Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
12.5.2010




                                         Keskiviikko 12. toukokuuta 2010
                                   ...
12.5.2010




              Yleisimmät tietoriskit yrityksissä
     Tietoverkkoon
     murtautumisen
                     ...
12.5.2010




       3
12.5.2010




• Tulevaisuuden huolenaiheet omassa elämässä
• ”…tietoturvaongelmista oltiin muita enemmän
  huolissaan Lapi...
12.5.2010




                    Yrityksiin kohdistuvan
          rikollisuuden tilannekuva 2009
• Sisäisen turvallisuude...
12.5.2010




         Juuri nyt tänään 2010
  Esim. CERT-FI on Viestintävirastossa toimiva
  kansallinen tietoturvavirano...
12.5.2010




        Suojattavaa tietoa voivat olla:
•   asiakastiedot
•   tuotekehitystiedot
•   liiketoimintatiedot
•  ...
12.5.2010




       http://www.tietoturvaopas.fi
•   Sähköinen tiedon luokittelu ja sen mukainen käsittely vastaa paperil...
12.5.2010




    Liikkuvalla työllä on erityispiirteitä
    Liikkuvalla työllä käsitetään kaikkea sitä työtä, jota tehdää...
12.5.2010




            Tiedon joutuminen
            sivullisten haltuun

• Älä kailota ! Liikesalaisuudet voi kuulla
 ...
12.5.2010




      Viestinnän suojaaminen
• Avoimessa verkossa on huolehdittava viestinnän
  suojaamisesta (ssl/vpn).
• M...
12.5.2010




                   Yhteenveto
 • Tunnista ja suojaa tärkeä tieto.
 • Rajoita tiedon määrää kannettavissa
   ...
12.5.2010




Yritysturvallisuuden neuvottelukunta




                  Ihmiset                            Maine




    ...
12.5.2010




                                                 Model


                                    Ulkomaan
      ...
12.5.2010




Tietoturvallisuuden osa-alueita
 Hallinnollinen tietoturvallisuus
 Henkilöstöturvallisuus
 Fyysinen turvalli...
12.5.2010




