SlideShare ist ein Scribd-Unternehmen logo

Kuidas turvalisusega mitte üle pingutada

Leego
Leego

Näpunäited turvalisuse juhtimiseks oma ettevõttes. Esitletud: ÄP seminar "Mida tähendab IT-turvalisus ettevõtte jaoks?", Tallinn, 28.05.2008

1 von 12
Downloaden Sie, um offline zu lesen
Kui on tahe, on ka võimalus! Kuidas turvalisusega mitte üle pingutada? Erkki Leego – juhtivpartner (1/12)Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar Erkki Leego juhtivpartner Hansson, Leego & Partner
Kui on tahe, on ka võimalus! Millise kogemuse pealt räägin • Üle 12 aasta tundliku info kaitsel – Vabariigi Presidendi Kantselei, infonõunik – Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna juhataja – Tartu Ülikooli Kliinikum, IT direktor – Hansson Leego & Partner, juhtivpartner • Hansson, Leego & Partner – Põhja-Eesti Regionaalhaigla • riskianalüüs, poliitika, talitluspidevusplaan – Ida-Tallinna Keskhaigla • riskianalüüs, tegevuskava – Fontes PMP Erkki Leego – juhtivpartner (2/12)Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar • riskianalüüs, tegevuskava – Fontes PMP • riskianalüüs, tegevuskava – Õiguskantsleri kantselei • turvalisuse ja infoturbepoliitika piisavuse audit – Riigikogu kantselei • riskianalüüs ja tegevuskava – Majandus- ja kommunikatsiooniministeerium • ISKE rakendamise pilootprojekt Lääne-Viru maavalitsuses – Gennet Laboratories • turvalisuse ja poliitika sobivuse hindamine delikaatsete isikuandmetega töötlemiseks mõeldud infosüsteemide arendamisel ja hooldamisel – Eesti Geenivaramu; Quattromed; Lemeks; Rait; Omandi; Tallmac • Strateegiline IT juhtimine
Kui on tahe, on ka võimalus! 100% turvalisust ei ole olemas • 9/11 terrorirünnak (11.09.01) – Kaks 110-korruselist WTC hoonet ja hulk muid hooneid hävinenud, 18 000 väikest äri hävinenud või ümber paigutatud – Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva – Investeerimispank Cantor Fitzgerald L.P. kaotas 658 töötajat • Societe Generale hiigelpettus (01/08) – Jérôme Kerviel kauplemistehingud põhjustasid pangale 76 miljardit krooni kahju – Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises • Lähis-Ida riikide interneti katkestus 01/08 Erkki Leego – juhtivpartner (3/12) • Lähis-Ida riikide interneti katkestus 01/08 – Mitme veealuse kaabli katkemine põhjustas paljude Lähis-Ida riikide Interneti side kadumise 10 päevaks – 80 milj. kasutajat häiritud (70% Egiptusest, 60% Indiast) • UK MTA andmete kadumise intsident (10/07) – Kaks Suurbritannia maksu- ja tolliameti arvutiketast kõikide lastetoetust saanud perede andmetega läks teekonnal ühest kontorist teise kaduma – Intsident puudutab 25 milj. UK elanikku • Küberrünnakud Eestis kevad 2007 – DOS rünnakud Eesti riigiasutustele ja pankadele Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar
Kui on tahe, on ka võimalus! Lubatud jääkrisk • Riskianalüüs annab ülevaate ettevõtte infovaradest ja nende kaitse olukorrast • Juhtkonna poolt määratletud jääkrisk annab võimaluse piiritleda meetmeid ja kaasnevaid kulusid Erkki Leego – juhtivpartner (4/12)Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar
Kui on tahe, on ka võimalus! 10 tavalisemat probleemi 1. Ebatäielik ülevaade firma infovaradest ja turbe seisust 2. Töötajate hägus vastutus ja ebalojaalsus 3. Hoonete, uste, akende füüsilise turbe puudulikkus 4. Puudulikult hallatud pääsuõigused 5. Ettevõtte töötajate vähene turvateadlikkus 6. Puuduvad või vääralt hoiustatud tagavarakoopiad Erkki Leego – juhtivpartner (5/12) 6. Puuduvad või vääralt hoiustatud tagavarakoopiad 7. Puudulik viirustõrje arvutites 8. Dokumentide ebapiisav arhiveerimine ja hävitamine 9. Ebakindel toitevõrk ja puuduvad tagavaravooluseadmed 10.Logide või nende analüüsi puudumine Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar
