Your SlideShare is downloading. ×
  • Like
  • Save
Talentum palvelujen-tietoturva-12.6.13
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Now you can save presentations on your phone or tablet

Available for both IPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Talentum palvelujen-tietoturva-12.6.13

  • 98 views
Published

TIETOSUOJA & TIETOTURVA ’13 Tietoturvallisuuden varmistaminen ulkoisissa palveluissa 12.6.2013

TIETOSUOJA & TIETOTURVA ’13 Tietoturvallisuuden varmistaminen ulkoisissa palveluissa 12.6.2013

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
98
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. TIETOSUOJA & TIETOTURVA ’13Tietoturvallisuuden varmistaminenulkoisissa palveluissa12.6.2013Jari PirhonenTurvallisuusjohtajaOy Samlink Ab@japi999
  • 2. Sisältö• Hallintamalli ja sopimukset• Valvontaketju• Kokemuksia• StandardejaJaPi 12.6.2013
  • 3. Esimerkki hallintamallista12.6.2013JaPi
  • 4. Turvallisuussopimus• Sitouttaminen tietoturvaperiaatteisiin• Sitouttaminen liiketoimintavaatimuksiin• Sitouttaminen standardeihin tai parhaisiin käytäntöihin• PCI DSS, ISF SoGP, ISO 27001• Luottamuksellisen tiedon suojaamisvelvoite ja tietosuoja• Palvelun ylläpito ja tietojen sijainti• Henkilökunnan osaamis-/koulutusvelvoite• Työskentely omissa ja asiakkaiden tiloissa• Tuotettavien palvelujen ja tietojen eristäminen• Tietojen poisto• Mahdollisuus henkilöiden turvallisuusselvitykseen• Tarkastusoikeus• Vaatimukset sovelluskehittämiselle ja -kehittäjille• Jatkuvuussuunnitteluvelvoite• Huoltovarmuuskeskuksen SOPIVA-vaatimukset• Raportointi ja poikkeamien käsittely12.6.2013JaPi
  • 5. Koeteltuja mittareita• Tietoturvaskannausten havainnot• Tietoturvakorjausten asennukset• Tietoturvasertifiointi• Haittaohjelmatapaukset• Tietoturvapoikkeamat• IDS –tapahtumat• Tietoturvariskit• Jatkuvuussuunnittelun status• Tarkastusten tulokset12.6.2013JaPi
  • 6. Valvontaketju Samlinkissa12.6.2013JaPi
  • 7. Hyvät ja huonot uutiset - kokemuksia• Turvallisuussopimus sitouttaa kumppanit hyvin• Kumppani voi reagoida paremmin kuin oma IT (asiakkuus)• Opt-Out malli pakottaa sopimaan palvelun tietoturvasta• Turvallisuusopimusta on tuunattava lähes jokaisenkumppanin kanssa• Turvallisuussopimus määräävänä sopimuksena saattaajäykistää ”kevyempien” palvelujen hankintaa• PCI DSS toimii kohtuullisen hyvin baseline-vaatimuksena• PCI DSS toimii hyvänä/huonona tekosyynä eri tilanteissa• Kumppanin tulkinnat sopimusten sisällöstä joskus yllättäviä• Sopivien mittareiden ja niistä sanktioitaviksi valittavienmäärittely haastavaa• Kumppanin sopimusneuvottelija ei aina ymmärräsanktioitujen mittareiden käytännön toimenpidevaatimuksia• Kumppanin tietoturva-asiantuntijan kanssa yhteinen sävellöytyy yleensä nopeasti, lakimies löytää ongelmia12.6.2013JaPi
  • 8. Pilvee, pilvee, pilvee• Pilvipalveluissa sopimusten rooli korostuu• ”Aidossa” pilvipalvelussa sopimus (käyttöehdot)on ainoa kontrolli• Kokemukseni mukaan pilvipalveluissatietoturvallisuus on hoidettu hyvin• Ainakin isoilla/tunnetuilla toimijoilla• Kaikkea tietoa ei saa kirjallisesti • Valtiollisten toimijoiden takaportithuolena juuri nyt12.6.2013JaPi
  • 9. Mistä tietomurrot- ja vuodot tulevat?12.6.2013JaPiLähde: Verizon 2013 Data Breach Investigations Report
  • 10. Information Security Forumin havainnot• Siirrytty arvoketjusta legomalliin• Kumppaneita ja sopimuksia on paljon• Organisaatioilla ei ole hyvää kuvaa siitä, kuinka jamitä tietoa kumppaneiden kanssa jaetaan.• Jos onkin sopimuksen allekirjoitushetkellä, mutta tilanneelää kumppanuuden aikana.• Yleensä huono näkyvyys 1. tason taakse• Kumppaneiden alihankkijat, heidän alihankkijansa,…• Huomio on yleensä sopimuksenarvossa, ei jaettavassa tiedossa.• Ulkoistukset voivat vieraannuttaaorganisaation tietoturvaohjauksesta.• Kumppaneilla samat ongelmat…12.6.2013JaPi
  • 11. ISF malli – Securing the Supply Chain12.6.2013JaPi• Fokus jaettavissatiedoissa ja niihinliittyvissä riskeissä• Fokus sopimuksen arvonsijaan tietojen arvossa• Tietoturvan integrointiolemassa olevaankumppaninhallintamalliin• Excel-työkalutkumppanin tietoturvanarviointiin
  • 12. ISO/IEC 27036• 27036 : Information security for supplierrelationships• 27036-1: Overview and concepts• 27036-2: Requirements• 27036-3: Guidelines for ICT supply chain security• 27036-4: Guidelines for security of cloud services• Arvioitu julkaisuajankohta 4Q1312.6.2013JaPi
  • 13. ISO/IEC 27036• Information security in supplier relationship management• Agreement processes• Acquisition, Supply• Organisational project-enabling processes• Life cycle model management, Infrastructure management, Project portfoliomanagement, Human resource management• Project processes• Project planning, Project assessment and control, Decision management,Risk management, Configuration management, Information management,Measurement• Technical processes• Architectural design• Information security in a supplier relationship instance• Supplier relationship planning• Supplier selection• Supplier relationship agreement• Supplier relationship management• Supplier relationship termination12.6.2013JaPi