Artikkelit kirjoittajan mukaan

Muistatko vielä ajan ennen internetiä? Ennen sähköpostia, kotisivuja ja matoja?

Kun kaikki oli helppoa ja yksikertaista.

Valitettavasti tuo aika tuskin koskaan enää palaa. Sähköinen viestintä, verkkokommunikointi, ja internet ylipäänsä,  ovat siirtyneet syntymänsä jälkeen jo niin kauas lähtökuopistaan, että ajatus sähköisesti verkottumattomasta maailmasta tuntuu lähes mahdottomalta.

Kenellekään ei siis liene enää epäselvää, että elämme Web 2.0 –aikakautta, jonka keskeisin termi on sosiaalinen media. Ihmiset pelaavat verkossa, kommunikoivat verkossa, juhlivat verkossa, tekevät ostoksia verkossa ja jopa äänestävät verkossa. He tekevät työtä verkossa ja viettävät vapaa-aikaansa verkossa. Toisin sanoen, elämä verkossa on vähintään yhtä vuorovaikutteista ja avointa kuin todellisessa elämässäkin, ellei jopa avoimempaa. Mikä asettaakin kovat vaatimukset tietoturvalle.

Luottamuksellista tietoa on vaarallisen helppo vuotaa tietämättään verkkoon. Sosiaalisen median lonkerot, kuten Facebook, Twitter ja Youtube ovat täynnä ohjelmia, joiden tarkoitus on onkia ja tallentaa tietoja käyttäjistään ja hyödyntää sitä kaikella mahdollisella tavalla. Toisaalta, oikeanlaisilla toimenpiteillä näistä yhteisöpalveluista saadaan suhteellisen turvallisia käyttää, jolloin niiden luomia mahdollisuuksia ja ominaisuuksia päästään hyödyntämään myös liike-elämässä. Sosiaalisen media voimaa ei nimittäin kannata väheksyä, edes tietoturva-alalla.

Lisätietoa Web 2.0:sta ja sosiaalisesta mediasta löytyy mm. Wikipediasta, mikä toimii itsessään hyvänä esimerkkinä Web 2.0:n luonteesta: käyttäjät luovat sinne tietoa, jakavat sitä, kommentoivat ja korjaavat sen sisältöä ja linkittävät sitä toisilleen.

Erilaiset seminaarit, konferenssit ja asiantuntijatapahtumat ovat nykyään lähes arkipäivää tietohallinnon ja tietoturvan parissa työskenteleville. Kutsuja jos jonkinlaisiin kokoontumisajoihin ja kissanristiäisiin tipahtelee tietohallintojohtajien ja asiantuntijoiden sähköpostilaatikkoon tasaisin väliajoin, mutta mistä tietää mihin kannattaa osallistua ja mihin ei?

Kannatettavien tapahtumien listalle nostaisin ainakin seuraavat tapahtumat:(Aiheena kaikissa enemmän tai vähemmän tietoturva sekä identiteetin ja pääsynhallinta)

IT Security Expo, ICT, Internet Expo 13.-14.2010, Helsingin messukeskus

Information Security 20.4.2010, Crowne Plaza, Helsinki

Identity & Access Management 27.-28.4.2010, Crowne Plaza, Helsinki

Cloud Computing 8.-9.6.2010, Crowne Plaza, Helsinki

Identity & Access Management 15.9.2010, Crowne Plaza, Helsinki

EMC Forum, Lokakuu 2010

Kansainvälisellä tasolla hyviä ja mielenkiintoisia tapahtumia järjestävät mm.

Gartner

Burton Group

TechEd

CA World

Tietoturva-alan yritykset järjestävät usein myös omatoimisesti pienempiä seminaareja ja tilaisuuksia, joihin osallistuminen on maksutonta. Pientä propagandaa vastaan saattaa näissä tilaisuuksissa saada hyvinkin hyödyllistä ja ajankohtaista tietoa juuri tietyn aihealueen ratkaisuista. Tietoa tällaisista pienimuotoisista tapahtumista löytyy parhaiten yritysten omilta nettisivuilta.