Kui on tahe, on ka võimalus! Efektiivse turbehalduse 11 tunnust Ettevõtte üldtaseme teema Juhid on aruande- kohuslased Käsitletakse ärivajadusena Riskidel põhinev Rollid, vastutus, ülesannete Poliitika poolt suunatud ja Ressursid on adekvaatselt Personal teadlik Erkki Leego – juhtivpartner (6/12) ülesannete erisus defineeritud suunatud ja jõustatud adekvaatselt planeeritud Personal teadlik ja treenitud Arenduse elutsükli järgimine kohustuslik Planeeritud, hallatud, mõõdetav ja mõõdetud Ülevaadatud ja auditeeritud Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar Governing for Enterprise Security (GES) Implementation Guide by Julia H. Allen and Jody R. Westby, 2007, http://www.cert.org/governance/ges.html
Kui on tahe, on ka võimalus! Mida parimad teevad? • 70%: on loodud terviklikud turvalisuse ja vastavuse poliitikad • 70%: tegevjuht on turbe- ja riskihalduse esmane “omanik” • 52%: nähtav on turvalisuse ja vastavuste võtmeinfo • 78%: juhte informeeritakse regulaarselt IT-riskidest Ühe aasta möödumisel: • 63%: vähendasid tegelike turbeintsidentide arvu • 70%: vähendasid keskmist intsidentidega toimetulemise aega • 48%: vähendasid keskmist intsidentidega toimetulemise kulu Parim = turbeintsidentide arv, nendega toimetulemise keskmine aeg, mittevastavuste arv ja nendega toimetulemise aeg Erkki Leego – juhtivpartner (7/12) • 78%: juhte informeeritakse regulaarselt IT-riskidest • 67%: on rakendatud kontrollid poliitika nõuete täitmise monitoorimiseks • 67%: on määratlenud kogu auditeerimiseks ja aruandmiseks vajamineva info toimetulemise kulu • 74%: vähendasid mittevastavuste arvu (auditi negatiivseid tulemusi) Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar Security Governance and Risk Management: The Rewards of Doing the Right Things and Doing Things Right, nov. 2007, Aberdeen Group. 140 organisatsiooni küsitlus
Kui on tahe, on ka võimalus! Turbe strateegilised küsimused • Mida on vaja kaitsta? Miks on seda vaja kaitsta? Mis juhtub siis kui ei kaitse? • Milliseid potentsiaalseid ebasoovitavaid tagajärgi me soovime vältida? Millise hinnaga? Kui suurt katkestust võime me enne Erkki Leego – juhtivpartner (8/12) Kui suurt katkestust võime me enne tegutsemist taluda? • Kuidas me määratleme ja efektiivselt haldame jääkriski? Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar The Art of Information Security Governance, Julia H. Allen, 2008, Qatar Information Security Forum
Kui on tahe, on ka võimalus! Kulud infoturbele • Kulud olukorra hindamisele ja meetmete sh. dokumentatsiooni väljatöötamisele – väline konsultatsioon, enda töötajate tegevused • Kulud infrastruktuuri planeerimisele ja seadistamisele – väline konsultatsioon, enda töötajate tegevused • Investeeringud infrastruktuuri Erkki Leego – juhtivpartner (9/12) • Investeeringud infrastruktuuri – tööjaamad, serverid, võrguseadmed, tagavara- koopiaseadmed või nende renditeenuse sisseostmine • Investeeringud tarkvarale ja litsentsidele • Investeeringud füüsilise turbe tagamisele • Kulud koolitusele ja teavitamistele Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar
Kui on tahe, on ka võimalus! Kuidas mitte üle pingutada? • Kulude õigsust on keeruline hinnata – turve on edukas siis kui midagi ei juhtu ... • Tunne oma ettevõtte infoturbe olukorda – Riskianalüüs toob välja pingerea probleemidest ja nõrkustest – Tee selgeks mida ette võtta saab ja määratle kuna seda tehakse • Lähtu äri-põhistest kriteeriumitest Erkki Leego – juhtivpartner (10/12) • Lähtu äri-põhistest kriteeriumitest – Turvalisus on ärifunktsioon ja peab saama selliselt käsitletud – Valdkonnal peab olema selge vastutaja – Tee investeeringuotsuseid samal viisil kui teisi ettevõtte ärilisi investeeringuotsuseid • Turve on protsess – Loo turvalisusele orienteeritud kultuur – Liigu paremuse suunas teadlike ja jõukohaste sammudega Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar
Kui on tahe, on ka võimalus! Kokkuvõte • 100% turvalisus pole võimalik – määratle oma jääkrisk • Ole teadlik oma infovarade kaitse olukorrast Erkki Leego – juhtivpartner (11/12)Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar • Ole teadlik oma infovarade kaitse olukorrast • Liigu paremuse suunas teadlike ja jõukohaste sammudega
Kui on tahe, on ka võimalus! Tänan! Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (12/12)Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar Erkki Leego, erkki.leego@hlp.ee, www.hlp.ee

