Esittely latautuu. Ole hyvä ja odota

Esittely latautuu. Ole hyvä ja odota

Olavi Manninen Tietoturvapäällikkö

JulkaistuTimo-Pekka Nurmi Muutettu yli 9 vuotta sitten

Samankaltaiset esitykset

Esitys aiheesta: "Olavi Manninen Tietoturvapäällikkö"— Esityksen transkriptio:

1 Olavi Manninen Tietoturvapäällikkö 4.11.2013
Esitys IT2013-päivillä: Tietoturvallisuuden tilanne yliopistoissa ja ammattikorkeakouluissa

2 Esityksen sisältö Mitä tietoturvahaasteita korkeakouluilla on?
Keitä meillä on vastaamassa näihin haasteisiin? Mitä korkeakouluissa voidaan tehdä tietoturvallisuuden kehittämiseksi? Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

3 Mitä tietoturvahaasteita korkeakouluilla on?
hajautuneen tietojenkäsittely-ympäristön monimutkaisuus kuluttajistuminen (BYOD-laitteet) pilvipalveluiden käyttö haktivismi ja vakoilu lainsäädännön ja muiden säädösten laajuus, palveluihin liittyvät sopimuskäytännöt muuttuneet odotukset ja asenteet tietoturvaa kohtaan käyttäjien tietoturvatietoisuuden ja –osaamisen puutteet ”tieteen vapaus” raportointi korkeakoulun johdolle ja johdon tuki pienet tietoturvaresurssit Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

4 Käytännön tasolla tunnistettuja puutteita korkeakoulun tietoturvallisuudessa / osa 1
Asenne, tietokoneet ja huoneet lukitsematta Tunnusten luovuttaminen toiselle, salasanat paperilla Pilvipalveluiden ja sähköpostin huoleton käyttö Varmuuskopiointi, varmuuskopioiden säilytys Muistitikkujen, tietokoneiden ja mobiililaitteiden suojaaminen ja matkakäyttö Tulostaminen ja tulosteet Osaamisen ja tiedon puute Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

5 ... puutteita tietoturvallisuudessa / osa 2
Puutteet järjestelmissä, korkeakoululla ei tarjolla sopivaa palvelua Elinkaariajattelun puuttuminen Puutteet varahenkilöjärjestelyissä Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

6 Yleisiä käsityksiä tietoturvallisuudesta
Tietoturvaa pidetään usein puhtaasti teknisenä asiana. Virustorjunta, palomuurit ym. tekniset keinot eivät auta jos työntekijät tai opiskelijat toimivat väärin. Tietoturvallisuutta ei voi ostaa - meidän on itse huomioitava tietoturvallisuus omassa työssämme. Siksi meidän jokaisen pitää omalta osaltaan huomioida tietoturva-asiat jokapäiväisessä työssä: aineistojen käsittely, säilytys, suojaaminen, aineistojen hävittäminen, varmuuskopioinnit jne. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

7 Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin
Yliopistojen tietoturvapäälliköt/tietoturvavastaavat: 14 yliopistoa + MPKK noin puolessa on vähintään yksi kokopäiväinen tietoturvavastaava, muissa tietoturvavastaava käyttää tyypillisesti 50 % työajasta tietoturvatehtäviin pääosa vastaavista toimii IT-palveluorganisaatiossa, kolmessa yliopistossa tietoturvapäällikkö sijoitettu IT-palveluyksikön ulkopuolelle Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

8 Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin
Ammattikorkeakoulujen tietoturvavastaavat 25 ammattikorkeakoulua + PolAMK tietoturvavastaavan tehtäviä hoitaa tekniikasta vastaava IT-päällikkö tai joku tekninen asiantuntija muiden tehtävien ohessa Tietoturvavastaavien lisäksi korkeakouluissa on joukko teknisestä tietoturvasta vastaavia asiantuntijoita verkko, tallennusympäristöt, palvelimet, AD, valvonta, työasemat, mobiililaitteet, IDM-järjestelmä, tietojärjestelmät/palvelut Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

