SlideShare a Scribd company logo

Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-asetukset

Tuomas Tonteri
Tuomas Tonteri

Kalajoen yrityspalveluiden järjestämässä turvallisuuspainotteisessa tietoiskuseminaarissa 16.2.2017 pitämäni esitys kyberturvallisuudesta, organisaatioiden ja tietojärjestelmien suojaamisesta sekä EU:n uuden tietosuoja-asetuksen mukanaan tuomista vaatimuksista. Esitys sisältää myös yleistä tietoa elfGROUP Kyberturvallisuuspalvelut Oy:stä ja elfGROUP:n tarjoamista pilvi- ja kyberturvallisuuspalveluista.

Technology
1 of 16
Download to read offline
Kyberturvallisuus – organisaation ja tietojen suojaaminen, EU:n tietosuoja-asetukset Tuomas Tonteri, yrittäjä, toimitusjohtaja elfGROUP Kyberturvallisuuspalvelut Oy Tietopäivä suurten tilaajien vaatimuksiin alihankintaverkostoille 16.2.2017, Kalajoki
kyberturvallisuus | elfgroup.fi elfGROUP – Kyberturvallisuudesta kilpailuetua elfGROUP Kyberturvallisuuspalvelut Oy on suomalainen sähköisten tietojen turvalliseen hallintaan erikoistunut yritys, jonka ratkaisut suojaavat yritysten liiketoiminnan kyberturvallisuusriskeiltä. elfGROUP tuottaa kyberturvallisuuden asiantuntijapalveluita ja pilvipalveluita kaikenkokoisille yrityksille. elfGROUP on perustettu v.2010 ja sen liikevaihto on ~0,85M€ (2016). Yrityksen palveluksessa työskentelee 12 kyberturvallisuuden ammattilaista. elfGROUP varmistaa, että kyberturvallisuuden suojausmenetelmät ja yrityksen käytännöt ovat riittävät ja oikeassa suhteessa liiketoiminnan riskeihin.
kyberturvallisuus | elfgroup.fi Kyberturvallisuudesta kilpailuetua ● Millainen on teidän tietoturvataso? Milloin sitä on viimeksi mitattu ja verrattu tavoitetasoon? – Kilpailuetu: Asiakkaat valitsevat uskottavan ja kyberturvallisuudesta huolehtivan toimittajan. ● Onko teillä kartoitettu liiketoiminnan kyberturvallisuusriskit? – Kilpailuetu: Riskit ovat tiedostettuja, harkittuja ja hallittuja. Liiketoiminta on vakaampaa. ● Yli puolet tietovuodoista alkavat sisäpuolelta (IBM Cybersecurity Intelligence Index) ja lähes 60% yrityksistä lähtevistä työntekijöistä vie sensitiivistä liiketoimintadataa (Ponemon Institute) – ovatko nykyiset suojauspanostuksenne samassa suhteessa? – Kilpailuetu: Valvonta, suojaukset → sensitiivistä tietoa vuotaa vähemmän.
kyberturvallisuus | elfgroup.fi Kyberturvallisuudesta kilpailuetua ● Tietosuojalaki muuttuu 2018, ovatko muutokset ja vastuut selvillä? – Kilpailuetu: Vastuiden ymmärtäminen auttaa tekemään kerralla oikein ja vähentää turhaa työtä. Vaatimukset täyttävä IT-ympäristö tukee organisaation liiketoimintaa ja toimii hallitun kasvun mahdollistajana. Selvitykset ja hankkeet ovat monella yrityksellä jo menossa, mutta vielä useammalla kokonaan aloittamatta. ● Voitteko puolueettomasti vakuuttaa yrityksenne kyberasioiden olevan kunnossa? – Kilpailuetu: Ulkopuolinen kyberturvallisuussertifiointi työkaluksi asiakasviestintään.
kyberturvallisuus | elfgroup.fi Tietoturvariskit ● Sisäiset riskit – henkilöstö ja tietoturvapolitiikka – Tiedon häviäminen sekä tietojen varastaminen – Väärinkäytökset ja mahdollisuus jälkien peittämiseen – Tietoisuuden ja parhaiden käytäntöjen tuntemuksen puute, kiire, oikotiet ● Ulkoiset riskit – DDOS, huijausviestit, haitta- ja kiristysohjelmat – Lamauttavat tai estävät liiketoiminnan, maineen kärsiminen – Haetaan taloudellista hyötyä (identiteettivarkaudet, toimitusjohtajahuijaukset) – Fyysiset varkaudet, ilkivalta, tunkeutuminen ● Järjestelmätason riskit – ohjelmistot, laitteet, tietoverkot, online-palvelut – Puutteita päivityksissä, virheitä asetuksissa tai loogisissa kokonaisuuksissa – Mahdollistavat haittaohjelmien pääsyn, tietovuodot ja tietomurron yrityksen verkkoon
kyberturvallisuus | elfgroup.fi Kyberturvallinen organisaatio ● Johdon tuki kyberturvallisuustyölle, kartoitus ja strategia ● Henkilöstö ja toimintatavat; koulutus, prosessit, dokumentaatio ● Tietovarastot; eheys, luotettavuus, saatavuus ja varmistaminen ● Tiedon luokittelu ja suojausperiaatteiden ymmärtäminen ● Tietojärjestelmät; kehitys, operointi, käyttö, segmentointi, pääsynvalvonta ● Kumppanit, tietovirrat, integraatiot, rajapinnat ● Julkisten verkkojen ja sosiaalisen median käyttö ● Luottamuksellisuus ● Eheys ● Saatavuus ● Alkuperän ja tunnistettujen identiteettien kiistattomuus ● Tapahtumien vastuuttaminen, todentaminen ja seurattavuus ● Kiistämättömyys … irroitetaan johdot ja sammutetaan laitteet?
kyberturvallisuus | elfgroup.fi EU:n tietosuoja-asetus (EU GDPR / General Data Protection Regulation) ● Asetus tulee 25.5.2018 voimaan astuessaan korvaamaan Suomen henkilötietolain ● Tietosuoja-asetus vaikuttaa kaikkiin suomalaisiin yrityksiin ja organisaatioihin, joissa käsitellään henkilötietoja ● Tarkempia sääntelyjä, rekisteröityjen oikeudet ● Asetuksen myötä tietoturvan vaarantuminen voi viimeistään olla konkreettinen taloudellinen uhka liiketoiminnalle