                   Jatkuu verkossa…
•   http://www.tietoturvaopas.fi
•   http://www.ytnk.fi

•   http://www....
Upcoming SlideShare
Loading in …5
×

Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta 120510_ramk

1,437 views

Published on

Published in: Education, Technology, Design
  • Be the first to comment

  • Be the first to like this

Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta 120510_ramk

  1. 1. 12.5.2010 Keskiviikko 12. toukokuuta 2010 9-10 MTI:n Auditorio Rovaniemi Tietoturvallisuus osana organisaation kokonaisturvallisuutta Matkailualan tutkimus- ja koulutusinstituutti (MTI) www.matkailuinstituutti.fi Yritysten rikosturvallisuus 2008 • http://www.helsinki.chamber.fi/files/2786/yr itysturvallisuusselvitys_2008_1.pdf 1
  2. 2. 12.5.2010 Yleisimmät tietoriskit yrityksissä Tietoverkkoon murtautumisen 25 % tai hakkeroinnin yritys Kriittisistä yritysasioista 14 % kertominen luvatta Tietojen luvaton 11 % kopiointi Lähde: Yritysten rikosturvallisuus 2008 Turvallisuustutkimus 2009 • Poliisin ylijohdon julkaisut 7/2009 • http://www.poliisi.fi/julkaisu/poliisi072009 • 46139 vastaajaa • Huolestuneisuus rikosten tai onnettomuuksien kohteeksi joutumisesta • ”Joudutte nettirikoksen uhriksi” 2
  3. 3. 12.5.2010 3
  4. 4. 12.5.2010 • Tulevaisuuden huolenaiheet omassa elämässä • ”…tietoturvaongelmista oltiin muita enemmän huolissaan Lapissa.” 4
  5. 5. 12.5.2010 Yrityksiin kohdistuvan rikollisuuden tilannekuva 2009 • Sisäisen turvallisuuden ohjelman verkkosivut http://www.intermin.fi/ > Sisäisen turvallisuuden ohjelma > Yritysturvallisuus 1. Yrityksiin kohdistuvan rikollisuuden tilannekuva syksy 2009 2. Yrityksiin kohdistuvan rikollisuuden tilannekuva kevät 2009: Tietoturvallisuus ja maksuteknologia (http://www.intermin.fi/intermin/hankkeet/turva/home.nsf) Yrityksiin kohdistuvan rikollisuuden tilannekuva syksy 2009 ”Järkevä tietoriskien hallinta edellyttää oikeaa käsitystä uhkista ja realistisen uhka- ja vaikuttavuusarvion tekemistä.” ”Yrityksissä on syytä hahmottaa, että tietoverkkouhat tulevat sekä yrityksen ulko- että sisäpuolelta.” ”Yrityksen tulee tuntea järjestelmiensä ja tiedonkäsittelykulttuurin todellinen tilanne” 5
  6. 6. 12.5.2010 Juuri nyt tänään 2010 Esim. CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen. • http://www.cert.fi/ • Alan lehdet: IT-viikko, Tietokone… www.tietoturvaopas.fi – Tietoturvapäivä vuosittain alkukeväästä Mitä tietoa kannattaa turvata? Selvitä ensin, mitä liiketoiminnallesi tärkeää tietoa yrityksessäsi on? • Henkilötiedot • Asiakastiedot • Tuotanto- ja hintatiedot Mieti sitten, mitä seuraa, jos tieto joutuu vääriin päihin tai häviää! 6
  7. 7. 12.5.2010 Suojattavaa tietoa voivat olla: • asiakastiedot • tuotekehitystiedot • liiketoimintatiedot • tuotantotiedot • myynti- ja markkinointitiedot • henkilöstötiedot • yrityksen järjestelmiä koskevat tiedot • Yksinkertainen tiedon luokittelu tarkoittaa yrityksen toiminnalle kriittisen tiedon erottamista muusta tiedosta. • Tiedon luokittelu luo pohjan tiedon käsittelyohjeille. Niiden avulla jokainen tietoa käsittelevä voi tunnistaa yrityksen kannalta kriittisen tiedon. Esimerkki tiedon luokittelusta Vakavaa vahinkoa tai haittaa SALAINEN yritykselle tai työntekijälle - Jakelu- tai pääsyoikeudet Vahinkoa tai haittaa yritykselle tai LUOTTAMUKSELLINEN työntekijälle - Jakelu- tai pääsyoikeudet Ei hyötyä eikä haittaa SISÄINEN - yrityksessä työskentelevät henkilöt Hyötyä yritykselle JULKINEN - ei rajoituksia tiedon käyttäjistä 7
