Tietoturvan tilannekuva ja yrityksen tietoturvan varmistaminen
1. Tietoturvan tilannekuva ja yrityksen
tietoturvan varmistaminen
Kauppakamarin yritysturvallisuusinfo
17.1.2013
Jari Pirhonen
Turvallisuusjohtaja
Oy Samlink Ab
@japi999
3. Tämän vuoden uhat – ”mind the gap”
Jari Pirhonen 17.1.2013
http://iki.fi/japi/
4. Tietoturvallisuuden tavoitteet
1. Tahto Liiketoiminnan häiriöttömyys
2. Pakko Vaatimustenmukaisuus
3. Pelko Riskien hallinta
• Tietojen suojaaminen sen kaikissa olomuodoissa niitä
käsiteltäessä, talletettaessa ja siirrettäessä Tieto + Turva
• Tietojen luottamuksellisuus, eheys ja käytettävyys sekä
tapahtumien kiistämättömyys ja jäljitettävyys
• Tietosuoja, yksityisyydensuoja
• Tietoturvallisuus > tietotekninen turvallisuus (IT-tietoturva)
Jari Pirhonen 17.1.2013
5. Perusasiat kuntoon!
1. Yritysjohdon kannanotto tietoturvallisuuden puolesta ja
esimerkillinen toiminta
2. Tietoturvan kehittämisestä vastaavan nimittäminen ja
johdon näkyvä tuki
3. Suojattavan tietoaineiston määrittely
4. Tietoturvan tavoitteiden ja vastuiden määrittely
5. Tekniset perustemput: varmistukset, tietoturva-korjausten
asennukset, haittaohjelmantorjunta, tietoverkkojen
segmentointi ja palomuurien hallinta
Jari Pirhonen 17.1.2013
6. Perusasiat kuntoon!
6. Henkilökunnan koulutus ja ohjaaminen tietoturvatietoiseen
käyttäytymiseen
7. Salassapitosopimuksista huolehtiminen: avainhenkilöt,
yhteistyökumppanit, palvelutoimittajat
8. Tietoturvan vaatiminen ja sen osoittaminen kumppaneilta,
toimittajilta ja palveluntarjoajilta
Ihmiset + prosessit + teknologia
http://www.tietoturvaopas.fi/yrityksen_tietoturvaopas/fi/index.html
Jari Pirhonen 17.1.2013
7. Vältä näitä
• Liiketoimintajohto ulkoistaa tietoturvallisuuden
tietoturvajohtajalle tai -asiantuntijalle
• Keskijohto ulkoistaa tietoturva-asiantuntijoille
• Tietoturvallisuus huomioidaan liian myöhään
• Sopimukset, kumppanuudet, tuotevalinnat, projektit,…
• Tietoturvallisuus oletetaan ”kuorrutukseksi”
• Isot ja tärkeät projektit jyräävät ohi normaalien
toimintaprosessien
• Tietoturvallisuudessa keskitytään tekniikkaan
• Ulkoiset vaatimukset syrjäyttävät riskien hallinnan
• Ketteryys ja kustannustehokkuus hoidetaan työntämällä
hankalat tietoturva-asiat syrjään
• Media ohjaa tietoturvatöitä
Jari Pirhonen 17.1.2013