Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
Tietoisuus ja mielipiteet kyberturvallisuudesta lisääntyvät, mutta taloudelliset reunaehdot koskettavat jokaista meistä.
CGI Suomen johtava tietoturva-asiantuntija Jan Mickos kertoo, miten saavutetaan kustannustehokas kyberturva.
Luonto- ja ohjelmapalveluiden asiakasturvallisuus -koulutukset Lapin ja Kainuun alueella loka-marraskuussa 2018. Mervi Murtonen ja Jaakko Leinonen / Tukes
Valtiokonttori
Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke, SecICT
Erityisasiantuntija Kimmo Janhunen, valtiovarainministeriö
Valtio Expo 20.5.2014
Valtiokonttori, Valtion IT-palvelukeskuksen asiakaspäivä 16.10.2013: Tietoturvallisuuden perustasolta kohti korotettua tasoa - johtava asiantuntija Erja Kinnunen, Valtiokonttori, Valtion IT-palvelukeskus
Riittävä tietoturvan taso kybermaailmassa - Jan Mickosin esimerkit ja parhaat...CGI Suomi
Tietoisuus ja mielipiteet kyberturvallisuudesta lisääntyvät, mutta taloudelliset reunaehdot koskettavat jokaista meistä.
CGI Suomen johtava tietoturva-asiantuntija Jan Mickos kertoo, miten saavutetaan kustannustehokas kyberturva.
Luonto- ja ohjelmapalveluiden asiakasturvallisuus -koulutukset Lapin ja Kainuun alueella loka-marraskuussa 2018. Mervi Murtonen ja Jaakko Leinonen / Tukes
Valtiokonttori
Valtion ympärivuorokautisen tietoturvatoiminnan kehittämishanke, SecICT
Erityisasiantuntija Kimmo Janhunen, valtiovarainministeriö
Valtio Expo 20.5.2014
Valtiokonttori, Valtion IT-palvelukeskuksen asiakaspäivä 16.10.2013: Tietoturvallisuuden perustasolta kohti korotettua tasoa - johtava asiantuntija Erja Kinnunen, Valtiokonttori, Valtion IT-palvelukeskus
Salcom Turva ja muut Salcom Groupin tietoturva-asiantuntijapalvelut tarjoavat edellytykset tietoturvan tehokkaaseen hallintaan liiketoiminnan asettamien vaatimusten mukaisesti.
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
Kalajoen yrityspalveluiden järjestämässä turvallisuuspainotteisessa tietoiskuseminaarissa 16.2.2017 pitämäni esitys kyberturvallisuudesta, organisaatioiden ja tietojärjestelmien suojaamisesta sekä EU:n uuden tietosuoja-asetuksen mukanaan tuomista vaatimuksista.
Esitys sisältää myös yleistä tietoa elfGROUP Kyberturvallisuuspalvelut Oy:stä ja elfGROUP:n tarjoamista pilvi- ja kyberturvallisuuspalveluista.
Finanssivalvonnan Operatiivisten riskien toimistopäällikön Markku Koposen esitys
Slush side event – Virtuaalivaluutat: onko sääntely hyvästä vai pahasta?
3.12.2018
Esitys 600Minutes Mid-Market Enterprise tapahtuma, Crowne Plaza Helsinki, 11.5.2017.
Esityksessä käydään lävitse tietoturvaan liittyviä haasteita ja ratkaisuja kytkettäessä teollisuusjärjestelmää internettiin.
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Teemu Tiainen
Keskiviikkona 23.11.2016 järjestimme webinaarin, jossa pohdimme, miten tietoturvallinen toimintakulttuuri rakennetaan EU:n tietosuoja-asetus huomioiden. Vuorossa oli siis hivenen pehmeämpiä asioita webinaarisarjan aiempiin osiin verrattuna.
Kävimme lävitse, millaisia asioita tulee huomioida mm. johtamisessa, yrityskulttuurissa ja henkilöstön osaamisessa.
