SlideShare ist ein Scribd-Unternehmen logo

Tietoturva - onko sinulla varaa olla investoimatta siihen?

Sovelto
Sovelto

Sovelto Aamiaisseminaari 23.8.2013 Thomas Hughes Jukka Vuola

1 von 26
Downloaden Sie, um offline zu lesen
Vartti tunnista Tietoturva: onko sinulla varaa olla investoimatta siihen? Aamiaisseminaari 23.8.2013
Seminaarin sisältö 8:00 ​Ilmoittautuminen ja maittava aamiainen​ 8:30 Avaussanat Senior-konsultti Pasi Lehtiniemi, Sovelto Senior-konsultit Thomas Hughes ja Jukka Vuola, Sovelto 8:40 Katsaus tietoturvan tilaan ja uhkiin Suomessa • Mitä tietoturvauhkia on nyt ja mitä on tulossa? • Käytännön demonstraatio tietoturvahaavoittuvuuden hyödyntämisestä 9:00 Heikosti hoidetun tietoturvan kustannukset • Mitä maksaa heikosti hoidettu tietoturva? • Voiko hyvin hoidettu tietoturva olla kilpailuetu? ​9:30 9:50 10:00 Tietoturvan kokonaishallinta • Tietoturvan osa-alueet • Tietoturvan hallintajärjestelmät • Sovelton tietoturvakoulutusohjelma • Tietoturvaosaamisen sertifiointi • Tilaisuus päättyy 2
Tietoturvan tila Suomessa • Mitä tietoturvauhkia on nyt ja mitä on tulossa? • Käytännön demonstraatio tietoturvahaavoittuvuuden hyödyntämisestä 3
Tietoturvan tila Suomessa • 1-3.2013: 1 169 tietoturvatapausta • 2012: 4208 tietoturvatapausta • Lähde: CERT-FI:n tietoturvakatsaukset 2012 ja 2013 4 Tietomurrot 6.5% - 13% Haittaohjelma- tartunnat 50%+ Kiristyshaitta -ohjelmat Ohjelmistojen haavoittuvuudet Palvelunesto- hyökkäykset
Tietoturvauhat tulevaisuudessa 5 Tietoturvarikollisuuden kehittyminen alana • Kohdistetut hyökkäykset kasvussa • Pienemmät organisaatiot ja kielialueet kiinnostavat myös • Crime as a Service, Hacking as a Service Älykkäät laitteet ja tietojen tallennus • Mobiilit laitteet, mobiili tieto, BYOD • Pilvipalvelut Uudet teknologiat, uudet haavoittuvuudet • Webtekniikat: HTML5, CSS • Langaton viestintä: NFC, WLAN, Bluetooth • Sosiaalinen media Blackhole server: 1 vko: 200 USD 3 kk: 700 USD 1 v: 1500 USD
Demo: Tietoturvahaavoittuvuuksien hyödyntäminen käytännössä 6
Heikosti hoidetun tietoturvan kustannukset • Mitä maksaa heikosti hoidettu tietoturva? • Voiko hyvin hoidettu tietoturva olla kilpailuetu? 7
Heikon tietoturvan kustannukset • Kustannukset on huomattavasti helpompi todeta jälkikäteen • Suorat (kustannus)vaikutukset + epäsuorat (kustannus)vaikutukset • Osaa kustannusvaikutuksista ei saada koskaan näkyviksi 8 IPR:n menettäminen …. luottamuksellisen tiedon menettäminen …pörssikurssikeinottelu … vaihtoehtokustannukset … häiriöt palveluihin ja työsuhteisiin …vähentyneen luottamuksen verkkopalveluja kohtaan … tietoverkkojen turvallisuuden parantaminen ja hyökkäyksistä toipuminen … ulkopuolisten konsulttien käyttö … alennusten antaminen asiakkaille .. tietomurron kohteeksi joutuneen yrityksen maineelle aiheutuva vahinko Lähteet: 1) McAfee, The economic impact of cybercrime and cyber espionage, 07/2013. http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf 2) 2013 Cost of Data Breach Study: Global Analysis, Ponemon institute & Symantec http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-2013