kyberturvallisuus | elfgroup.fi EU:n tietosuoja-asetus (EU GDPR / General Data Protection Regulation) ● “Rekisterinpitäjän tai henkilötietojen käsittelijän on selvitettävä siirtymäaikana, vastaavatko...” ● Rekisterinpitäjän on toteutettava toimenpiteet, jotka varmistavat etenkin sen, että henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta. ● Rekisterinpitäjän on pystyttävä osoittamaan, että periaatteita noudatetaan. ● “Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen tietojen tuhoamiseen. Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa. Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa.” Tietosuoja.fi – tietosuojavaltuutetun toimiston opas: Miten valmistautua EU:n tietosuoja-asetukseen? 24.1.2017
kyberturvallisuus | elfgroup.fi Miten tietosuoja-asetus vaikuttaa konkreettisesti yritysten toimintaan? ● Henkilötiedot tulee muokata siten, ettei niistä saa helposti selville ketä tieto koskee. ● On taattava järjestelmien jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus. ● On lisättävä sisäistä valvontaa ja ottaa käyttöön vuosittainen menettely käytäntöjen valvontaan. ● Rekisterinpitäjä saa tallentaa vain välttämättömät tiedot (tietojen minimointivaatimus). ● Virheelliset tiedot on poistettava tai oikaistava (täsmällisyysvaatimus). ● Isojen ja kriittistä tietoa käsittelevien yritysten on nimettävä tietosuojavastaava. ● Rekisterinpitäjällä on vastuu henkilötietojen käsittelijöistä ja alihankkijoista. ● Suojaustoimet pystyttävä osoittamaan auditoitavalla tavalla, koskee myös alihankkijoita. ● Alihankkijoiden ja kumppaneiden kanssa on tehtävä kirjallinen sopimus suojatoimista.
kyberturvallisuus | elfgroup.fi Miten yritys varmistaa tietosuojan lainmukaisuuden? ● Otettava huomioon seuraavat tietoturva-asiat: – Hallinnollinen tietoturva (mm. tietoturvapolitiikka ja ohjeistukset) – Fyysinen tietoturva (mm. kulunvalvonta, laite- ja toimitilojen fyysinen suojaaminen) – Laitteistoturvallisuus (mm. virustorjunnat, seuranta ja hälytykset) – Ohjelmistoturvallisuus (mm. ohjelmistojen testaus, tietoturvapäivitykset) – Tietoaineistoturvallisuus (mm. rekisterien suojaaminen, käytön valvonta) – Tietoliikenneturvallisuus (mm. palomuurit, hyökkäysten tunnistus ja valvonta) – Henkilöstöturvallisuus (mm. koulutus, ohjeistukset ja vastuiden määrittely) – Jatkuvuuden hallinta (mm. suunnitelmallisuus ja vioista toipuminen)
kyberturvallisuus | elfgroup.fi Jos tietosuoja vaarantuu? ● Tietoturvaloukkauksesta on ilmoitettava viranomaisille 72 tunnin kuluessa tapahtuneesta. ● Rekisteröidylle on ilmoitettava välittömästi tietoturvaloukkaustilanteesta, jos tietovuoto aiheuttaa suuren riskin henkilötietojen suojalle tai yksityisyydelle. ● Määrättävien sakkojen tulisi olla tehokkaita ja varoittavia (suurimmillaan 20 milj. €) ● Sakkojen ohella on käytettävissä myös lievempiä keinoja kuten huomautus tai varoitus ● Sakkojen määräytymiseen vaikuttavat mm. rikkomisen vakavuus, laajuus, tahallisuus, henkilötietojen käsittelijän vastuun aste, yhteistyön aste valvontaviranomaisen kanssa tietosuojasäännösten rikkomisen korjaamiseksi
kyberturvallisuus | elfgroup.fi SFS-ISO/IEC 27002:2013 Tietoturvallisuuden hallintakeinojen menettelyohjeet Lähde: http://www.aliencoders.org/content/changes-to-iso-27001-whats-new- in-the-2013-iso-27001-update/ Tietoturvapolitiikat Tietoturvallisuuden organisointi Suojattavan omaisuuden hallinta Pääsynhallinta Viestintäturvallisuus Fyysinen turvallisuus Käyttöturvallisuus Vaatimustenmukaisuus Henkilöstöturvallisuus Tietoturvahäiriöiden hallinta Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia Järj. hankkiminen, kehittäminen ja ylläpito Suhteet toimittajiin Salaus
kyberturvallisuus | elfgroup.fi Kyberturvallisuuskartoituksesta sertifiointiin Kartoitus Riskit ja tavoitetaso IT-arkkitehtuurin dokumentaatio Kehityssuunnitelma → Liiketoiminnan ymmärtäminen, kyberriskien tunnistaminen → Liiketoiminnan tietotekniset vaatimukset → Tietovarastojen sijainti ja luokittelu Verkot, profilointi, skannaukset Sovellukset ja palvelimet Prosessit ja käytännöt Dokumentaatio ja haastattelut ISO 27000 CyberSafe Cyber Essentials Arviointi ja tietoturva- testaus 1 2 Nykytilan kuvaus Kehityshanke3 Sertifiointiarvio4 Valvonta ja uudelleen-sertifiointi 5
Kyberturvallisuudesta kilpailuetua | elfgroup.fi Tietoturvakartoitus Tietoturvan kehittäminen Tietoturvallinen toimintaympäristö Liiketoiminnan tietoturvariskit Kehityssuunnitelma IT-ympäristön suojausmekanismit CyberSafe-sertifiointi Kriittiset tietoturva- parannukset Tietoturvatestaus ja suojausten parantaminen Liiketoiminnan jatkuvuuden varmistaminen Tietoturvalliset pilvi ja -integraatiopalvelut Tiedon varmistaminen, jakaminen, käytön valvonta Jatkuva kehittäminen Prosessi tietoturvalliseen toimintaympäristöön
kyberturvallisuus | elfgroup.fi Kyberturvallisuuspalvelut elfSURVEY – Kartoitus ja suojauksen suunnittelu elfSWEEP – Aukkojen tunnistaminen ja tukkiminen elfATTACK – Järjestelmien hakkeritestaus elfCLOUD – Palvelimet, tietopääoman suojaaminen elfBUS – Turvalliset, hajautetut tietovirrat CyberSafe- sertifiointi elfWATCH – Jatkuva infravalvonta, tietovirta-analysointi ja suojausten ylläpitopalvelu elfGUARD – Ylläpidetty ja valvottu palomuuri- ja tietoturvallinen VPN-etäyhteyspalvelu “CyberSafe-sertifiointi on erinomainen keino vakuuttaa asiakkaat ja yhteistyökumppanit yritystoiminnan hyvästä kyberturvallisuustasosta.” elfBRAIN – Tietoturva-asiantuntijat ohjelmistokehitykseen & koodi- ja arkkitehtuurikatselmointeihin
elfGROUP Kyberturvallisuuspalvelut Oy Kiilakiventie 1 90250 Oulu www.elfgroup.fi