Asiantuntijavieraanamme webinaarissa oli Relator Oy:n Olli Pitkänen. Olli toimii konsulttina organisaatioiden tietoturvallisuuden kehittämishankkeissa sekä vastaa Relatorin asiantuntijapalveluista.
Tietovastuu edellyttää johtamisjärjestelmää ja mittaristoa toiminnan valvomiseen sekä tietoriskien hallintaan. Tämä esitys käsittelee eGRC sovelluksia ja esimerkkejä.
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Teemu Tiainen
Keskiviikkona 19.4. klo 9.30 järjestimme webinaarin, jossa paneuduimme Sparta Consulting Oy:n Miko Eklöfin ja Heimo Hännisen kanssa tietotilinpäätökseen työkaluna EU:n tietosuoja-asetukseen valmistautumiseen.
Henkilötietojen on oltava hallussa, jotta niitä voidaan suojata ja niiden asianmukaisesta käsittelystä voidaan varmistua.
Henkilötietojen tietotilinpäätös on hyvä työkalu henkilötiedon haltuunottoon ja auttaa myös osoitusvelvollisuuden toteuttamisessa. EU:n tietosuoja-asetukseen valmistauduttaessa tietotilinpäätös on erinomainen työkalu.
Webinaarissa käsittelimme mm. seuraavia asioita:
Mitä tietotilinpäätös tarkoittaa?
Mitä hyötyjä se tarjoaa?
Miten tietotilinpäätös tehdään?
Tietotilinpäätöksessä kyse on organisaation osien ja ihmisten osaamisen yhdistämisestä ja kuvaamisesta tavalla, jota kaikki voivat hyödyntää.
Tietosuoja-asetuksen lisäksi tämä tarjoaa loistavan alustan toiminnan tehostamiseen.
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiFinceptum Oy
Tukes päätyi ostamaan NetIQ Sentinel -ratkaisun SaaS-palveluna. NetIQ Sentinel on integroitu Tukesin kirjautumisympäristöihin, eli sähköpostipalvelimelle sekä Microsoft AD -ympäristöön.
Tukes pystyy selvittämään ja tarpeen mukaan näyttämään toteen, että Tukesilla on toimittu määräystenmukaisesti. Kaikki IT-ympäristössä suoritetut kirjautumiset voidaan jäljittää, ja lokidata on nyt helposti löydettävissä.
http://www.sovelto.fi/ratkaisut/hyvinvointi-ja-tuottavuus/loisto
LOISTO-palvelulla poistat pahoinvointia, jolloin osaamattomuudesta, tehottomuudesta ja turhautumisesta johtuvat kustannukset laskevat. Lisäksi aikaansaat hyvinvointia, jolloin itseohjautuvuuden, innovatiivisuuden ja paremman yhteistyön tuottovaikutukset lisääntyvät. LOISTO-palvelu lisää tuottavuutta hyvinvoinnilla.
Salcom Turva ja muut Salcom Groupin tietoturva-asiantuntijapalvelut tarjoavat edellytykset tietoturvan tehokkaaseen hallintaan liiketoiminnan asettamien vaatimusten mukaisesti.
Kyberturvallisuus - organisaation ja tietojen suojaaminen, EU:n tietosuoja-as...Tuomas Tonteri
Kalajoen yrityspalveluiden järjestämässä turvallisuuspainotteisessa tietoiskuseminaarissa 16.2.2017 pitämäni esitys kyberturvallisuudesta, organisaatioiden ja tietojärjestelmien suojaamisesta sekä EU:n uuden tietosuoja-asetuksen mukanaan tuomista vaatimuksista.
Esitys sisältää myös yleistä tietoa elfGROUP Kyberturvallisuuspalvelut Oy:stä ja elfGROUP:n tarjoamista pilvi- ja kyberturvallisuuspalveluista.
Finanssivalvonnan Operatiivisten riskien toimistopäällikön Markku Koposen esitys
Slush side event – Virtuaalivaluutat: onko sääntely hyvästä vai pahasta?
3.12.2018
Esitys 600Minutes Mid-Market Enterprise tapahtuma, Crowne Plaza Helsinki, 11.5.2017.