Empfohlen

5. Turvalisus
5. Turvalisus5. Turvalisus
5. Turvalisusromilrobtsenkov
 
Ettevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedEttevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedLeego
 
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimusedErkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimusedTsenter
 
Tootmisettevõtte IT juhtimise võtmeküsimused
Tootmisettevõtte IT juhtimise võtmeküsimusedTootmisettevõtte IT juhtimise võtmeküsimused
Tootmisettevõtte IT juhtimise võtmeküsimusedLeego
 
Ettevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedEttevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedLeego
 
Väikeettevõtte digiarengu juhtimine
Väikeettevõtte digiarengu juhtimineVäikeettevõtte digiarengu juhtimine
Väikeettevõtte digiarengu juhtimineLeego
 
Digiajastu trendid ja IT juhtimisest
Digiajastu trendid ja IT juhtimisestDigiajastu trendid ja IT juhtimisest
Digiajastu trendid ja IT juhtimisestLeego
 
Andmeturbe teooria ja praktika
Andmeturbe teooria ja praktikaAndmeturbe teooria ja praktika
Andmeturbe teooria ja praktikaLeego
 

Empfohlen

5. Turvalisus
5. Turvalisus5. Turvalisus
5. Turvalisusromilrobtsenkov
 
Ettevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedEttevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedLeego
 
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimusedErkki Leego: Tootmisettevõtte tarkvara võtmeküsimused
Erkki Leego: Tootmisettevõtte tarkvara võtmeküsimusedTsenter
 
Tootmisettevõtte IT juhtimise võtmeküsimused
Tootmisettevõtte IT juhtimise võtmeküsimusedTootmisettevõtte IT juhtimise võtmeküsimused
Tootmisettevõtte IT juhtimise võtmeküsimusedLeego
 
Ettevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedEttevõtte IT strateegilised võtmeküsimused
Ettevõtte IT strateegilised võtmeküsimusedLeego
 
Väikeettevõtte digiarengu juhtimine
Väikeettevõtte digiarengu juhtimineVäikeettevõtte digiarengu juhtimine
Väikeettevõtte digiarengu juhtimineLeego
 
Digiajastu trendid ja IT juhtimisest
Digiajastu trendid ja IT juhtimisestDigiajastu trendid ja IT juhtimisest
Digiajastu trendid ja IT juhtimisestLeego
 
Andmeturbe teooria ja praktika
Andmeturbe teooria ja praktikaAndmeturbe teooria ja praktika
Andmeturbe teooria ja praktikaLeego
 
IT arenduste ettevalmistamine ja läbiviimine
IT arenduste ettevalmistamine ja läbiviimineIT arenduste ettevalmistamine ja läbiviimine
IT arenduste ettevalmistamine ja läbiviimineLeego
 
Andmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalAndmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalLeego
 
Sotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arendusesSotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arendusesLeego
 
Arenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavadArenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavadLeego
 
COBIT 5 kui praktiline lisaväärtus ITIL-ile
COBIT 5 kui praktiline lisaväärtus ITIL-ileCOBIT 5 kui praktiline lisaväärtus ITIL-ile
COBIT 5 kui praktiline lisaväärtus ITIL-ileKaimar Karu
 
Digimuutuste juhtimine
Digimuutuste juhtimineDigimuutuste juhtimine
Digimuutuste juhtimineLeego
 
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jäädaPrivaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jäädaLeego
 
IT juhi tööst
IT juhi tööstIT juhi tööst
IT juhi tööstLeego
 
ISKE praktiline rakendamine
ISKE praktiline rakendamineISKE praktiline rakendamine
ISKE praktiline rakendamineRiigi Infosüsteemi Amet
 