Recommended

Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Teemu Tiainen
 
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
Teemu Tiainen
 
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Teemu Tiainen
 
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaHenkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Loihde Advisory
 
Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?
Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?
Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?
Teemu Tiainen
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
Tiia Rantanen
 
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenTietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenValtiokonttori / Statskontoret / State Treasury of Finland
 
Kajaani2010
Kajaani2010Kajaani2010
Kajaani2010Juhani Anttila
 

Recommended

Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...
Teemu Tiainen
 
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaariEU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
EU:n uuden tietosuoja-asetuksen vaikutukset yrityksiin -webinaari
Teemu Tiainen
 
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...
Teemu Tiainen
 
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassaHenkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Henkilötiedot ja lainsäädäntö innovaatiotoiminnassa
Loihde Advisory
 
Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?
Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?
Miten FINCSC-kyberturvallisuussertifikaatti auttaa GDPR:n kanssa?
Teemu Tiainen
 
Gradia GDPR intro
Gradia GDPR introGradia GDPR intro
Gradia GDPR intro
Tiia Rantanen
 
Tietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenTietoturvallisuuden_kevatseminaari_2013_Antti_Laulajainen
Tietoturvallisuuden_kevatseminaari_2013_Antti_LaulajainenValtiokonttori / Statskontoret / State Treasury of Finland
 
Kajaani2010
Kajaani2010Kajaani2010
Kajaani2010Juhani Anttila
 
Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016
Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016
Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016
Jarno Limnéll
 
Keynote Jarno Limnéll DSSITSEC2016
Keynote Jarno Limnéll DSSITSEC2016Keynote Jarno Limnéll DSSITSEC2016
Keynote Jarno Limnéll DSSITSEC2016
Jarno Limnéll
 
Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016
Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016
Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016
Jarno Limnéll
 
Kyberturvallisuus koskettaa meitä jokaista
Kyberturvallisuus koskettaa meitä jokaistaKyberturvallisuus koskettaa meitä jokaista
Kyberturvallisuus koskettaa meitä jokaista
Jyrki Kasvi
 
