1 / 22

Esitys IT2013-päivillä: Tietoturvallisuuden tilanne yliopistoissa ja ammattikorkeakouluissa

Olavi Manninen Tietoturvapäällikkö 4.11.2013. Esitys IT2013-päivillä: Tietoturvallisuuden tilanne yliopistoissa ja ammattikorkeakouluissa. Esityksen sisältö. Mitä tietoturvahaasteita korkeakouluilla on? Keitä meillä on vastaamassa näihin haasteisiin?

felcia
Download Presentation

Esitys IT2013-päivillä: Tietoturvallisuuden tilanne yliopistoissa ja ammattikorkeakouluissa

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Olavi Manninen Tietoturvapäällikkö 4.11.2013 Esitys IT2013-päivillä:Tietoturvallisuuden tilanne yliopistoissa ja ammattikorkeakouluissa

  2. Esityksen sisältö • Mitä tietoturvahaasteita korkeakouluilla on? • Keitä meillä on vastaamassa näihin haasteisiin? • Mitä korkeakouluissa voidaan tehdä tietoturvallisuuden kehittämiseksi? Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  3. Mitä tietoturvahaasteita korkeakouluilla on? • hajautuneen tietojenkäsittely-ympäristön monimutkaisuus • kuluttajistuminen (BYOD-laitteet) • pilvipalveluiden käyttö • haktivismi ja vakoilu • lainsäädännön ja muiden säädösten laajuus, palveluihin liittyvät sopimuskäytännöt • muuttuneet odotukset ja asenteet tietoturvaa kohtaan • käyttäjien tietoturvatietoisuuden ja –osaamisen puutteet • ”tieteen vapaus” • raportointi korkeakoulun johdolle ja johdon tuki • pienet tietoturvaresurssit Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  4. Käytännön tasolla tunnistettuja puutteita korkeakoulun tietoturvallisuudessa / osa 1 • Asenne, tietokoneet ja huoneet lukitsematta • Tunnusten luovuttaminen toiselle, salasanat paperilla • Pilvipalveluiden ja sähköpostin huoleton käyttö • Varmuuskopiointi, varmuuskopioiden säilytys • Muistitikkujen, tietokoneiden ja mobiililaitteiden suojaaminen ja matkakäyttö • Tulostaminen ja tulosteet • Osaamisen ja tiedon puute Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  5. ... puutteita tietoturvallisuudessa / osa 2 • Puutteet järjestelmissä, korkeakoululla ei tarjolla sopivaa palvelua • Elinkaariajattelun puuttuminen • Puutteet varahenkilöjärjestelyissä Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  6. Yleisiä käsityksiä tietoturvallisuudesta • Tietoturvaa pidetään usein puhtaasti teknisenä asiana. • Virustorjunta, palomuurit ym. tekniset keinot eivät auta jos työntekijät tai opiskelijat toimivat väärin. • Tietoturvallisuutta ei voi ostaa - meidän on itse huomioitava tietoturvallisuus omassa työssämme. • Siksi meidän jokaisen pitää omalta osaltaan huomioida tietoturva-asiat jokapäiväisessä työssä:aineistojen käsittely, säilytys, suojaaminen, aineistojen hävittäminen, varmuuskopioinnit jne. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  7. Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin • Yliopistojen tietoturvapäälliköt/tietoturvavastaavat: • 14 yliopistoa + MPKK • noin puolessa on vähintään yksi kokopäiväinen tietoturvavastaava, muissa tietoturvavastaava käyttää tyypillisesti 50 % työajasta tietoturvatehtäviin • pääosa vastaavista toimii IT-palveluorganisaatiossa, kolmessa yliopistossa tietoturvapäällikkö sijoitettu IT-palveluyksikön ulkopuolelle Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  8. Keitä meillä on vastaamassa korkeakoulun tietoturvahaasteisiin • Ammattikorkeakoulujen tietoturvavastaavat • 25 ammattikorkeakoulua + PolAMK • tietoturvavastaavan tehtäviä hoitaa tekniikasta vastaava IT-päällikkö tai joku tekninen