IT teenusehalduse trendid
IT teenusehalduse trendidIT teenusehalduse trendid
IT teenusehalduse trendidKaimar Karu
 
ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)Riigi Infosüsteemi Amet
 
Agiilse tarkvaraarendusmetoodika kasutamine avalikus sektoris
Agiilse tarkvaraarendusmetoodika kasutamine avalikus sektorisAgiilse tarkvaraarendusmetoodika kasutamine avalikus sektoris
Agiilse tarkvaraarendusmetoodika kasutamine avalikus sektorisVassili Ljahhovets
 
Iske Praktiline Rakendamine
Iske Praktiline RakendamineIske Praktiline Rakendamine
Iske Praktiline RakendamineSF programm "Infoühiskonna teadlikkuse tõstmine"
 
IT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMIT
IT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMITIT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMIT
IT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMITORACLE USER GROUP ESTONIA
 
Digiajastu trendid
Digiajastu trendidDigiajastu trendid
Digiajastu trendidLeego
 
Minu andmed kallis vara
Minu andmed kallis varaMinu andmed kallis vara
Minu andmed kallis varaLeego
 
Teadmushalduse põhialused
Teadmushalduse põhialusedTeadmushalduse põhialused
Teadmushalduse põhialusedLeego
 
EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?Kristjan Rebane
 
Monitooringu kaks lahendust: RIA
Monitooringu kaks lahendust: RIAMonitooringu kaks lahendust: RIA
Monitooringu kaks lahendust: RIARiigi Infosüsteemi Amet
 
Wygiwyg Margus Pyya
Wygiwyg Margus PyyaWygiwyg Margus Pyya
Wygiwyg Margus PyyaVeronika Soosaar
 
Digiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks pooltDigiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks pooltLeego
 
Kasutajaliideste kavandamine
Kasutajaliideste kavandamineKasutajaliideste kavandamine
Kasutajaliideste kavandamineLeego
 

Weitere ähnliche Inhalte

Ähnlich wie Kuidas turvalisusega mitte üle pingutada

IT arenduste ettevalmistamine ja läbiviimine
IT arenduste ettevalmistamine ja läbiviimineIT arenduste ettevalmistamine ja läbiviimine
IT arenduste ettevalmistamine ja läbiviimineLeego
 
Andmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalAndmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalLeego
 
Sotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arendusesSotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arendusesLeego
 
Arenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavadArenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavadLeego
 
COBIT 5 kui praktiline lisaväärtus ITIL-ile
COBIT 5 kui praktiline lisaväärtus ITIL-ileCOBIT 5 kui praktiline lisaväärtus ITIL-ile
COBIT 5 kui praktiline lisaväärtus ITIL-ileKaimar Karu
 
Digimuutuste juhtimine
Digimuutuste juhtimineDigimuutuste juhtimine
Digimuutuste juhtimineLeego
 
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jäädaPrivaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jäädaLeego
 
IT juhi tööst
IT juhi tööstIT juhi tööst
IT juhi tööstLeego
 
IT teenusehalduse trendid
IT teenusehalduse trendidIT teenusehalduse trendid
IT teenusehalduse trendidKaimar Karu
 
Agiilse tarkvaraarendusmetoodika kasutamine avalikus sektoris
Agiilse tarkvaraarendusmetoodika kasutamine avalikus sektorisAgiilse tarkvaraarendusmetoodika kasutamine avalikus sektoris
Agiilse tarkvaraarendusmetoodika kasutamine avalikus sektorisVassili Ljahhovets
 
IT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMIT
IT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMITIT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMIT
IT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMITORACLE USER GROUP ESTONIA
 
Digiajastu trendid
Digiajastu trendidDigiajastu trendid
Digiajastu trendidLeego
 
Minu andmed kallis vara
Minu andmed kallis varaMinu andmed kallis vara
Minu andmed kallis varaLeego
 
Teadmushalduse põhialused
Teadmushalduse põhialusedTeadmushalduse põhialused
Teadmushalduse põhialusedLeego
 
EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?Kristjan Rebane
 

Ähnlich wie Kuidas turvalisusega mitte üle pingutada (20)

IT arenduste ettevalmistamine ja läbiviimine
IT arenduste ettevalmistamine ja läbiviimineIT arenduste ettevalmistamine ja läbiviimine
IT arenduste ettevalmistamine ja läbiviimine
 
Andmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaalAndmeturbe teooria ja praktika tasakaal
Andmeturbe teooria ja praktika tasakaal
 
Sotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arendusesSotsiaalsed aspektid IT arenduses
Sotsiaalsed aspektid IT arenduses
 
Arenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavadArenduse juhtrühmade töökorralduse tavad
Arenduse juhtrühmade töökorralduse tavad
 
COBIT 5 kui praktiline lisaväärtus ITIL-ile
COBIT 5 kui praktiline lisaväärtus ITIL-ileCOBIT 5 kui praktiline lisaväärtus ITIL-ile
COBIT 5 kui praktiline lisaväärtus ITIL-ile
 
Digimuutuste juhtimine
Digimuutuste juhtimineDigimuutuste juhtimine
Digimuutuste juhtimine
 
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jäädaPrivaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
Privaatsusest kübersõjani - kuidas infoühiskonnas ellu jääda
 
IT juhi tööst
IT juhi tööstIT juhi tööst
IT juhi tööst
 
ISKE praktiline rakendamine
ISKE praktiline rakendamineISKE praktiline rakendamine
ISKE praktiline rakendamine
 
IT teenusehalduse trendid
IT teenusehalduse trendidIT teenusehalduse trendid
IT teenusehalduse trendid
 
ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)ISKE ja ETO-d (Aare Reintam)
ISKE ja ETO-d (Aare Reintam)
 
Agiilse tarkvaraarendusmetoodika kasutamine avalikus sektoris
Agiilse tarkvaraarendusmetoodika kasutamine avalikus sektorisAgiilse tarkvaraarendusmetoodika kasutamine avalikus sektoris
Agiilse tarkvaraarendusmetoodika kasutamine avalikus sektoris
 
Iske Praktiline Rakendamine
Iske Praktiline RakendamineIske Praktiline Rakendamine
Iske Praktiline Rakendamine
 
IT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMIT
IT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMITIT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMIT
IT valdkonna konsolideerimine Rahandusministeeriumi valitsemisalas – RMIT
 
Digiajastu trendid
Digiajastu trendidDigiajastu trendid
Digiajastu trendid
 
Minu andmed kallis vara
Minu andmed kallis varaMinu andmed kallis vara
Minu andmed kallis vara
 
Teadmushalduse põhialused
Teadmushalduse põhialusedTeadmushalduse põhialused
Teadmushalduse põhialused
 
EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?EST_IT@2018 - Miks ja milleks?
EST_IT@2018 - Miks ja milleks?
 
Monitooringu kaks lahendust: RIA
Monitooringu kaks lahendust: RIAMonitooringu kaks lahendust: RIA
Monitooringu kaks lahendust: RIA
 
Wygiwyg Margus Pyya
Wygiwyg Margus PyyaWygiwyg Margus Pyya
Wygiwyg Margus Pyya
 

Mehr von Leego

Digiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks pooltDigiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks pooltLeego
 
Kasutajaliideste kavandamine
Kasutajaliideste kavandamineKasutajaliideste kavandamine
Kasutajaliideste kavandamineLeego
 
Microsoft Teams-i kasutamine
Microsoft Teams-i kasutamineMicrosoft Teams-i kasutamine
Microsoft Teams-i kasutamineLeego
 
Digiajastu trendid ja andmeturve
Digiajastu trendid ja andmeturveDigiajastu trendid ja andmeturve
Digiajastu trendid ja andmeturveLeego
 
Personaalmeditsiini võimalused ja ohud 2016
Personaalmeditsiini võimalused ja ohud 2016Personaalmeditsiini võimalused ja ohud 2016
Personaalmeditsiini võimalused ja ohud 2016Leego
 
Digiajastu trendid 2016
Digiajastu trendid 2016Digiajastu trendid 2016
Digiajastu trendid 2016Leego
 
Digipöörde elluviimine
Digipöörde elluviimineDigipöörde elluviimine
Digipöörde elluviimineLeego
 
Digiajastul vajalikud oskused
Digiajastul vajalikud oskusedDigiajastul vajalikud oskused
Digiajastul vajalikud oskusedLeego
 
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekudE-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekudLeego
 
Nationwide e-Estonia mind-set
Nationwide e-Estonia mind-setNationwide e-Estonia mind-set
Nationwide e-Estonia mind-setLeego
 
