tiistai 20. marraskuuta 2012

Tietoturvaisku 7.11.2012


Etelä-Pohjanmaan kauppakamari järjesti tietoturvaiskun 7.11.2012. Iltapäivän ohjelmaan kuului 3 luentoa, joissa pureuduttiin yritysten ja organisaatioiden uhkakuviin tietoturvan ja järjestäytyneen rikollisuuden suunnalta. Tietoturvan osalta tarjoiltiin myös työkaluja uhkien torjuntaan.

Opsec Oy:stä paikalla oli puhumassa allekirjoittanut ja otsikoksi oli annettu mielenkiintoinen


Mitä nykypäivän uhkakuvat tarkoittavat yritysten tietoturvallisuuden kannalta, mitä voidaan tehdä uhkien torjumiseksi.

Lupauksista huolimatta en toimita esitykseni "kalvoja" jakoon, sillä uskon ettei niistä ole juurikaan hyötyä teille ilman minua puhumassa ja heilumassa valkokankaan edessä. Siksi kirjaan tähän esitykseni tärkeimmät kohdat, hieman kalvoja laajemmalla tekstillä.

Nykypäivän uhkakuvat

Lähes kaikki meistä osaavat nimetä yhden ja jopa useammakin tietoturvauhan. Kattavan listan tekeminen sisältäisi paljon rivejä mutta sen kauhistelu ei auta juurikaan kehittämään oman organisaatiomme tietoturvaa. Tärkeämpää on tiedostaa mitä uhkia on olemassa, mihin eri laitteisiin ja järjestelmiin ne kohdistuvat ja mitä niistä yleisesti seuraa.

Uhkien osalta kannattaa tututustua tutkimuksiin ja raportteihin, joita löytyy niin ensimmäisellä kuin kolmannellakin kotimaisella kielellä. Tietonsa päivittämällä voi niiden osalta tehdä oikeita arvioita sen sijaan että perustaa päätöksensä arvailuihin ja uskomuksiin Viimeissimmät raportit murtavat  kadunmiehen totuuden Microsoftin turvattomuudesta. Hyviä ja suhteellisen tuoreita raportteja löytyy oheisista linkeistä 

Haavoittuvuudet ja haittaohjelmat: IT Threat Evolution Q3 2012 Kaspersky Labs
Mobiililaitteiden turvallisuus: F-Secure Mobile Threat Report Q3 2012

Raportteja lukiessa on kuitenkin tärkeää muistaa ettei omaa organisaatiotamme uhkaa 24/7 kaikki mahdolliset hakkerit ja haittaohjelmat. Uhkia arvioidessa tulee toki olla realistinen ja kenties jopa hieman pessimistinen, mutta epätoivoon on turha vaipua.

Ratkaisuja uhkakuviin

Tietoturvauhkiin vastataan usein tietoteknisillä ratkaisuilla kuten palomuurit ja virustorjunnat. Niitä ostetaan ja asennetaan pohtimatta sen tarkemmin miksi. Useimmiten vielä otetaan puolittain käyttöön ja unohdetaan kaappiin ihan samoin kuin pelastussuunnitelman toimintaohjeet hätätilanteessa. Uhkiin on vastattu ja voidaan olla tyytyväisiä, vai voidaanko.

Ratkaisu uhkiin on ennen yhdenkään teknisen järjestelmän käyttöönottoa tai politiikan kirjoittamista on kysyä mitä suojaamme ja mikä sitä uhkaa. Vasta tämän jälkeen voimme reagoida oikeilla keinoilla, jotka eivät missään tapauksessa ole vain teknisiä. Hyvin tehdyn työn päätteeksi usein havaitaan että tekniikan osuus on lopulta kohtuullisen pieni ja useimmiten sitä löytyy jo riittävästi. Tärkeämpää oli luoda turvallisuuskulttuuri, toimintatavat ja seuranta sekä kehitys.

Blogistamme löytyykin jo valmiina aiheeseen liittyen muutamia kirjoituksia, joihin kannattaa tutustua:

http://blog.opsec.fi/2012/09/tietoturvallisuus-henkilonsuojauksessa.html
http://blog.opsec.fi/2012/06/tietoturva-kunnossa-kun-vastuu-oikeassa.html

- Mika Lindberg

Ei kommentteja:

Lähetä kommentti