Juuso Mantila

Tietoturva palveluna

Johdanto

Tietotekniikan jatkuva lisääntyminen ja sen merkittävyyden korostuminen liiketoiminnassa ovat tuoneet yrityksille valtaisia haasteita tietoturvallisuudessa. Tietoturvusta on tullut tärkeä osatekijä yritysten liiketoiminnalle ja sen jatkuvuudelle. Yritysten tietopääoma on yksi merkittävimmistä kilpailuedun tekijöistä, joten sen suojaaminen on oltava entistä tarkempaa lisääntyneiden tietoturvauhkien takia. Tietoturvaan tehdyt investoinnit voivat tuoda merkittäviä säästöjä yrityksille, koska huonosti hoidettu tietoturva voi aiheuttaa yrityksille niin taloudellisia kuin maine haittoja esimerkiksi tietoliikenteen seisahtumisen tai tietomurron takia vuotavien asiakastietojen muodossa.

Tämän johdosta monet tietoturvayritykset ovat aloittaneet tietoturvapalveluiden tarjoamisen, jotta yrityksen tietoturva olisi hallinnassa ja siitä vastaisi tietoturvan ammattilaiset. IT-henkilöstön palkkaamisen sijaan yritys voi hankkia murto-osalla sen hinnasta tietoturvan hallitsevat asiantuntijat hoitamaan yrityksen suojautumisen. Tämän takia malli sopiikin erityisen hyvin Pk-yrityksille, joilla ei ole resursseja tarpeeksi suurta IT-henkilöstä varten.

Harjoitustyössä käsitellään ensimmäiseksi yleisempiä ja suurimpia yrityksiin kohdistuvia tietoturvauhkia. Tämän jälkeen tarkastellaan tietoturvapalveluita ja esitellään muutama palveluntarjoaja sekä niiden palveluita. Viimeisenä käsitellään myös tietoturvapalveluihin liittyviä riskejä.

Yrityksiin kohdistuvat tietoturvauhat

Yrityksiin kohdistuu nykyaikana valtavasti erilaisia tietoturvauhkia. Suurimman tietoturvauhkan nykypäivänä ovat yritysten järjestelmien ja ohjelmistojen haavoittuvuudet. [5] Näitä haavoittuvuuksia hyödyntävät haitallisiin tarkoituksiin niin ammattirikolliset kuin kilpailevat yritykset. Motiivina on yleensä raha tai luottamuksellisen tiedon käsiin saaminen. Myös erilaisten haittaohjelmien päätyminen yrityksen verkkoon on yleistä. Tämä voi onnistua esimerkiksi sähköpostin kautta tai USB muistitikun avulla. Seuraukset ovat yleensä haitallisia yrityksen toiminnalle, koska koko verkko saatetaan joutua katkaisemaan haittaohjelman pois saamiseksi.

WLAN verkkojen yleistymisen myötä syntyi myös uusi murtautumistapa yrityksien verkkoihin. Koska WLAN-liikenne saattaa ulottua laajallekin alueelle voidaan verkkoon murtautua helposti yritysten ulkopuolelta tai kaataa langaton verkko palvelunestohyökkäyksillä. [5] Kuitenkin suurimman tietoturvauhkan aiheuttajia ovat yleensä yrityksen työntekijät, joka yleensä johtuu koulutuksen puutteesta ja tietämättömyydestä. Yrityksen tiedot joutuvat myös usein urkinnan kohteiksi työntekijöiden hyväuskoisuuden takia ja sisäisten tietoturvakäytäntöjen takia. Yritysten tietoverkkoon on mahdollista päästä työntekijöiden kautta tulleiden haittaohjelmia avulla.

Tietoturva palveluna ja palvelun tarjoajat

Tietoturva palveluna

Tietoturva merkityksen tiedostamisen myötä on palveluille havaittu kysyntää, jonka takia tarjonta on lisääntynyt merkittävästi. Palvelun tarjoajat omaavat yleensä laajan kokemuksen tietoturvasta ja tietotekniikasta, jonka takia he ovat voineet helposti laajentaa toimintaansa palvelun tarjoamiseen. Tietoturvapalvelut sisältävät aina tietoturvaohjelmiston, jonka avulla yritys pystyy suojamaan työasemansa, kannettavat tietokoneet sekä tiedostopalvelimet haittaohjelmilta ja tietomurroilta. Osa tarjoaa tämän lisäksi kokonaisvaltaisempaa ratkaisua, jolloin kehitetään yrityksen sisäistä tietoturvatoimintaa (tietoturvapolitiikka, tietoturvastrategia, tietoturva tietoisuus). Tämä mahdollistaa jatkuvan tietoturvan kehittämisen ja uusilta uhkilta suojautumisen.

