SlideShare a Scribd company logo

Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula

Valtiokonttori / Statskontoret / State Treasury of Finland
Valtiokonttori / Statskontoret / State Treasury of Finland

Pilvi- ja kapasiteettipalvelut, virtualisointi – uhat ja mahdollisuudet valtionhallinnossa" Valtion IT-palvelukeskuksen Tietoturvallisuuden kevätseminaarissa 20.3.2013

Technology
1 of 19
Download to read offline
Pilvi- ja kapasiteettipalvelut, virtualisointi – uhat ja mahdollisuudet valtionhallinnossa Tommi Simula Johtava asiantuntija, CISM, CISSP, GSEC Valtiokonttori, Valtion IT-palvelukeskus, Tietoturvapalvelut Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Agenda • Pilvipalveluiden lyhyt oppimäärä • Palvelu- ja tuotantomallit • Hallinnollinen ja sopimuksellinen tietoturvallisuus • Tietoturvaan liittyviä huomioita • Työkaluja ja ohjeita Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Mitä ovat pilvipalvelut? • Pilvipalvelut (cloud services) ovat "pilvessä" tarjottavia palveluita. Palveluiden pääluokat ovat: - SaaS (Software as a Service), - IaaS (Infrastructure as a Service) ja - PaaS (Platform as a Service). - Yleisnimityksenä yleistyy XaaS (Anything as a Service tai Something as a Service). • Pilvilaskennalla (cloud computing) tarkoitetaan tietoteknisten palveluiden hajautusta ja ulkoistusta. • Pilvilaskennassa palveluista maksetaan käytön mukaan, palvelut ovat heti saatavilla ja niiden teho skaalautuu tarpeen mukaan. LÄHDE: Wikipedia Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Yleisiä pilvipalveluita Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Palvelumallit SaaS / • ”On-demand software” Software as a • Tuotantovalmis sovellus ja sen käyttämä data • Tyypillinen esimerkki: MS Office 365 Service PaaS / • Middlewarella höystetty palvelin Platform as a • Tyypillinen esimerkki: Amazon RDS Service IaaS / • (Virtualisoitu) laitteisto, levytila ja verkko Infrastructure • Tyypillinen esimerkki: Amazon EC2 as a Service Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Tuotantomallit • Organisaatiolle dedikoitu, organisaation tiloissa • Organisaation tai palveluntarjoajan hallinnoima Private internal • Käytännössä yhtä kuin virtualisoinnin ja kapasiteetinhallinnan hyödyntäminen omassa ympäristössä • Organisaatiolle dedikoitu Private external • Palveluntarjoajan tiloissa ja hallinnoima • Usealle yhteistyötä tekevälle organisaatiolle dedikoitu Community • Organisaation tai palveluntarjoajan tiloissa • Organisaation tai palveluntarjoajan hallinnoima • Ei dedikoitu Public cloud • Palveluntarjoajan tiloissa ja hallinnoima • Yhdistelmä edellisistä Hybrid Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Ympäristön hallinnointi 20.3.2013
Tuotantomallit pähkinänkuoressa Private/Community Cloud Public Cloud Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Tietojen tai toimintojen ulkoistamisessa huomioitavaa 1. Tunnista, mitä olet ulkoistamassa - Luetteloi tiedot, sovellukset, toiminnot tai prosessit, joita ollaan siirtämässä ulkoiselle palveluntarjoajalle 2. Arvioi siirron kohteiden kriittisyys - Mitä seuraa jos siirrettävien tietojen luottamuksellisuus menetetään? - Mitä seuraa jos palveluntuottajan henkilöstö pääsee käsiksi tietoihin? - Mitä seuraa jos ulkopuolinen pääsee muuttamaan siirrettävää toimintoa tai prosessia? - Mitä seuraa jos siirrettävä toiminto tai prosessi ei toimi odotetulla tavalla? - Mitä seuraa jos siirrettävien tietojen eheys menetetään? - Mitä seuraa jos siirrettävien tietojen saatavuus menetetään? Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Tietojen tai toimintojen ulkoistamisessa huomioitavaa 3. Valitse kyseeseen tulevat tuotantomallit - Private internal / Private external - Community - Public - Hybrid 4. Evaluoi vaihtoehdot esim. riskien arvioinnilla 5. Kartoita potentiaalisten vaihtoehtojen tietovuot - Tietovuokaavio, joka kuvaa tietojen siirrot, sijainnin ja pääsyn tietoihin - Kaavioon mukaan oma organisaatio, palveluntuottaja, loppuasiakkaat sekä muut sidosryhmät 6. Lopullisen päätöksen tekee tietojen tai prosessin omistaja Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Suosituksia tuotantomalleista • Public cloud - Hyvä vaihtoehto julkiselle korkean saatavuuden tiedolle - Ei salassa pidettävälle tiedolle • Private / Community cloud - Mahdollistaa merkittävät kustannussäästöt - ”Lowest common denominator”-efekti – eri tietoturvatason ympäristöt hyvä eriyttää - Varteenotettava vaihtoehto hyvin suunniteltuna ja hallittuna • Hybrid cloud - Käytännön järkevin tuotantomalli: yhdistelmä eri mallien parhaista paloista, kunkin tieto-/palvelukokonaisuuden vaatimuksille räätälöitynä Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Satunnaisia huomioita • Täyttyvätkö tiedon suojaukseen liittyvät ulkoiset vaatimukset? - Esim. Tietoturvatasot, KATAKRI • Missä tiedot sijaitsevat? - Voidaanko mm. taata, että arkaluontoiset henkilötiedot eivät pääse EU- alueen ulkopuolelle? - PSC-todistusten saanti ylläpidon toteuttavan valtion kanssa? • Kenellä pääsy tietoihin? - Onko esim. palveluntarjoajalla pääsy salassa pidettäviin tietoihin? - Kansalliset linjaukset liikenteen salakuuntelusta? • Tietojen elinkaari - Mitä tiedoille tapahtuu esim. toimittajavaihdon tai toimittajan konkurssin yhteydessä? Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Satunnaisia huomioita • Tietojen salaus ei ole hopealuoti - Kenellä pääsy salausavaimiin - Salausavainten hallintaprosessi, vaihdetaanko avaimet säännöllisesti - Onko salausmekanismi auditoitu • Salliiko palveluntarjoaja tai muut asiakkaat kohteen teknisen auditoinnin, erityisesti jos kyseessä public tai community cloud? • Menetetäänkö kontrolli prosessiin tai palveluun? - Teknisiin seikkoihin voidaan vaikuttaa vain sopimusteitse - Rajoitukset palvelumuutoksiin sopimuskaudella Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Hyödyntäminen valtionhallinnossa • TORI-palvelukeskukselle valtiohallinnon hybrid cloud: - Private internal cloud TORI:n konesalissa - Community cloud valtiohallinnon käyttöön (Hansel K&K- kilpailutus) - Public cloud julkisille palveluille • Malli mahdollistaa palvelujen tarjoamisen eri tarpeisiin: - Korotetun ja perustason tietoturvatasojen vaatimuksille - Korotetun ja perustason ICT-varautumisen vaatimuksille Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Yhteenveto • Älä hätiköi! Varmistu, että tiedät täsmälleen, mitä olet hankkimassa, mistä ja miksi. • Huomioi siirrettävien tietojen vaatimukset - Kaikkea ei voi eikä kannata ulkoistaa - Myös salassa pidettävää tietoa voi siirtää, mutta vaatimukset on huomioitava • Esitä toimittajalle tiedon suojaamiseen kohdistuvat vaatimukset hankinnan yhteydessä - Jos toimittaja ei pysty niihin sitoutumaan, siirtoa ei voida tehdä Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Työkaluja ja ohjeita • Cloud Security Alliance https://cloudsecurityalliance.org/research/ - Security Guidance for Critical Areas of Focus in Cloud Computing https://cloudsecurityalliance.org/wp- content/themes/csa/guidance-download-box.php - Cloud Controls Matrix https://cloudsecurityalliance.org/download/cloud-controls- matrix-v1-4/ Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Kommentteja, kysymyksiä? Valtiokonttori, Valtion IT-palvelukeskus,Tietoturvapalvelut • Auditointi- ja tarkastuspalvelut • Asiantuntija- ja konsultointipalvelut • Tietoturvapäällikköpalvelu • Koulutuspalvelut • Tietoturvallisuuden Työkalupakki http://www.valtiokonttori.fi/Public/Default.aspx?nodeid=21701 • Kysy tietoturvallisuudesta http://www.valtiokonttori.fi/Public/default.aspx?nodeid=24747 Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
Kiitos! Tommi Simula Johtava asiantuntija, CISM, CISSP, GSEC Valtiokonttori, Valtion IT-palvelukeskus, Tietoturvapalvelut Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013

