Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta 120510_ramk
-
Upload
mirva-tapaninen -
Category
Education
-
view
1.673 -
download
2
description
Transcript of Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta 120510_ramk
12.5.2010
1
Tietoturvallisuus osana organisaation kokonaisturvallisuutta
Matkailualan tutkimus- ja koulutusinstituutti (MTI)www.matkailuinstituutti.fi
Keskiviikko 12. toukokuuta 2010
9-10 MTI:n Auditorio
Rovaniemi
Yritysten rikosturvallisuus 2008
• http://www.helsinki.chamber.fi/files/2786/yritysturvallisuusselvitys_2008_1.pdf
12.5.2010
2
Yleisimmät tietoriskit yrityksissä
11 %
14 %
25 %
Tietojen luvatonkopiointi
Kriittisistäyritysasioistakertominen
luvatta
Tietoverkkoonmurtautumisentai hakkeroinnin
yritys
Lähde: Yritysten rikosturvallisuus 2008
Turvallisuustutkimus 2009
• Poliisin ylijohdon julkaisut 7/2009
• http://www.poliisi.fi/julkaisu/poliisi072009
• 46139 vastaajaa
• Huolestuneisuus rikosten tai onnettomuuksien kohteeksi joutumisesta
• ”Joudutte nettirikoksen uhriksi”
12.5.2010
3
12.5.2010
4
• Tulevaisuuden huolenaiheet omassa elämässä
• ”…tietoturvaongelmista oltiin muita enemmän huolissaan Lapissa.”
12.5.2010
5
Yrityksiin kohdistuvanrikollisuuden tilannekuva 2009
• Sisäisen turvallisuuden ohjelman verkkosivut
http://www.intermin.fi/
> Sisäisen turvallisuuden ohjelma
> Yritysturvallisuus1. Yrityksiin kohdistuvan rikollisuuden tilannekuva syksy 2009 2. Yrityksiin kohdistuvan rikollisuuden tilannekuva kevät 2009:
Tietoturvallisuus ja maksuteknologia
(http://www.intermin.fi/intermin/hankkeet/turva/home.nsf)
Yrityksiin kohdistuvan rikollisuuden tilannekuva syksy 2009
”Järkevä tietoriskien hallinta edellyttää oikeaa käsitystä uhkista ja realistisen uhka- ja vaikuttavuusarvion tekemistä.”
”Yrityksissä on syytä hahmottaa, että tietoverkkouhat tulevat sekä yrityksen ulko- että sisäpuolelta.”
”Yrityksen tulee tuntea järjestelmiensä ja tiedonkäsittelykulttuurin todellinen tilanne”
12.5.2010
6
Juuri nyt tänään 2010
Esim. CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen.
• http://www.cert.fi/
• Alan lehdet: IT-viikko, Tietokone…
Mitä tietoa kannattaa turvata?
Selvitä ensin, mitä liiketoiminnallesi tärkeää tietoa yrityksessäsi on?
• Henkilötiedot
• Asiakastiedot
• Tuotanto- ja hintatiedot
Mieti sitten, mitä seuraa, jos tieto joutuu vääriin päihin tai häviää!
ww
w.ti
etot
urva
opas
.fi–
Tiet
otur
vapä
ivä
vuos
ittai
n al
kuke
vääs
tä
12.5.2010
7
Suojattavaa tietoa voivat olla:
• asiakastiedot• tuotekehitystiedot• liiketoimintatiedot• tuotantotiedot• myynti- ja markkinointitiedot• henkilöstötiedot• yrityksen järjestelmiä koskevat tiedot
• Yksinkertainen tiedon luokittelu tarkoittaa yrityksen toiminnalle kriittisen tiedon erottamista muusta tiedosta.
• Tiedon luokittelu luo pohjan tiedon käsittelyohjeille. Niiden avulla jokainen tietoa käsittelevä voi tunnistaa yrityksen kannalta kriittisen tiedon.
Esimerkki tiedon luokittelusta
Vakavaa vahinkoa tai haittaa yritykselle tai työntekijälle
SALAINEN- Jakelu- tai pääsyoikeudet
Vahinkoa tai haittaa yritykselle tai työntekijälle
LUOTTAMUKSELLINEN- Jakelu- tai pääsyoikeudet
Ei hyötyä eikä haittaa SISÄINEN- yrityksessä työskentelevät henkilöt
Hyötyä yritykselle JULKINEN- ei rajoituksia tiedon käyttäjistä
12.5.2010
8
http://www.tietoturvaopas.fi• Sähköinen tiedon luokittelu ja sen mukainen käsittely vastaa paperilla olevan
tiedon käsittelyä.
