Guru Days 23.9.2011 - Salcom Turva

Guru Days – Salcom Turva

Tervetuloa!

23.9.2011 Kimmo VesajokiSalcom Group Oy

Agenda 23.9.2011

09.40 Tietoturvallisuuden haasteet liiketoiminnan kannalta ja miten niihin tulee suhtautua. Jari Liesoja, Salcom Group Oy

10.10 Mikä se heikoin lenkki olikaan?Risto Hännikäinen, Salcom Group Oy– Tietoturva-osaaminen: tietoa, asennetta vai molempia?– Henkilöstön tietoturvaosaamisen kehittäminen: eri toteutustapoja

10.50 Sertifikaatit helpommin ja kustannustehokkaasti – Entrustvarmennepalvelut, Pertti Eskelinen, Salcom Group Oy– Minkälaisia sertifikaatteja kannattaa hankkia?– Mitä niistä kannattaa maksaa (maksatko edelleen VeriSign -hintoja?)

Salcom Group – kokonaisvaltainen IT palvelija

Lupauksemme

– Koulutus– Suomen osaavimmat kouluttajat tieto-taidon ylläpitämisen ja kehittämisen.

Asiantuntijakoulutuksen laatu toistuvasti 3. parhaan joukossa Pohjoismaiden 25:n Microsoft koulutuskumppanin joukossa (Lähde: MTM). Käyttäjäkoulutus sai kaikista tutkituista yrityksistä parhaan yleisarvosanan sekä ensimmäisen sijan opetustaidossa ja parhaat arviot hinnan suhteessa laatuun (Taloustutkimus IT/ICT Feedback 2009).

– Konsultointi ja käyttöönottoprojektit– Syvällistä näkemystä, suunnitteluvoimaa ja toimituskykyä haastaviin IT-

infrastruktuurin, käyttäjähallinnan ja tietoturvan kehityshankkeisiin. Monipuolisuuden takaa yli 50 asiantuntijaamme.

– Käyttö- ja tukipalvelut– Kustannustehokas vastuunotto IT-infrastruktuurin ylläpidosta, hallinnasta ja kehittämisestä.

Osin tai kokonaan. Tyytyväisyydestä kertoo yli 40 asiakasta.

– Ohjelmistot– Järjestelmäylläpitoa, käytettävyyttä ja suorituskykyä tehostavat ohjelmistot IT-

infrastruktuurin, käyttäjähallinnan ja tietoturvan hallintaan. Ohjelmistoylläpitojen vuosittainen >90% uusimisaste kertoo asiakaskokemuksesta ja lisäarvosta.

– Laitteet– ”One-stop-shop”. Kattava laitevalikoima, kokoonpano- ja huoltopalvelu

sekä logistiikan hallinta palvelimista työsemiin, tulostimiin ja varusteisiin.

Salcom Group Oy numeroina

– Konsernin ennustettu v. 2011 liikevaihto n. 15 meur (2010 liikevaihto 7,9 meur).

– Henkilöstön kokonaismäärä n. 85.

– Perustettu 2001, nimenvaihdos Salcom Group Oy:ksi 2007.

– Koulutamme vuosittain n. 2000 IT asiantuntijaa ja 25000 loppukäyttäjää.

– Olemme Suomen suurin Microsoft-kouluttaja (Lähde: Microsoft).

– Asiakkaita yli tuhat– >500 ohjelmisto- ja laiteasiakasta

– >1000 koulutusasiakkuutta

– >40 käyttö-ja tukipalveluasiakasta

– >200 asiakkuutta konsultointi- ja käyttöönottopalveluille

– Salcom Group Oy koko historiansa ajan kasvanut kannattavasti kuuluen Suomen vahvimpiin AAA-luokitettuihin yhtiöihin (lähde: Asiakastieto).

– Päämarkkina Suomi, ohjelmistotoimitusten osalta myös Pohjoismaat ja Baltian maat.

Gurujen yhteystiedot ja toimipisteet

Helsinki, pääkonttori ja koulutuskeskus

Kornetintie 3

00380 Helsinki

Puh. 020 764 1010

Faksi 020 764 1011

Email: [email protected]

www.salcom.fi

Y-tunnus: 2158867-5

Jyväskylä

PL 11 (Polttolinja 1)

40521 Jyväskylä

Puh. 020 764 1020

Pori

Tiedepuisto 4

28600 Pori

Puh. 020 764 1025

Secit Oy

Viljatie 4 C

00700 Helsinki

Puh. 09 350 8220

Fax. +358 9 347 1871

E-mail: [email protected]

www.secit.fi

mailto:[email protected]

http://www.salcom.fi/


http://www.secit.fi/

Agenda 23.9.2011




Tietoturvallisuuden haasteet liiketoiminnan kannalta

Jari Liesoja

Senior Technology Consultant

Salcom Group Oy

Lähtökohta

Yrityksessä tulee määritellä ja ymmärtää, mitä tietoturvallisuudella omassa toiminnassa

tarkoitetaan ja mitä sillä tavoitellaan

– Mikä on tietoturvan rooli osa yrityksen toiminnan ja laadun kannalta?– Riskien hallinta, toiminnan jatkuvuus, vaikutukset

kilpailukykyyn, lakien vaikutus toimintaan, tietoturvan mitoitus?

