12.5.2010

1

Tietoturvallisuus osana organisaation kokonaisturvallisuutta

Matkailualan tutkimus- ja koulutusinstituutti (MTI)www.matkailuinstituutti.fi

Keskiviikko 12. toukokuuta 2010

9-10 MTI:n Auditorio

Rovaniemi

Yritysten rikosturvallisuus 2008

• http://www.helsinki.chamber.fi/files/2786/yritysturvallisuusselvitys_2008_1.pdf

12.5.2010

2

Yleisimmät tietoriskit yrityksissä

11 %

14 %

25 %

Tietojen luvatonkopiointi

Kriittisistäyritysasioistakertominen

luvatta

Tietoverkkoonmurtautumisentai hakkeroinnin

yritys

Lähde: Yritysten rikosturvallisuus 2008

Turvallisuustutkimus 2009

• Poliisin ylijohdon julkaisut 7/2009

• http://www.poliisi.fi/julkaisu/poliisi072009

• 46139 vastaajaa

• Huolestuneisuus rikosten tai onnettomuuksien kohteeksi joutumisesta

• ”Joudutte nettirikoksen uhriksi”

12.5.2010

3

12.5.2010

4

• Tulevaisuuden huolenaiheet omassa elämässä

• ”…tietoturvaongelmista oltiin muita enemmän huolissaan Lapissa.”

12.5.2010

5

Yrityksiin kohdistuvanrikollisuuden tilannekuva 2009

• Sisäisen turvallisuuden ohjelman verkkosivut

http://www.intermin.fi/

> Sisäisen turvallisuuden ohjelma

> Yritysturvallisuus1. Yrityksiin kohdistuvan rikollisuuden tilannekuva syksy 2009 2. Yrityksiin kohdistuvan rikollisuuden tilannekuva kevät 2009:

Tietoturvallisuus ja maksuteknologia

(http://www.intermin.fi/intermin/hankkeet/turva/home.nsf)

Yrityksiin kohdistuvan rikollisuuden tilannekuva syksy 2009

”Järkevä tietoriskien hallinta edellyttää oikeaa käsitystä uhkista ja realistisen uhka- ja vaikuttavuusarvion tekemistä.”

”Yrityksissä on syytä hahmottaa, että tietoverkkouhat tulevat sekä yrityksen ulko- että sisäpuolelta.”

”Yrityksen tulee tuntea järjestelmiensä ja tiedonkäsittelykulttuurin todellinen tilanne”

12.5.2010

6

Juuri nyt tänään 2010

Esim. CERT-FI on Viestintävirastossa toimiva kansallinen tietoturvaviranomainen, jonka tehtävänä on tietoturvaloukkausten ennaltaehkäisy, havainnointi, ratkaisu sekä tietoturvauhkista tiedottaminen.

• http://www.cert.fi/

• Alan lehdet: IT-viikko, Tietokone…

Mitä tietoa kannattaa turvata?

Selvitä ensin, mitä liiketoiminnallesi tärkeää tietoa yrityksessäsi on?

• Henkilötiedot

• Asiakastiedot

• Tuotanto- ja hintatiedot

Mieti sitten, mitä seuraa, jos tieto joutuu vääriin päihin tai häviää!

ww

w.ti

etot

urva

opas

.fi–

Tiet

otur

vapä

ivä

vuos

ittai

n al

kuke

vääs

tä

12.5.2010

7

Suojattavaa tietoa voivat olla:

• asiakastiedot• tuotekehitystiedot• liiketoimintatiedot• tuotantotiedot• myynti- ja markkinointitiedot• henkilöstötiedot• yrityksen järjestelmiä koskevat tiedot

• Yksinkertainen tiedon luokittelu tarkoittaa yrityksen toiminnalle kriittisen tiedon erottamista muusta tiedosta.

• Tiedon luokittelu luo pohjan tiedon käsittelyohjeille. Niiden avulla jokainen tietoa käsittelevä voi tunnistaa yrityksen kannalta kriittisen tiedon.

Esimerkki tiedon luokittelusta

Vakavaa vahinkoa tai haittaa yritykselle tai työntekijälle

SALAINEN- Jakelu- tai pääsyoikeudet

Vahinkoa tai haittaa yritykselle tai työntekijälle

LUOTTAMUKSELLINEN- Jakelu- tai pääsyoikeudet

Ei hyötyä eikä haittaa SISÄINEN- yrityksessä työskentelevät henkilöt

Hyötyä yritykselle JULKINEN- ei rajoituksia tiedon käyttäjistä

12.5.2010

8

http://www.tietoturvaopas.fi• Sähköinen tiedon luokittelu ja sen mukainen käsittely vastaa paperilla olevan

tiedon käsittelyä.