asiantuntija muiden tehtävien ohessa • Tietoturvavastaavien lisäksi korkeakouluissa on joukko teknisestä tietoturvasta vastaavia asiantuntijoita • verkko, tallennusympäristöt, palvelimet, AD, valvonta, työasemat, mobiililaitteet, IDM-järjestelmä, tietojärjestelmät/palvelut Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  9. Ratkaisuja tietoturvan kehittämiseksi: yhteistyötä ja hyvien käytäntöjen jakamista • Tietoturvayhteistyöverkostot • Yhteydenpito IT-johtajien verkostoon • Tietoturvasäännöt ja tietoturvaohjeet • Tietoturvan jalkauttaminen korkeakoulussa • Pilvipalveluiden arviointi, tiedonluokitteluohjeet • Tietoturvastandardit ja tietoturva-auditoinnit • Ajankohtaisviestintä korkeakoulun sisällä • Tietoturvapoikkeamien käsittely • Raportointi ja yhteydenpito korkeakoulun johtoon • Uudet tekniset tietoturvaratkaisut Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  10. Muuttuneet odotukset ja asenteet tietoturvaa kohtaan • Tietoturvatyössä ei enää voida lähteä siitä, että kategorisesti kielletään asioita. • Tietoturvallisuuden kanssa samassa vaakakupissa on toiminnan joustavuus ja kustannukset. • Käyttäjät löytävät tarvittaessa keinoja kiertää tehdyt rajoitukset. • On siis pyrittävä olemaan käyttäjien tukena ja etsittävä aktiivisesti ratkaisuja erilaisiin tilanteisiin. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  11. Tietoturvayhteistyöverkostot • Yliopistojen tietoturvayhteistyöllä on pitkät perinteet lähes internetin alkuajoista asti. • Yliopistojen Sec-ryhmä toimii mm. viestintäkanavana yliopistojen kesken sekä yliopistojen ja Funet CERTin välillä. • Sec-työvaliokunta (Sec-tv) koostuu yliopistojen tietoturvapäälliköistä. Keskeinen tehtävä on koordinoida yliopistojen tietoturvayhteistyötä yhdessä Fucion kanssa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  12. Tietoturvayhteistyöverkostot • Ammattikorkeakouluilla on yliopistojen Sec-ryhmää vastaava AMK-SEC-ryhmä. • Yksi korkeakoulujen tietoturvayhteistyön muoto on jokakeväiset Sec-päivät. Vuoden 2014 Sec-päivät järjestää Hämeen ammattikorkeakoulu. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  13. Tietoturvasäännöt • Tietoturvapolitiikka ja muu tietoturvasäännöstö luovat tietoturvallisuuden pohjan. • Korkeakoulujen FUSEC-työryhmä on laatinut uuden version korkeakoulujen tietoturvasäännöstöstä. https://tt.eduuni.fi/sites/kity/Julkaistut%20dokumentit/FUSEC-dokumentit/ • Osa korkeakouluista on jo ottanut tai on parhaillaan ottamassa uuden säännöstön käyttöön. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  14. Tietoturvaohjeet • Yliopistojen tietoturva-asiantuntijoista koostunut työryhmä on laatinut tietoturvaohjeita henkilöstön ja opiskelijoiden käyttöön tarkoitettuja tietoturvaohjeita.http://www.fucio.fi/tietoturva/ Tietoturvaohjeet • Henkilöstön tietoturvaopas • Henkilöstön tietoturvan pikaohje • Opiskelijan tietoturvaopas • Opiskelijan tietoturvan pikaohje • Mobiiliturvaohje henkilöstölle ja opiskelijoille (PDF) Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  15. Tietoturvan jalkauttaminen korkeakoulussa • Pelkkä tietoturvasääntöjen ja tietoturvaohjeiden laittaminen henkilöstön ja opiskelijoiden saataville ei riitä. • Tietoturva-asioiden tulisi olla mukana henkilöstön ja opiskelijoiden perehdyttämisessä. • Tietoturvatietoisuuden ja tietoturvaosaamisen ylläpitäminen edellyttää säännöllisiä koulutuksia. • Lisäksi tietoturvatietoisuuden ja kiinnostuksen ylläpitämiseksi kannattaa miettiä tietoturvan ajankohtaistiedotuksen keinoja. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  16. Pilvipalveluiden soveltuvuus korkeakoulukäyttöön • PiPa-SIG -työryhmä on luonut korkeakoulujen pilvipalveluiden arviointisivustonhttps://tt.eduuni.fi/sites/pilviohje/ • Sivustolla on arvioitu sellaisia palveluita, joiden tiedetään kiinnostavan korkeakoulujen käyttäjiä. • Pilvipalveluiden arvioinneista on oma esitys IT2013-päivillä. • Korkeakoululla tulee olla käyttäjille tiiviit ja helposti avautuvat tiedonluokitteluohjeet. • Ohjeet tulee jalkauttaa osaksi toimintaa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  17. Mikä on riittävä tietoturvallisuuden taso ja miten se voidaan varmistaa? • Korkeakoulun tulee huolehtia siitä, että sen järjestelmissä toteutetaan riittävä tietoturvan ja tietosuojan taso. • Mm. EU:n tulevassa tietosuoja-asetuksessa on luonnosteltu huomattavia sanktioita laiminlyönneistä. • Mikä on riittävä tietoturvan taso ja millä se todistetaan? • Yliopistot ovat selvittämässä valtionhallinnon tietoturvatasojen käyttämistä yhteisenä tietoturvastandardina. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  18. Tietoturva-auditoinneista • Tietoturva-auditointeja voidaan käyttää varmistamaan tietoturvallisuuden tilannetta. • Auditointeja voidaan toteuttaa monin eri tavoin • Ulkopuolinen / sisäinen / vertaisauditointi • Tietoturvan hallintamallin auditointi / Tekninen auditointi • Auditoinnista on erilliset esitykset IT2013-päivien ohjelmassa. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  19. Tietoturvapoikkeamien käsittely • Poikkeamien käsittely ja seuranta on tärkeää tietoturvallisuuden tilannekuvan kannalta. • Yleensä on vaikeaa saada käyttäjiltä ja ylläpidolta ilmoituksia kaikista poikkeamista. • Poikkeamatietojen kerääminen edellyttää selkeää toimintamallia ja aktiivista työtä. • Vakavien ja lievien tietoturvapoikkeamien määrät ovat hyviä tietoturvamittareita. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  20. Raportointi ja yhteydenpito korkeakoulun johtoon • Ilman johdon tukea tietoturvatyö jää helposti tietoturva-asiantuntijoiden ja tietohallinnon puuhasteluksi. • Tietoturvapolitiikka, tietoturvasuunnittelu, tietoturvaraportointi organisaation johdolle sekä tietoturva-asioiden säännöllinen käsittely ovat mukana mm. tietoturvatasojen perustason vaatimuksissa. • Kuitenkin käytännössä on usein vaikeaa löytää hyvin toimivaa tapaa säännölliseen yhteydenpitoon. Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  21. Tekniset tietoturvaratkaisut • Vaikka tietoturvallisuus ei ole pelkkää tekniikkaa, tietyt tekniset ratkaisut ovat hyödyllisiä tai välttämättömiäkin: • (NextGen) palomuuri, IDS/IDP, keskitetty logitus ja SIEM-järjestelmä, verkon segmentointi, verkon skannaus-ohjelmistot, IDM-järjestelmä, palvelimien virtualisointi-ympäristöt, keskitetyt tallennus- ja varmistusympäristöt, työasemien keskitetty hallinnointi, mobiililaitteiden hallinta, haittaohjelmatorjunta, kryptausratkaisut, ... Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

  22. Lopuksi • Tietoturvahaasteita ja tekemistä niiden parissa riittää. • Tietoturvayhteistyön merkitys korostuu: verkostojen kautta käytettävissä laajempi osaaminen ja tekemistä voidaan jakaa. • Kehittäminen kannattaa pilkkoa riittävin pieniksi osatavoitteiksi ja laittaa asiat tärkeysjärjestykseen. • Kiitokset että jaksoit tänne asti! Tietoturvallisuuden tilanne korkeakouluissa / Olavi Manninen

More Related