Recommended

Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalLcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalJukka-Pekka Sorvisto
 
Palveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaPalveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaThomas Malmberg
 
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaLiiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaJukka Niiranen
 
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...Mikko Jakonen
 
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System CenterTechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System CenterJarno Mäki
 
Tietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukenaTietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukenaPete Nieminen
 

Recommended

Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusguest6a238ed
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Lcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalLcty 2010 vaasa jari yli koivisto final
Lcty 2010 vaasa jari yli koivisto finalJukka-Pekka Sorvisto
 
Palveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaPalveluiden ja tietoturvan valtuushallinta
Palveluiden ja tietoturvan valtuushallintaThomas Malmberg
 
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaLiiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaJukka Niiranen
 
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...
Tiedonhallinnan haasteista tietovuotojen estämiseen - Information Assurance -...Mikko Jakonen
 
TechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System CenterTechNetTV 30.3.2011: Dynaaminen infra ja System Center
TechNetTV 30.3.2011: Dynaaminen infra ja System CenterJarno Mäki
 
Tietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukenaTietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukenaPete Nieminen
 
Pilvipalvelut
PilvipalvelutPilvipalvelut
Pilvipalvelutkilpiajp
 
15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...
15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...
15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...Midpointed Oy
 
Digitaalinen transformaatio
Digitaalinen transformaatioDigitaalinen transformaatio
Digitaalinen transformaatioSeppo Heikura
 
Immo Salo: Cloud computing – palvelut verkossa
Immo Salo: Cloud computing – palvelut verkossaImmo Salo: Cloud computing – palvelut verkossa
Immo Salo: Cloud computing – palvelut verkossaDocendo
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Tomppa Järvinen
 
Kauas pilvet karkaavat
Kauas pilvet karkaavatKauas pilvet karkaavat
Kauas pilvet karkaavatJyrki Kasvi
 
Miltä näyttää SharePointin tulevaisuus?
Miltä näyttää SharePointin tulevaisuus? Miltä näyttää SharePointin tulevaisuus?
Miltä näyttää SharePointin tulevaisuus? Sininen Meteoriitti / Blue Meteorite
 
pilvipalvelut
pilvipalvelutpilvipalvelut
pilvipalvelutArto Ratilainen
 
O365 Pilvessä
O365 PilvessäO365 Pilvessä
O365 PilvessäAri Rapo
 
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero HanhirovaGapps
 
DDR3
DDR3DDR3
DDR3Jishnu Rajeev
 
Mesas jornadas de orientación 2013
Mesas jornadas de orientación 2013Mesas jornadas de orientación 2013
Mesas jornadas de orientación 2013carlos64
 
Informática básica
Informática básicaInformática básica
Informática básicaitalocp2015
 
Technology
TechnologyTechnology
TechnologyJeiisoNn
 
Informática básica
Informática básicaInformática básica
Informática básicaMishell1205
 
Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02
Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02
Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02Tadashi Hara
 
Trading Derivados22/03/2013
Trading Derivados22/03/2013Trading Derivados22/03/2013
Trading Derivados22/03/2013BNP Paribas Personal Investors
 
vonglahn_Resume2015
vonglahn_Resume2015vonglahn_Resume2015
vonglahn_Resume2015Ross Von Glahn, SPT, CSCS
 
2.atomic structure and bonding
2.atomic structure and bonding2.atomic structure and bonding
2.atomic structure and bondingMuhamad Ibnu
 