Kyberrikollisuuden kustannukset globaalisti Toiminta Arvioitu kustannus (€) % BKT:sta Piratismi 750 milj. – 12 mrd. 0.008% - 0.02% Huumekauppa 650 mrd. 1.2% Kyberrikollisuus 225 mrd. – 750 mrd. 0.4 % - 1.4% 9 Lähde: McAfee, The economic impact of cybercrime and cyber espionage, 07/2013. http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf "Kyberrikollisuus on (finanssi)alalla kirjanpitorikoksia, petoksia, korruptiota ja jopa rahanpesua suurempi ongelma ja (aiheuttaa) mittavia tappioita, selvityksessä todetaan." Lähde: Pricewaterhousecoopersin raportti, uutinen Tietoviikko, 30.3.2012, 12:18
Mikä on riskin hinta? • Tietoturva on riskienhallintaa • Kustannuksia arvioitaessa on aina suhteutettava riskiin varautumisen ja riskin toteutumisen kustannukset • Sosiaali- ja terveysviraston koneiden puhdistaminen maksoi kaupungille lähes 100 000 euroa (HS 16.7.2013) – mitä olisi maksanut ennaltaehkäisy? 10
Helsingin Sanomien analyysi aiheesta 11 Aiheen analyysi Helsingin Sanomissa 16.7.2013 http://www.hs.fi/kaupunki/a1373861123551
Riskille hinta • Kysymys: Mikä organisaatio on erikoistunut riskien analysointiin ja hinnoitteluun? • Mitä tietoturvavakuutuksia antavan vakuutusyhtiön täytyy selvittää saadakseen luotua • riskiprofiilin organisaatiolle • hinnan organisaatiolle annettavalle tietoturvavakuutukselle? • Esimerkiksi tällainen Philadelphia Insurance Company • Loss Experience (Historiadata) • Riskien kontrollointi • Henkilötarkistukset • Vastuukysymykset 12
Hyvin hoidettu tietoturva kilpailuetuna • Kilpailuetu, elossa pysymisen edellytys vai laillisen toiminnan perusta? • Miten tietoturva tuodaan esille mainonnassa? • Alennukset vakuutuksista, voitetut asiakkuudet 13
Vartti tunnista Tietoturvan osa-alueet ja hallintajärjestelmät
Yritysturvallisuus ja tietoturva 15 • Toimitilaturvallisuus • Henkilöturvallisuus • Toiminnan turvallisuus • Tietoturvallisuus • Pelastustoiminta • Työsuojelu • Ympäristönsuojelu • Varautuminen ja valmiussuunnittelu • Turvallisuus- ja riskienhallinta • Ulkomaantoimintojen turvallisuus 1. Hallinnollinen turvallisuus 2. Henkilöstöturvallisuus 3. Fyysinen turvallisuus 4. Tietoliikenneturvallisuus 5. Laitteistoturvallisuus 6. Ohjelmistoturvallisuus 7. Tietoaineistoturvallisuus 8. Käyttöturvallisuus Tietoturvallisuus
Liiketoiminnasta tulevia vaatimuksia tietoturvalle • Käytettävyys • Ylläpidettävyys • Integroitavuus nykyisiin järjestelmiin • Nopeasti käyttöönotettava • Toimii eri jaluistoilla • Uudelleenkäytettävyys • Muokattavuus • Tukee kansainvälisiä standardeja ja vaatimuksia • Pienet operointikustannukset • Mitattavaa tietoturvaa • Tietoturva, jolla on ROI 16
Tietoturvan hallinta kokonaisuutena 17Miten suojaamisen kokonaisuutta voisi hallita? Tietomurrot 6.5% - 13% Kiristyshaitta -ohjelmat Ohjelmistojen haavoittuvuudet Palvelunesto- hyökkäykset Haittaohjelma- tartunnat 50%+
Tietoturvallisuuden hallintajärjestelmä • Tietoturvan suhteen hallintajärjestelmä mahdollistaa organisaation: • asiakkaiden ja muiden sidosryhmien tietoturvavaatimuksien toteuttamisen • suunnitelmien ja aktiviteettien kehittämisen • tietoturvatavoitteiden toteutumisen • säädösten, lakien ja toimialakohtaisten määräysten täyttämisen • informaatio-omaisuuden hallinnoinnin sillä tavalla, että se mahdollistaa jatkuvan kehittämisen ja organisaation tavoitteiden muokauttamisen ympäristön vaatimuksiin • ISMS (Information Security Management System) • TTHJ (Tietoturvan hallintajärjestelmä) 18 Otetaan kaikki "säätyypit" huomioon