Esityksessä käydään lävitse tietoturvaan liittyviä haasteita ja ratkaisuja kytkettäessä teollisuusjärjestelmää internettiin.
Tietoturvallisen toimintakulttuurin rakentaminen EUn tietosuoja-asetus huomio...Teemu Tiainen
Keskiviikkona 23.11.2016 järjestimme webinaarin, jossa pohdimme, miten tietoturvallinen toimintakulttuuri rakennetaan EU:n tietosuoja-asetus huomioiden. Vuorossa oli siis hivenen pehmeämpiä asioita webinaarisarjan aiempiin osiin verrattuna.
Kävimme lävitse, millaisia asioita tulee huomioida mm. johtamisessa, yrityskulttuurissa ja henkilöstön osaamisessa.
Asiantuntijavieraanamme webinaarissa oli Relator Oy:n Olli Pitkänen. Olli toimii konsulttina organisaatioiden tietoturvallisuuden kehittämishankkeissa sekä vastaa Relatorin asiantuntijapalveluista.
Tietovastuu edellyttää johtamisjärjestelmää ja mittaristoa toiminnan valvomiseen sekä tietoriskien hallintaan. Tämä esitys käsittelee eGRC sovelluksia ja esimerkkejä.
Miten voit valmistautua EU:n tietosuoja-asetukseen tietotilinpäätöstä hyödynt...Teemu Tiainen
Keskiviikkona 19.4. klo 9.30 järjestimme webinaarin, jossa paneuduimme Sparta Consulting Oy:n Miko Eklöfin ja Heimo Hännisen kanssa tietotilinpäätökseen työkaluna EU:n tietosuoja-asetukseen valmistautumiseen.
Henkilötietojen on oltava hallussa, jotta niitä voidaan suojata ja niiden asianmukaisesta käsittelystä voidaan varmistua.
Henkilötietojen tietotilinpäätös on hyvä työkalu henkilötiedon haltuunottoon ja auttaa myös osoitusvelvollisuuden toteuttamisessa. EU:n tietosuoja-asetukseen valmistauduttaessa tietotilinpäätös on erinomainen työkalu.
Webinaarissa käsittelimme mm. seuraavia asioita:
Mitä tietotilinpäätös tarkoittaa?
Mitä hyötyjä se tarjoaa?
Miten tietotilinpäätös tehdään?
Tietotilinpäätöksessä kyse on organisaation osien ja ihmisten osaamisen yhdistämisestä ja kuvaamisesta tavalla, jota kaikki voivat hyödyntää.
Tietosuoja-asetuksen lisäksi tämä tarjoaa loistavan alustan toiminnan tehostamiseen.
Success Story - lokitietojen hallintaa keskitetysti ja määräystenmukaisestiFinceptum Oy
Tukes päätyi ostamaan NetIQ Sentinel -ratkaisun SaaS-palveluna. NetIQ Sentinel on integroitu Tukesin kirjautumisympäristöihin, eli sähköpostipalvelimelle sekä Microsoft AD -ympäristöön.
Tukes pystyy selvittämään ja tarpeen mukaan näyttämään toteen, että Tukesilla on toimittu määräystenmukaisesti. Kaikki IT-ympäristössä suoritetut kirjautumiset voidaan jäljittää, ja lokidata on nyt helposti löydettävissä.
Similar to Tietoturva - onko sinulla varaa olla investoimatta siihen? (20)
http://www.sovelto.fi/ratkaisut/hyvinvointi-ja-tuottavuus/loisto
LOISTO-palvelulla poistat pahoinvointia, jolloin osaamattomuudesta, tehottomuudesta ja turhautumisesta johtuvat kustannukset laskevat. Lisäksi aikaansaat hyvinvointia, jolloin itseohjautuvuuden, innovatiivisuuden ja paremman yhteistyön tuottovaikutukset lisääntyvät. LOISTO-palvelu lisää tuottavuutta hyvinvoinnilla.