• Tiedostoihin tulee laittaa luokittelumerkintä.

• Tiedon omistaja luokittelee tiedon ja määrittelee käyttöoikeudet.

• Tiedon käyttäjä käsittelee tietoa valitun luokan mukaisesti. Jos tiedon luokittelu ei ole tiedossa, sitä kannattaa käsitellä luottamuksellisena. Kerran julkistettua tietoa ei saa enää salaiseksi!

• Luokittelu kannattaa pitää yksinkertaisena, jotta henkilöstön on helppo käyttää sitä jokapäiväisessä työssä.

• Luokittelussa pitää ottaa huomioon myös, mitä ja miten tietoja käsitellään työpaikan ulkopuolella ja kuka luottamuksellisia tai salaisia tietoja käsittelee.

• Esimerkki luokitellun tiedon käsittelyohjeista. Kts. http://www.tietoturvaopas.fi/yrityksen_tietoturvaopas/kasittelyohjeet.html

Liikkuvan työn tietoturvallisuus

• Kotitoimisto

• Matkat kodin ja toimiston välillä

• Työmatkat

• Avoimen verkon käyttö

12.5.2010

9

Liikkuvalla työllä on erityispiirteitä

Liikkuvalla työllä käsitetään kaikkea sitä työtä, jota tehdään yrityksen varsinaisten toimitilojen ulkopuolella.

• Kotitoimisto• Matkat kodin ja työpaikan välillä• Työmatkat• Avoimen wlan-yhteyden käyttö• Bluetooth yhteydet matkan päällä

Etätyöskentelyssä pitää ottaa huomioon yhteyden turvallisuus erityisesti suojattavia tietoja käsiteltäessä. Onko suojattaviin tietoihin pääsy kotoa tai matkapuhelimella ylipäätään tarpeellista?!

• Salausohjelmien käytöllä on suuri merkitys (SSL/VPN)Salakirjoittamalla suojaaminen

Tiedon käytettävyys ja fyysinen tietoturva

• Mitä tapahtuu, kun laitteesi särkyy?

• Säännöllisellä varmuuskopioinnilla vältät tietojen menetyksen, jos esim. kannettava tai puhelin tipahtaa jokeen tai häviää.

• Ja turvakopiot voi viedä pankin talleholviin.

• Onhan toimiston paloturvakaappi hyvässä paikassa?

12.5.2010

10

Tiedon joutuminen sivullisten haltuun

• Älä kailota ! Liikesalaisuudet voi kuulla kilpailija, toimittaja tai kuka vaan.

• Myös työpaperit ja kannettavan näyttö kannattaa suojata uteliailta katseilta julkisilla paikoilla.

Haittaohjelmat (”virukset”)

• Haittaohjelmat leviävät helposti myös muistitikkujen kautta.

• Voivat ohittaa yrityksen palomuurin ja muun verkkotietoturvan

• Ei välttämättä näy eikä tunnu käyttäjälle

• Yksi vinkki:

estä Windowsin autorun-ominaisuus

• Toinen: Osta erillinen suojauslaite (unified threatmanagement system, UTM-laite; sisältää virussuojan, tunkeutumisen eston tms. yksissä kuorissa)

12.5.2010

11

Viestinnän suojaaminen

• Avoimessa verkossa on huolehdittava viestinnän suojaamisesta (ssl/vpn).

• Mobiililaajakaista on turvallisempi kuin WLAN-hotspot, koska muut eivät pääse samaan ”lähiverkkoon”.

• Viestien suojaaminen salakirjoittamalla on tärkeää, kun lähetettävä aineisto halutaan pitää salassa.

• Suomalainen lainsäädäntö viestinnän luottamuksellisuudesta koskee vain suomalaisia palveluntarjoajia.

Bluetooth

Tarkista tietokoneesi ja kännykkäsi Bluetooth-asetukset

• Estä laitteesi näkyvyys, ellet halua muodostaa uusia laitepareja

• Älä hyväksy tuntemattomia yhteyspyyntöjä

Yhteys voi katketa, kun kävelee vähän matkan päähän (”bluetoothilta suojaan”)

12.5.2010

12

Yhteenveto

• Tunnista ja suojaa tärkeä tieto.

• Rajoita tiedon määrää kannettavissa laitteissa.

• Huolehdi varmuuskopioinnista.

• Suojaa avoimessa verkossa liikkuva tieto.

• Ohjeista henkilöstö liikkuvan työn riskeistä.