  8. 8. 12.5.2010 http://www.tietoturvaopas.fi • Sähköinen tiedon luokittelu ja sen mukainen käsittely vastaa paperilla olevan tiedon käsittelyä. • Tiedostoihin tulee laittaa luokittelumerkintä. • Tiedon omistaja luokittelee tiedon ja määrittelee käyttöoikeudet. • Tiedon käyttäjä käsittelee tietoa valitun luokan mukaisesti. Jos tiedon luokittelu ei ole tiedossa, sitä kannattaa käsitellä luottamuksellisena. Kerran julkistettua tietoa ei saa enää salaiseksi! • Luokittelu kannattaa pitää yksinkertaisena, jotta henkilöstön on helppo käyttää sitä jokapäiväisessä työssä. • Luokittelussa pitää ottaa huomioon myös, mitä ja miten tietoja käsitellään työpaikan ulkopuolella ja kuka luottamuksellisia tai salaisia tietoja käsittelee. • Esimerkki luokitellun tiedon käsittelyohjeista. Kts. http://www.tietoturvaopas.fi/yrityksen_tietoturvaopas/kasittelyohjeet.html Liikkuvan työn tietoturvallisuus • Kotitoimisto • Matkat kodin ja toimiston välillä • Työmatkat • Avoimen verkon käyttö 8
  9. 9. 12.5.2010 Liikkuvalla työllä on erityispiirteitä Liikkuvalla työllä käsitetään kaikkea sitä työtä, jota tehdään yrityksen varsinaisten toimitilojen ulkopuolella. • Kotitoimisto • Matkat kodin ja työpaikan välillä • Työmatkat • Avoimen wlan-yhteyden käyttö • Bluetooth yhteydet matkan päällä Etätyöskentelyssä pitää ottaa huomioon yhteyden turvallisuus erityisesti suojattavia tietoja käsiteltäessä. Onko suojattaviin tietoihin pääsy kotoa tai matkapuhelimella ylipäätään tarpeellista?! • Salausohjelmien käytöllä on suuri merkitys (SSL/VPN) Salakirjoittamalla suojaaminen Tiedon käytettävyys ja fyysinen tietoturva • Mitä tapahtuu, kun laitteesi särkyy? • Säännöllisellä varmuuskopioinnilla vältät tietojen menetyksen, jos esim. kannettava tai puhelin tipahtaa jokeen tai häviää. • Ja turvakopiot voi viedä pankin talleholviin. • Onhan toimiston paloturvakaappi hyvässä paikassa? 9
  10. 10. 12.5.2010 Tiedon joutuminen sivullisten haltuun • Älä kailota ! Liikesalaisuudet voi kuulla kilpailija, toimittaja tai kuka vaan. • Myös työpaperit ja kannettavan näyttö kannattaa suojata uteliailta katseilta julkisilla paikoilla. Haittaohjelmat (”virukset”) • Haittaohjelmat leviävät helposti myös muistitikkujen kautta. • Voivat ohittaa yrityksen palomuurin ja muun verkkotietoturvan • Ei välttämättä näy eikä tunnu käyttäjälle • Yksi vinkki: estä Windowsin autorun-ominaisuus • Toinen: Osta erillinen suojauslaite (unified threat management system, UTM-laite; sisältää virussuojan, tunkeutumisen eston tms. yksissä kuorissa) 10
  11. 11. 12.5.2010 Viestinnän suojaaminen • Avoimessa verkossa on huolehdittava viestinnän suojaamisesta (ssl/vpn). • Mobiililaajakaista on turvallisempi kuin WLAN- hotspot, koska muut eivät pääse samaan ”lähiverkkoon”. • Viestien suojaaminen salakirjoittamalla on tärkeää, kun lähetettävä aineisto halutaan pitää salassa. • Suomalainen lainsäädäntö viestinnän luottamuksellisuudesta koskee vain suomalaisia palveluntarjoajia. Bluetooth Tarkista tietokoneesi ja kännykkäsi Bluetooth-asetukset • Estä laitteesi näkyvyys, ellet halua muodostaa uusia laitepareja • Älä hyväksy tuntemattomia yhteyspyyntöjä Yhteys voi katketa, kun kävelee vähän matkan päähän (”bluetoothilta suojaan”) 11
