www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
Information Assurance
Tiedonhallinnan haasteista tietovuotojen estämiseen
Microsoft TechDays 9-10.3.2010
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
”tiiseri”
• Tiedon räjähdysmäinen kasvu sen eri muodoissa
aiheuttaa riskinhallinnan ja IT:n näkökulmasta
suuria haasteita.
• Liikkuvan käytön lisääntyminen,erilaiset
tallennnusmediat ja päätelaitteiden hallinta on
muodostumassa perinteisin menetelmin
mahdottomaksi yhtälöksi.
• Kuinka sinun tulisi ottaa huomioon
organisaatiossasi liikkuvan tiedon suojaaminen ja
miten toteutat sen hallinnan?
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
Monellako yrityksellä läsnäolijoista on yli 10M arvokasta
YRITYKSEN tietopääomaa muistitikuilla, siirrettävillä medioilla,
kotitietokoneessa, ”naapurin sähköpostissa”,
kotisähköpostissa?
Tähän kysymykseen ei kovin mielellään vastaa...
Miksi ei?
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
TIETOTURVAAKO? Mistä on kyse?
• Information Assurance
• Information = tieto pääomaa, osaamista, julkista, salaista, sähköpostissa, portaalissa...
• Assurance = vakuus varmuus, tae, takaaminen..
Tiedon takaaminen, sen käyttökelpoisuuden, saatavuudenvarmistaminen ja oikea hallinta, käyttöön saattaminen niillejotka sitä tarvitsevat sekä vahinkojen ehkäiseminen.
• Palveluarkkitehtuuri?
• Ei SOA vaan paljon laajemmin....
To
imija
t
Pro
ses
sit
Te
kn
olo
gia
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
Palveluarkkitehtuuri esim.
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
Haasteiden kenttä...suo?
ICT-palvelutalot: ”Mitä
asiakkaat tarvitsevat?”
Jatkuvuus on tärkeää
”Palveluita pilvestä”
”Kokonaisulkoistus”
”Oma tuotanto”
Public
”Palveluintegraattori”
Private
”Ei core businesta”
”Security arkkitehtuuri
tarvitaan, muttei oikein
tiedä mitä se on”
”IdM olisi juttu, jos se ei
olisi niin iso jumppa”
Organisointi
Windows migraatio
Johtamisosaamista
tarvitaan
Business
Process
Enterprise Architecture
Information Management
ICT architecture
Applications
Infrastructure
Technology
TIEDONHALLINNAN
HAASTEET
BIZ
IM
ICTSEC
CO
NT
RO
L O
F V
AL
UA
BL
E A
SS
ET
S
OP
ER
AT
IVE
EF
FIC
IEN
CY
BUSINESS TARGETS
IMPLEMENTATION
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
Tietovuodot...osa haastetta
• Tietovuodot aiheuttavat a) päänvaivaa b) rahallisia menetyksiä
c) vahinkoja
• Näiden mittaaminen on ERITTÄIN hankalaa, koska ei tiedetä
mikä on arvokasta tietoa..
• Tietovuotoja ei käytännössä voida estää kokonaan, ellei...
• Organisaation se osa jossa tietojenkäsittelyä suoritetaan ole
täysin suljettu (COMPARTMENTs)
• Käytännön mahdottomuus 99% organisaatioista
• Tietovuotojen hallinta lähtee tietojenkäsittelystä oikea
tiedonhallintatapa toimivat välineet!
• 99% organisaatioissa ei ole jalkautettu hyvää
tiedonhallintatapaa
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
Tietovuotojen hallinta riskienhallintaa
• Menetelmiä..
• Rajoittaminen kontrollointi
• Ehkäiseminen
• Siirtäminen? ( pilvipalvelut?)
• Salliminen...miten pitkälle?
• Menetelmät ovat käytännössä TÄYSIN samoja kuin
perinteisessä riskienhallinnassa
• 03/2010 – väline ja integraatiokysymys
kokonaisarkkitehtuurikysymys nykyisessä tietojenkäsittely-
ympäristöissä
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
Miksi tietovuotojen hallinta on kokonaisarkkitehtuurikysymys?
BIZ
IM
ICTSEC
• Palveluiden integraatioaste – haasteellinen
• Sovellusten integraatioaste – haasteellinen, jopa toimimaton
• Tiedon integraatioaste – lähtee kokonaisarkkitehtuurista
• ...
Saatavilla on teknologiaa joilla
TIETOVUOTOJA voidaan hallita, oikeaa
tietojenkäsittelyä toteuttaa ja palveluita on
Mahdollista integroida tehokkaammin toisiinsa.
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
Mitä pitäisi tehdä?
• Mallintaa yrityksen referenssiarkkitehtuuri...
• Tavoitekuva siitä miten ICT tulisi olla organisoitua
liiketoimintaan nähden
• Tämä on fundamentaali lähtökohta kaikelle ICT:n
organisoinnille
• EA
• Määritellä missä tietojenkäsittelyä suoritetaan ja
miten, johdettuna ”EA”:sta...
• Tiedonhallinnan menetelmät
• Tiedonhallinnan välineet
• Tiedon luokittelu liiketoiminnan keinoin
• Tiedon luokittelun läpinäkyvyyden hallinta
• Ohjeistus, koulutus, automatisointi vahinkojen
estäminen
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
tai...lähteä liikkelle kevyemmin, kokonaisuudesta huolehtien
• Esimerkkejä löytyy...
• Microsoft RMS, sisältöoikeuksien suojaus ja käyttö
organisaation ulkopuolella
• Toimivaa teknologiaa, hyvä integraatioaste (useita teknologioita!)
• ...osaamista ja kokemuksia RMS/DLP teknologioista.
• Tietovuotojen ehkäiseminen EI TARVITSE olla vaikeaa ratkaista.
• Hallinta on haaste!
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
Contacts
• For more information, please contact
Mikko Jakonen
+358 40 572 0475
Secproof Finland
www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//
Assuring Excellence – Qualifying Expertice
Secproof Finland Oy
Helsinki Espoo
Bulevardi 2-4 A Secproof Center of Excellence
FIN-00120 Helsinki, Finland Valkjärventie 7 D
Tel. +358 9 6150 7431 FIN-00120 Espoo
Fax +358 9 6150 7400
www.secproof.com