9 Ratkaisuja tietoturvan kehittämiseksi: yhteistyötä ja hyvien käytäntöjen jakamista
Tietoturvayhteistyöverkostot Yhteydenpito IT-johtajien verkostoon Tietoturvasäännöt ja tietoturvaohjeet Tietoturvan jalkauttaminen korkeakoulussa Pilvipalveluiden arviointi, tiedonluokitteluohjeet Tietoturvastandardit ja tietoturva-auditoinnit Ajankohtaisviestintä korkeakoulun sisällä Tietoturvapoikkeamien käsittely Raportointi ja yhteydenpito korkeakoulun johtoon Uudet tekniset tietoturvaratkaisut Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

10 Muuttuneet odotukset ja asenteet tietoturvaa kohtaan
Tietoturvatyössä ei enää voida lähteä siitä, että kategorisesti kielletään asioita. Tietoturvallisuuden kanssa samassa vaakakupissa on toiminnan joustavuus ja kustannukset. Käyttäjät löytävät tarvittaessa keinoja kiertää tehdyt rajoitukset. On siis pyrittävä olemaan käyttäjien tukena ja etsittävä aktiivisesti ratkaisuja erilaisiin tilanteisiin. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

11 Tietoturvayhteistyöverkostot
Yliopistojen tietoturvayhteistyöllä on pitkät perinteet lähes internetin alkuajoista asti. Yliopistojen Sec-ryhmä toimii mm. viestintäkanavana yliopistojen kesken sekä yliopistojen ja Funet CERTin välillä. Sec-työvaliokunta (Sec-tv) koostuu yliopistojen tietoturvapäälliköistä. Keskeinen tehtävä on koordinoida yliopistojen tietoturvayhteistyötä yhdessä Fucion kanssa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

12 Tietoturvayhteistyöverkostot
Ammattikorkeakouluilla on yliopistojen Sec-ryhmää vastaava AMK-SEC-ryhmä. Yksi korkeakoulujen tietoturvayhteistyön muoto on jokakeväiset Sec-päivät. Vuoden 2014 Sec-päivät järjestää Hämeen ammattikorkeakoulu. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

13 Tietoturvasäännöt Tietoturvapolitiikka ja muu tietoturvasäännöstö luovat tietoturvallisuuden pohjan. Korkeakoulujen FUSEC-työryhmä on laatinut uuden version korkeakoulujen tietoturvasäännöstöstä. Osa korkeakouluista on jo ottanut tai on parhaillaan ottamassa uuden säännöstön käyttöön. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

14 Tietoturvaohjeet Yliopistojen tietoturva-asiantuntijoista koostunut työryhmä on laatinut tietoturvaohjeita henkilöstön ja opiskelijoiden käyttöön tarkoitettuja tietoturvaohjeita.  Tietoturvaohjeet Henkilöstön tietoturvaopas Henkilöstön tietoturvan pikaohje Opiskelijan tietoturvaopas Opiskelijan tietoturvan pikaohje Mobiiliturvaohje henkilöstölle ja opiskelijoille (PDF) Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

15 Tietoturvan jalkauttaminen korkeakoulussa
Pelkkä tietoturvasääntöjen ja tietoturvaohjeiden laittaminen henkilöstön ja opiskelijoiden saataville ei riitä. Tietoturva-asioiden tulisi olla mukana henkilöstön ja opiskelijoiden perehdyttämisessä. Tietoturvatietoisuuden ja tietoturvaosaamisen ylläpitäminen edellyttää säännöllisiä koulutuksia. Lisäksi tietoturvatietoisuuden ja kiinnostuksen ylläpitämiseksi kannattaa miettiä tietoturvan ajankohtaistiedotuksen keinoja. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

16 Pilvipalveluiden soveltuvuus korkeakoulukäyttöön
PiPa-SIG -työryhmä on luonut korkeakoulujen pilvipalveluiden arviointisivuston Sivustolla on arvioitu sellaisia palveluita, joiden tiedetään kiinnostavan korkeakoulujen käyttäjiä. Pilvipalveluiden arvioinneista on oma esitys IT2013- päivillä. Korkeakoululla tulee olla käyttäjille tiiviit ja helposti avautuvat tiedonluokitteluohjeet. Ohjeet tulee jalkauttaa osaksi toimintaa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

