Upload
kimmo-vesajoki
View
591
Download
4
Embed Size (px)
DESCRIPTION
Perjantaina 23.8.2011 Salcom Groupin toimitiloissa pidetyn tietoturva-aamiaisseminaarin esitykset. Aiheina:tietoturvallisuuden haasteet liiketoiminnan kannalta, tietoturva-osaaminen: tietoa, asennetta vai molempia?, sertifikaatit helpommin ja kustannustehokkaasti – Entrust varmennepalvelut.
Citation preview
Guru Days – Salcom Turva
Tervetuloa!
23.9.2011 Kimmo VesajokiSalcom Group Oy
Agenda 23.9.2011
09.40 Tietoturvallisuuden haasteet liiketoiminnan kannalta ja miten niihin tulee suhtautua. Jari Liesoja, Salcom Group Oy
10.10 Mikä se heikoin lenkki olikaan?Risto Hännikäinen, Salcom Group Oy– Tietoturva-osaaminen: tietoa, asennetta vai molempia?– Henkilöstön tietoturvaosaamisen kehittäminen: eri toteutustapoja
10.50 Sertifikaatit helpommin ja kustannustehokkaasti – Entrustvarmennepalvelut, Pertti Eskelinen, Salcom Group Oy– Minkälaisia sertifikaatteja kannattaa hankkia?– Mitä niistä kannattaa maksaa (maksatko edelleen VeriSign -hintoja?)
Salcom Group – kokonaisvaltainen IT palvelija
Lupauksemme
– Koulutus– Suomen osaavimmat kouluttajat tieto-taidon ylläpitämisen ja kehittämisen.
Asiantuntijakoulutuksen laatu toistuvasti 3. parhaan joukossa Pohjoismaiden 25:n Microsoft koulutuskumppanin joukossa (Lähde: MTM). Käyttäjäkoulutus sai kaikista tutkituista yrityksistä parhaan yleisarvosanan sekä ensimmäisen sijan opetustaidossa ja parhaat arviot hinnan suhteessa laatuun (Taloustutkimus IT/ICT Feedback 2009).
– Konsultointi ja käyttöönottoprojektit– Syvällistä näkemystä, suunnitteluvoimaa ja toimituskykyä haastaviin IT-
infrastruktuurin, käyttäjähallinnan ja tietoturvan kehityshankkeisiin. Monipuolisuuden takaa yli 50 asiantuntijaamme.
– Käyttö- ja tukipalvelut– Kustannustehokas vastuunotto IT-infrastruktuurin ylläpidosta, hallinnasta ja kehittämisestä.
Osin tai kokonaan. Tyytyväisyydestä kertoo yli 40 asiakasta.
– Ohjelmistot– Järjestelmäylläpitoa, käytettävyyttä ja suorituskykyä tehostavat ohjelmistot IT-
infrastruktuurin, käyttäjähallinnan ja tietoturvan hallintaan. Ohjelmistoylläpitojen vuosittainen >90% uusimisaste kertoo asiakaskokemuksesta ja lisäarvosta.
– Laitteet– ”One-stop-shop”. Kattava laitevalikoima, kokoonpano- ja huoltopalvelu
sekä logistiikan hallinta palvelimista työsemiin, tulostimiin ja varusteisiin.
Salcom Group Oy numeroina
– Konsernin ennustettu v. 2011 liikevaihto n. 15 meur (2010 liikevaihto 7,9 meur).
– Henkilöstön kokonaismäärä n. 85.
– Perustettu 2001, nimenvaihdos Salcom Group Oy:ksi 2007.
– Koulutamme vuosittain n. 2000 IT asiantuntijaa ja 25000 loppukäyttäjää.
– Olemme Suomen suurin Microsoft-kouluttaja (Lähde: Microsoft).
– Asiakkaita yli tuhat– >500 ohjelmisto- ja laiteasiakasta
– >1000 koulutusasiakkuutta
– >40 käyttö-ja tukipalveluasiakasta
– >200 asiakkuutta konsultointi- ja käyttöönottopalveluille
– Salcom Group Oy koko historiansa ajan kasvanut kannattavasti kuuluen Suomen vahvimpiin AAA-luokitettuihin yhtiöihin (lähde: Asiakastieto).
– Päämarkkina Suomi, ohjelmistotoimitusten osalta myös Pohjoismaat ja Baltian maat.