Sovelto Aamiaisseminaari Tampereella 30.10.2015
Tapsa Kankkonen ja Mika Seitsonen
http://www.sovelto.fi/kurssit/aamiaisseminaarit/windows-10-seminaarit-tampereella
Sovelto Aamiaisseminaari Tampereella 30.10.2015
Tapsa Kankkonen ja Mika Seitsonen
http://www.sovelto.fi/kurssit/aamiaisseminaarit/windows-10-seminaarit-tampereella
Sovelto Aamiaisseminaari 23.10.2015
Asiakkuuksien johtaminen on strateginen menestystekijä
Tilaisuuden avaus: Kalaparvi liikkuu
Johtava konsultti Pasi Lehtiniemi, Sovelto
Intune and Azure RMS provide device management and information protection capabilities. Intune allows for direct management of Windows, iOS, and Android devices, as well as EAS-based management. Azure RMS encrypts data and enforces access controls regardless of file type, enabling secure sharing both internally and externally. The document demonstrates how to use Intune for device administration and Azure RMS for data protection and sharing.
This document provides information about an instructor named Mika Seitsonen. It includes his qualifications such as degrees from the University of Nottingham and Lappeenranta University of Technology. It also lists his certifications and experience as a senior consultant specializing in technology experts at Sovelto. The rest of the document discusses topics around Azure Active Directory including what it is, its editions, features, and how it can be used to manage user identities and applications in the cloud and on-premises.
2. Seminaarin sisältö
8:00 Ilmoittautuminen ja maittava aamiainen
8:30 Avaussanat
Senior-konsultti Pasi Lehtiniemi, Sovelto
Senior-konsultit Thomas Hughes ja Jukka Vuola, Sovelto
8:40
Katsaus tietoturvan tilaan ja uhkiin Suomessa
• Mitä tietoturvauhkia on nyt ja mitä on tulossa?
• Käytännön demonstraatio tietoturvahaavoittuvuuden hyödyntämisestä
9:00
Heikosti hoidetun tietoturvan kustannukset
• Mitä maksaa heikosti hoidettu tietoturva?
• Voiko hyvin hoidettu tietoturva olla kilpailuetu?
9:30
9:50
10:00
Tietoturvan kokonaishallinta
• Tietoturvan osa-alueet
• Tietoturvan hallintajärjestelmät
• Sovelton tietoturvakoulutusohjelma
• Tietoturvaosaamisen sertifiointi
• Tilaisuus päättyy
2
3. Tietoturvan tila Suomessa
• Mitä tietoturvauhkia on nyt ja mitä on tulossa?
• Käytännön demonstraatio tietoturvahaavoittuvuuden
hyödyntämisestä
3
5. Tietoturvauhat tulevaisuudessa
5
Tietoturvarikollisuuden kehittyminen alana
• Kohdistetut hyökkäykset kasvussa
• Pienemmät organisaatiot ja kielialueet
kiinnostavat myös
• Crime as a Service, Hacking as a Service
Älykkäät laitteet ja tietojen tallennus
• Mobiilit laitteet, mobiili tieto, BYOD
• Pilvipalvelut
Uudet teknologiat, uudet haavoittuvuudet
• Webtekniikat: HTML5, CSS
• Langaton viestintä: NFC, WLAN, Bluetooth
• Sosiaalinen media
Blackhole server:
1 vko: 200 USD
3 kk: 700 USD
1 v: 1500 USD
8. Heikon tietoturvan kustannukset
• Kustannukset on huomattavasti helpompi todeta jälkikäteen
• Suorat (kustannus)vaikutukset + epäsuorat (kustannus)vaikutukset
• Osaa kustannusvaikutuksista ei saada koskaan näkyviksi
8
IPR:n menettäminen …. luottamuksellisen tiedon menettäminen
…pörssikurssikeinottelu … vaihtoehtokustannukset … häiriöt palveluihin ja
työsuhteisiin …vähentyneen luottamuksen verkkopalveluja kohtaan …
tietoverkkojen turvallisuuden parantaminen ja hyökkäyksistä toipuminen …
ulkopuolisten konsulttien käyttö … alennusten antaminen asiakkaille ..