Microsoft -tuotteissa korostuu jatkuvasti varmennesuunnittelun keskeisyys. Hyviä esimerkkejä teknologioista, joissa olennaista on hallita varmenne-elinikää ja toiminnallisuutta ovat Direct Access ja Right Management Services. Näissä korostuu koko varmennesuunnittelun moninaisuus.

Keskustelin varmennesuunnittelusta tostaina 11.2.2010 Tietoturvatapahtumassa messukeskuksessa, ja huomasin että varmenteiden toiminnallisuus tunnetaan. Mikä on jäänyt merkittävästi vähemmälle keskustelulle, on mitä asioita pitää ottaa huomioon suunniteltaessa varmenteiden käyttöönottoa. Jos yritykselläsi on prosessi varmenteiden julkaisuun ja suunniteltuna sulkulistojen julkaisupaikat varmennekäyttötarkoituksen mukaan, tai varmenteita myöntävät palvelimet ovat luokiteltu myönntettyjen varmenteiden turvallisuusvaatimusten mukaan, olet selvästi paremmassa asemassa kuin suurin osa varmenteita käyttävistä yrityksistä.

Varmenteiden käyttöönotossa lähtökohta on tietoturvan kasvattaminen ja hallitseminen. Tämä asettaa suunnittelulle melkoisen vaateen. Varmenteet tulevat jatkossa muodostamaan merkittävän osan yrityksen tietoturvasta. Asiaa ei siis pidä ottaa kevyesti ja antaa asennusvelhon tehdä valintoja.

Varmennehierarkian toteutus ja suunnittelu on kuuma peruna, joka ei tunnu mukavalta paljaassa kädessä. Ratkaisukin löytyy. Patalapun sijaan suosittelen perusteiden haltuunottoa. Ainakin seuraavat peruskäsitteet tulisi olla näpeissä: varmenteiden käyttötarkoituksen kuvaaminen, hierarkiatasot varmennepalveluissa sekä sulkulistojen julkaisu. Tämän lisäksi on hyvä kuvata esimerkiksi valmiita pohjia hyödyntäen varmenteiden hallinta, ja varmenteiden myöntämisperusteet.

Hyvänä yleiskatsauksena toimii esim:
Designing a Public Key Infrastructure

Hiukan kevyempi kalvo show:
Tell me how PKI works in Plain English

Ja ei muuta kuin varmentamaan

Helsingin messukeskuksen kongressisiipi täyttyi jälleen kerran Suomen tietoturvakermasta, kun alan toimijat aina F-Securesta Microsoftiin kokoontuivat jakamaan tietouttaan vuosittaisessa Tietoturvatapahtumassa, torstaina 11.2.2010.

Tapahtuma järjestettiin osana valtakunnallista tietoturvaviikkoa jonka takana on mm. viestintävirasto Ficora. Siinä missä tietoturvaviikko keskittyy enemmänkin kansalaisten ja pk-yritysten ohjeistamiseen turvallisesta netin käytöstä, pureutui Tietoturvatapahtuma yritysten ja organisaatioiden tietoturvastrategioihin.
Ja niistähän riitti puhuttavaa. Kun lasketaan yhteen kaikki 28 ohjelmapuheenvuoroa, vieraiden ja asiantuntijoiden väliset henkilökohtaiset tapaamiset sekä keskustelut tietoturvaständeillä, vaihdettiin tietoturvasta ajatuksia päivän aikana valtava määrä. Haasteena onkin saada nuo ajatukset käytäntöön.

