www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

Information Assurance

Tiedonhallinnan haasteista tietovuotojen estämiseen

Microsoft TechDays 9-10.3.2010

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

”tiiseri”

• Tiedon räjähdysmäinen kasvu sen eri muodoissa

aiheuttaa riskinhallinnan ja IT:n näkökulmasta

suuria haasteita.

• Liikkuvan käytön lisääntyminen,erilaiset

tallennnusmediat ja päätelaitteiden hallinta on

muodostumassa perinteisin menetelmin

mahdottomaksi yhtälöksi.

• Kuinka sinun tulisi ottaa huomioon

organisaatiossasi liikkuvan tiedon suojaaminen ja

miten toteutat sen hallinnan?

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

Monellako yrityksellä läsnäolijoista on yli 10M arvokasta

YRITYKSEN tietopääomaa muistitikuilla, siirrettävillä medioilla,

kotitietokoneessa, ”naapurin sähköpostissa”,

kotisähköpostissa?

Tähän kysymykseen ei kovin mielellään vastaa...

Miksi ei?

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

TIETOTURVAAKO? Mistä on kyse?

• Information Assurance

• Information = tieto pääomaa, osaamista, julkista, salaista, sähköpostissa, portaalissa...

• Assurance = vakuus varmuus, tae, takaaminen..

Tiedon takaaminen, sen käyttökelpoisuuden, saatavuudenvarmistaminen ja oikea hallinta, käyttöön saattaminen niillejotka sitä tarvitsevat sekä vahinkojen ehkäiseminen.

• Palveluarkkitehtuuri?

• Ei SOA vaan paljon laajemmin....

To

imija

t

Pro

ses

sit

Te

kn

olo

gia

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

Palveluarkkitehtuuri esim.

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

Haasteiden kenttä...suo?

ICT-palvelutalot: ”Mitä

asiakkaat tarvitsevat?”

Jatkuvuus on tärkeää

”Palveluita pilvestä”

”Kokonaisulkoistus”

”Oma tuotanto”

Public

”Palveluintegraattori”

Private

”Ei core businesta”

”Security arkkitehtuuri

tarvitaan, muttei oikein

tiedä mitä se on”

”IdM olisi juttu, jos se ei

olisi niin iso jumppa”

Organisointi

Windows migraatio

Johtamisosaamista

tarvitaan

Business

Process

Enterprise Architecture

Information Management

ICT architecture

Applications

Infrastructure

Technology

TIEDONHALLINNAN

HAASTEET

BIZ

IM

ICTSEC

CO

NT

RO

L O

F V

AL

UA

BL

E A

SS

ET

S

OP

ER

AT

IVE

EF

FIC

IEN

CY

BUSINESS TARGETS

IMPLEMENTATION

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

Tietovuodot...osa haastetta

• Tietovuodot aiheuttavat a) päänvaivaa b) rahallisia menetyksiä

c) vahinkoja

• Näiden mittaaminen on ERITTÄIN hankalaa, koska ei tiedetä

mikä on arvokasta tietoa..

• Tietovuotoja ei käytännössä voida estää kokonaan, ellei...

• Organisaation se osa jossa tietojenkäsittelyä suoritetaan ole

täysin suljettu (COMPARTMENTs)

• Käytännön mahdottomuus 99% organisaatioista

• Tietovuotojen hallinta lähtee tietojenkäsittelystä oikea

tiedonhallintatapa toimivat välineet!

• 99% organisaatioissa ei ole jalkautettu hyvää

tiedonhallintatapaa

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

Tietovuotojen hallinta riskienhallintaa

• Menetelmiä..

• Rajoittaminen kontrollointi

• Ehkäiseminen

• Siirtäminen? ( pilvipalvelut?)

• Salliminen...miten pitkälle?

• Menetelmät ovat käytännössä TÄYSIN samoja kuin

perinteisessä riskienhallinnassa

• 03/2010 – väline ja integraatiokysymys

kokonaisarkkitehtuurikysymys nykyisessä tietojenkäsittely-

ympäristöissä

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

Miksi tietovuotojen hallinta on kokonaisarkkitehtuurikysymys?

BIZ

IM

ICTSEC

• Palveluiden integraatioaste – haasteellinen

• Sovellusten integraatioaste – haasteellinen, jopa toimimaton

• Tiedon integraatioaste – lähtee kokonaisarkkitehtuurista

• ...

Saatavilla on teknologiaa joilla

TIETOVUOTOJA voidaan hallita, oikeaa

tietojenkäsittelyä toteuttaa ja palveluita on

Mahdollista integroida tehokkaammin toisiinsa.

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

Mitä pitäisi tehdä?

• Mallintaa yrityksen referenssiarkkitehtuuri...

• Tavoitekuva siitä miten ICT tulisi olla organisoitua

liiketoimintaan nähden

• Tämä on fundamentaali lähtökohta kaikelle ICT:n

organisoinnille

• EA

• Määritellä missä tietojenkäsittelyä suoritetaan ja

miten, johdettuna ”EA”:sta...

• Tiedonhallinnan menetelmät

• Tiedonhallinnan välineet

• Tiedon luokittelu liiketoiminnan keinoin

• Tiedon luokittelun läpinäkyvyyden hallinta

• Ohjeistus, koulutus, automatisointi vahinkojen

estäminen

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

tai...lähteä liikkelle kevyemmin, kokonaisuudesta huolehtien

• Esimerkkejä löytyy...

• Microsoft RMS, sisältöoikeuksien suojaus ja käyttö

organisaation ulkopuolella

• Toimivaa teknologiaa, hyvä integraatioaste (useita teknologioita!)

• ...osaamista ja kokemuksia RMS/DLP teknologioista.

• Tietovuotojen ehkäiseminen EI TARVITSE olla vaikeaa ratkaista.

• Hallinta on haaste!

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

Contacts

• For more information, please contact

Mikko Jakonen

+358 40 572 0475

Secproof Finland

mikkoj@secproof.com

www.secproof.com© 2010 Secproof – //PUBLIC//PROPRIETARY//

Assuring Excellence – Qualifying Expertice

Secproof Finland Oy

Helsinki Espoo

Bulevardi 2-4 A Secproof Center of Excellence

FIN-00120 Helsinki, Finland Valkjärventie 7 D

Tel. +358 9 6150 7431 FIN-00120 Espoo

Fax +358 9 6150 7400

www.secproof.com