Tietoturvallisuuden hallintajärjestelmä • "osa yleistä toimintajärjestelmää, joka luodaan ja toteutetaan toimintariskien arviointiin perustuen ja jota käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena hyvä tietoturvallisuus “ (1) • ”Sisältää organisaatiorakenteen, politiikat, suunnittelu- ja kehittämistoimenpiteet, vastuut, menettelytavat, menetelmät, prosessit, mittarit ja resurssit." (1) • On osa organisaation yleistä hallintajärjestelmää ja näin ollen merkittävässä roolissa on liiketoimintariskien arviointi • Sisältää tietoturvan suunnittelun, toteutuksen, käytön, valvonnan, seurannan, ylläpidon ja jatkuvan kehittämisen • Hallintajärjestelmien tulisi sisältää tietoturvan johtaminen, hallinnointi ja ja valvonta • Hallintajärjestelmä ei ole kasa dokumentteja vaan monitahoinen prosessi jota on valvottava ja kehitettävä jatkuvasti 191) VAHTI 8/2008 Valtionhallinnon tietoturvasanasto
Demingin PDCA-sykli ja TTHJ 20 Vaatimukset ja odotukset tietoturvallisuudelle Hallittu tietoturvallisuus SUUNNITTELE TTHJ:n vaikutuspiirin määritys ja riskien arviointi TOTEUTA TTHJ:n suunnittelu ja toteutus TARKASTA TTHJ:n seuranta ja arviointi TOIMI TTHJ:n kehittäminen P D C A
TTHJ- ominaisuuksia Tietoturvapolitiikka Tietoturvakäytännöt ja periaatteet Tietoturvallisuuden kehittämisuunnitelma Jatkuvuus- ja toipumissuunnitelma 21 • TTHJ on enemmän kuin kasa dokumentteja • Tietyt ydindokumentit luodaan yleensä Tietoturvakulttuuri • TTHJ:n tulisi kattaa • Ihmiset • Prosessit • Tuotteet, työkalut, teknologia • Yhteistyökumppanit ja sidosryhmät Ylläpitää ja kehittää organisaation tietoturvakulttuuria
Lähestymistapoja tietoturvaan • Prosessilähtöiset (ISM3, CMMI, Cobit, ISO9001:2000, ISO20000, ITIL/ITSM) • Kontrollilähtöiset (BSI-ITBPM, ISO27001:2005, ISO13335-4) • Tuotelähtöiset (Common Criteria / ISO15408) • Riskienhallintalähtöiset (AS/NZS 4360, CRAMM, EBIOS, ISO 27005, MAGERIT, MEHARI,OCTAVE, SP800-30, SOMAP) • Best practice lähtöiset (ISO/IEC 17799:2005, Cobit, ISF-SoGP) • Hyvä vertailu ja kooste eri menetelmistä: http://rm-inv.enisa.europa.eu/methods 22
Tietoturvallisuuden hallintajärjestelmä (ITIL®) 23 YLLÄPIDÄ Opi Kehitä Suunnittele Toteuta TOTEUTA Luo tietoisuus Luokittelu ja rekisteröinti Henkilöstöturvallisuus Fyysinen turvallisuus Verkot, sovellukset, laitteet Käyttöoikeuksien hallinta Ohjeistus tietoturvahäiriöiden käsittelystä EVALUOI Sisäiset auditit Ulkoiset auditit Itsearvioinnit Tietoturvahäiriöt (toteutuvat) SUUNNITTELE Palvelutasosopimukset Ulkoiset hankintasopimukset Sisäiset hankintasopimukset Politiikat KONTROLLOI Organisoi Jaa vastuut Asiakkaat – Liiketoiminnan tarpeet
ISO27001 – ISO27002 määritykset 24 ISO27001 IS Management Standard ISO27002 Code of Practice • Kuinka ISMS tulisi 1) perustaa 2) toteuttaa 3) valvoa 4) ylläpitää • Yleisiä ohjeita ja periaatteita - 133 tietoturvakontrollia - 39 kategoriaa - Riskienhallinnan merkitystä korostetaan • Organisaatio voi sertifoitua - Organisaatio ei voi sertifoitua
Sovelton tietoturvaan liittyvä koulutustarjonta 25 15 kurssipäivää • 2013 – 2014 toteutuva koululutuskokonaisuus • Kurssit julkisessa tarjonnassa + välillisesti tietoturvaan liittyvät aiheet (ITIL, kokonaisarkkitehtuurit jne.) Riskien hallinta, jatkuvuus ja varautuminen 1pvTietoturva- prosessit ja menetelmät 1pv Tietoturvan perusteet 1pv PKI ja varmenteet MS-ympäristössä 3pv Lähiverkkojen tietoturva 2pv Tekninen tietoturva 2pv Tietoturvalliset etäkäyttöratkaisut ja BYOD 1pv Www-palvelun haavoittuvuudet ja tietokantojen tietoturva 2pv Palvelujen suojaaminen, on-premises ja pilvessä 2pv
26