Question 4: Who would be the audience for your media product?
Question 4: Who would be the audience for your media product?Question 4: Who would be the audience for your media product?
Question 4: Who would be the audience for your media product?lukeconnorsaunders
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 

More Related Content

Viewers also liked

Pilvipalvelut
PilvipalvelutPilvipalvelut
Pilvipalvelutkilpiajp
 
15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...
15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...
15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...Midpointed Oy
 
Digitaalinen transformaatio
Digitaalinen transformaatioDigitaalinen transformaatio
Digitaalinen transformaatioSeppo Heikura
 
Immo Salo: Cloud computing – palvelut verkossa
Immo Salo: Cloud computing – palvelut verkossaImmo Salo: Cloud computing – palvelut verkossa
Immo Salo: Cloud computing – palvelut verkossaDocendo
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Tomppa Järvinen
 
Kauas pilvet karkaavat
Kauas pilvet karkaavatKauas pilvet karkaavat
Kauas pilvet karkaavatJyrki Kasvi
 
O365 Pilvessä
O365 PilvessäO365 Pilvessä
O365 PilvessäAri Rapo
 
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero HanhirovaGapps
 
Mesas jornadas de orientación 2013
Mesas jornadas de orientación 2013Mesas jornadas de orientación 2013
Mesas jornadas de orientación 2013carlos64
 
Informática básica
Informática básicaInformática básica
Informática básicaitalocp2015
 
Technology
TechnologyTechnology
TechnologyJeiisoNn
 
Informática básica
Informática básicaInformática básica
Informática básicaMishell1205
 
Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02
Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02
Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02Tadashi Hara
 
2.atomic structure and bonding
2.atomic structure and bonding2.atomic structure and bonding
2.atomic structure and bondingMuhamad Ibnu
 
Question 4: Who would be the audience for your media product?
Question 4: Who would be the audience for your media product?Question 4: Who would be the audience for your media product?
Question 4: Who would be the audience for your media product?lukeconnorsaunders
 

Viewers also liked (20)

Pilvipalvelut
PilvipalvelutPilvipalvelut
Pilvipalvelut
 
15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...
15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...
15.5.2014 Ari Suominen "Microsoftin yhdistetty viestintä liiketoiminnan tuk...
 
Digitaalinen transformaatio
Digitaalinen transformaatioDigitaalinen transformaatio
Digitaalinen transformaatio
 
Immo Salo: Cloud computing – palvelut verkossa
Immo Salo: Cloud computing – palvelut verkossaImmo Salo: Cloud computing – palvelut verkossa
Immo Salo: Cloud computing – palvelut verkossa
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011
 
Kauas pilvet karkaavat
Kauas pilvet karkaavatKauas pilvet karkaavat
Kauas pilvet karkaavat
 
Miltä näyttää SharePointin tulevaisuus?
Miltä näyttää SharePointin tulevaisuus? Miltä näyttää SharePointin tulevaisuus?
Miltä näyttää SharePointin tulevaisuus?
 
pilvipalvelut
pilvipalvelutpilvipalvelut
pilvipalvelut
 
O365 Pilvessä
O365 PilvessäO365 Pilvessä
O365 Pilvessä
 
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
100% Pilvi-infrastruktuuri - ICT Expo 2015 - Gapps - Antero Hanhirova
 
DDR3
DDR3DDR3
DDR3
 
Mesas jornadas de orientación 2013
Mesas jornadas de orientación 2013Mesas jornadas de orientación 2013
Mesas jornadas de orientación 2013
 
Informática básica
Informática básicaInformática básica
Informática básica
 
Technology
TechnologyTechnology
Technology
 
Informática básica
Informática básicaInformática básica
Informática básica
 
Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02
Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02
Numerodejogadoresemcamporeduzido 141107161228-conversion-gate02
 
Trading Derivados22/03/2013
Trading Derivados22/03/2013Trading Derivados22/03/2013
Trading Derivados22/03/2013
 
vonglahn_Resume2015
vonglahn_Resume2015vonglahn_Resume2015
vonglahn_Resume2015
 
2.atomic structure and bonding
2.atomic structure and bonding2.atomic structure and bonding
2.atomic structure and bonding
 
Question 4: Who would be the audience for your media product?
Question 4: Who would be the audience for your media product?Question 4: Who would be the audience for your media product?
Question 4: Who would be the audience for your media product?
 