Gurujen yhteystiedot ja toimipisteet
Helsinki, pääkonttori ja koulutuskeskus
Kornetintie 3
00380 Helsinki
Puh. 020 764 1010
Faksi 020 764 1011
Email: [email protected]
www.salcom.fi
Y-tunnus: 2158867-5
Jyväskylä
PL 11 (Polttolinja 1)
40521 Jyväskylä
Puh. 020 764 1020
Pori
Tiedepuisto 4
28600 Pori
Puh. 020 764 1025
Secit Oy
Viljatie 4 C
00700 Helsinki
Puh. 09 350 8220
Fax. +358 9 347 1871
E-mail: [email protected]
www.secit.fi
Agenda 23.9.2011
09.40 Tietoturvallisuuden haasteet liiketoiminnan kannalta ja miten niihin tulee suhtautua. Jari Liesoja, Salcom Group Oy
10.10 Mikä se heikoin lenkki olikaan?Risto Hännikäinen, Salcom Group Oy– Tietoturva-osaaminen: tietoa, asennetta vai molempia?– Henkilöstön tietoturvaosaamisen kehittäminen: eri toteutustapoja
10.50 Sertifikaatit helpommin ja kustannustehokkaasti – Entrustvarmennepalvelut, Pertti Eskelinen, Salcom Group Oy– Minkälaisia sertifikaatteja kannattaa hankkia?– Mitä niistä kannattaa maksaa (maksatko edelleen VeriSign -hintoja?)
Tietoturvallisuuden haasteet liiketoiminnan kannalta
Jari Liesoja
Senior Technology Consultant
Salcom Group Oy
Lähtökohta
Yrityksessä tulee määritellä ja ymmärtää, mitä tietoturvallisuudella omassa toiminnassa
tarkoitetaan ja mitä sillä tavoitellaan
– Mikä on tietoturvan rooli osa yrityksen toiminnan ja laadun kannalta?– Riskien hallinta, toiminnan jatkuvuus, vaikutukset
kilpailukykyyn, lakien vaikutus toimintaan, tietoturvan mitoitus?
Haasteita toiminnan kannalta
– Kenellä on vastuu tietoturvallisuuden johtamisesta ja voiko vastuun ulkoistaa?
– Onko tietoturvallisuus meille jatkuva kulu vai yksi tapa taata kilpailukykyä
Haasteita toiminnan kannalta
– Miten selvitetään organisaation liiketoiminnan kannalta keskeisten tietoturva-alueiden nykytila ja mitä sen jälkeen?
– Voimmeko tehdä itse, kenellä osaaminen ja aikaa, mitkä ovat oikeat osa-alueet, kehityssuunnittelu, käyttöönotto, seuranta?
– Mistä resurssit tietoturvan laadun varmistukseen ja hallintaan?
– Mihin yrityksessä tulee keskittyä ja mihin oikeasti on mahdollisuus?
Haasteita toiminnan kannalta
– Miten hallita kokonaisuutta hyvin?
– Oikotietä ei ole olemassa
– Jatkuva prosessi
– Tulee huomioida toiminnan vaatimukset, ihmiset, asenteet, motivointi, ohjeistus, koulutus, palveluiden hallinta, kumppanien hallinta, sopimukset, teknologia jne.
= Johtamalla tietoturvallisuutta osana yrityksen toimintaa
Haasteita toiminnan kannalta
Salcom Turva
– Mielestämme tietoturvan tulee olla osa nykyaikaisen yrityksen toimintaa, toiminnan laatua sekä johtamista
– Haluamme ymmärtää asiakkaamme liiketoimintaa ja sen asettamia vaateita tietoturvallisuudelle
– Tarjoamme asiakkaillemme edellytykset tietoturvan tehokkaaseen hallintaan, emme tietoturvan ulkoistuspalveluita
– Tuotamme palvelua tietoturvan laadun varmistukseen ja tehokkaaseen hallintaan
– Tarjoamme ratkaisumalleja toiminnan vaatimusten mukaisesti
– Konsultointia, dokumentointia, kehitystä, koulutusta, tuotteita, teknologioita tulevaisuuden tarpeisiin
Salcom Turva
Tietoturvallisuus & Salcom Group
”Salcomin ansiosta korkeatasoinen tietoturva ja IT:n hallinta ei ole enää ankaran puurtamisen takana.”