Amazon Kindle –lukulaite, jota aiemmassa blogikirjoituksessamme ”mainostimme” osoittautui tapahtuman, tai ainakin Trusteqin ständin, vetonaulaksi. Samoin Federoijan pikaopas, jota jaoimme tapahtumavieraille. Federointi on aiheena ajankohtainen monessa organisaatiossa, ja tämä näkyi suoraan myös oppaan menekissä.
Jatkoa oppaalle seuraa myöhemmin keväällä, IAM-kirjan muodossa, joten jos aihe kiinnostaa, kannatta pitää silmät auki. Tulevassa opuksessa on tarkoitus syventyä identiteetin ja pääsynhallinnan maailmaan niin teknisestä kuin business –näkökulmasta. Kirja tulee tilattavaksi nettisivuillemme, ja ilmoittelemme siitä tarkemmin blogissamme.

Tutustu Lead Architectimme Juha Kervisen pitämään puheenvuoroon tästä.

Viime vuoden lopussa Microsoft julkaisi uusimman sukupolven vanhasta ISA (Internet Security and Acceleration server) -palvelusta, ja nimesi sen uudelleen TMG:ksi (Threat Management Gateway). Nimenmuutos kuvastaa hyvin siirtymää painopisteessä. TMG ottaa tukevan askeleen kohti UTM ratkaisua. Microsoftin uudesta paletista löytyy ”tuottavuuden tehostaminen”(liikenteen kategorisointi), Internetistä ladattavien tiedostojen virustarkistukset, ja verkkotarkistukset (Network Inspection), joka tunnetaan myös virtual patchinginä. Tehostusta on tullut myös klusterointiin, ja mahdollisuus hallita tietoturvaa keskitetysti Forefront Protection Management -tuotteella.

TMG:stä ei voi järkevästi puhua ilman sen sisartuotetta UMG:tä (Unified Management Gateway). Tämä tuote on perinyt ISA:lta ja IAG:lta roolit palveluiden julkaisijana. Samoin UAG on taikajauhetta Direct access julkaisuissa, monelle ajankohtaisissa Sharepoint julkaisuissa. Kuriositeettina mainittakoon että UAG julkaistiin 24.12.2009. Jatkossa Microsoft kehittää palveluiden turvallisessa julkaisemisessa UAG:ta.

Mitä muuta kaikesta tästä karkista jää kuin makea suu ja kipeät hampaat? Ei huolta. Ksylitolia on tarjolla. Tärkeintä on hahmottaa teknologioiden henkisten roolien erot. Käyttäjille näkyvät ratkaisut tarjotaan jatkossa UAG:lla ja näkymättömät TMG:llä. Molemmat tuovat uusia etäkäyttöratkaisuita: TMG tuo mukanaan Vista ja Windows 7 -käyttöjärjestelmille sstp VPN:n rakaisun, joka kuljetetaan https -protokollaa pitkin. Tämä helpottaa reititystä ja käytettävyyttä vanhempiin PPTP ja L2TP protokolliin verrattuna. UAG taas keskittää Direct Access -liikenteen, ja muodostaa tunnelin yrityksen sisäverkkoon. TMG suojaa käyttäjiä estämällä liikenteen ei-toivotuille web -sivuille, tarkastamalla verkosta ladatut tiedostot malwaresta ja viruksista, ja suorittamalla virtual patchingiä verkkoliikenteelle. UAG taas tarjoaa portaalin, jonka kautta voidaan julkaista sekä sisäisiä että extranet -sivustoja ja -sovelluksia.

Sukelletaan kiinnostavaan Forefront -maailmaan lisää seuraavissa blogeissa.

Talouselämä listasi Trusteqin Suomen 28. parhaaksi yritykseksi 27.11.2009 julkaistussa lehdessään.
60 parasta yritystä rankattiin 80 000 yrityksen joukosta, yhteistyössä Suomen asiakastieto Oy:n kanssa. Sijoitus listalla määräytyi vuoden 2008 tilinpäätöksen liikevoittoprosentin perusteella.