Digiajastul vajalikud oskused
Digiajastul vajalikud oskusedDigiajastul vajalikud oskused
Digiajastul vajalikud oskusedLeego
 
Millist infosysteemi vajab suurhaigla?
Millist infosysteemi vajab suurhaigla?Millist infosysteemi vajab suurhaigla?
Millist infosysteemi vajab suurhaigla?Leego
 
Tervishoid läbi IT prisma
Tervishoid läbi IT prismaTervishoid läbi IT prisma
Tervishoid läbi IT prismaLeego
 
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?Leego
 
Hoolsa omaniku vara särab kaua
Hoolsa omaniku vara särab kauaHoolsa omaniku vara särab kaua
Hoolsa omaniku vara särab kauaLeego
 
Ettevõtte infoturbe alused
Ettevõtte infoturbe alusedEttevõtte infoturbe alused
Ettevõtte infoturbe alusedLeego
 

Mehr von Leego (16)

Digiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks pooltDigiareng ja küberturve - ühe mündi kaks poolt
Digiareng ja küberturve - ühe mündi kaks poolt
 
Kasutajaliideste kavandamine
Kasutajaliideste kavandamineKasutajaliideste kavandamine
Kasutajaliideste kavandamine
 
Microsoft Teams-i kasutamine
Microsoft Teams-i kasutamineMicrosoft Teams-i kasutamine
Microsoft Teams-i kasutamine
 
Digiajastu trendid ja andmeturve
Digiajastu trendid ja andmeturveDigiajastu trendid ja andmeturve
Digiajastu trendid ja andmeturve
 
Personaalmeditsiini võimalused ja ohud 2016
Personaalmeditsiini võimalused ja ohud 2016Personaalmeditsiini võimalused ja ohud 2016
Personaalmeditsiini võimalused ja ohud 2016
 
Digiajastu trendid 2016
Digiajastu trendid 2016Digiajastu trendid 2016
Digiajastu trendid 2016
 
Digipöörde elluviimine
Digipöörde elluviimineDigipöörde elluviimine
Digipöörde elluviimine
 
Digiajastul vajalikud oskused
Digiajastul vajalikud oskusedDigiajastul vajalikud oskused
Digiajastul vajalikud oskused
 
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekudE-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
E-Tervise strateegia arhitektuuri töörühma esialgsed ettepanekud
 
Nationwide e-Estonia mind-set
Nationwide e-Estonia mind-setNationwide e-Estonia mind-set
Nationwide e-Estonia mind-set
 
Digiajastul vajalikud oskused
Digiajastul vajalikud oskusedDigiajastul vajalikud oskused
Digiajastul vajalikud oskused
 
Millist infosysteemi vajab suurhaigla?
Millist infosysteemi vajab suurhaigla?Millist infosysteemi vajab suurhaigla?
Millist infosysteemi vajab suurhaigla?
 
Tervishoid läbi IT prisma
Tervishoid läbi IT prismaTervishoid läbi IT prisma
Tervishoid läbi IT prisma
 
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?
Kuidas toimib tellija esindamine ja järelevalve IT valdkonnas?
 
Hoolsa omaniku vara särab kaua
Hoolsa omaniku vara särab kauaHoolsa omaniku vara särab kaua
Hoolsa omaniku vara särab kaua
 
Ettevõtte infoturbe alused
Ettevõtte infoturbe alusedEttevõtte infoturbe alused
Ettevõtte infoturbe alused
 