tietomurron kohteeksi joutuneen yrityksen maineelle aiheutuva vahinko
Lähteet: 1) McAfee, The economic impact of cybercrime and cyber espionage, 07/2013.
http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf
2) 2013 Cost of Data Breach Study: Global Analysis, Ponemon institute & Symantec
http://www.symantec.com/about/news/resources/press_kits/detail.jsp?pkid=ponemon-2013
9. Kyberrikollisuuden kustannukset
globaalisti
Toiminta Arvioitu kustannus (€) % BKT:sta
Piratismi 750 milj. – 12 mrd. 0.008% - 0.02%
Huumekauppa 650 mrd. 1.2%
Kyberrikollisuus 225 mrd. – 750 mrd. 0.4 % - 1.4%
9
Lähde: McAfee, The economic impact of cybercrime and cyber espionage, 07/2013.
http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime.pdf
"Kyberrikollisuus on (finanssi)alalla kirjanpitorikoksia, petoksia, korruptiota ja jopa
rahanpesua suurempi ongelma ja (aiheuttaa) mittavia tappioita, selvityksessä
todetaan."
Lähde: Pricewaterhousecoopersin raportti, uutinen Tietoviikko, 30.3.2012, 12:18
10. Mikä on riskin hinta?
• Tietoturva on riskienhallintaa
• Kustannuksia arvioitaessa on aina suhteutettava riskiin
varautumisen ja riskin toteutumisen kustannukset
• Sosiaali- ja terveysviraston koneiden puhdistaminen maksoi
kaupungille lähes 100 000 euroa (HS 16.7.2013) – mitä olisi
maksanut ennaltaehkäisy?
10
11. Helsingin Sanomien analyysi aiheesta
11
Aiheen analyysi Helsingin Sanomissa 16.7.2013
http://www.hs.fi/kaupunki/a1373861123551
12. Riskille hinta
• Kysymys: Mikä organisaatio on erikoistunut riskien
analysointiin ja hinnoitteluun?
• Mitä tietoturvavakuutuksia antavan vakuutusyhtiön täytyy selvittää
saadakseen luotua
• riskiprofiilin organisaatiolle
• hinnan organisaatiolle annettavalle tietoturvavakuutukselle?
• Esimerkiksi tällainen Philadelphia Insurance Company
• Loss Experience (Historiadata)
• Riskien kontrollointi
• Henkilötarkistukset
• Vastuukysymykset
12
13. Hyvin hoidettu tietoturva kilpailuetuna
• Kilpailuetu, elossa pysymisen edellytys vai laillisen toiminnan
perusta?
• Miten tietoturva tuodaan esille mainonnassa?
• Alennukset vakuutuksista, voitetut asiakkuudet
13
15. Yritysturvallisuus ja tietoturva
15
• Toimitilaturvallisuus
• Henkilöturvallisuus
• Toiminnan turvallisuus
• Tietoturvallisuus
• Pelastustoiminta
• Työsuojelu
• Ympäristönsuojelu
• Varautuminen ja valmiussuunnittelu
• Turvallisuus- ja riskienhallinta
• Ulkomaantoimintojen turvallisuus
1. Hallinnollinen turvallisuus
2. Henkilöstöturvallisuus
3. Fyysinen turvallisuus
4. Tietoliikenneturvallisuus
5. Laitteistoturvallisuus
6. Ohjelmistoturvallisuus
7. Tietoaineistoturvallisuus
8. Käyttöturvallisuus
Tietoturvallisuus
16. Liiketoiminnasta tulevia vaatimuksia
tietoturvalle
• Käytettävyys
• Ylläpidettävyys
• Integroitavuus nykyisiin järjestelmiin
• Nopeasti käyttöönotettava
• Toimii eri jaluistoilla
• Uudelleenkäytettävyys
• Muokattavuus
• Tukee kansainvälisiä standardeja ja vaatimuksia