17 Mikä on riittävä tietoturvallisuuden taso ja miten se voidaan varmistaa?
Korkeakoulun tulee huolehtia siitä, että sen järjestelmissä toteutetaan riittävä tietoturvan ja tietosuojan taso. Mm. EU:n tulevassa tietosuoja-asetuksessa on luonnosteltu huomattavia sanktioita laiminlyönneistä. Mikä on riittävä tietoturvan taso ja millä se todistetaan? Yliopistot ovat selvittämässä valtionhallinnon tietoturvatasojen käyttämistä yhteisenä tietoturvastandardina. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

18 Tietoturva-auditoinneista
Tietoturva-auditointeja voidaan käyttää varmistamaan tietoturvallisuuden tilannetta. Auditointeja voidaan toteuttaa monin eri tavoin Ulkopuolinen / sisäinen / vertaisauditointi Tietoturvan hallintamallin auditointi / Tekninen auditointi Auditoinnista on erilliset esitykset IT2013-päivien ohjelmassa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

19 Tietoturvapoikkeamien käsittely
Poikkeamien käsittely ja seuranta on tärkeää tietoturvallisuuden tilannekuvan kannalta. Yleensä on vaikeaa saada käyttäjiltä ja ylläpidolta ilmoituksia kaikista poikkeamista. Poikkeamatietojen kerääminen edellyttää selkeää toimintamallia ja aktiivista työtä. Vakavien ja lievien tietoturvapoikkeamien määrät ovat hyviä tietoturvamittareita. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

20 Raportointi ja yhteydenpito korkeakoulun johtoon
Ilman johdon tukea tietoturvatyö jää helposti tietoturva- asiantuntijoiden ja tietohallinnon puuhasteluksi. Tietoturvapolitiikka, tietoturvasuunnittelu, tietoturvaraportointi organisaation johdolle sekä tietoturva-asioiden säännöllinen käsittely ovat mukana mm. tietoturvatasojen perustason vaatimuksissa. Kuitenkin käytännössä on usein vaikeaa löytää hyvin toimivaa tapaa säännölliseen yhteydenpitoon. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

21 Tekniset tietoturvaratkaisut
Vaikka tietoturvallisuus ei ole pelkkää tekniikkaa, tietyt tekniset ratkaisut ovat hyödyllisiä tai välttämättömiäkin: (NextGen) palomuuri, IDS/IDP, keskitetty logitus ja SIEM-järjestelmä, verkon segmentointi, verkon skannaus-ohjelmistot, IDM-järjestelmä, palvelimien virtualisointi-ympäristöt, keskitetyt tallennus- ja varmistusympäristöt, työasemien keskitetty hallinnointi, mobiililaitteiden hallinta, haittaohjelmatorjunta, kryptausratkaisut, ... Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

22 Lopuksi Tietoturvahaasteita ja tekemistä niiden parissa riittää.
Tietoturvayhteistyön merkitys korostuu: verkostojen kautta käytettävissä laajempi osaaminen ja tekemistä voidaan jakaa. Kehittäminen kannattaa pilkkoa riittävin pieniksi osatavoitteiksi ja laittaa asiat tärkeysjärjestykseen. Kiitokset että jaksoit tänne asti! Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

Lataa ppt "Olavi Manninen Tietoturvapäällikkö"

Samankaltaiset esitykset

Kokeen laatiminen ja arviointi Tiia Karpin

Kokeen laatiminen ja arviointi Tiia Karpin
Osaamisen ja sivistyksen parhaaksi Kansallisen opetustoimen tietomallin vaatimukset korkeakoulujen tietomallille.

Osaamisen ja sivistyksen parhaaksi Kansallisen opetustoimen tietomallin vaatimukset korkeakoulujen tietomallille.
Lapin korkeakoulujen ja kuntayhtymien tietojärjestelmien yhdistäminen

Lapin korkeakoulujen ja kuntayhtymien tietojärjestelmien yhdistäminen
Korkeakoulujen laatujärjestelmien seuranta- ja kehittämisseminaari 20.3.2014 Saimaan ammattikorkeakoulun laadun ja laatujärjestelmän kehittäminen Terttu.