Seuraavissa luvuissa tarkastellaan lähemmin F-Securen tarjoamaa mallia ja Deloitten tietoturvapalveluita. F-Secure on suomalainen vuonna 1988 perustettu tietoturvaratkaisuja tarjoava yritys, joka tarjoaa tietoturvatuotteitaan tietokoneille sekä monelle eri matkapuhelin käyttöjärjestelmille. Suomen Deloitte-konserni on osa maailmanlaajuista Deloitte Touche Tohmatsu Limited-ryhmittymää, joka vasta myöhemmin toiminnan laajetessa on alkanut tarjoamaan riskienhallinnan kautta tietoturvapalveluita.

F-Securen tietoturva palveluna -malli

F-Secure on kehittänyt yritysten suojautumista varten Protection service of Business, jonka avulla yritys pystyy kattamaan laitteistojen, liikenteen ja ohjelmistojen tietoturvan. Ratkaisu sisältää kolme eri tuotetta:

  • PSB Workstation Security
  • PSB Server Security
  • PSB E-mail & Server Security
Workstation Security vastaa yritysten laitteistojen työasemien ja kannettavien tietokoneiden tietoturvasta. Se suojaa ne viruksilta, vakoiluohjelmilta, tietomurroilta ja roskapostilta. Verkkoselaus on suojattu epäämällä haitallisiksi luokitetuille sivuille pääsy. Server Security huolehtii puolestaan yrityksen tiedostopalvelimen suojauksesta. Se sisältää virus- sekä haittaohjelmien tunnistamisen ja laitteistohallinnan. [1]

E-mail & Server Security suojaa Microsoft Exchange -palvelimet, joka toimii yrityksen sähköposti ja kalenteri ohjelmistojen sekä yhteystietojenhallinta palvelimena. Protection service for Business sisältää myös Mobile Securityn, joka huolehtii mobiililaitteiden luottamuksellisten tietojen suojauksen ja haittaohjelmilta turvautumisen. Lisäksi koko tietoturvaratkaisun hallintaa varten tulee erillinen hallintaportaali ohjelmisto, jonka avulla yritys pystyy seuraamaan tietoturvalaitteidensa tilaa jatkuvasti ja hallita kaikkia käyttäjiä. [2]

Deloitten tietoturvapalvelut

Deloitten tietoturvallisuuden hallinnollinen viitekehys perustuu ISO/IEC 27002 –standardeihin ja Valtiohallinnon tietoturvallisuuden johtoryhmän (VAHTI) tietoturvasuosituksiin. Osana riskienhallintaa se tarjoaa yrityksen tietoturvan hoitamiseen kattavat palvelun, joka sisältää kuusi eri osa-aluetta:

  • Sovellusten turvallisuuden hallinta
  • Liiketoiminnan ja IT-jatkuvuuden turvaaminen
  • Käyttö- ja pääsyoikeuksien hallinnan (IAM) kehittäminen
  • Infrastruktuurin ja operatiivisen toiminnan tietoturva
  • Yksityisyyden ja tiedon suojaaminen
  • Turvallisuuden hallinta

Deloitte tarjoaa hyvin kokonaisvaltaista tietoturva ratkaisua yrityksille, jolloin heidän hoidettavaksi ei jää paljoa. Laitteisto ja ohjelmiston suojautumisen lisäksi yritys muun muassa tekee nykytila-analyysin ja suunnittelee tämän pohjalta tietoturvastrategiansa ja kehittää tietoturvapolitiikan yhdessä asiantuntijoiden kanssa. Moni osa-alue sisältää nykytila-analyysin, jotta tiedetään missä on puutteita ja mitä tulisi kehittää. Lisäksi henkilöstölle tarjotaan tietoturva koulusta, jotta tietoisuus tietoturvaa kohtaan lisääntyisi.[3]

Muut palveluntarjoajat

Myös muut tunnetut tietoturva alan yritykset tarjoavat F-securen ja Deloitten tapaan tietoturvaratkaisuja ja -palveluita yrityksille. Yleisesti palvelut sisältävät työkoneiden suojauksen takaava ohjelmisto, yrityksen palvelimien suojaukseen tarkoitetun ohjelmiston sekä erinäisiä sähköpostin tai viestinnän suojausmenetelmiä. Palvelut kuitenkin jakautuvat selkeästi kahteen kategoriaan Deloitten ja F-securen tapaan. Toiset tarjoavat selkeästi kokonaisvaltaisempia tietoturvaratkaisuja, joissa tietoturva ohjelmistojen lisäksi tutustutaan yrityskulttuuriin ja yrityksen tietoturvapolitiikkaan. Tällä tavoin pyritään yritykselle takamaan jatkuva ja pysyvämpi suojautuminen tietoturvauhkia vastaan. Symatecin teettämän verkkokyselyn mukaan suurimman tietoturvauhkan aiheuttaa yrityksille sen omat työntekijät.[4] Tämän takia tietoturvapolitiikkaan ja yrityskulttuuriin paneutuminen saattavat tuottaa huomattavasti paremmin tulosta kuin pelkkien tietoturvaohjelmistojen päivittäminen.