Jukka Vepsäläinen, Oy Scan-Auto Ab
”Salcom Groupin konsultilla oli korkeatasoinen näkemys ja kokemus tietoturvakonsultoinnista ja asiakasauditoinneista. Niiden avulla me pystyimme täyttämään asiakkaan tietoturvavaatimukset ja läpäisimme auditoinnin”
Keijo Koivu, Sofica Oy
Tietoturvallisuus & Salcom Group
Agenda 23.9.2011
09.40 Tietoturvallisuuden haasteet liiketoiminnan kannalta ja miten niihin tulee suhtautua. Jari Liesoja, Salcom Group Oy
10.10 Mikä se heikoin lenkki olikaan?Risto Hännikäinen, Salcom Group Oy– Tietoturva-osaaminen: tietoa, asennetta vai molempia?– Henkilöstön tietoturvaosaamisen kehittäminen: eri toteutustapoja
10.50 Sertifikaatit helpommin ja kustannustehokkaasti – Entrustvarmennepalvelut, Pertti Eskelinen, Salcom Group Oy– Minkälaisia sertifikaatteja kannattaa hankkia?– Mitä niistä kannattaa maksaa (maksatko edelleen VeriSign -hintoja?)
Tietoturvan osaamisen kehittäminen organisaatiossa
eli
Mikäs se heikoin lenkki olikaan ….?Ja mitä sille voi tehdä?
Risto HännikäinenSalcom Group [email protected] 500 7174
Vanhoja totuuksia
Johonkin on pakko luottaa!
Ihminen tietoturvan osana
– Arvioiden mukaan yli 70% tietoturvarikkomuksista johtuu organisaation oman henkilöstön tahallisista tai tuottamuksellisista toimista
– Oma henkilöstö on siis suurin yksittäinen tietoturvariski
Lähde: Turun Sanomat
Tuhannen taalan kysymys!
– Ota muutamaa, satunnaista henkilöstön jäsentä olkapäästä kiinni ja kysy seuraava kysymys:– Kuka on organisaatiomme tietoturvapäällikkö?
– Jos vastaus tulee ja on oikein, voit hengittää hiukan vapaammin– Teiltä löytyy tietoturvaorganisaatio, jonka pohjana luultavimmin
on tietoturvapolitiikka ja –ohjeistus ja promoottorina johto– Tietoturvaohjeistus on siirretty henkilöstön tietoon
– Jos vastausta ei tule tai se on väärin, eikä edes tiedetä mistä tiedon löytää, on tarve parantaa henkilöstön tietoturvaan liittyvää asennetta ja osaamista– Hyväkin ohjeistus ja organisaatio ei auta, jos henkilöstö ei tiedä
siitä mitään!
Henkilöstön tietoturvaosaaminen
– Henkilöstön tietoturvakoulutuksen tulee vaikuttaa sekä asenteeseen että osaamiseen
– Asenteiden muutos vaatii koulutuksen sisällöltä läheistä yhteyttä omaan elämään ja työpäivän arkeen
– Uhkailu ja pelottelu eivät ole oikeita välineitä!
– Menetelmiä– Tietoiskut– Työpajat– Verkkototeutukset
– Sisältö– Kartoitukset ja mittaukset
Asenne
Osaaminen
Menetelmiä
– Työpajat
+ Tehokkain, mieleenjäävin
+ Antaa eniten pontta asialle
- Vaatii järjestelyjä
- Voi vaatia kouluttajan matkustamista
– Verkkototeutus
+ Aika-riippumaton
+ Monipuolinen
- Iso valmistelutyö
- Erot oppimis-kulttuurissa
– Tietoiskut
+ Tehokas, mieleenjäävä
+ Antaa pontta asialle
- Vaatii järjestelyjä
- Voi vaatia kouluttajan matkustamista
Sisäinen vai ulkoinen kouluttaja?
– Sisäinen
+ Osaaminen jo olemassa
+ Oman organisaation tuntemus
- Matalampi kynnys jäädä pois, matalampi auktoriteetti
- Asiantuntija ei välttämättä ole esiintyjä
- Liiallinen yksityiskohtaisuus
– Ulkoinen
+ Laaja osaaminen organisaatiorajojen yli
+ Korkeampi auktoriteetti
- Vaatii valmistautumista kouluttajalta
- Vaatii myös omaa aikaa
Kuka omistaa henkilöstön tietoturvaosaamisen kehittämisen prosessin?