Korkeakoulujen laatujärjestelmien seuranta- ja kehittämisseminaari Saimaan ammattikorkeakoulun laadun ja laatujärjestelmän kehittäminen Terttu.
TIETOHALLINTO JA TIETOJÄRJ. KEH. PERUSTEET Pekka Makkonen ja kump.

TIETOHALLINTO JA TIETOJÄRJ. KEH. PERUSTEET Pekka Makkonen ja kump.
18.08.2005 1XX RESPONSE KEHITTÄMISKUMPPANUUS RESPONSE-KEHITTÄMISKUMPPANUUS www.redcross.fi.

XX RESPONSE KEHITTÄMISKUMPPANUUS RESPONSE-KEHITTÄMISKUMPPANUUS
Tietoturvallisuuden huonetaulu

Tietoturvallisuuden huonetaulu
Yhteistyössä Tietohallinto liikunnassa ja urheilussa 25.6.2014.

Yhteistyössä Tietohallinto liikunnassa ja urheilussa
1 Heli Lepomäki 24.2.2010. Yritysten ja muiden organisaatioiden käyttöön sähköinen työpöytä on jo leviämässä, koska niiden toiminta ja asiakaspalvelu.

1 Heli Lepomäki Yritysten ja muiden organisaatioiden käyttöön sähköinen työpöytä on jo leviämässä, koska niiden toiminta ja asiakaspalvelu.
Tietoturva, 2 ov jukka.harju@ksao.fi.

Tietoturva, 2 ov
TÖIDEN PRIORISOINTI JA AJAN HALLINTA

TÖIDEN PRIORISOINTI JA AJAN HALLINTA
Nykytilan kuvaus: Havainnointitutkimus

Nykytilan kuvaus: Havainnointitutkimus
Metropolian tietoturvapolitiikka Tai miltä se voisi näyttää.

Metropolian tietoturvapolitiikka Tai miltä se voisi näyttää.
Korkeakoulujen opetuksen ja oppimisen digitaalisen tuen hankkeet.

Korkeakoulujen opetuksen ja oppimisen digitaalisen tuen hankkeet.
Elämyshankekyselyn tulokset © Sovita Toteutus: Opiferum1.

Elämyshankekyselyn tulokset © Sovita Toteutus: Opiferum1.
Savonia-ammattikorkeakoulu on maakunnan aktiivinen kehittäjä, joka palvelee yhteistyökumppaneitaan kouluttamalla monitaitoisia ja oma-aloitteisia osaajia.

Savonia-ammattikorkeakoulu on maakunnan aktiivinen kehittäjä, joka palvelee yhteistyökumppaneitaan kouluttamalla monitaitoisia ja oma-aloitteisia osaajia.
Elinkeinopoliittinen mittaristo 2014 Pelkosenniemi 1.

Elinkeinopoliittinen mittaristo 2014 Pelkosenniemi 1.
Opi Analyzer Peruskäyttäjäkoulutus

Opi Analyzer Peruskäyttäjäkoulutus
Hyvään virkakieleen! Virkakielikampanja 13.10.2014−31.12.2015 Hyvään virkakieleen oppiminen Suosituksia yliopistoille ja ammattikorkeakouluille.

Hyvään virkakieleen! Virkakielikampanja − Hyvään virkakieleen oppiminen Suosituksia yliopistoille ja ammattikorkeakouluille.
 Tornion kaupunki.  Laitteistoista, verkoista ja ohjelmistoista ei ollut mainintaa dokumentissa, muutakun että järjestelmä- ja palvelutoimittajat.

 Tornion kaupunki.  Laitteistoista, verkoista ja ohjelmistoista ei ollut mainintaa dokumentissa, muutakun että järjestelmä- ja palvelutoimittajat.

Samankaltaiset esitykset

Iklan oleh Google