Empfohlen

Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenTietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Arjen tietoturva
Arjen tietoturvaArjen tietoturva
Arjen tietoturva
petterij
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
CGI Suomi
 
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusLuonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Turvallisuus- ja kemikaalivirasto (Tukes)
 
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoaErja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Kiwa Inspecta Suomi
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Kiwa Inspecta Suomi
 

Empfohlen

Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenTietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Arjen tietoturva
Arjen tietoturvaArjen tietoturva
Arjen tietoturva
petterij
 
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...
CGI Suomi
 
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusLuonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Turvallisuus- ja kemikaalivirasto (Tukes)
 
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Kimmo Janhunen: Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishan...
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoaErja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Kiwa Inspecta Suomi
 
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Riskienhallinta, Inspectan Sertifioinnilla kilpailuetua -tietopäivä 7.9.2016
Kiwa Inspecta Suomi
 
Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnes
Jyrki Kontio
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyö
japijapi
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aika
CGI Suomi
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairs
Kimmo Vesajoki
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Tuomas Tonteri
 
Rahanpesusääntelyn ja valvonnan ABC
Rahanpesusääntelyn ja valvonnan ABCRahanpesusääntelyn ja valvonnan ABC
Rahanpesusääntelyn ja valvonnan ABC
Finanssivalvonta
 
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassaTietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
AKUSTI - tietohallintoyhteistyöfoorumi
 
Internettiin kytkettyjen teollisuusjärjestelmien tietoturva
Internettiin kytkettyjen teollisuusjärjestelmien tietoturvaInternettiin kytkettyjen teollisuusjärjestelmien tietoturva
Internettiin kytkettyjen teollisuusjärjestelmien tietoturva
Janne Kivinen
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
japijapi
 
Tietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukenaTietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukena
Pete Nieminen
 
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Teemu Tiainen
 
EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22
japijapi
 
Timo_Valli_Julkisen_hallinnon_ict-strategian_toimeenpano_valtionhallinnossa
Timo_Valli_Julkisen_hallinnon_ict-strategian_toimeenpano_valtionhallinnossaTimo_Valli_Julkisen_hallinnon_ict-strategian_toimeenpano_valtionhallinnossa
Timo_Valli_Julkisen_hallinnon_ict-strategian_toimeenpano_valtionhallinnossa
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0
japijapi
 
Turvallisuusjohtaminen matkailupalveluissa
Turvallisuusjohtaminen matkailupalveluissaTurvallisuusjohtaminen matkailupalveluissa
Turvallisuusjohtaminen matkailupalveluissa
Turvallisuus- ja kemikaalivirasto (Tukes)
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
japijapi
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
Nixu Corporation
 
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Teemu Tiainen
 
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiSuccess Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Finceptum Oy
 
Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretiaMykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
THL
 
LOISTO-palvelu
LOISTO-palveluLOISTO-palvelu
LOISTO-palvelu
Sovelto
 
Sovelto Channel -esittely
Sovelto Channel -esittelySovelto Channel -esittely
Sovelto Channel -esittely
Sovelto
 

Weitere ähnliche Inhalte

Ähnlich wie Tietoturva - onko sinulla varaa olla investoimatta siihen?

Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Teemu Tiainen
 

Ähnlich wie Tietoturva - onko sinulla varaa olla investoimatta siihen? (20)

Tietoturva ja bisnes
Tietoturva ja bisnesTietoturva ja bisnes
Tietoturva ja bisnes
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyö
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aika
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairs
 
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...
 
Rahanpesusääntelyn ja valvonnan ABC
Rahanpesusääntelyn ja valvonnan ABCRahanpesusääntelyn ja valvonnan ABC
Rahanpesusääntelyn ja valvonnan ABC
 
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassaTietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
 
Internettiin kytkettyjen teollisuusjärjestelmien tietoturva
Internettiin kytkettyjen teollisuusjärjestelmien tietoturvaInternettiin kytkettyjen teollisuusjärjestelmien tietoturva
Internettiin kytkettyjen teollisuusjärjestelmien tietoturva
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
 
Tietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukenaTietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukena
 
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
 
EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22EK kyberosaaminen 26.1.22
EK kyberosaaminen 26.1.22
 
Timo_Valli_Julkisen_hallinnon_ict-strategian_toimeenpano_valtionhallinnossa
Timo_Valli_Julkisen_hallinnon_ict-strategian_toimeenpano_valtionhallinnossaTimo_Valli_Julkisen_hallinnon_ict-strategian_toimeenpano_valtionhallinnossa
Timo_Valli_Julkisen_hallinnon_ict-strategian_toimeenpano_valtionhallinnossa
 
Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0Aalto PRO turvallisuus 2.0
Aalto PRO turvallisuus 2.0
 
Turvallisuusjohtaminen matkailupalveluissa
Turvallisuusjohtaminen matkailupalveluissaTurvallisuusjohtaminen matkailupalveluissa
Turvallisuusjohtaminen matkailupalveluissa
 
Tietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteetTietoturvallisuuden ajankohtaiset haasteet
Tietoturvallisuuden ajankohtaiset haasteet
 
Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4Tietovastuu – yritysjohdon grc ratkaisut v4
Tietovastuu – yritysjohdon grc ratkaisut v4
 
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
 
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiSuccess Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisesti
 
Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretiaMykkanen omavalvontasuunnitelma tietosuojan_konkretia
Mykkanen omavalvontasuunnitelma tietosuojan_konkretia
 

Mehr von Sovelto

Mehr von Sovelto (20)

LOISTO-palvelu
LOISTO-palveluLOISTO-palvelu
LOISTO-palvelu
 
Sovelto Channel -esittely
Sovelto Channel -esittelySovelto Channel -esittely
Sovelto Channel -esittely
 
Windows 10 hallinnan näkökulmasta
Windows 10 hallinnan näkökulmastaWindows 10 hallinnan näkökulmasta
Windows 10 hallinnan näkökulmasta
 
Windows 10 käyttäjän näkökulmasta
Windows 10 käyttäjän näkökulmastaWindows 10 käyttäjän näkökulmasta
Windows 10 käyttäjän näkökulmasta
 
Tilaisuuden avaus: Kalaparvi liikkuu
Tilaisuuden avaus: Kalaparvi liikkuuTilaisuuden avaus: Kalaparvi liikkuu
Tilaisuuden avaus: Kalaparvi liikkuu
 
Ansaintamallin voi muuttaa
Ansaintamallin voi muuttaaAnsaintamallin voi muuttaa
Ansaintamallin voi muuttaa
 
Osallista ihmiset mukaan muutokseen
Osallista ihmiset mukaan muutokseen Osallista ihmiset mukaan muutokseen
Osallista ihmiset mukaan muutokseen
 
Ajankohtaista tutkimustietoa
Ajankohtaista tutkimustietoaAjankohtaista tutkimustietoa
Ajankohtaista tutkimustietoa
 
Yhteisöllinen tuottavuus liiketoiminnan tukena
Yhteisöllinen tuottavuus liiketoiminnan tukenaYhteisöllinen tuottavuus liiketoiminnan tukena
Yhteisöllinen tuottavuus liiketoiminnan tukena
 
Hyvinvointi ja tuottavuus
Hyvinvointi ja tuottavuusHyvinvointi ja tuottavuus
Hyvinvointi ja tuottavuus
 
Tietotyön uusi kulttuuri
Tietotyön uusi kulttuuriTietotyön uusi kulttuuri
Tietotyön uusi kulttuuri
 
Intune ja Azure RMS
Intune ja Azure RMSIntune ja Azure RMS
Intune ja Azure RMS
 
Azure Active Directory
Azure Active DirectoryAzure Active Directory
Azure Active Directory
 
3D-tulostaminen ja sen hyödyt käytännössä
3D-tulostaminen ja sen hyödyt käytännössä3D-tulostaminen ja sen hyödyt käytännössä
3D-tulostaminen ja sen hyödyt käytännössä
 
​Tervetuloa tutustumaan tehokkaampaan tuotekehitykseen
​Tervetuloa tutustumaan tehokkaampaan tuotekehitykseen ​Tervetuloa tutustumaan tehokkaampaan tuotekehitykseen
​Tervetuloa tutustumaan tehokkaampaan tuotekehitykseen
 
Seminaarin avaussanat
Seminaarin avaussanatSeminaarin avaussanat
Seminaarin avaussanat
 
Esimiehen työ on palvelua, Tilannejohtaminen
Esimiehen työ on palvelua, TilannejohtaminenEsimiehen työ on palvelua, Tilannejohtaminen
Esimiehen työ on palvelua, Tilannejohtaminen
 
Miten yritysarkkitehtuurilla kehitetään strategista johtamista
Miten yritysarkkitehtuurilla kehitetään strategista johtamista Miten yritysarkkitehtuurilla kehitetään strategista johtamista
Miten yritysarkkitehtuurilla kehitetään strategista johtamista
 
Miten yritysarkkitehtuurilla parannetaan strategista johtamista?
Miten yritysarkkitehtuurilla parannetaan strategista johtamista?Miten yritysarkkitehtuurilla parannetaan strategista johtamista?
Miten yritysarkkitehtuurilla parannetaan strategista johtamista?
 
Case Kouvolan kaupunki: Millaisia haasteita olemme kohdanneet kokonaisarkkite...
Case Kouvolan kaupunki: Millaisia haasteita olemme kohdanneet kokonaisarkkite...Case Kouvolan kaupunki: Millaisia haasteita olemme kohdanneet kokonaisarkkite...
Case Kouvolan kaupunki: Millaisia haasteita olemme kohdanneet kokonaisarkkite...
 