• Pienet operointikustannukset
• Mitattavaa tietoturvaa
• Tietoturva, jolla on ROI
16
18. Tietoturvallisuuden hallintajärjestelmä
• Tietoturvan suhteen hallintajärjestelmä mahdollistaa
organisaation:
• asiakkaiden ja muiden sidosryhmien tietoturvavaatimuksien
toteuttamisen
• suunnitelmien ja aktiviteettien kehittämisen
• tietoturvatavoitteiden toteutumisen
• säädösten, lakien ja toimialakohtaisten määräysten täyttämisen
• informaatio-omaisuuden hallinnoinnin sillä tavalla, että se mahdollistaa
jatkuvan kehittämisen ja organisaation tavoitteiden muokauttamisen
ympäristön vaatimuksiin
• ISMS (Information Security Management System)
• TTHJ (Tietoturvan hallintajärjestelmä)
18
Otetaan
kaikki
"säätyypit"
huomioon
19. Tietoturvallisuuden hallintajärjestelmä
• "osa yleistä toimintajärjestelmää, joka luodaan ja toteutetaan toimintariskien
arviointiin perustuen ja jota käytetään, valvotaan, katselmoidaan,
ylläpidetään ja parannetaan tavoitteena hyvä tietoturvallisuus “ (1)
• ”Sisältää organisaatiorakenteen, politiikat, suunnittelu- ja
kehittämistoimenpiteet, vastuut, menettelytavat, menetelmät, prosessit,
mittarit ja resurssit." (1)
• On osa organisaation yleistä hallintajärjestelmää ja näin ollen merkittävässä
roolissa on liiketoimintariskien arviointi
• Sisältää tietoturvan suunnittelun, toteutuksen, käytön, valvonnan,
seurannan, ylläpidon ja jatkuvan kehittämisen
• Hallintajärjestelmien tulisi sisältää tietoturvan johtaminen, hallinnointi ja ja
valvonta
• Hallintajärjestelmä ei ole kasa dokumentteja vaan monitahoinen prosessi
jota on valvottava ja kehitettävä jatkuvasti
191) VAHTI 8/2008 Valtionhallinnon tietoturvasanasto
20. Demingin PDCA-sykli ja TTHJ
20
Vaatimukset ja
odotukset
tietoturvallisuudelle
Hallittu
tietoturvallisuus
SUUNNITTELE
TTHJ:n vaikutuspiirin
määritys ja riskien
arviointi
TOTEUTA
TTHJ:n suunnittelu ja
toteutus
TARKASTA
TTHJ:n seuranta ja
arviointi
TOIMI
TTHJ:n kehittäminen
P
D
C
A
24. ISO27001 – ISO27002 määritykset
24
ISO27001
IS Management Standard
ISO27002
Code of Practice
• Kuinka ISMS tulisi
1) perustaa
2) toteuttaa
3) valvoa
4) ylläpitää
• Yleisiä ohjeita ja periaatteita
- 133 tietoturvakontrollia
- 39 kategoriaa
- Riskienhallinnan merkitystä
korostetaan
• Organisaatio voi sertifoitua - Organisaatio ei voi sertifoitua
25. Sovelton tietoturvaan liittyvä koulutustarjonta
25
15 kurssipäivää
• 2013 – 2014 toteutuva koululutuskokonaisuus
• Kurssit julkisessa tarjonnassa
+ välillisesti tietoturvaan liittyvät aiheet (ITIL, kokonaisarkkitehtuurit jne.)
Riskien hallinta,
jatkuvuus ja
varautuminen
1pvTietoturva-
prosessit ja
menetelmät
1pv
Tietoturvan
perusteet
1pv
PKI ja
varmenteet
MS-ympäristössä
3pv
Lähiverkkojen
tietoturva
2pv
Tekninen
tietoturva
2pv
Tietoturvalliset
etäkäyttöratkaisut
ja BYOD
1pv
Www-palvelun
haavoittuvuudet ja
tietokantojen
tietoturva
2pv
Palvelujen
suojaaminen,
on-premises ja
pilvessä
2pv