More Related Content Similar to Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevät 2013 (20) More from Nixu Corporation (19) Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevät 20132. Teemat
Esittäytyminen
Verkottuva yhteiskunta
Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä
Riskienhallinta uutta verkkopalvelua kehitettäessä
Muistilista sosiaalisen median tietoturvariskeistä
25.11.2013
© Nixu 2013
2
5. Teemat
Esittäytyminen
Verkottuva yhteiskunta
Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä
Riskienhallinta uutta verkkopalvelua kehitettäessä
Muistilista sosiaalisen median tietoturvariskeistä
25.11.2013
© Nixu 2013
5
6. Verkottuva yhteiskunta
IHMISET
muodostavat sosiaalisia
verkostoja ja käyttävät
huoletta verkon pilvipalveluja
Älykkäät
tietojärjestelmät
mahdollistavat
ULKOISTAVAT YRITYKSET
ovat riippuvaisia yhteyksistä
arvoketjun alihankkijoihin
INFRASTRUKTUURI
muuttuu älykkääksi –
ubiikit, integroidut järjestelmät toimivat
taustalla
25.11.2013
© Nixu 2013
6
7. Yritysten toiminta ja arvo perustuvat
enenevissä määrin digitaaliseen
omaisuuteen
25.11.2013
© Nixu 2013
7
8. Mustia ja harmaita pilviä horisontissa
“75 % of organizations report increase in attacks from the Internet”
– Ernst&Young: “Global Information Security Survey 2012”
“97 % of breaches resulting in loss of records could have been
avoided through use of simple or intermediate controls”
– Verizon: “2012 Data Breach Investigation Report”
Bring
Your Own
Device
Luonnonkatastrofit
25.11.2013
© Nixu 2013
Kybersodankäynti
Yksityisyydensuo
ja
Järjestäytynyt
rikollisuus
Pilvipalvelut
Teollisuusvakoilu
Haktivistiryhmät
8
10. Teemat
Esittäytyminen
Verkottuva yhteiskunta
Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä
Riskienhallinta uutta verkkopalvelua kehitettäessä
Muistilista sosiaalisen median tietoturvariskeistä
25.11.2013
© Nixu 2013
10
13. Teemat
Esittäytyminen
Verkottuva yhteiskunta
Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä
Riskienhallinta uutta verkkopalvelua kehitettäessä
Muistilista sosiaalisen median tietoturvariskeistä
25.11.2013
© Nixu 2013
13
15. Riskienhallinta
Sisältää luottamuksellisia tietoja tai
maksutapahtumia
Kumppani
extranet
projektienhallintaan
Kirjautumista
vaativat
asiointisivut,
verkkokaupat,
Pääsy
rajatusta
verkosta
Julkiset
palvelut
Viestinnällinen
intranet
25.11.2013
© Nixu 2013
wwwsivusto, tiedotusk
anavat
Ei sisällä luottamuksellisia tietoja
15
16. Oikeat valinnat suunnittelussa
Mitä turvaosaamista
palveluntuottajalta vaaditaan?
Miten palvelu on erotettu
muista palveluista?
Miten saatavuus
varmistetaan?
Miten ja ketkä
ylläpitokäyttöliittymään
pääsevät?
Miten käyttäjätietoja hallitaan?
Kuinka palvelua ylläpidetään?
Kenelle turvavastuu palvelusta
kuuluu?
25.11.2013
© Nixu 2013
16
17. Turvallinen ohjelmistototeutus
WWW:ssä sovellus ja palvelinratkaisu ratkaisevat, ei palomuuri
Alustapalvelimet tulee koventaa eli poistaa turhat ohjelmat
OWASP Top-10 hyvä vaatimusluettelo kehittäjälle
Turvaa tulisi miettiä jo toteutuksessa yhdessä kehittäjän kanssa
Riskipitoisissa palveluissa on hyvä tehdä loppuauditointi
25.11.2013
© Nixu 2013
17
18. BONUS:
3 vinkkiä palvelunestohyökkäyksen varalta
1. Suunnittele ennalta vastuut ja toiminta
tilanteessa, jossa palvelusi ei ole
saatavilla.
2. Luo uinuva varapalvelu muuhun
konesaliin tai pilviympäristöön.
3. Pidä käsillä myös voit vaihtoehtoinen
tiedotusväline (sms, facebook, twitter),
jolla ohjaat uuteen palveluun.
25.11.2013
© Nixu 2013
18
19. Teemat
Esittäytyminen
Verkottuva yhteiskunta
Tietoturvallisuuden ja yksityisyydensuojan tilanne tällä hetkellä
Riskienhallinta uutta verkkopalvelua kehitettäessä
Muistilista sosiaalisen median tietoturvariskeistä
25.11.2013
© Nixu 2013
19
21. Mitä riskejä käyttöön liittyy?
Keskeiset uhat
–
–
–
–
haittaohjelmat asentuvat
tietoa vuodetaan vahingossa
tunnukset varastetaan
henkilökohtaiset tiedot
Tyypillinen suojautuminen
– käyttöpolitiikka
– teknologia
– tietoisuus
25.11.2013
© Nixu 2012
22. Muistilista
Uniikki ja riittävän mutkikas salasana
– Huomioi myös yhdistetyt tunnukset
– Salasanan palautus suojaa myös tämä tili
Tarkista sovellukset, plug-init ja tykkäykset
– Käy läpi, päivitä tai poista, säännöllisesti
Selainpäivitykset
– Päivitä säännöllisesti (help/about check)
Aavista
– Epäilyttävä tarina / linkki / tweet sosiaalisessa
mediassa älä avaa suoraa linkkiä, vaan
hae hakukoneella asia ja avaa vain luotettavat
linkit
Pidä virustorjunta ajan tasalla
25.11.2013
© Nixu 2013
22
24. Yhteenveto
Tietoturvallisuus on agendalla syystä. Se ei ole pelkkää
tekniikkaa vaan paljolta vastuuttamista
Uuden verkkopalvelun turvallinen pystyttäminen lähtee
riskianalyysistä
Toteutuksen suunnittelu ja oikeat vaatimukset auttavat
25.11.2013
© Nixu 2013
24
Editor's Notes Oleellista tässä on korostaa palveluiden ja tuotannon jatkumista, kuten kuvatkin antavat ymmärtää, kun asiaa kuvataan tuotannosta ja liiketoiminnasta vastaaville johtajille. Tietoturvallisuus on tuotanto- ja tukiprosessien laatu & tukifunktio, joka osaltaan varmistaa tuotannon ja liiketoiminnan vakautta!