• Tiedostoihin tulee laittaa luokittelumerkintä.
• Tiedon omistaja luokittelee tiedon ja määrittelee käyttöoikeudet.
• Tiedon käyttäjä käsittelee tietoa valitun luokan mukaisesti. Jos tiedon luokittelu ei ole tiedossa, sitä kannattaa käsitellä luottamuksellisena. Kerran julkistettua tietoa ei saa enää salaiseksi!
• Luokittelu kannattaa pitää yksinkertaisena, jotta henkilöstön on helppo käyttää sitä jokapäiväisessä työssä.
• Luokittelussa pitää ottaa huomioon myös, mitä ja miten tietoja käsitellään työpaikan ulkopuolella ja kuka luottamuksellisia tai salaisia tietoja käsittelee.
• Esimerkki luokitellun tiedon käsittelyohjeista. Kts. http://www.tietoturvaopas.fi/yrityksen_tietoturvaopas/kasittelyohjeet.html
Liikkuvan työn tietoturvallisuus
• Kotitoimisto
• Matkat kodin ja toimiston välillä
• Työmatkat
• Avoimen verkon käyttö
12.5.2010
9
Liikkuvalla työllä on erityispiirteitä
Liikkuvalla työllä käsitetään kaikkea sitä työtä, jota tehdään yrityksen varsinaisten toimitilojen ulkopuolella.
• Kotitoimisto• Matkat kodin ja työpaikan välillä• Työmatkat• Avoimen wlan-yhteyden käyttö• Bluetooth yhteydet matkan päällä
Etätyöskentelyssä pitää ottaa huomioon yhteyden turvallisuus erityisesti suojattavia tietoja käsiteltäessä. Onko suojattaviin tietoihin pääsy kotoa tai matkapuhelimella ylipäätään tarpeellista?!
• Salausohjelmien käytöllä on suuri merkitys (SSL/VPN)Salakirjoittamalla suojaaminen
Tiedon käytettävyys ja fyysinen tietoturva
• Mitä tapahtuu, kun laitteesi särkyy?
• Säännöllisellä varmuuskopioinnilla vältät tietojen menetyksen, jos esim. kannettava tai puhelin tipahtaa jokeen tai häviää.
• Ja turvakopiot voi viedä pankin talleholviin.
• Onhan toimiston paloturvakaappi hyvässä paikassa?
12.5.2010
10
Tiedon joutuminen sivullisten haltuun
• Älä kailota ! Liikesalaisuudet voi kuulla kilpailija, toimittaja tai kuka vaan.
• Myös työpaperit ja kannettavan näyttö kannattaa suojata uteliailta katseilta julkisilla paikoilla.
Haittaohjelmat (”virukset”)
• Haittaohjelmat leviävät helposti myös muistitikkujen kautta.
• Voivat ohittaa yrityksen palomuurin ja muun verkkotietoturvan
• Ei välttämättä näy eikä tunnu käyttäjälle
• Yksi vinkki:
estä Windowsin autorun-ominaisuus
• Toinen: Osta erillinen suojauslaite (unified threatmanagement system, UTM-laite; sisältää virussuojan, tunkeutumisen eston tms. yksissä kuorissa)
12.5.2010
11
Viestinnän suojaaminen
• Avoimessa verkossa on huolehdittava viestinnän suojaamisesta (ssl/vpn).
• Mobiililaajakaista on turvallisempi kuin WLAN-hotspot, koska muut eivät pääse samaan ”lähiverkkoon”.
• Viestien suojaaminen salakirjoittamalla on tärkeää, kun lähetettävä aineisto halutaan pitää salassa.
• Suomalainen lainsäädäntö viestinnän luottamuksellisuudesta koskee vain suomalaisia palveluntarjoajia.
Bluetooth
Tarkista tietokoneesi ja kännykkäsi Bluetooth-asetukset
• Estä laitteesi näkyvyys, ellet halua muodostaa uusia laitepareja
• Älä hyväksy tuntemattomia yhteyspyyntöjä
Yhteys voi katketa, kun kävelee vähän matkan päähän (”bluetoothilta suojaan”)
12.5.2010
12
Yhteenveto
• Tunnista ja suojaa tärkeä tieto.
• Rajoita tiedon määrää kannettavissa laitteissa.
• Huolehdi varmuuskopioinnista.
• Suojaa avoimessa verkossa liikkuva tieto.
• Ohjeista henkilöstö liikkuvan työn riskeistä.