Kuidas turvalisusega mitte üle pingutada

  • 1. Kui on tahe, on ka võimalus! Kuidas turvalisusega mitte üle pingutada? Erkki Leego – juhtivpartner (1/12)Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar Erkki Leego juhtivpartner Hansson, Leego & Partner
  • 2. Kui on tahe, on ka võimalus! Millise kogemuse pealt räägin • Üle 12 aasta tundliku info kaitsel – Vabariigi Presidendi Kantselei, infonõunik – Riigikogu Kantselei, infosüsteemide ja tehnikaosakonna juhataja – Tartu Ülikooli Kliinikum, IT direktor – Hansson Leego & Partner, juhtivpartner • Hansson, Leego & Partner – Põhja-Eesti Regionaalhaigla • riskianalüüs, poliitika, talitluspidevusplaan – Ida-Tallinna Keskhaigla • riskianalüüs, tegevuskava – Fontes PMP Erkki Leego – juhtivpartner (2/12)Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar • riskianalüüs, tegevuskava – Fontes PMP • riskianalüüs, tegevuskava – Õiguskantsleri kantselei • turvalisuse ja infoturbepoliitika piisavuse audit – Riigikogu kantselei • riskianalüüs ja tegevuskava – Majandus- ja kommunikatsiooniministeerium • ISKE rakendamise pilootprojekt Lääne-Viru maavalitsuses – Gennet Laboratories • turvalisuse ja poliitika sobivuse hindamine delikaatsete isikuandmetega töötlemiseks mõeldud infosüsteemide arendamisel ja hooldamisel – Eesti Geenivaramu; Quattromed; Lemeks; Rait; Omandi; Tallmac • Strateegiline IT juhtimine
  • 3. Kui on tahe, on ka võimalus! 100% turvalisust ei ole olemas • 9/11 terrorirünnak (11.09.01) – Kaks 110-korruselist WTC hoonet ja hulk muid hooneid hävinenud, 18 000 väikest äri hävinenud või ümber paigutatud – Börsid (NYSE, ASE, NASDAQ) suletud 6 päeva – Investeerimispank Cantor Fitzgerald L.P. kaotas 658 töötajat • Societe Generale hiigelpettus (01/08) – Jérôme Kerviel kauplemistehingud põhjustasid pangale 76 miljardit krooni kahju – Süüdistus volitamata ligipääsus ja usalduse kuritarvitamises • Lähis-Ida riikide interneti katkestus 01/08 Erkki Leego – juhtivpartner (3/12) • Lähis-Ida riikide interneti katkestus 01/08 – Mitme veealuse kaabli katkemine põhjustas paljude Lähis-Ida riikide Interneti side kadumise 10 päevaks – 80 milj. kasutajat häiritud (70% Egiptusest, 60% Indiast) • UK MTA andmete kadumise intsident (10/07) – Kaks Suurbritannia maksu- ja tolliameti arvutiketast kõikide lastetoetust saanud perede andmetega läks teekonnal ühest kontorist teise kaduma – Intsident puudutab 25 milj. UK elanikku • Küberrünnakud Eestis kevad 2007 – DOS rünnakud Eesti riigiasutustele ja pankadele Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar
  • 4. Kui on tahe, on ka võimalus! Lubatud jääkrisk • Riskianalüüs annab ülevaate ettevõtte infovaradest ja nende kaitse olukorrast • Juhtkonna poolt määratletud jääkrisk annab võimaluse piiritleda meetmeid ja kaasnevaid kulusid Erkki Leego – juhtivpartner (4/12)Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar
  • 5. Kui on tahe, on ka võimalus! 10 tavalisemat probleemi 1. Ebatäielik ülevaade firma infovaradest ja turbe seisust 2. Töötajate hägus vastutus ja ebalojaalsus 3. Hoonete, uste, akende füüsilise turbe puudulikkus 4. Puudulikult hallatud pääsuõigused 5. Ettevõtte töötajate vähene turvateadlikkus 6. Puuduvad või vääralt hoiustatud tagavarakoopiad Erkki Leego – juhtivpartner (5/12) 6. Puuduvad või vääralt hoiustatud tagavarakoopiad 7. Puudulik viirustõrje arvutites 8. Dokumentide ebapiisav arhiveerimine ja hävitamine 9. Ebakindel toitevõrk ja puuduvad tagavaravooluseadmed 10.Logide või nende analüüsi puudumine Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar
  • 6. Kui on tahe, on ka võimalus! Efektiivse turbehalduse 11 tunnust Ettevõtte üldtaseme teema Juhid on aruande- kohuslased Käsitletakse ärivajadusena Riskidel põhinev Rollid, vastutus, ülesannete Poliitika poolt suunatud ja Ressursid on adekvaatselt Personal teadlik Erkki Leego – juhtivpartner (6/12) ülesannete erisus defineeritud suunatud ja jõustatud adekvaatselt planeeritud Personal teadlik ja treenitud Arenduse elutsükli järgimine kohustuslik Planeeritud, hallatud, mõõdetav ja mõõdetud Ülevaadatud ja auditeeritud Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar Governing for Enterprise Security (GES) Implementation Guide by Julia H. Allen and Jody R. Westby, 2007, http://www.cert.org/governance/ges.html