Blog
BlogBlog
Blog
Maria Camila Lombana Huertas
 
Rcp listo
Rcp listoRcp listo
Rcp listo
Edgar Espinoza
 
Crisis: ¿Cómo superarla?
Crisis: ¿Cómo superarla?Crisis: ¿Cómo superarla?
Crisis: ¿Cómo superarla?
Marco Tapia Mera
 
Slides for video chapter 7 consumers producers and efficiency
Slides for video chapter 7 consumers producers and efficiencySlides for video chapter 7 consumers producers and efficiency
Slides for video chapter 7 consumers producers and efficiency
Sue Guzek
 
DCN dos Cursos de Engenharia - Brasil -2002
DCN dos Cursos de Engenharia - Brasil -2002DCN dos Cursos de Engenharia - Brasil -2002
DCN dos Cursos de Engenharia - Brasil -2002
Fernando Castillo-Vicencio
 
Bbbee presentation to uct business school 1 july 2016
Bbbee presentation to uct business school 1 july 2016Bbbee presentation to uct business school 1 july 2016
Bbbee presentation to uct business school 1 july 2016
Peter Ross
 
Conferencia de cierre CVME 2015
Conferencia de cierre CVME 2015Conferencia de cierre CVME 2015
Conferencia de cierre CVME 2015
Conectarnos Soluciones de Internet
 
Trabajo estructuras
Trabajo estructurasTrabajo estructuras
Trabajo estructuras
yasminaad
 
presentation on cyber crime and security
presentation on cyber crime and securitypresentation on cyber crime and security
presentation on cyber crime and security
Alisha Korpal
 
Cyber security presentation
Cyber security presentationCyber security presentation
Cyber security presentation
Bijay Bhandari
 
Kathmandu infosys
Kathmandu infosysKathmandu infosys
Kathmandu infosys
kiecweb
 
лекция 11 поздняя материнская помощь
лекция 11 поздняя материнская помощьлекция 11 поздняя материнская помощь
лекция 11 поздняя материнская помощь
cdo_presentation
 
Cyber crime ppt
Cyber crime pptCyber crime ppt
Cyber crime ppt
MOE515253
 
Cyber crime and security ppt
Cyber crime and security pptCyber crime and security ppt
Cyber crime and security ppt
Lipsita Behera
 
Зустріч ОМТ 2017-
Зустріч ОМТ 2017-Зустріч ОМТ 2017-
Зустріч ОМТ 2017-
metallurg056
 
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusLuonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Turvallisuus- ja kemikaalivirasto (Tukes)
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyö
japijapi
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä
 

More Related Content

Viewers also liked

Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016
Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016
Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016
Jarno Limnéll
 
Keynote Jarno Limnéll DSSITSEC2016
Keynote Jarno Limnéll DSSITSEC2016Keynote Jarno Limnéll DSSITSEC2016
Keynote Jarno Limnéll DSSITSEC2016
Jarno Limnéll
 
Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016
Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016
Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016
Jarno Limnéll
 
Kyberturvallisuus koskettaa meitä jokaista
Kyberturvallisuus koskettaa meitä jokaistaKyberturvallisuus koskettaa meitä jokaista
Kyberturvallisuus koskettaa meitä jokaista
Jyrki Kasvi
 
Blog
BlogBlog
Blog
Maria Camila Lombana Huertas
 
Rcp listo
Rcp listoRcp listo
Rcp listo
Edgar Espinoza
 
Crisis: ¿Cómo superarla?
Crisis: ¿Cómo superarla?Crisis: ¿Cómo superarla?
Crisis: ¿Cómo superarla?
Marco Tapia Mera
 
Slides for video chapter 7 consumers producers and efficiency
Slides for video chapter 7 consumers producers and efficiencySlides for video chapter 7 consumers producers and efficiency
Slides for video chapter 7 consumers producers and efficiency
Sue Guzek
 
DCN dos Cursos de Engenharia - Brasil -2002
DCN dos Cursos de Engenharia - Brasil -2002DCN dos Cursos de Engenharia - Brasil -2002
DCN dos Cursos de Engenharia - Brasil -2002
Fernando Castillo-Vicencio
 
Bbbee presentation to uct business school 1 july 2016
Bbbee presentation to uct business school 1 july 2016Bbbee presentation to uct business school 1 july 2016
Bbbee presentation to uct business school 1 july 2016
Peter Ross
 
Conferencia de cierre CVME 2015
Conferencia de cierre CVME 2015Conferencia de cierre CVME 2015
Conferencia de cierre CVME 2015
Conectarnos Soluciones de Internet
 
Trabajo estructuras
Trabajo estructurasTrabajo estructuras
Trabajo estructuras
yasminaad
 
presentation on cyber crime and security
presentation on cyber crime and securitypresentation on cyber crime and security
presentation on cyber crime and security
Alisha Korpal
 
Cyber security presentation
Cyber security presentationCyber security presentation
Cyber security presentation
Bijay Bhandari
 