Elinkeinoelämän keskusliiton yritysturvallisuuden neuvottelukunnan turvallisuusmalli
Yritysturvallisuuden osa-alueet• Henkilöturvallisuus • Kiinteistö- ja toimitilaturvallisuus • Pelastustoiminta • Rikosturvallisuus • Tietoturvallisuus • Tuotannon ja toiminnan turvallisuus • Työturvallisuus • Ulkomaantoimintojen turvallisuus • Valmiussuunnittelu • Ympäristöturvallisuus
ww
w.y
tnk.
fi
12.5.2010
13
Yritysturvallisuuden neuvottelukunta
Ihmiset Maine
Tieto
Ympäristö
Omaisuus
ModelYritysturvallisuuden neuvottelukunta
Ihmiset Maine
TietoYmpäristö
Omaisuus
Rikos-turvallisuus
Tuotannon jatoiminnan turvallisuus
Työsuojelu ja työturvallisuus
Ympäristö-turvallisuus
Pelastus-turvallisuus
Liike-toiminnanjatkuvuus
Tieto-turvallisuus
Henkilö-turvallisuus
Kiinteistö-ja toimitila-turvallisuus
Ulkomaantoimintojenturvallisuus
12.5.2010
14
ModelModelModelModel
Ihmiset Maine
TietoYmpäristö
Omaisuus
Rikos-turvallisuus
Tuotannon jatoiminnanturvallisuus
Työsuojelu jatyöturvallisuus
Ympäristö-turvallisuus
Pelastus-turvallisuus
Liiketoiminnanjatkuvuus
Tieto-turvallisuus
Henkilö-turvallisuus
Kiinteistö- jatoimitila-
turvallisuus
Ulkomaantoimintojenturvallisuus
Tietoturvatyön suunnittelu
• Hyödykkeiden tuotantoon ja tarjontaan kohdistuvat uhat asettavat turvallisuusvaatimukset.
• Turvallisuusvaatimukset asettavat tavoitetilan.
• Turvallisuusvaatimusten ja nykytilan välinen ero määrittelee turvallisuustarpeen.
• turvallisuusvaatimukset - nykytila = turvallisuustarpeet (eli kehittämistarve).
12.5.2010
15
Tietoturvallisuuden osa-alueita
Hallinnollinen tietoturvallisuus Henkilöstöturvallisuus Fyysinen turvallisuus TietoliikenneturvallisuusLaitteisto- ja varusohjelmistoturvallisuus (Sovellus)ohjelmistojen
ja sähköisten palveluiden turvallisuus Tietoaineistoturvallisuus Käyttöturvallisuus
ww
w.v
m.fi
/vah
ti
Lähtötilanne Tavoitetilanne
� Säilytettäviä tietoturvallisuuden toimintatapoja
� Pois opittavia tietoturvallisuuden toimintatapoja
� Uusia opittavia tietoturvallisuuden toimintatapoja
� Muutosvaiheen tietoturvallisuuden vaaliminen
12.5.2010
16
Jatkuu verkossa…
• http://www.tietoturvaopas.fi• http://www.ytnk.fi
• http://www.finnsecurity.fi• http://www.tietoturva.fi• http://www.lapty.fi
• http://www.vm.fi/vahti• http://www.cert.fi
• Rikoksen torjuntaneuvoston verkkosivut
http://www.turvallisuussuunnittelu.fi/
• Sisäisen turvallisuuden ohjelman verkkosivut
http://www.intermin.fi/intermin/hankkeet/turva/home.nsf
� FM, CISSP, nyt vanhempi tietohallinnon erikoisasiantuntija sisäasiainhallinnossa HALTIKissa Rovaniemellä, poliisihallinnon tietohallinnossa 2001-2008.
Nokian verkkoyksikössä 1996-2001 ja
sitä ennen Helsingin yliopistossa (mm. tietojenkäsittelytieteen laitos sekä tutkimus- ja koulutuskeskus; erilaisia opetustehtäviä).
� Finnsecurity ry (www.finnsecurity.fi),
Tietoturva ry (www.tietoturva.fi),
Henkilöstöjohdon ryhmä HENRY ry (www.henryorg.fi),
Työsuojelupäälliköt ry (www.finnsafe.net),
(ISC)2 Advisory Board Europe 2007-2009 (www.isc2.org).
Turvallisuusjohtamisen koulutusohjelma 2008 (dipoli.hut.fi/turva)
Kaiku-työhyvinvoinnin kehittäjän koulutus 2010
(www.kaiku-tyohyvinvointipalvelut.fi).
CISSP in good standing since 1999.