  12. 12. 12.5.2010 Yhteenveto • Tunnista ja suojaa tärkeä tieto. • Rajoita tiedon määrää kannettavissa laitteissa. • Huolehdi varmuuskopioinnista. • Suojaa avoimessa verkossa liikkuva tieto. • Ohjeista henkilöstö liikkuvan työn riskeistä. Elinkeinoelämän keskusliiton yritysturvallisuuden neuvottelukunnan turvallisuusmalli Yritysturvallisuuden osa-alueet • Henkilöturvallisuus • Kiinteistö- ja toimitilaturvallisuus • Pelastustoiminta • Rikosturvallisuus • Tietoturvallisuus • Tuotannon ja toiminnan turvallisuus • Työturvallisuus • Ulkomaantoimintojen turvallisuus www.ytnk.fi • Valmiussuunnittelu • Ympäristöturvallisuus 12
  13. 13. 12.5.2010 Yritysturvallisuuden neuvottelukunta Ihmiset Maine Ympäristö Tieto Omaisuus Yritysturvallisuuden neuvottelukunta Model Ulkomaan toimintojen Rikos- turvallisuus turvallisuus Kiinteistö- Tuotannon ja ja toimitila- toiminnan turvallisuus turvallisuus Ihmiset Maine Työsuojelu ja Henkilö- työturvallisuus turvallisuus Ympäristö Tieto Tieto- Omaisuus Ympäristö- turvallisuus turvallisuus Liike- Pelastus- toiminnan turvallisuus jatkuvuus 13
  14. 14. 12.5.2010 Model Ulkomaan Rikos- toimintojen turvallisuus turvallisuus Kiinteistö- ja Tuotannon ja toimitila- toiminnan turvallisuus turvallisuus Ihmiset Maine Henkilö- Työsuojelu ja turvallisuus työturvallisuus Ympäristö Tieto Omaisuus Tieto- Ympäristö- turvallisuus turvallisuus Liiketoiminnan jatkuvuus Pelastus- turvallisuus Tietoturvatyön suunnittelu • Hyödykkeiden tuotantoon ja tarjontaan kohdistuvat uhat asettavat turvallisuusvaatimukset. • Turvallisuusvaatimukset asettavat tavoitetilan. • Turvallisuusvaatimusten ja nykytilan välinen ero määrittelee turvallisuustarpeen. • turvallisuusvaatimukset - nykytila = turvallisuustarpeet (eli kehittämistarve). 14
  15. 15. 12.5.2010 Tietoturvallisuuden osa-alueita Hallinnollinen tietoturvallisuus Henkilöstöturvallisuus Fyysinen turvallisuus Tietoliikenneturvallisuus Laitteisto- ja varusohjelmistoturvallisuus (Sovellus)ohjelmistojen ja sähköisten palveluiden turvallisuus Tietoaineistoturvallisuus www.vm.fi/vahti Käyttöturvallisuus Säilytettäviä Uusia opittavia tietoturvallisuuden tietoturvallisuuden toimintatapoja toimintatapoja Muutosvaiheen Pois opittavia tietoturvallisuuden tietoturvallisuuden vaaliminen toimintatapoja Lähtötilanne Tavoitetilanne 15
  16. 16. 12.5.2010 Jatkuu verkossa… • http://www.tietoturvaopas.fi • http://www.ytnk.fi • http://www.finnsecurity.fi • http://www.tietoturva.fi • http://www.lapty.fi • http://www.vm.fi/vahti • http://www.cert.fi • Rikoksen torjuntaneuvoston verkkosivut http://www.turvallisuussuunnittelu.fi/ • Sisäisen turvallisuuden ohjelman verkkosivut http://www.intermin.fi/intermin/hankkeet/turva/home.nsf FM, CISSP, nyt vanhempi tietohallinnon erikoisasiantuntija sisäasiainhallinnossa HALTIKissa Rovaniemellä, poliisihallinnon tietohallinnossa 2001-2008. Nokian verkkoyksikössä 1996-2001 ja sitä ennen Helsingin yliopistossa (mm. tietojenkäsittelytieteen laitos sekä tutkimus- ja koulutuskeskus; erilaisia opetustehtäviä). Finnsecurity ry (www.finnsecurity.fi), Tietoturva ry (www.tietoturva.fi), Henkilöstöjohdon ryhmä HENRY ry (www.henryorg.fi), Työsuojelupäälliköt ry (www.finnsafe.net), (ISC)2 Advisory Board Europe 2007-2009 (www.isc2.org). Turvallisuusjohtamisen koulutusohjelma 2008 (dipoli.hut.fi/turva) Kaiku-työhyvinvoinnin kehittäjän koulutus 2010 (www.kaiku-tyohyvinvointipalvelut.fi). CISSP in good standing since 1999. 16

×