Elinkeinoelämän keskusliiton yritysturvallisuuden neuvottelukunnan turvallisuusmalli

Yritysturvallisuuden osa-alueet• Henkilöturvallisuus • Kiinteistö- ja toimitilaturvallisuus • Pelastustoiminta • Rikosturvallisuus • Tietoturvallisuus • Tuotannon ja toiminnan turvallisuus • Työturvallisuus • Ulkomaantoimintojen turvallisuus • Valmiussuunnittelu • Ympäristöturvallisuus

ww

w.y

tnk.

fi

12.5.2010

13

Yritysturvallisuuden neuvottelukunta

Ihmiset Maine

Tieto

Ympäristö

Omaisuus

ModelYritysturvallisuuden neuvottelukunta

Ihmiset Maine

TietoYmpäristö

Omaisuus

Rikos-turvallisuus

Tuotannon jatoiminnan turvallisuus

Työsuojelu ja työturvallisuus

Ympäristö-turvallisuus

Pelastus-turvallisuus

Liike-toiminnanjatkuvuus

Tieto-turvallisuus

Henkilö-turvallisuus

Kiinteistö-ja toimitila-turvallisuus

Ulkomaantoimintojenturvallisuus

12.5.2010

14

ModelModelModelModel

Ihmiset Maine

TietoYmpäristö

Omaisuus

Rikos-turvallisuus

Tuotannon jatoiminnanturvallisuus

Työsuojelu jatyöturvallisuus

Ympäristö-turvallisuus

Pelastus-turvallisuus

Liiketoiminnanjatkuvuus

Tieto-turvallisuus

Henkilö-turvallisuus

Kiinteistö- jatoimitila-

turvallisuus

Ulkomaantoimintojenturvallisuus

Tietoturvatyön suunnittelu

• Hyödykkeiden tuotantoon ja tarjontaan kohdistuvat uhat asettavat turvallisuusvaatimukset.

• Turvallisuusvaatimukset asettavat tavoitetilan.

• Turvallisuusvaatimusten ja nykytilan välinen ero määrittelee turvallisuustarpeen.

• turvallisuusvaatimukset - nykytila = turvallisuustarpeet (eli kehittämistarve).

12.5.2010

15

Tietoturvallisuuden osa-alueita

Hallinnollinen tietoturvallisuus Henkilöstöturvallisuus Fyysinen turvallisuus TietoliikenneturvallisuusLaitteisto- ja varusohjelmistoturvallisuus (Sovellus)ohjelmistojen

ja sähköisten palveluiden turvallisuus Tietoaineistoturvallisuus Käyttöturvallisuus

ww

w.v

m.fi

/vah

ti

Lähtötilanne Tavoitetilanne

� Säilytettäviä tietoturvallisuuden toimintatapoja

� Pois opittavia tietoturvallisuuden toimintatapoja

� Uusia opittavia tietoturvallisuuden toimintatapoja

� Muutosvaiheen tietoturvallisuuden vaaliminen

12.5.2010

16

Jatkuu verkossa…

• http://www.tietoturvaopas.fi• http://www.ytnk.fi

• http://www.finnsecurity.fi• http://www.tietoturva.fi• http://www.lapty.fi

• http://www.vm.fi/vahti• http://www.cert.fi

• Rikoksen torjuntaneuvoston verkkosivut

http://www.turvallisuussuunnittelu.fi/

• Sisäisen turvallisuuden ohjelman verkkosivut

http://www.intermin.fi/intermin/hankkeet/turva/home.nsf

� FM, CISSP, nyt vanhempi tietohallinnon erikoisasiantuntija sisäasiainhallinnossa HALTIKissa Rovaniemellä, poliisihallinnon tietohallinnossa 2001-2008.

Nokian verkkoyksikössä 1996-2001 ja

sitä ennen Helsingin yliopistossa (mm. tietojenkäsittelytieteen laitos sekä tutkimus- ja koulutuskeskus; erilaisia opetustehtäviä).

� Finnsecurity ry (www.finnsecurity.fi),

Tietoturva ry (www.tietoturva.fi),

Henkilöstöjohdon ryhmä HENRY ry (www.henryorg.fi),

Työsuojelupäälliköt ry (www.finnsafe.net),

(ISC)2 Advisory Board Europe 2007-2009 (www.isc2.org).

Turvallisuusjohtamisen koulutusohjelma 2008 (dipoli.hut.fi/turva)

Kaiku-työhyvinvoinnin kehittäjän koulutus 2010

(www.kaiku-tyohyvinvointipalvelut.fi).

CISSP in good standing since 1999.