Kathmandu infosys
Kathmandu infosysKathmandu infosys
Kathmandu infosys
kiecweb
 
лекция 11 поздняя материнская помощь
лекция 11 поздняя материнская помощьлекция 11 поздняя материнская помощь
лекция 11 поздняя материнская помощь
cdo_presentation
 
Cyber crime ppt
Cyber crime pptCyber crime ppt
Cyber crime ppt
MOE515253
 
Cyber crime and security ppt
Cyber crime and security pptCyber crime and security ppt
Cyber crime and security ppt
Lipsita Behera
 
Зустріч ОМТ 2017-
Зустріч ОМТ 2017-Зустріч ОМТ 2017-
Зустріч ОМТ 2017-
metallurg056
 

Viewers also liked (19)

Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016
Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016
Luottamus digitaalisessa turvallisuudessa yleisöluento jarno limnéll_08032016
 
Keynote Jarno Limnéll DSSITSEC2016
Keynote Jarno Limnéll DSSITSEC2016Keynote Jarno Limnéll DSSITSEC2016
Keynote Jarno Limnéll DSSITSEC2016
 
Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016
Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016
Mahdollistava turvallisuus Jarno Limnéll Rytminmuutos 13062016
 
Kyberturvallisuus koskettaa meitä jokaista
Kyberturvallisuus koskettaa meitä jokaistaKyberturvallisuus koskettaa meitä jokaista
Kyberturvallisuus koskettaa meitä jokaista
 
Blog
BlogBlog
Blog
 
Rcp listo
Rcp listoRcp listo
Rcp listo
 
Crisis: ¿Cómo superarla?
Crisis: ¿Cómo superarla?Crisis: ¿Cómo superarla?
Crisis: ¿Cómo superarla?
 
Slides for video chapter 7 consumers producers and efficiency
Slides for video chapter 7 consumers producers and efficiencySlides for video chapter 7 consumers producers and efficiency
Slides for video chapter 7 consumers producers and efficiency
 
DCN dos Cursos de Engenharia - Brasil -2002
DCN dos Cursos de Engenharia - Brasil -2002DCN dos Cursos de Engenharia - Brasil -2002
DCN dos Cursos de Engenharia - Brasil -2002
 
Bbbee presentation to uct business school 1 july 2016
Bbbee presentation to uct business school 1 july 2016Bbbee presentation to uct business school 1 july 2016
Bbbee presentation to uct business school 1 july 2016
 
Conferencia de cierre CVME 2015
Conferencia de cierre CVME 2015Conferencia de cierre CVME 2015
Conferencia de cierre CVME 2015
 
Trabajo estructuras
Trabajo estructurasTrabajo estructuras
Trabajo estructuras
 
presentation on cyber crime and security
presentation on cyber crime and securitypresentation on cyber crime and security
presentation on cyber crime and security
 
Cyber security presentation
Cyber security presentationCyber security presentation
Cyber security presentation
 
Kathmandu infosys
Kathmandu infosysKathmandu infosys
Kathmandu infosys
 
лекция 11 поздняя материнская помощь
лекция 11 поздняя материнская помощьлекция 11 поздняя материнская помощь
лекция 11 поздняя материнская помощь
 
Cyber crime ppt
Cyber crime pptCyber crime ppt
Cyber crime ppt
 
Cyber crime and security ppt
Cyber crime and security pptCyber crime and security ppt
Cyber crime and security ppt
 
Зустріч ОМТ 2017-
Зустріч ОМТ 2017-Зустріч ОМТ 2017-
Зустріч ОМТ 2017-
 

Similar to Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-asetukset

Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusLuonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Turvallisuus- ja kemikaalivirasto (Tukes)
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyö
japijapi
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Harto Pönkä
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
japijapi
 
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassaTietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
AKUSTI - tietohallintoyhteistyöfoorumi
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Kiwa Inspecta Suomi
 
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Mirva Tapaninen
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Eetu Uotinen
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aika
CGI Suomi
 
Virtanen, Teemupekka: Tietoturvallisuus etäpalveluissa
Virtanen, Teemupekka: Tietoturvallisuus etäpalveluissaVirtanen, Teemupekka: Tietoturvallisuus etäpalveluissa
Virtanen, Teemupekka: Tietoturvallisuus etäpalveluissa
Kelan tutkimus / Research at Kela
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
japijapi
 
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoaErja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Sonera
 
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Accountor Enterprise Solutions Oy
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
Pete Nieminen
 
Guru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaGuru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom Turva
Kimmo Vesajoki
 
Pienyritysten kyberturva.pptx
Pienyritysten kyberturva.pptxPienyritysten kyberturva.pptx
Pienyritysten kyberturva.pptx
KyberturvallisetEkos
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016
rierjarv
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015
Tomppa Järvinen
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuri
Thomas Malmberg
 

Similar to Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-asetukset (20)

Luonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuusLuonto- ja ohjelmapalveluiden asiakasturvallisuus
Luonto- ja ohjelmapalveluiden asiakasturvallisuus
 
Turvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyöTurvallisuus- ja yritysjohdon yhteistyö
Turvallisuus- ja yritysjohdon yhteistyö
 
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteitaTietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
Tietosuojavastaavan tehtävä ja henkilötietojen käsittelyn perusteita
 
Kyberosaaja 17.5.21
Kyberosaaja 17.5.21Kyberosaaja 17.5.21
Kyberosaaja 17.5.21
 
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassaTietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
Tietoturva ja digitaalinen turvallisuus maakuntien toiminnassa
 
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
Älä anna tietosuoja-asetuksen turruttaa, Inspectan Sertifioinnilla kilpailuet...
 
