Ads 468x60px

maanantai 27. toukokuuta 2013

KPMG Tietoturvaseminaari 2013, 23.-24.5. Tallinna

KPMG:n jokavuotinen tietoturvaseminaari rantautui tällä kertaa etelänaapurimme pääkaupunkiin, Tallinnaan. Kaksipäiväinen 56 osanottajaa 34:stä eri yrityksestä ja organisaatiosta kerännyt seminaari käsitteli erilaisia tietoturvallisuuteen liittyviä ajankohtaisia ja erikseen toivottuja aiheita herättäen paljon keskustelua. Seminaarin yhteistyökumppaneina toimivat tänä vuonna Efecte Oy, Stonesoft Oyj, Symantec Finland Oy sekä Ymon Oy, jotka pitivät KPMG:n ohella esityksiä erityisosaamisalueisiinsa liittyvistä asioista.

Stonesoft Oyj:n puheenvuoro: Cyber Security

Tilaisuuden avasi KPMG:n hallinnollisen tietoturvaryhmän vetäjä Mika Iivari, joka toimi seminaarin isäntänä. Ensimmäisestä esityksestä vastasi KPMG:n teknisen tietoturvaryhmän vetäjä Matti Järvinen, joka aloitti keskustelun hyvin ajankohtaisesta ja monia asiakkaitammekin askarruttaneesta kirjainyhdistelmästä BYOD. BYOD (Bring Your Own Device) tarkoittaa työntekijöiden mahdollisuutta käyttää omia laitteitaan, kuten älypuhelimia ja tabletteja, työntekoon yrityksen tarjoamien laitteiden sijasta. Puheenvuorossa käsiteltiin asian perusteita sekä sen hyviä että huonoja puolia niin yleisestä kuin tietoturvanäkökulmasta. Vaikka yksiselitteistä lopputulosta BYOD -kulttuurin turvallisuudesta on vaikea antaa, voitiin kuitenkin todeta sen olevan joka tapauksessa keskimäärin turvattomampaa kuin yrityksen tarjoamien laitteiden kanssa. Puheenvuoron aikana kuultiin yleisöltä paljon kysymyksiä, kommentteja ja esimerkkejä, ja aihe tuntuikin olevan sen verran kuuma peruna, että puheenvuorojen aikatauluihin täytyi tehdä muutoksia jo heti ensimmäisen esityksen johdosta.

Heti seuraavassa esityksessä Symantec kertoi omia näkemyksiään BYOD -menetelmistä, niiden haasteista ja Symantecin tarjoamista ratkaisuista asiaan. Mielenkiintoisena voitiin pitää esimerkiksi Symantecin tarjoamaa organisaation sisäistä "app storea", josta käytetään nimeä Symantec App Center. Tällä organisaatio pystyy helposti hallitsemaan millaisia sovelluksia käyttäjät voivat organisaation omasta App Centeristä ladata käyttämille laitteilleen. Teknologialla voidaan myös ottaa huomioon työntekijöiden erilaiset roolit ja jakaa eri ohjelmia eri käyttäjäryhmille.

Mobiililaitteiden mielenkiintoisesta maailmasta siirryttiin käyttövaltuushallintaan liiketoiminnan kielellä, josta vastasi KPMG:n Kaapro Kanto. Tässä esityksessä Kaapro muun muassa totesi, että käyttövaltuushallinnan projekteissa liiketoiminnan tuntemus on ehdottomasti avainasemassa. Tekniset ratkaisut tukevat liiketoimintaa ja mahdollistavat uusia toimintatapoja, mutta tekniikka ei saa olla projektin driveri. Esimerkkinä KPMG IAM-GAP analyysityökalulla tunnistetaan ja priorisoidaan projektin keskeisimmät kehityskohteet organisaation tavoittelemalle kypsyystasolle.

Sulavasti aiheeseen liittyen seuraava puheenvuoro oli ohjelmistoyhtiö Efecte Oy:llä, joka puhui liiketoiminnan kehittämisestä käyttövaltuushallinnan avulla. Esitys noudatteli samoja peruspiirteitä, mutta erinomaisena lisänä Efectellä oli mukana heidän asiakkaansa edustaja, joka kertoi miten organisaation näkökulmasta käyttövaltuushallintaprojekti oli kokonaisuudessaan toteutettu käyttäen Efecten tarjoamaa teknologiaa.