Case: Eteläsuomalainen kaupunki
Tutustuminen tietoturvapolitiikkaan
ja -ohjeistukseen
Ohjeistuksen täsmentäminen,
erityisesti puheliikenne ja älypuhelimet
Koulutussuunnittelu ja materiaalin
valmistusKoulutus
Esimieskunnan työpajat (2 kpl)
Henkilöstön tietoiskut (5 kpl)
Osaamisen varmistuswww-kyselyllä
Jatkokyselyt
Raportointi
2 htp 2,5 htp 1 htp
Matkaviestinten tietoturva
– Rehellisyys maan perii
– Kuinka monella on juuri nyt matkaviestimessä suojakoodi päällä?
– Kuka tietää tietoisesti Bluetooth-asetuksensa?
– Onko lukitus SIM-korttia vaihdettaessa päällä?
Tietoturva-ohjeistuksen
täsmen-täminen
Matkaviestin-ohjeistus(max A4)
Älypuhelinkoulutukset (½ pv)
Peruspuhelintietoiskut (1 h)
Feed-back
Ammattilaisten tietoturvaosaaminen
Kiitos ajastanne!
Vastaan mielelläni mahdollisiin kysymyksiinne!
Risto Hännikä[email protected] 500 7174
Agenda 23.9.2011
09.40 Tietoturvallisuuden haasteet liiketoiminnan kannalta ja miten niihin tulee suhtautua. Jari Liesoja, Salcom Group Oy
10.10 Mikä se heikoin lenkki olikaan?Risto Hännikäinen, Salcom Group Oy– Tietoturva-osaaminen: tietoa, asennetta vai molempia?– Henkilöstön tietoturvaosaamisen kehittäminen: eri toteutustapoja
10.50 Sertifikaatit helpommin ja kustannustehokkaasti – Entrustvarmennepalvelut, Pertti Eskelinen, Salcom Group Oy– Minkälaisia sertifikaatteja kannattaa hankkia?– Mitä niistä kannattaa maksaa (maksatko edelleen VeriSign -hintoja?)
Sertifikaatit helpommin ja kustannustehokkaasti Entrust varmennepalvelut
Minkälaisia sertifikaatteja kannattaa hankkia?Mitä niistä kannattaa maksaa (maksatko edelleen VeriSign -hintoja?)
Pertti EskelinenSalcom Group [email protected] 5066565
Myyjän ongelma: mitä esitellä – ja miten?
– Helpompi AD-hallinta ja AD-sentrinen IdM – Quest Active Roles Server
– Windows-hakemistojen oikeuksien hallinta – Quest Access Manager
– Unix/Linux/Mac osaksi AD-hallintaa – Quest Authentication Services
– Vahvan autentikoinnin joustava alusta – Entrust IdentityGuard
– Kertakirjautuminen – Oracle eSSO
– Web-SSO – Entrust GetAccess
– Federointi – Entrust Identity Guard
– PKI ja korttituotanto – Entrust Smart Credentials
– Tietoturvapäivitysten hallinta – Shavlik
– Sertifikaatit (SSL, CDS, Signing) – Entrust
– Lokipohjainen seuranta (SIEM) – Quest Intrust
– Pankkijärjestelmän valvonta – Entrust Transaction Guard
... tietoturvan ratkaisuja jo pitkältä ajalta ...
Lyhyt gallup ...
– Kuinka moni on tekemisissä sertifikaattien kanssa –esim. konsultoinnin, hankinnan, asentamisen, tms. osalta ?
– Millaisiin sertifikaatteihin toiminta on kohdistunut:– SSL – palvelujen ja palvelimien varmentaminen
– Adobe CDS – sähköiset allekirjoitukset Tokeneilta
– Adobe CDS – sähköiset allekirjoitukset Hardware Secure Module –laitteilta (HSM)
– Code Signing - ohjelmistokehitykseen
– User – sähköpostien varmentamiseen
– Millaisia haasteita on tullut vastaan sertifikaattien osalta?
Pikainen kertaus SSL sertifikaateista
– https-sivulle
– klikkaa lukon kuvaa
– varmentaja on tutkinut, että kyseessä on todellinen yritys ja että sillä on oikeus antaa palvelua tässä web-osoitteessa. Tämän jälkeen varmentaja on toimittanut asiakkaalle sertifikaatin, jolla salataan liikenne käyttäjän selaimen ja asiakkaan palvelun välillä
– vihreä osoitepalkki Extended Validation. Varmentaja – esim. Entrust – on
tehnyt syvällisemmän selvityksen.