verkostoituminen syvenee Rajapinnat hälvenevät Kumppanit Asiakkaat Uudet tavat kommunikoida tuo haasteita yritysten nykyisille tietoturvaratkaisuille Ennakoiva tietoturvallisuus 6
Liiketoiminnan joustavuus Toimintaa virtaviivaistetaan Toiminnan automatisointi Tuotteistussyklien nopeus Joustavuus liiketoiminnan muuttuessa Yritysostot Kansainvälisyys Liiketoiminnan muuttuessa nopeasti tietojärjestelmien ja tietoturvamekanismien on muututtava nopeasti. 7
Taloustilanne globaalisti Investoinnit minimiin Lyhyen aikavälin ROI-projektit mahdollisia, pitkän tähtäimen kehitysprojetit jäissä Käyttökulut minimiin Rekrytointien jäädyttäminen Uusien hankkeiden jäädyttäminen Kustannustehokkuutta haetaan optimoinnista ja yksinkertaistamisesta. Businekselle ICT on yleensä kuluerä Win-win-tilanne, kun keksii keinon kääntää toisin päin. 8
Vaatimustenmukaisuus Vaatimustenmukaisuus kasvaa PCI, SOX,... Kustannuksia ja aikaa säästyy, kun pyytää apuun osaavan kumppanin. Itse ei tarvitse tehdä kaikkea! Kustannusten optimointi vaatimuksenmukaisuudessa Mahdollista mm. kompensoivien kontrollien järkevällä käytöllä. 9
Tämän päivän toiminta vs. tavoitetila IT-kulut varojen vapautus 100% Uudet ratkaisut Vapautetut varat IT-kulut Sovellusten parannukset Toiminnan kulut Uudet ratkaisut Toiminnan tuki Sovellusten parannukset Toiminnan ylläpito Toiminnan tuki Toiminnan ylläpito 10
Miten tavoitetilaan päästään? 1. Tutki mahdollisuudet Määrittele kohteet, joista saatavissa merkittävimmät kustannussäästöt, riskien poistaminen ja tuottavuuden parantaminen CapEx OpEx Turvallisuus Riski 2. Hanki tehokkaat palvelut Erikoistuneet palvelun tuottajat pystyvät tuottamaan palvelun tehokkaasti CapEx OpEx Turvallisuus Riski 3. Ota käyttään ratkaisut, joista saa hyötyä heti Kustannussäästöt, riskien pieneneminen, tuottavuuden parantamienen CapEx OpEx Turvallisuus Riski 4. Laajenna suojaa integroiduilla ratkaisuilla Operatiivisia kustannuksia voidaan pienentää, mikäli hyödynnetään integroituja turvamekanismeja CapEx OpEx Turvallisuus Riski 5. Valitse luotettava ja luottamuksensa osoittanut tietoturvakumppani Tehokas kumppani tuo ydinosaamisensa käyttöösi, kustannussäästöt ja tehokkuuden paraneminen CapEx OpEx Turvallisuus Riski 11
Esimerkkejä kustannussäästöistä - Kauppaketju Tavoiteltu hyöty Keskitetty käyttäjän ja pääsynhallinta säästöt Tietoturvamurtojen estäminen Sarbanes-Oxley-määräysten täyttäminen Ratkaisu Automatisoitu identiteetinhallinta perustuen IBM:n ammattilaisten implementoimiin IBM Tivoli Access Manager, IBM Tivoli Identity Manager ja IBM Tivoli Directory Integrator sovelluksiin. Saavutettu hyöty Uuden käyttäjän oikeudet voidaan provisioida 20 minuutissa 3 viikon sijaan. Kustannussäästöt IT-työkuluissa per käyttäjätunnus Apu Sarbanes-Oxley-määräysten täyttäminesessä Yleistä: Keskimääräisellä työtekijällä on 15 salasanaa, jotka vanhentuvat eri aikoihin 35-50%:ia help desk puheluista liittyvät salasanoihin ($25-50 per puhelu) 15-25%:ia oikeuksista/provisioinneista täytyy tehdä uudelleen paperisen ja manuaalisen prosessin virheiden takia. 12
Esimerkkejä kustannussäästöistä Source: Internet Security Systems, 2008 13
Esimerkkejä kustannussäästöistä 500 henkilöä käyttävät 1 min / päivä roskapostien lukemiseen 244 pvä / vuosi 2000 keskipalkka (3000 kuluineen) 110 000 / 36 kk sopimusaika 14
Kiitoksia ajastanne ja mielenkiinnostanne! Heräsikö kysymyksiä? Kaisa Puusola +358 50 3720 367 15