Tietoturvapalveluihin liittyvät riskit

Tietoturvan hankkiminen palveluna tuo myös yritykselle mukanaan riskejä niinkuin ulkoistaminen yleensäkin. Suurimpana uhkana tietoturvapalveluissa pidetään vastuun ja roolejen määrittelyä. Kun ulkopuolinen yritys hoitaa toisen yrityksen tietoturvaa voi vastuunkantajan ja erilaisten roolien päättäminen haasteellista. Nämä tulisikin määrittää erittäin tarkkaan aina palveluita hankkiessa. Tarkat määritelmät auttavat selviytymään ongelmatilanteista huomattavasti helpommalla ja nopeammin. Tietoturvan hoitaminen palvelulla altistaa myös yritysten kriittiset tiedot ulkopuolisten silmille, jonka takia palvelun tarjoajan tulisi olla luotettava ja asiantunteva kumppani. Palveluntarjoajien lisääntyessä yrityksillä on paljon paremmat mahdollisuudet kilpailuttaa niitä sekä varmistaa tarjoajan resurssit ja vastuullisuus. Näin yritys pystyy maksimoimaan tietoturvan ulkoistamisesta saatavat hyödyt.

Yhteenveto

Yrityksiin kohdistuu nykyaikana valtavasti erilaisia tietoturvauhkia ja näihin on alettu heräämään toden teolla, koska tietoturvan on havaittu olevan tärkeä osatekijä yritysten liiketoiminnassa ja sen jatkuvuudessa. Tämän takia tietoturvayhtiöt ovat huomanneet oivallisen paikan laajentaa liiketoimintaa tietoturvasovellusten tarjoamisesta kohti laajempaa tarjontaa, jolloin saatavilla on sovellusten lisäksi palvelua. Tietoturvapalveluiden tarjonta onkin lisääntynyt merkittävästi viimeisten vuosien aikana. Palvelutarjoajat ovat karkeasti jaettuna jakautuneet kahteen erilaiseen palveluluokkaan. Toiset tarjoavat ohjelmistoja sekä koulutusta näitä varten kun taas toiset tarjoavat kokonaisvaltaisempaa palvelua, jolloin palveluntarjoaja pyrkii ohjelmistojen lisäksi kehittämään yritysten tietoturvapolitiikkaa ja yrityskulttuuria. Haittapuolena yrityksille kuitenkin syntyy palveluna hankitun tietoturvan myötä aina lisää riskejä, vaikka palveluntarjoajat ovatkin luotettavia ja hyvin ammattitaitoisia. Näitä syntyy muun muassa hämärtyneiden roolien ja vastuiden kautta sekä tarpeiden ja kustannusten tasapainottamisen myötä.

Tietoturvapalveluiden käyttö ei yritysten keskuudessa ole vielä kuitenkaan arkipäivää. Tulevaisuudessa tarjonta tulee luultavasti kasvamaan ja palveluiden laatu myös kehittymään, koska ulkoistamisen suosio kasvaa jatkuvasti, jotta yritykset voivat keskittää kaikki resurssinsa sen ydinliiketoimintaan.

Lähteet

[1]http://www.wintunix.fi/fspsb312_advanced_fin.pdf

[2]http://www.f-secure.com/fi/web/business_fi/products/protection-service/features

[3]http://www.deloitte.com/view/fi_FI/fi/palvelut/riskienhallinta/tietoturvapalvelut/index.htm

[4] http://www.symantec.com/fi/fi/about/news/release/article.jsp?prid=20050613_01

[5] http://publications.theseus.fi/bitstream/handle/10024/12638/KAT4JEetuJElmoJ.pdf?sequence=1

SivuTiedotLaajennettu edit

Vaativuus Jatko
Valmius Valmis
Tyyppi Ydin
Luokitus Uhkat
Mitä Useita
Miltä Useita
Missä Organisaatio
Kuka Titu-ammattilainen
Milloin Päivittäin
Miksi Hyvä tapa
Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 09 Dec 2012 - 22:24:53 - JuusoMantila
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback