TIETOSUOJA & TIETOTURVA ’13Tietoturvallisuuden varmistaminenulkoisissa palveluissa12.6.2013Jari PirhonenTurvallisuusjohtaj...
Sisältö• Hallintamalli ja sopimukset• Valvontaketju• Kokemuksia• StandardejaJaPi 12.6.2013
Esimerkki hallintamallista12.6.2013JaPi
Turvallisuussopimus• Sitouttaminen tietoturvaperiaatteisiin• Sitouttaminen liiketoimintavaatimuksiin• Sitouttaminen standa...
Koeteltuja mittareita• Tietoturvaskannausten havainnot• Tietoturvakorjausten asennukset• Tietoturvasertifiointi• Haittaohj...
Valvontaketju Samlinkissa12.6.2013JaPi
Hyvät ja huonot uutiset - kokemuksia• Turvallisuussopimus sitouttaa kumppanit hyvin• Kumppani voi reagoida paremmin kuin o...
Pilvee, pilvee, pilvee• Pilvipalveluissa sopimusten rooli korostuu• ”Aidossa” pilvipalvelussa sopimus (käyttöehdot)on aino...
Mistä tietomurrot- ja vuodot tulevat?12.6.2013JaPiLähde: Verizon 2013 Data Breach Investigations Report
Information Security Forumin havainnot• Siirrytty arvoketjusta legomalliin• Kumppaneita ja sopimuksia on paljon• Organisaa...
ISF malli – Securing the Supply Chain12.6.2013JaPi• Fokus jaettavissatiedoissa ja niihinliittyvissä riskeissä• Fokus sopim...
ISO/IEC 27036• 27036 : Information security for supplierrelationships• 27036-1: Overview and concepts• 27036-2: Requiremen...
ISO/IEC 27036• Information security in supplier relationship management• Agreement processes• Acquisition, Supply• Organis...
Upcoming SlideShare
Loading in...5
×

Talentum palvelujen-tietoturva-12.6.13

146

Published on

TIETOSUOJA & TIETOTURVA ’13 Tietoturvallisuuden varmistaminen ulkoisissa palveluissa 12.6.2013

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
146
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Talentum palvelujen-tietoturva-12.6.13

  1. 1. TIETOSUOJA & TIETOTURVA ’13Tietoturvallisuuden varmistaminenulkoisissa palveluissa12.6.2013Jari PirhonenTurvallisuusjohtajaOy Samlink Ab@japi999
  2. 2. Sisältö• Hallintamalli ja sopimukset• Valvontaketju• Kokemuksia• StandardejaJaPi 12.6.2013
  3. 3. Esimerkki hallintamallista12.6.2013JaPi
  4. 4. Turvallisuussopimus• Sitouttaminen tietoturvaperiaatteisiin• Sitouttaminen liiketoimintavaatimuksiin• Sitouttaminen standardeihin tai parhaisiin käytäntöihin• PCI DSS, ISF SoGP, ISO 27001• Luottamuksellisen tiedon suojaamisvelvoite ja tietosuoja• Palvelun ylläpito ja tietojen sijainti• Henkilökunnan osaamis-/koulutusvelvoite• Työskentely omissa ja asiakkaiden tiloissa• Tuotettavien palvelujen ja tietojen eristäminen• Tietojen poisto• Mahdollisuus henkilöiden turvallisuusselvitykseen• Tarkastusoikeus• Vaatimukset sovelluskehittämiselle ja -kehittäjille• Jatkuvuussuunnitteluvelvoite• Huoltovarmuuskeskuksen SOPIVA-vaatimukset• Raportointi ja poikkeamien käsittely12.6.2013JaPi
  5. 5. Koeteltuja mittareita• Tietoturvaskannausten havainnot• Tietoturvakorjausten asennukset• Tietoturvasertifiointi• Haittaohjelmatapaukset• Tietoturvapoikkeamat• IDS –tapahtumat• Tietoturvariskit• Jatkuvuussuunnittelun status• Tarkastusten tulokset12.6.2013JaPi
  6. 6. Valvontaketju Samlinkissa12.6.2013JaPi
  7. 7. Hyvät ja huonot uutiset - kokemuksia• Turvallisuussopimus sitouttaa kumppanit hyvin• Kumppani voi reagoida paremmin kuin oma IT (asiakkuus)• Opt-Out malli pakottaa sopimaan palvelun tietoturvasta• Turvallisuusopimusta on tuunattava lähes jokaisenkumppanin kanssa• Turvallisuussopimus määräävänä sopimuksena saattaajäykistää ”kevyempien” palvelujen hankintaa• PCI DSS toimii kohtuullisen hyvin baseline-vaatimuksena• PCI DSS toimii hyvänä/huonona tekosyynä eri tilanteissa• Kumppanin tulkinnat sopimusten sisällöstä joskus yllättäviä• Sopivien mittareiden ja niistä sanktioitaviksi valittavienmäärittely haastavaa• Kumppanin sopimusneuvottelija ei aina ymmärräsanktioitujen mittareiden käytännön toimenpidevaatimuksia• Kumppanin tietoturva-asiantuntijan kanssa yhteinen sävellöytyy yleensä nopeasti, lakimies löytää ongelmia12.6.2013JaPi
  8. 8. Pilvee, pilvee, pilvee• Pilvipalveluissa sopimusten rooli korostuu• ”Aidossa” pilvipalvelussa sopimus (käyttöehdot)on ainoa kontrolli• Kokemukseni mukaan pilvipalveluissatietoturvallisuus on hoidettu hyvin• Ainakin isoilla/tunnetuilla toimijoilla• Kaikkea tietoa ei saa kirjallisesti • Valtiollisten toimijoiden takaportithuolena juuri nyt12.6.2013JaPi
  9. 9. Mistä tietomurrot- ja vuodot tulevat?12.6.2013JaPiLähde: Verizon 2013 Data Breach Investigations Report
  10. 10. Information Security Forumin havainnot• Siirrytty arvoketjusta legomalliin• Kumppaneita ja sopimuksia on paljon• Organisaatioilla ei ole hyvää kuvaa siitä, kuinka jamitä tietoa kumppaneiden kanssa jaetaan.• Jos onkin sopimuksen allekirjoitushetkellä, mutta tilanneelää kumppanuuden aikana.• Yleensä huono näkyvyys 1. tason taakse• Kumppaneiden alihankkijat, heidän alihankkijansa,…• Huomio on yleensä sopimuksenarvossa, ei jaettavassa tiedossa.• Ulkoistukset voivat vieraannuttaaorganisaation tietoturvaohjauksesta.• Kumppaneilla samat ongelmat…12.6.2013JaPi
  11. 11. ISF malli – Securing the Supply Chain12.6.2013JaPi• Fokus jaettavissatiedoissa ja niihinliittyvissä riskeissä• Fokus sopimuksen arvonsijaan tietojen arvossa• Tietoturvan integrointiolemassa olevaankumppaninhallintamalliin• Excel-työkalutkumppanin tietoturvanarviointiin
  12. 12. ISO/IEC 27036• 27036 : Information security for supplierrelationships• 27036-1: Overview and concepts• 27036-2: Requirements• 27036-3: Guidelines for ICT supply chain security• 27036-4: Guidelines for security of cloud services• Arvioitu julkaisuajankohta 4Q1312.6.2013JaPi
  13. 13. ISO/IEC 27036• Information security in supplier relationship management• Agreement processes• Acquisition, Supply• Organisational project-enabling processes• Life cycle model management, Infrastructure management, Project portfoliomanagement, Human resource management• Project processes• Project planning, Project assessment and control, Decision management,Risk management, Configuration management, Information management,Measurement• Technical processes• Architectural design• Information security in a supplier relationship instance• Supplier relationship planning• Supplier selection• Supplier relationship agreement• Supplier relationship management• Supplier relationship termination12.6.2013JaPi

×