Lue lisää www.talouselama.fi

KPMG Oy Ab
Lehdistötiedote
27.10.2009
Tiedon ollessa yksi organisaatioiden kriittisimmistä menestystekijöistä on myös sen suojaaminen oleellinen osa yritysten liiketoimintaa ja organisaatioiden tietoturvaa. Vastikään julkaistu eurooppalaistutkimus kertoo, että keskitetyn käyttövaltuushallinnan (Identity and Access Management, IAM) merkitys organisaatioita ohjaavana tekijänä on kasvanut. Lähes 90 prosenttia tutkimukseen osallistuneista organisaatioista oli aloittanut vähintään yhden keskitettyyn käyttövaltuushallintaan tähtäävän kehitysprojektin viimeisen kolmen vuoden aikana.

Keskitetyn käyttövaltuushallinnan, IAM:n, hankkeissa on kyse siitä, että luodaan politiikkoja, prosesseja ja teknisiä ratkaisuja henkilöiden käyttöoikeuksien keskitettyyn hallintaan ja valvontaan sekä pääsyyn organisaation tietoon.

– Kasvanut kiinnostus keskitettyä käyttövaltuushallintaa ja sitä tukevia ratkaisuja kohtaan on selkeästi nähtävissä myös Suomessa, kertoo KPMG:llä tietoturva-asiantuntijana työskentelevä Mikko Kinnanen.

Riskien hallinta ja ulkoiset vaatimukset vauhdittavat kehitystä

Merkittävimmät tekijät IAM-järjestelmien kehittämishankkeiden aloittamiselle ovat viimeisen vuoden aikana olleet hyvän hallinnointitavan kehittäminen, riskien hallinta ja ulkopuoliseen sääntelyyn liittyvät vaatimukset.

Edelläkävijä IAM-kehityksessä on erityisesti rahoitusala, jossa ulkopuolelta tulevat vaatimukset ja riskien hallinta ovat jo pitkään säädelleet yritysten toimintaa. Myös julkishallinnossa ja terveydenhuollossa tietoturvalle ja yksityisyyden suojalle asetetut vaatimukset lisääntyvät entisestään, mikä osaltaan on lisännyt kiinnostusta IAM-järjestelmien kehittämistä kohtaan.

– Tietoturvan sääntelyn lisääntyminen on erittäin ajankohtaista myös Suomessa, sillä valtionhallinnon tietoturvatasot ja ICT-varautumisen vaatimukset velvoittavat jatkossa kaikkia valtionhallinnon organisaatioita sekä näiden alihankkijoita, summaa Kinnanen.

Onnistuneen hankkeen perustana liiketoimintalähtöisyys

Suurin osa tutkimukseen vastanneista ilmoitti, että IAM-strategian kehittämisestä ja toimeenpanosta organisaatiossa vastaa tietoturva- tai IT-päällikkö. Tämä viittaa siihen, että IAM-hankkeet toteutetaan edelleen liian teknologiapainotteisesti, jolloin liiketoimintahyödyt jäävät helposti saavuttamatta. Suurimpana yksittäisenä haasteena nähtiin se, että organisaation johto ei sitoudu hankkeen läpivientiin.

KPMG:n mukaan IAM-strategia ja sen toimeenpano tulisi toteuttaa liiketoimintalähtöisesti ja päävastuu IAM-strategiasta tulisi olla liiketoiminnan edustajalla, kuten riskienhallinta-, talous- tai tietohallintojohtajalla.
IAM-hankkeet ovat myös varsin mittavia kehitysprojekteja, jotka vaativat strategista suunnittelua. Merkittävässä roolissa ovat tietojärjestelmäarkkitehtuuri ja organisaatioiden tekniset ratkaisut, ja näin ollen toimiva yhteistyö liiketoiminnan ja IT:n välillä on onnistuneen IAM-hankkeen edellytys.