Haasteita toiminnan kannalta

– Kenellä on vastuu tietoturvallisuuden johtamisesta ja voiko vastuun ulkoistaa?

– Onko tietoturvallisuus meille jatkuva kulu vai yksi tapa taata kilpailukykyä


– Miten selvitetään organisaation liiketoiminnan kannalta keskeisten tietoturva-alueiden nykytila ja mitä sen jälkeen?

– Voimmeko tehdä itse, kenellä osaaminen ja aikaa, mitkä ovat oikeat osa-alueet, kehityssuunnittelu, käyttöönotto, seuranta?

– Mistä resurssit tietoturvan laadun varmistukseen ja hallintaan?

– Mihin yrityksessä tulee keskittyä ja mihin oikeasti on mahdollisuus?


– Miten hallita kokonaisuutta hyvin?

– Oikotietä ei ole olemassa

– Jatkuva prosessi

– Tulee huomioida toiminnan vaatimukset, ihmiset, asenteet, motivointi, ohjeistus, koulutus, palveluiden hallinta, kumppanien hallinta, sopimukset, teknologia jne.

= Johtamalla tietoturvallisuutta osana yrityksen toimintaa


Salcom Turva

– Mielestämme tietoturvan tulee olla osa nykyaikaisen yrityksen toimintaa, toiminnan laatua sekä johtamista

– Haluamme ymmärtää asiakkaamme liiketoimintaa ja sen asettamia vaateita tietoturvallisuudelle

– Tarjoamme asiakkaillemme edellytykset tietoturvan tehokkaaseen hallintaan, emme tietoturvan ulkoistuspalveluita

– Tuotamme palvelua tietoturvan laadun varmistukseen ja tehokkaaseen hallintaan

– Tarjoamme ratkaisumalleja toiminnan vaatimusten mukaisesti

– Konsultointia, dokumentointia, kehitystä, koulutusta, tuotteita, teknologioita tulevaisuuden tarpeisiin

Salcom Turva

Tietoturvallisuus & Salcom Group

”Salcomin ansiosta korkeatasoinen tietoturva ja IT:n hallinta ei ole enää ankaran puurtamisen takana.”

Jukka Vepsäläinen, Oy Scan-Auto Ab

”Salcom Groupin konsultilla oli korkeatasoinen näkemys ja kokemus tietoturvakonsultoinnista ja asiakasauditoinneista. Niiden avulla me pystyimme täyttämään asiakkaan tietoturvavaatimukset ja läpäisimme auditoinnin”

Keijo Koivu, Sofica Oy

Tietoturvallisuus & Salcom Group

http://www.quest.com/

Kiitos!

Tutustu tarjontaamme tarkemmin:

www.salcom.fi

http://www.salcom.fi/

Agenda 23.9.2011




Tietoturvan osaamisen kehittäminen organisaatiossa

eli

Mikäs se heikoin lenkki olikaan ….?Ja mitä sille voi tehdä?

Risto HännikäinenSalcom Group [email protected] 500 7174


Vanhoja totuuksia

Johonkin on pakko luottaa!

Ihminen tietoturvan osana

– Arvioiden mukaan yli 70% tietoturvarikkomuksista johtuu organisaation oman henkilöstön tahallisista tai tuottamuksellisista toimista

– Oma henkilöstö on siis suurin yksittäinen tietoturvariski

Lähde: Turun Sanomat

Tuhannen taalan kysymys!

– Ota muutamaa, satunnaista henkilöstön jäsentä olkapäästä kiinni ja kysy seuraava kysymys:– Kuka on organisaatiomme tietoturvapäällikkö?

– Jos vastaus tulee ja on oikein, voit hengittää hiukan vapaammin– Teiltä löytyy tietoturvaorganisaatio, jonka pohjana luultavimmin

on tietoturvapolitiikka ja –ohjeistus ja promoottorina johto– Tietoturvaohjeistus on siirretty henkilöstön tietoon

– Jos vastausta ei tule tai se on väärin, eikä edes tiedetä mistä tiedon löytää, on tarve parantaa henkilöstön tietoturvaan liittyvää asennetta ja osaamista– Hyväkin ohjeistus ja organisaatio ei auta, jos henkilöstö ei tiedä

siitä mitään!

Henkilöstön tietoturvaosaaminen

– Henkilöstön tietoturvakoulutuksen tulee vaikuttaa sekä asenteeseen että osaamiseen

– Asenteiden muutos vaatii koulutuksen sisällöltä läheistä yhteyttä omaan elämään ja työpäivän arkeen

– Uhkailu ja pelottelu eivät ole oikeita välineitä!