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
Aaro hallikainen tietoturvallisuus osana organisaation kokonaisturvallisuutta...
 
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
Webinaari 30.8.2017 - EU:n tietosuoja-asetus tulee ja velvoittaa yrityksiä to...
 
Kyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aikaKyberturvallinen työ ja vapaa-aika
Kyberturvallinen työ ja vapaa-aika
 
Virtanen, Teemupekka: Tietoturvallisuus etäpalveluissa
Virtanen, Teemupekka: Tietoturvallisuus etäpalveluissaVirtanen, Teemupekka: Tietoturvallisuus etäpalveluissa
Virtanen, Teemupekka: Tietoturvallisuus etäpalveluissa
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoaErja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
Erja Kinnunen: Tietoturvallisuuden perustasolta kohti korotettua tasoa
 
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
Tietoturva 2013 - Ulkoistaminen ja henkilötiedot - Titta Penttilä esitys - Te...
 
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
Mitä muutoksia GDPR vaatii NetSuite - järjestelmään? webinaarin materiaalit -...
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
 
Guru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom TurvaGuru Days 23.9.2011 - Salcom Turva
Guru Days 23.9.2011 - Salcom Turva
 
Pienyritysten kyberturva.pptx
Pienyritysten kyberturva.pptxPienyritysten kyberturva.pptx
Pienyritysten kyberturva.pptx
 
Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016 Tietoturva ja internet luento 22.1.2016
Tietoturva ja internet luento 22.1.2016
 
Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015 Yliopistojen Projekti SIG 2015
Yliopistojen Projekti SIG 2015
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuri
 

Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-asetukset

  • 1. Kyberturvallisuus – organisaation ja tietojen suojaaminen, EU:n tietosuoja-asetukset Tuomas Tonteri, yrittäjä, toimitusjohtaja elfGROUP Kyberturvallisuuspalvelut Oy Tietopäivä suurten tilaajien vaatimuksiin alihankintaverkostoille 16.2.2017, Kalajoki
  • 2. kyberturvallisuus | elfgroup.fi elfGROUP – Kyberturvallisuudesta kilpailuetua elfGROUP Kyberturvallisuuspalvelut Oy on suomalainen sähköisten tietojen turvalliseen hallintaan erikoistunut yritys, jonka ratkaisut suojaavat yritysten liiketoiminnan kyberturvallisuusriskeiltä. elfGROUP tuottaa kyberturvallisuuden asiantuntijapalveluita ja pilvipalveluita kaikenkokoisille yrityksille. elfGROUP on perustettu v.2010 ja sen liikevaihto on ~0,85M€ (2016). Yrityksen palveluksessa työskentelee 12 kyberturvallisuuden ammattilaista. elfGROUP varmistaa, että kyberturvallisuuden suojausmenetelmät ja yrityksen käytännöt ovat riittävät ja oikeassa suhteessa liiketoiminnan riskeihin.
  • 3. kyberturvallisuus | elfgroup.fi Kyberturvallisuudesta kilpailuetua ● Millainen on teidän tietoturvataso? Milloin sitä on viimeksi mitattu ja verrattu tavoitetasoon? – Kilpailuetu: Asiakkaat valitsevat uskottavan ja kyberturvallisuudesta huolehtivan toimittajan. ● Onko teillä kartoitettu liiketoiminnan kyberturvallisuusriskit? – Kilpailuetu: Riskit ovat tiedostettuja, harkittuja ja hallittuja. Liiketoiminta on vakaampaa. ● Yli puolet tietovuodoista alkavat sisäpuolelta (IBM Cybersecurity Intelligence Index) ja lähes 60% yrityksistä lähtevistä työntekijöistä vie sensitiivistä liiketoimintadataa (Ponemon Institute) – ovatko nykyiset suojauspanostuksenne samassa suhteessa? – Kilpailuetu: Valvonta, suojaukset → sensitiivistä tietoa vuotaa vähemmän.
  • 4. kyberturvallisuus | elfgroup.fi Kyberturvallisuudesta kilpailuetua ● Tietosuojalaki muuttuu 2018, ovatko muutokset ja vastuut selvillä? – Kilpailuetu: Vastuiden ymmärtäminen auttaa tekemään kerralla oikein ja vähentää turhaa työtä. Vaatimukset täyttävä IT-ympäristö tukee organisaation liiketoimintaa ja toimii hallitun kasvun mahdollistajana. Selvitykset ja hankkeet ovat monella yrityksellä jo menossa, mutta vielä useammalla kokonaan aloittamatta. ● Voitteko puolueettomasti vakuuttaa yrityksenne kyberasioiden olevan kunnossa? – Kilpailuetu: Ulkopuolinen kyberturvallisuussertifiointi työkaluksi asiakasviestintään.
  • 5. kyberturvallisuus | elfgroup.fi Tietoturvariskit ● Sisäiset riskit – henkilöstö ja tietoturvapolitiikka – Tiedon häviäminen sekä tietojen varastaminen – Väärinkäytökset ja mahdollisuus jälkien peittämiseen – Tietoisuuden ja parhaiden käytäntöjen tuntemuksen puute, kiire, oikotiet ● Ulkoiset riskit – DDOS, huijausviestit, haitta- ja kiristysohjelmat – Lamauttavat tai estävät liiketoiminnan, maineen kärsiminen – Haetaan taloudellista hyötyä (identiteettivarkaudet, toimitusjohtajahuijaukset) – Fyysiset varkaudet, ilkivalta, tunkeutuminen ● Järjestelmätason riskit – ohjelmistot, laitteet, tietoverkot, online-palvelut – Puutteita päivityksissä, virheitä asetuksissa tai loogisissa kokonaisuuksissa – Mahdollistavat haittaohjelmien pääsyn, tietovuodot ja tietomurron yrityksen verkkoon
  • 6. kyberturvallisuus | elfgroup.fi Kyberturvallinen organisaatio ● Johdon tuki kyberturvallisuustyölle, kartoitus ja strategia ● Henkilöstö ja toimintatavat; koulutus, prosessit, dokumentaatio ● Tietovarastot; eheys, luotettavuus, saatavuus ja varmistaminen ● Tiedon luokittelu ja suojausperiaatteiden ymmärtäminen ● Tietojärjestelmät; kehitys, operointi, käyttö, segmentointi, pääsynvalvonta ● Kumppanit, tietovirrat, integraatiot, rajapinnat ● Julkisten verkkojen ja sosiaalisen median käyttö ● Luottamuksellisuus ● Eheys ● Saatavuus ● Alkuperän ja tunnistettujen identiteettien kiistattomuus ● Tapahtumien vastuuttaminen, todentaminen ja seurattavuus ● Kiistämättömyys … irroitetaan johdot ja sammutetaan laitteet?
  • 7. kyberturvallisuus | elfgroup.fi EU:n tietosuoja-asetus (EU GDPR / General Data Protection Regulation) ● Asetus tulee 25.5.2018 voimaan astuessaan korvaamaan Suomen henkilötietolain ● Tietosuoja-asetus vaikuttaa kaikkiin suomalaisiin yrityksiin ja organisaatioihin, joissa käsitellään henkilötietoja ● Tarkempia sääntelyjä, rekisteröityjen oikeudet ● Asetuksen myötä tietoturvan vaarantuminen voi viimeistään olla konkreettinen taloudellinen uhka liiketoiminnalle
  • 8. kyberturvallisuus | elfgroup.fi EU:n tietosuoja-asetus (EU GDPR / General Data Protection Regulation) ● “Rekisterinpitäjän tai henkilötietojen käsittelijän on selvitettävä siirtymäaikana, vastaavatko...” ● Rekisterinpitäjän on toteutettava toimenpiteet, jotka varmistavat etenkin sen, että henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta. ● Rekisterinpitäjän on pystyttävä osoittamaan, että periaatteita noudatetaan. ● “Tietojen suojaamisesta on huolehdittava kaikissa käsittelyn vaiheissa alkaen tietojen keräämisestä ja päättyen tietojen tuhoamiseen. Käsittelyn turvallisuus edellyttää esimerkiksi kykyä taata järjestelmien ja palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus sekä kykyä palauttaa tietojen saatavuus ja pääsy tietoihin nopeasti fyysisen tai teknisen vian sattuessa. Tietojen suojaaminen edellyttää myös henkilötietojen käsittelyn seuraamista ja valvontaa.” Tietosuoja.fi – tietosuojavaltuutetun toimiston opas: Miten valmistautua EU:n tietosuoja-asetukseen? 24.1.2017
  • 9. kyberturvallisuus | elfgroup.fi Miten tietosuoja-asetus vaikuttaa konkreettisesti yritysten toimintaan? ● Henkilötiedot tulee muokata siten, ettei niistä saa helposti selville ketä tieto koskee. ● On taattava järjestelmien jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus. ● On lisättävä sisäistä valvontaa ja ottaa käyttöön vuosittainen menettely käytäntöjen valvontaan. ● Rekisterinpitäjä saa tallentaa vain välttämättömät tiedot (tietojen minimointivaatimus). ● Virheelliset tiedot on poistettava tai oikaistava (täsmällisyysvaatimus). ● Isojen ja kriittistä tietoa käsittelevien yritysten on nimettävä tietosuojavastaava. ● Rekisterinpitäjällä on vastuu henkilötietojen käsittelijöistä ja alihankkijoista. ● Suojaustoimet pystyttävä osoittamaan auditoitavalla tavalla, koskee myös alihankkijoita. ● Alihankkijoiden ja kumppaneiden kanssa on tehtävä kirjallinen sopimus suojatoimista.
  • 10. kyberturvallisuus | elfgroup.fi Miten yritys varmistaa tietosuojan lainmukaisuuden? ● Otettava huomioon seuraavat tietoturva-asiat: – Hallinnollinen tietoturva (mm. tietoturvapolitiikka ja ohjeistukset) – Fyysinen tietoturva (mm. kulunvalvonta, laite- ja toimitilojen fyysinen suojaaminen) – Laitteistoturvallisuus (mm. virustorjunnat, seuranta ja hälytykset) – Ohjelmistoturvallisuus (mm. ohjelmistojen testaus, tietoturvapäivitykset) – Tietoaineistoturvallisuus (mm. rekisterien suojaaminen, käytön valvonta) – Tietoliikenneturvallisuus (mm. palomuurit, hyökkäysten tunnistus ja valvonta) – Henkilöstöturvallisuus (mm. koulutus, ohjeistukset ja vastuiden määrittely) – Jatkuvuuden hallinta (mm. suunnitelmallisuus ja vioista toipuminen)
  • 11. kyberturvallisuus | elfgroup.fi Jos tietosuoja vaarantuu? ● Tietoturvaloukkauksesta on ilmoitettava viranomaisille 72 tunnin kuluessa tapahtuneesta. ● Rekisteröidylle on ilmoitettava välittömästi tietoturvaloukkaustilanteesta, jos tietovuoto aiheuttaa suuren riskin henkilötietojen suojalle tai yksityisyydelle. ● Määrättävien sakkojen tulisi olla tehokkaita ja varoittavia (suurimmillaan 20 milj. €) ● Sakkojen ohella on käytettävissä myös lievempiä keinoja kuten huomautus tai varoitus ● Sakkojen määräytymiseen vaikuttavat mm. rikkomisen vakavuus, laajuus, tahallisuus, henkilötietojen käsittelijän vastuun aste, yhteistyön aste valvontaviranomaisen kanssa tietosuojasäännösten rikkomisen korjaamiseksi
  • 12. kyberturvallisuus | elfgroup.fi SFS-ISO/IEC 27002:2013 Tietoturvallisuuden hallintakeinojen menettelyohjeet Lähde: http://www.aliencoders.org/content/changes-to-iso-27001-whats-new- in-the-2013-iso-27001-update/ Tietoturvapolitiikat Tietoturvallisuuden organisointi Suojattavan omaisuuden hallinta Pääsynhallinta Viestintäturvallisuus Fyysinen turvallisuus Käyttöturvallisuus Vaatimustenmukaisuus Henkilöstöturvallisuus Tietoturvahäiriöiden hallinta Liiketoiminnan jatkuvuuden hallintaan liittyviä tietoturvanäkökohtia Järj. hankkiminen, kehittäminen ja ylläpito Suhteet toimittajiin Salaus
  • 13. kyberturvallisuus | elfgroup.fi Kyberturvallisuuskartoituksesta sertifiointiin Kartoitus Riskit ja tavoitetaso IT-arkkitehtuurin dokumentaatio Kehityssuunnitelma → Liiketoiminnan ymmärtäminen, kyberriskien tunnistaminen → Liiketoiminnan tietotekniset vaatimukset → Tietovarastojen sijainti ja luokittelu Verkot, profilointi, skannaukset Sovellukset ja palvelimet Prosessit ja käytännöt Dokumentaatio ja haastattelut ISO 27000 CyberSafe Cyber Essentials Arviointi ja tietoturva- testaus 1 2 Nykytilan kuvaus Kehityshanke3 Sertifiointiarvio4 Valvonta ja uudelleen-sertifiointi 5
  • 14. Kyberturvallisuudesta kilpailuetua | elfgroup.fi Tietoturvakartoitus Tietoturvan kehittäminen Tietoturvallinen toimintaympäristö Liiketoiminnan tietoturvariskit Kehityssuunnitelma IT-ympäristön suojausmekanismit CyberSafe-sertifiointi Kriittiset tietoturva- parannukset Tietoturvatestaus ja suojausten parantaminen Liiketoiminnan jatkuvuuden varmistaminen Tietoturvalliset pilvi ja -integraatiopalvelut Tiedon varmistaminen, jakaminen, käytön valvonta Jatkuva kehittäminen Prosessi tietoturvalliseen toimintaympäristöön
  • 15. kyberturvallisuus | elfgroup.fi Kyberturvallisuuspalvelut elfSURVEY – Kartoitus ja suojauksen suunnittelu elfSWEEP – Aukkojen tunnistaminen ja tukkiminen elfATTACK – Järjestelmien hakkeritestaus elfCLOUD – Palvelimet, tietopääoman suojaaminen elfBUS – Turvalliset, hajautetut tietovirrat CyberSafe- sertifiointi elfWATCH – Jatkuva infravalvonta, tietovirta-analysointi ja suojausten ylläpitopalvelu elfGUARD – Ylläpidetty ja valvottu palomuuri- ja tietoturvallinen VPN-etäyhteyspalvelu “CyberSafe-sertifiointi on erinomainen keino vakuuttaa asiakkaat ja yhteistyökumppanit yritystoiminnan hyvästä kyberturvallisuustasosta.” elfBRAIN – Tietoturva-asiantuntijat ohjelmistokehitykseen & koodi- ja arkkitehtuurikatselmointeihin