  • 7. Kui on tahe, on ka võimalus! Mida parimad teevad? • 70%: on loodud terviklikud turvalisuse ja vastavuse poliitikad • 70%: tegevjuht on turbe- ja riskihalduse esmane “omanik” • 52%: nähtav on turvalisuse ja vastavuste võtmeinfo • 78%: juhte informeeritakse regulaarselt IT-riskidest Ühe aasta möödumisel: • 63%: vähendasid tegelike turbeintsidentide arvu • 70%: vähendasid keskmist intsidentidega toimetulemise aega • 48%: vähendasid keskmist intsidentidega toimetulemise kulu Parim = turbeintsidentide arv, nendega toimetulemise keskmine aeg, mittevastavuste arv ja nendega toimetulemise aeg Erkki Leego – juhtivpartner (7/12) • 78%: juhte informeeritakse regulaarselt IT-riskidest • 67%: on rakendatud kontrollid poliitika nõuete täitmise monitoorimiseks • 67%: on määratlenud kogu auditeerimiseks ja aruandmiseks vajamineva info toimetulemise kulu • 74%: vähendasid mittevastavuste arvu (auditi negatiivseid tulemusi) Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar Security Governance and Risk Management: The Rewards of Doing the Right Things and Doing Things Right, nov. 2007, Aberdeen Group. 140 organisatsiooni küsitlus
  • 8. Kui on tahe, on ka võimalus! Turbe strateegilised küsimused • Mida on vaja kaitsta? Miks on seda vaja kaitsta? Mis juhtub siis kui ei kaitse? • Milliseid potentsiaalseid ebasoovitavaid tagajärgi me soovime vältida? Millise hinnaga? Kui suurt katkestust võime me enne Erkki Leego – juhtivpartner (8/12) Kui suurt katkestust võime me enne tegutsemist taluda? • Kuidas me määratleme ja efektiivselt haldame jääkriski? Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar The Art of Information Security Governance, Julia H. Allen, 2008, Qatar Information Security Forum
  • 9. Kui on tahe, on ka võimalus! Kulud infoturbele • Kulud olukorra hindamisele ja meetmete sh. dokumentatsiooni väljatöötamisele – väline konsultatsioon, enda töötajate tegevused • Kulud infrastruktuuri planeerimisele ja seadistamisele – väline konsultatsioon, enda töötajate tegevused • Investeeringud infrastruktuuri Erkki Leego – juhtivpartner (9/12) • Investeeringud infrastruktuuri – tööjaamad, serverid, võrguseadmed, tagavara- koopiaseadmed või nende renditeenuse sisseostmine • Investeeringud tarkvarale ja litsentsidele • Investeeringud füüsilise turbe tagamisele • Kulud koolitusele ja teavitamistele Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar
  • 10. Kui on tahe, on ka võimalus! Kuidas mitte üle pingutada? • Kulude õigsust on keeruline hinnata – turve on edukas siis kui midagi ei juhtu ... • Tunne oma ettevõtte infoturbe olukorda – Riskianalüüs toob välja pingerea probleemidest ja nõrkustest – Tee selgeks mida ette võtta saab ja määratle kuna seda tehakse • Lähtu äri-põhistest kriteeriumitest Erkki Leego – juhtivpartner (10/12) • Lähtu äri-põhistest kriteeriumitest – Turvalisus on ärifunktsioon ja peab saama selliselt käsitletud – Valdkonnal peab olema selge vastutaja – Tee investeeringuotsuseid samal viisil kui teisi ettevõtte ärilisi investeeringuotsuseid • Turve on protsess – Loo turvalisusele orienteeritud kultuur – Liigu paremuse suunas teadlike ja jõukohaste sammudega Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar
  • 11. Kui on tahe, on ka võimalus! Kokkuvõte • 100% turvalisus pole võimalik – määratle oma jääkrisk • Ole teadlik oma infovarade kaitse olukorrast Erkki Leego – juhtivpartner (11/12)Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar • Ole teadlik oma infovarade kaitse olukorrast • Liigu paremuse suunas teadlike ja jõukohaste sammudega
  • 12. Kui on tahe, on ka võimalus! Tänan! Kui on tahe, on ka võimalus! Erkki Leego – juhtivpartner (12/12)Kuidas turvalisusega mitte üle pingutada? / 28.05.08 / ÄP IT-turvalisuse seminar Erkki Leego, erkki.leego@hlp.ee, www.hlp.ee