Hyvin alkaneen seminaaripäivän lähestyessä iltaa osallistujat siirtyivät kohti Tallinnan vanhaa kaupunkia ja pitkää illallista. Aktiivinen keskustelu jatkuikin hyvässä hengessä monien osalta aamun pikkutunneille asti.

Mikä ilahduttavinta, seminaarin aiheet tuntuivat sen verran houkuttelevilta, ettei yön jälkeistä osallistujakatoa ollut havaittavissa aamupäivällä esitysten jatkuessa. Toisen päivän ensimmäinen puheenvuoro oli KPMG:n Toni Sulankivellä, jonka aiheena oli HAVARO tietoturvapoikkeamien analysointi. HAVARO on Ficoran huoltovarmuuskriittisille yrityksille mahdollistama tietoturvaloukkausten havainnointi- ja varoitusjärjestelmä, jonka tarkoituksena on auttaa tarkemman tilannekuvan muodostamista suomalaisiin verkkoihin kohdistuvista tietoturvauhkista. Toni kertoi KPMG:n tuottamasta palvelusta, jonka avulla organisaation on helpompi saada käsitys HAVARO-raporttien sisällön merkityksestä.

Aamupäivän esitykset jatkuivat viestintäviraston Aki Tauriaisen johdolla, jonka esitys koski poikkeamanhallintaa ja turvallisuusvaatimuksia. Esityksen aikana kuultiin myös mielenkiintoista ja havainnollistavaa tietoa esimerkiksi CERT-FI:n toiminnasta, arjesta ja tulevaisuudennäkymistä.

Stonesoft Oyj:n esityksen aiheena oli Cyber Security. Kuten aiheen nimestä saattaa päätellä, esityksessä kuultiin kattava ja viihdyttävä katsaus yleiseen kyberturvallisuuteen niin kansallisesta kuin kansainvälisestä näkökulmasta päättyen aina aktiivisen kybersodan visioihin. Esityksen pihvinä voidaan vaikkapa pitää uusimman James Bond - Skyfall elokuvan erästä Q:n Bondille suuntaamaa lausahdusta: "Well, I'll hazard I can do more damage on my laptop sitting in my pajamas before my first cup of Earl Grey than you can do in a year in the field."

Toisen seminaaripäivän viimeinen esitys oli Ymon Oy:n Sami Sara-Ahon Lokienhallinta osana tietoturvaa. Tässä esityksessä porauduttiin monelle organisaatiolle harmaita hiuksia aiheuttaseen ajankohtaiseen keskitettyyn lokienhallinta -dilemmaan, sen haasteisiin ja Ymonin tarjoamiin ratkaisuihin. Esityksessä todettiin erityisesti se, että keskitetty lokienhallinta ei ole vain tekninen ratkaisu, joka tuo oikotien onneen, vaan vaatii paljon suunnittelua ja ajatustyötä sekä tilaajalta että toteuttajalta.

Viimeisen esityksen jälkeen oli hieman aikaa kierrellä Tallinnassa ja prosessoida kaikkea kahtena päivänä kuultua. Yhteenvetona voisi vaikkapa todeta, että monessa esityksessä korostui vanha tuttu liiketoimintalähtöisyys tietoturvallisuudessa ja siihen liittyvissä teknisissä toteutuksissa. Tekniikka ei ole "silver bullet", vaan liiketoiminnan pitää tietää ja määritellä mitä halutaan ja miksi. Kun politiikat ja prosessit ovat kunnossa, ollaan valmiita ottamaan askel eteenpäin - ei tuntemattomaan.

KPMG haluaa esittää suuren kiitoksen yhteistyökumppaneille ja kaikille seminaariin osallistuneille - teitte tästä tapahtumasta arvoisensa! Näillä eväillä lähdemme kohti ensi vuoden tietoturvaseminaaria, johon ollaan jo nyt toivottu tiettyjä aiheita. Tällaisia ovat esimerkiksi liiketoiminnan jatkuvuus- ja toipumissuunnittelu. Stay tuned!

Ei kommentteja:

Lähetä kommentti