– Parhaiten suomalaisista IAM-hankkeista ovat onnistuneet ne projektit, jotka ovat käynnistyneet riskienhallintajohtajan aloitteesta tai tietojärjestelmätarkastajan neuvon perusteella. Tällöin hankkeessa on mukana riittävästi tutkimuksessakin viitattua liiketoiminnallista näkökulmaa, kertoo käyttöoikeushallintaan erikoistuneen tietoturvatalo Trusteq Oy:n teknologiajohtaja Jukka Lauhia

– IAM-hankkeet koetaan usein monimutkaisiksi, joten projektissa on ehdottoman tärkeää saada nopeita tuloksia. Panostamalla hankkeen ensi vaiheissa vaatimuksenmukaisuuteen ja käyttöoikeuksien riskienhallintaan, saadaan organisaation johto vakuutettua järjestelmän hyödyistä. Teknisemmät asiat voidaan hoitaa ajallaan, Lauhia neuvoo.

Talouskriisi leikannut kehitysbudjetteja

Tutkimuksessa havaittiin, osin odotetusti, että talouskriisi on vaikuttanut negatiivisesti IAM-kehityshankkeiden budjetteihin. Eniten budjettileikkauksia on tehty pankki- ja vakuutussektorilla, joihin talouskriisi on vaikuttanut voimakkaimmin, mutta jossa toisaalta IAM-hankkeiden budjetit ovat myös olleet euromääräisesti suurimpia.

Merkillepantavaa tutkimustulosten valossa on kuitenkin se, että miltei kolme neljäsosaa vastaajista kertoi talouskriisin olevan myös yksi syy IAM-kehityshankkeen aloittamiseen. Noin 80 prosenttia vastaajista puolestaan totesi, että nykyisessäkin markkinatilanteessa liiketoiminnalliset perusteet hankkeen aloittamiselle olisivat edelleen hyväksyttävissä. Tähän vaikuttanee luonnollisesti myös odotettu riskienhallinnan, sääntelyn ja valvonnan lisääntyminen.

Suomen IAM-markkinat kasvavat talouskriisistä huolimatta. Taloudellisesti epävarmat ajat näkyvät kuitenkin siinä, että organisaatiot eivät aina halua sitoutua pelättyyn jättiprojektiin. Tämä näkyy hankkeiden aloituksen siirtämisenä tai hankkeen toteutuksena pienemmissä osissa.

Taustaa tutkimuksesta:
KPMG ja Everett Group suorittivat yhdessä järjestyksessään toisen Identity and Access Management – hankkeita koskevan kyselytutkimuksen. Tutkimukseen osallistui yhteensä 128 organisaatiota 23 Euroopan maasta, ml. Suomesta. Tutkimuksessa kartoitettiin muun muassa IAM-kehityshankkeiden nykytilaa Euroopassa, talouskriisin vaikutuksia niihin, hankkeiden käynnistämiseen vaikuttavia tekijöitä sekä projektien tavoitteita.

Tutustu tutkimusraporttiin 2009 European Identity and Access Management Survey.

Lisätietoja:

Mikko Kinnanen, Tietoturva-asiantuntija, KPMG Oy Ab
puh. 020 760 3637
e-mail: mikko.kinnanen@kpmg.fi

Mika Iivari, Tietoturva-asiantuntija, KPMG Oy Ab
puh. 020 760 3495
e-mail: mika.iivari@kpmg.fi
www.kpmg.fi

Jukka Lauhia, Teknologiajohtaja, Trusteq Oy
Puh. 050 62 301
e-mail: jukka.lauhia@trusteq.com
www.trusteq.com

Trusteqin yhteistyökumppanin, IT-ohjelmistoyhtiö CA:n, pohjoismainen tietoturvakysely osoittaa, että työntekijöillä on pääsy entisen työnantajansa tietoihin vielä pitkään työpaikanvaihdon jälkeen. Joka kymmenes työntekijä otti entisen työnantajansa liiketoiminnan kannalta tärkeitä tietoja mukaansa vaihtaessaan työpaikkaa. Lisäksi huolestuttavan moni (5,5 prosenttia) pääsee edelleen käsiksi näihin tietoihin vielä vuosi työpaikanvaihdoksen jälkeen.
Lue lisää »