Tietoturva - onko sinulla varaa olla investoimatta siihen?

  • 1. Vartti tunnista Tietoturva: onko sinulla varaa olla investoimatta siihen? Aamiaisseminaari 23.8.2013
  • 2. Seminaarin sisältö 8:00 ​Ilmoittautuminen ja maittava aamiainen​ 8:30 Avaussanat Senior-konsultti Pasi Lehtiniemi, Sovelto Senior-konsultit Thomas Hughes ja Jukka Vuola, Sovelto 8:40 Katsaus tietoturvan tilaan ja uhkiin Suomessa • Mitä tietoturvauhkia on nyt ja mitä on tulossa? • Käytännön demonstraatio tietoturvahaavoittuvuuden hyödyntämisestä 9:00 Heikosti hoidetun tietoturvan kustannukset • Mitä maksaa heikosti hoidettu tietoturva? • Voiko hyvin hoidettu tietoturva olla kilpailuetu? ​9:30 9:50 10:00 Tietoturvan kokonaishallinta • Tietoturvan osa-alueet • Tietoturvan hallintajärjestelmät • Sovelton tietoturvakoulutusohjelma • Tietoturvaosaamisen sertifiointi • Tilaisuus päättyy 2
  • 3. Tietoturvan tila Suomessa • Mitä tietoturvauhkia on nyt ja mitä on tulossa? • Käytännön demonstraatio tietoturvahaavoittuvuuden hyödyntämisestä 3
  • 4. Tietoturvan tila Suomessa • 1-3.2013: 1 169 tietoturvatapausta • 2012: 4208 tietoturvatapausta • Lähde: CERT-FI:n tietoturvakatsaukset 2012 ja 2013 4 Tietomurrot 6.5% - 13% Haittaohjelma- tartunnat 50%+ Kiristyshaitta -ohjelmat Ohjelmistojen haavoittuvuudet Palvelunesto- hyökkäykset
  • 5. Tietoturvauhat tulevaisuudessa 5 Tietoturvarikollisuuden kehittyminen alana • Kohdistetut hyökkäykset kasvussa • Pienemmät organisaatiot ja kielialueet kiinnostavat myös • Crime as a Service, Hacking as a Service Älykkäät laitteet ja tietojen tallennus • Mobiilit laitteet, mobiili tieto, BYOD • Pilvipalvelut Uudet teknologiat, uudet haavoittuvuudet • Webtekniikat: HTML5, CSS • Langaton viestintä: NFC, WLAN, Bluetooth • Sosiaalinen media Blackhole server: 1 vko: 200 USD 3 kk: 700 USD 1 v: 1500 USD
  • 7. Heikosti hoidetun tietoturvan kustannukset • Mitä maksaa heikosti hoidettu tietoturva? • Voiko hyvin hoidettu tietoturva olla kilpailuetu? 7
  • 8. Heikon tietoturvan kustannukset • Kustannukset on huomattavasti helpompi todeta jälkikäteen • Suorat (kustannus)vaikutukset + epäsuorat (kustannus)vaikutukset • Osaa kustannusvaikutuksista ei saada koskaan näkyviksi 8 IPR:n menettäminen …. luottamuksellisen tiedon menettäminen …pörssikurssikeinottelu … vaihtoehtokustannukset … häiriöt palveluihin ja työsuhteisiin …vähentyneen luottamuksen verkkopalveluja kohtaan … tietoverkkojen turvallisuuden parantaminen ja hyökkäyksistä toipuminen … ulkopuolisten konsulttien käyttö … alennusten antaminen asiakkaille .. tietomurron kohteeksi joutuneen yrityksen maineelle aiheutuva vahinko Lähteet: 1) McAfee, The economic impact of cybercrime and cyber espionage, 07/2013. http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf 2) 2013 Cost of Data Breach Study: Global Analysis, Ponemon institute & Symantec http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-2013
  • 9. Kyberrikollisuuden kustannukset globaalisti Toiminta Arvioitu kustannus (€) % BKT:sta Piratismi 750 milj. – 12 mrd. 0.008% - 0.02% Huumekauppa 650 mrd. 1.2% Kyberrikollisuus 225 mrd. – 750 mrd. 0.4 % - 1.4% 9 Lähde: McAfee, The economic impact of cybercrime and cyber espionage, 07/2013. http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf "Kyberrikollisuus on (finanssi)alalla kirjanpitorikoksia, petoksia, korruptiota ja jopa rahanpesua suurempi ongelma ja (aiheuttaa) mittavia tappioita, selvityksessä todetaan." Lähde: Pricewaterhousecoopersin raportti, uutinen Tietoviikko, 30.3.2012, 12:18
