Tietoturvan tilannekuva ja yrityksen tietoturvan varmistaminen
7
Tietoturvan tilannekuva ja yrityksen tietoturvan varmistaminen Kauppakamarin yritysturvallisuusinfo 17.1.2013 Jari Pirhonen Turvallisuusjohtaja Oy Samlink Ab @japi999
Transcript of Tietoturvan tilannekuva ja yrityksen tietoturvan varmistaminen
Tietoturvan tilannekuva ja yrityksen tietoturvan varmistaminenKauppakamarin yritysturvallisuusinfo17.1.2013
Jari PirhonenTurvallisuusjohtajaOy Samlink Ab
@japi999
17.1.2013Jari Pirhonen
Tämän vuoden uhat – ”mind the gap”
17.1.2013Jari Pirhonenhttp://iki.fi/japi/
Tietoturvallisuuden tavoitteet
1. Tahto Liiketoiminnan häiriöttömyys2. Pakko Vaatimustenmukaisuus3. Pelko Riskien hallinta
• Tietojen suojaaminen sen kaikissa olomuodoissa niitä käsiteltäessä, talletettaessa ja siirrettäessä Tieto + Turva
• Tietojen luottamuksellisuus, eheys ja käytettävyys sekä tapahtumien kiistämättömyys ja jäljitettävyys
• Tietosuoja, yksityisyydensuoja• Tietoturvallisuus > tietotekninen turvallisuus (IT-tietoturva)
17.1.2013Jari Pirhonen
Perusasiat kuntoon!
1. Yritysjohdon kannanotto tietoturvallisuuden puolesta ja esimerkillinen toiminta
2. Tietoturvan kehittämisestä vastaavan nimittäminen ja johdon näkyvä tuki
3. Suojattavan tietoaineiston määrittely
4. Tietoturvan tavoitteiden ja vastuiden määrittely
5. Tekniset perustemput: varmistukset, tietoturva-korjausten asennukset, haittaohjelmantorjunta, tietoverkkojen segmentointi ja palomuurien hallinta
17.1.2013Jari Pirhonen
Perusasiat kuntoon!
6. Henkilökunnan koulutus ja ohjaaminen tietoturvatietoiseen käyttäytymiseen
7. Salassapitosopimuksista huolehtiminen: avainhenkilöt, yhteistyökumppanit, palvelutoimittajat
8. Tietoturvan vaatiminen ja sen osoittaminen kumppaneilta, toimittajilta ja palveluntarjoajilta
Ihmiset + prosessit + teknologia
http://www.tietoturvaopas.fi/yrityksen_tietoturvaopas/fi/index.html
17.1.2013Jari Pirhonen
Vältä näitä
• Liiketoimintajohto ulkoistaa tietoturvallisuuden tietoturvajohtajalle tai -asiantuntijalle• Keskijohto ulkoistaa tietoturva-asiantuntijoille
• Tietoturvallisuus huomioidaan liian myöhään• Sopimukset, kumppanuudet, tuotevalinnat, projektit,…• Tietoturvallisuus oletetaan ”kuorrutukseksi” • Isot ja tärkeät projektit jyräävät ohi normaalien
toimintaprosessien
• Tietoturvallisuudessa keskitytään tekniikkaan• Ulkoiset vaatimukset syrjäyttävät riskien hallinnan• Ketteryys ja kustannustehokkuus hoidetaan työntämällä
hankalat tietoturva-asiat syrjään• Media ohjaa tietoturvatöitä
17.1.2013Jari Pirhonen