– Menetelmiä– Tietoiskut– Työpajat– Verkkototeutukset

– Sisältö– Kartoitukset ja mittaukset

Asenne

Osaaminen

Menetelmiä

– Työpajat

+ Tehokkain, mieleenjäävin

+ Antaa eniten pontta asialle

- Vaatii järjestelyjä

- Voi vaatia kouluttajan matkustamista

– Verkkototeutus

+ Aika-riippumaton

+ Monipuolinen

- Iso valmistelutyö

- Erot oppimis-kulttuurissa

– Tietoiskut

+ Tehokas, mieleenjäävä

+ Antaa pontta asialle

- Vaatii järjestelyjä

- Voi vaatia kouluttajan matkustamista

Sisäinen vai ulkoinen kouluttaja?

– Sisäinen

+ Osaaminen jo olemassa

+ Oman organisaation tuntemus

- Matalampi kynnys jäädä pois, matalampi auktoriteetti

- Asiantuntija ei välttämättä ole esiintyjä

- Liiallinen yksityiskohtaisuus

– Ulkoinen

+ Laaja osaaminen organisaatiorajojen yli

+ Korkeampi auktoriteetti

- Vaatii valmistautumista kouluttajalta

- Vaatii myös omaa aikaa

Kuka omistaa henkilöstön tietoturvaosaamisen kehittämisen prosessin?

Case: Eteläsuomalainen kaupunki

Tutustuminen tietoturvapolitiikkaan

ja -ohjeistukseen

Ohjeistuksen täsmentäminen,

erityisesti puheliikenne ja älypuhelimet

Koulutussuunnittelu ja materiaalin

valmistusKoulutus

Esimieskunnan työpajat (2 kpl)

Henkilöstön tietoiskut (5 kpl)

Osaamisen varmistuswww-kyselyllä

Jatkokyselyt

Raportointi

2 htp 2,5 htp 1 htp

Matkaviestinten tietoturva

– Rehellisyys maan perii

– Kuinka monella on juuri nyt matkaviestimessä suojakoodi päällä?

– Kuka tietää tietoisesti Bluetooth-asetuksensa?

– Onko lukitus SIM-korttia vaihdettaessa päällä?

Tietoturva-ohjeistuksen

täsmen-täminen

Matkaviestin-ohjeistus(max A4)

Älypuhelinkoulutukset (½ pv)

Peruspuhelintietoiskut (1 h)

Feed-back

Ammattilaisten tietoturvaosaaminen

Kiitos ajastanne!

Vastaan mielelläni mahdollisiin kysymyksiinne!

Risto Hännikä[email protected] 500 7174



Agenda 23.9.2011




Sertifikaatit helpommin ja kustannustehokkaasti Entrust varmennepalvelut

Minkälaisia sertifikaatteja kannattaa hankkia?Mitä niistä kannattaa maksaa (maksatko edelleen VeriSign -hintoja?)

Pertti EskelinenSalcom Group [email protected] 5066565


Myyjän ongelma: mitä esitellä – ja miten?

– Helpompi AD-hallinta ja AD-sentrinen IdM – Quest Active Roles Server

– Windows-hakemistojen oikeuksien hallinta – Quest Access Manager

– Unix/Linux/Mac osaksi AD-hallintaa – Quest Authentication Services

– Vahvan autentikoinnin joustava alusta – Entrust IdentityGuard

– Kertakirjautuminen – Oracle eSSO

– Web-SSO – Entrust GetAccess

– Federointi – Entrust Identity Guard

– PKI ja korttituotanto – Entrust Smart Credentials

– Tietoturvapäivitysten hallinta – Shavlik

– Sertifikaatit (SSL, CDS, Signing) – Entrust

– Lokipohjainen seuranta (SIEM) – Quest Intrust

– Pankkijärjestelmän valvonta – Entrust Transaction Guard

... tietoturvan ratkaisuja jo pitkältä ajalta ...

Lyhyt gallup ...

– Kuinka moni on tekemisissä sertifikaattien kanssa –esim. konsultoinnin, hankinnan, asentamisen, tms. osalta ?

– Millaisiin sertifikaatteihin toiminta on kohdistunut:– SSL – palvelujen ja palvelimien varmentaminen

– Adobe CDS – sähköiset allekirjoitukset Tokeneilta

– Adobe CDS – sähköiset allekirjoitukset Hardware Secure Module –laitteilta (HSM)

– Code Signing - ohjelmistokehitykseen

– User – sähköpostien varmentamiseen

– Millaisia haasteita on tullut vastaan sertifikaattien osalta?

Pikainen kertaus SSL sertifikaateista

– https-sivulle

– klikkaa lukon kuvaa

– varmentaja on tutkinut, että kyseessä on todellinen yritys ja että sillä on oikeus antaa palvelua tässä web-osoitteessa. Tämän jälkeen varmentaja on toimittanut asiakkaalle sertifikaatin, jolla salataan liikenne käyttäjän selaimen ja asiakkaan palvelun välillä

– vihreä osoitepalkki Extended Validation. Varmentaja – esim. Entrust – on

tehnyt syvällisemmän selvityksen.

Kiitos!

Kysymyksiä?

Pertti [email protected] 5066565


Documents

Guru Days 23.9.2011 - Salcom Turva