  • 10. Mikä on riskin hinta? • Tietoturva on riskienhallintaa • Kustannuksia arvioitaessa on aina suhteutettava riskiin varautumisen ja riskin toteutumisen kustannukset • Sosiaali- ja terveysviraston koneiden puhdistaminen maksoi kaupungille lähes 100 000 euroa (HS 16.7.2013) – mitä olisi maksanut ennaltaehkäisy? 10
  • 11. Helsingin Sanomien analyysi aiheesta 11 Aiheen analyysi Helsingin Sanomissa 16.7.2013 http://www.hs.fi/kaupunki/a1373861123551
  • 12. Riskille hinta • Kysymys: Mikä organisaatio on erikoistunut riskien analysointiin ja hinnoitteluun? • Mitä tietoturvavakuutuksia antavan vakuutusyhtiön täytyy selvittää saadakseen luotua • riskiprofiilin organisaatiolle • hinnan organisaatiolle annettavalle tietoturvavakuutukselle? • Esimerkiksi tällainen Philadelphia Insurance Company • Loss Experience (Historiadata) • Riskien kontrollointi • Henkilötarkistukset • Vastuukysymykset 12
  • 13. Hyvin hoidettu tietoturva kilpailuetuna • Kilpailuetu, elossa pysymisen edellytys vai laillisen toiminnan perusta? • Miten tietoturva tuodaan esille mainonnassa? • Alennukset vakuutuksista, voitetut asiakkuudet 13
  • 14. Vartti tunnista Tietoturvan osa-alueet ja hallintajärjestelmät
  • 15. Yritysturvallisuus ja tietoturva 15 • Toimitilaturvallisuus • Henkilöturvallisuus • Toiminnan turvallisuus • Tietoturvallisuus • Pelastustoiminta • Työsuojelu • Ympäristönsuojelu • Varautuminen ja valmiussuunnittelu • Turvallisuus- ja riskienhallinta • Ulkomaantoimintojen turvallisuus 1. Hallinnollinen turvallisuus 2. Henkilöstöturvallisuus 3. Fyysinen turvallisuus 4. Tietoliikenneturvallisuus 5. Laitteistoturvallisuus 6. Ohjelmistoturvallisuus 7. Tietoaineistoturvallisuus 8. Käyttöturvallisuus Tietoturvallisuus
  • 16. Liiketoiminnasta tulevia vaatimuksia tietoturvalle • Käytettävyys • Ylläpidettävyys • Integroitavuus nykyisiin järjestelmiin • Nopeasti käyttöönotettava • Toimii eri jaluistoilla • Uudelleenkäytettävyys • Muokattavuus • Tukee kansainvälisiä standardeja ja vaatimuksia • Pienet operointikustannukset • Mitattavaa tietoturvaa • Tietoturva, jolla on ROI 16
  • 17. Tietoturvan hallinta kokonaisuutena 17Miten suojaamisen kokonaisuutta voisi hallita? Tietomurrot 6.5% - 13% Kiristyshaitta -ohjelmat Ohjelmistojen haavoittuvuudet Palvelunesto- hyökkäykset Haittaohjelma- tartunnat 50%+
  • 18. Tietoturvallisuuden hallintajärjestelmä • Tietoturvan suhteen hallintajärjestelmä mahdollistaa organisaation: • asiakkaiden ja muiden sidosryhmien tietoturvavaatimuksien toteuttamisen • suunnitelmien ja aktiviteettien kehittämisen • tietoturvatavoitteiden toteutumisen • säädösten, lakien ja toimialakohtaisten määräysten täyttämisen • informaatio-omaisuuden hallinnoinnin sillä tavalla, että se mahdollistaa jatkuvan kehittämisen ja organisaation tavoitteiden muokauttamisen ympäristön vaatimuksiin • ISMS (Information Security Management System) • TTHJ (Tietoturvan hallintajärjestelmä) 18 Otetaan kaikki "säätyypit" huomioon
  • 19. Tietoturvallisuuden hallintajärjestelmä • "osa yleistä toimintajärjestelmää, joka luodaan ja toteutetaan toimintariskien arviointiin perustuen ja jota käytetään, valvotaan, katselmoidaan, ylläpidetään ja parannetaan tavoitteena hyvä tietoturvallisuus “ (1) • ”Sisältää organisaatiorakenteen, politiikat, suunnittelu- ja kehittämistoimenpiteet, vastuut, menettelytavat, menetelmät, prosessit, mittarit ja resurssit." (1) • On osa organisaation yleistä hallintajärjestelmää ja näin ollen merkittävässä roolissa on liiketoimintariskien arviointi • Sisältää tietoturvan suunnittelun, toteutuksen, käytön, valvonnan, seurannan, ylläpidon ja jatkuvan kehittämisen • Hallintajärjestelmien tulisi sisältää tietoturvan johtaminen, hallinnointi ja ja valvonta • Hallintajärjestelmä ei ole kasa dokumentteja vaan monitahoinen prosessi jota on valvottava ja kehitettävä jatkuvasti 191) VAHTI 8/2008 Valtionhallinnon tietoturvasanasto
  • 20. Demingin PDCA-sykli ja TTHJ 20 Vaatimukset ja odotukset tietoturvallisuudelle Hallittu tietoturvallisuus SUUNNITTELE TTHJ:n vaikutuspiirin määritys ja riskien arviointi TOTEUTA TTHJ:n suunnittelu ja toteutus TARKASTA TTHJ:n seuranta ja arviointi TOIMI TTHJ:n kehittäminen P D C A
  • 21. TTHJ- ominaisuuksia Tietoturvapolitiikka Tietoturvakäytännöt ja periaatteet Tietoturvallisuuden kehittämisuunnitelma Jatkuvuus- ja toipumissuunnitelma 21 • TTHJ on enemmän kuin kasa dokumentteja • Tietyt ydindokumentit luodaan yleensä Tietoturvakulttuuri • TTHJ:n tulisi kattaa • Ihmiset • Prosessit • Tuotteet, työkalut, teknologia • Yhteistyökumppanit ja sidosryhmät Ylläpitää ja kehittää organisaation tietoturvakulttuuria
  • 22. Lähestymistapoja tietoturvaan • Prosessilähtöiset (ISM3, CMMI, Cobit, ISO9001:2000, ISO20000, ITIL/ITSM) • Kontrollilähtöiset (BSI-ITBPM, ISO27001:2005, ISO13335-4) • Tuotelähtöiset (Common Criteria / ISO15408) • Riskienhallintalähtöiset (AS/NZS 4360, CRAMM, EBIOS, ISO 27005, MAGERIT, MEHARI,OCTAVE, SP800-30, SOMAP) • Best practice lähtöiset (ISO/IEC 17799:2005, Cobit, ISF-SoGP) • Hyvä vertailu ja kooste eri menetelmistä: http://rm-inv.enisa.europa.eu/methods 22
  • 23. Tietoturvallisuuden hallintajärjestelmä (ITIL®) 23 YLLÄPIDÄ Opi Kehitä Suunnittele Toteuta TOTEUTA Luo tietoisuus Luokittelu ja rekisteröinti Henkilöstöturvallisuus Fyysinen turvallisuus Verkot, sovellukset, laitteet Käyttöoikeuksien hallinta Ohjeistus tietoturvahäiriöiden käsittelystä EVALUOI Sisäiset auditit Ulkoiset auditit Itsearvioinnit Tietoturvahäiriöt (toteutuvat) SUUNNITTELE Palvelutasosopimukset Ulkoiset hankintasopimukset Sisäiset hankintasopimukset Politiikat KONTROLLOI Organisoi Jaa vastuut Asiakkaat – Liiketoiminnan tarpeet
  • 24. ISO27001 – ISO27002 määritykset 24 ISO27001 IS Management Standard ISO27002 Code of Practice • Kuinka ISMS tulisi 1) perustaa 2) toteuttaa 3) valvoa 4) ylläpitää • Yleisiä ohjeita ja periaatteita - 133 tietoturvakontrollia - 39 kategoriaa - Riskienhallinnan merkitystä korostetaan • Organisaatio voi sertifoitua - Organisaatio ei voi sertifoitua
  • 25. Sovelton tietoturvaan liittyvä koulutustarjonta 25 15 kurssipäivää • 2013 – 2014 toteutuva koululutuskokonaisuus • Kurssit julkisessa tarjonnassa + välillisesti tietoturvaan liittyvät aiheet (ITIL, kokonaisarkkitehtuurit jne.) Riskien hallinta, jatkuvuus ja varautuminen 1pvTietoturva- prosessit ja menetelmät 1pv Tietoturvan perusteet 1pv PKI ja varmenteet MS-ympäristössä 3pv Lähiverkkojen tietoturva 2pv Tekninen tietoturva 2pv Tietoturvalliset etäkäyttöratkaisut ja BYOD 1pv Www-palvelun haavoittuvuudet ja tietokantojen tietoturva 2pv Palvelujen suojaaminen, on-premises ja pilvessä 2pv
  • 26. 26