Similar to Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula

Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusKim Westerlund
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Petri Aukia
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaTelia Inmics-Nebula
 
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloImmo Salo
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPete Nieminen
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfjapijapi
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloImmo Salo
 
Palveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysPalveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysSitra
 
Pilvipalveluiden perusteita, luento 25.4.2016
Pilvipalveluiden perusteita, luento 25.4.2016Pilvipalveluiden perusteita, luento 25.4.2016
Pilvipalveluiden perusteita, luento 25.4.2016Riku E. Järvinen
 
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Accountor Enterprise Solutions Oy
 
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise Solutions
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise SolutionsLiiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise Solutions
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise SolutionsAccountor Enterprise Solutions Oy
 
Pilvipalvelut, IGP esitys 14.05.2014, immo salo, ivorio oy
Pilvipalvelut, IGP esitys 14.05.2014, immo salo, ivorio oyPilvipalvelut, IGP esitys 14.05.2014, immo salo, ivorio oy
Pilvipalvelut, IGP esitys 14.05.2014, immo salo, ivorio oyivoriofinland
 
Tietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäTietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäJyrki Kasvi
 
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEW3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEDeittisirkus
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Nixu Corporation
 
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Jukka-Pekka Sorvisto
 
101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilveeToni Rantanen
 
Granlund Virtual Property
Granlund Virtual PropertyGranlund Virtual Property
Granlund Virtual PropertyTero Järvinen
 

Similar to Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula (20)

Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-Nebula
 
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo SaloCloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
Cloud computing - palvelut verkossa, Espoo 27.11.2013, Eufris Oy, Immo Salo
 
Pilvet ja pilvipalvelut
Pilvet ja pilvipalvelutPilvet ja pilvipalvelut
Pilvet ja pilvipalvelut
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo SaloPilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
Pilvipalvelut, Tampere 25.10.2013, Eufris Oy, Immo Salo
 
Palveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitysPalveluväylä ja tietoturva -selvitys
Palveluväylä ja tietoturva -selvitys
 
Teknologiapaiva 13012021-teknologiatoimittajien yhteinen arvolupaus ja liiket...
Teknologiapaiva 13012021-teknologiatoimittajien yhteinen arvolupaus ja liiket...Teknologiapaiva 13012021-teknologiatoimittajien yhteinen arvolupaus ja liiket...
Teknologiapaiva 13012021-teknologiatoimittajien yhteinen arvolupaus ja liiket...
 
Pilvipalvelut 25.4.2016 Jyväskylän kirjasto
Pilvipalvelut 25.4.2016 Jyväskylän kirjastoPilvipalvelut 25.4.2016 Jyväskylän kirjasto
Pilvipalvelut 25.4.2016 Jyväskylän kirjasto
 
Pilvipalveluiden perusteita, luento 25.4.2016
Pilvipalveluiden perusteita, luento 25.4.2016Pilvipalveluiden perusteita, luento 25.4.2016
Pilvipalveluiden perusteita, luento 25.4.2016
 
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
Microsoft Dynamics pilvisiirtymä -webinaari 24.4.2018 (Accountor Enterprise S...
 
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise Solutions
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise SolutionsLiiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise Solutions
Liiketoiminta alustat webinaari 21.3.2017 : Accountor Enterprise Solutions
 
Pilvipalvelut, IGP esitys 14.05.2014, immo salo, ivorio oy
Pilvipalvelut, IGP esitys 14.05.2014, immo salo, ivorio oyPilvipalvelut, IGP esitys 14.05.2014, immo salo, ivorio oy
Pilvipalvelut, IGP esitys 14.05.2014, immo salo, ivorio oy
 
Tietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäTietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissä
 
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEW3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
 
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
Verkkopalveluiden tietoturva markkinointi- ja viestintäasiantuntijoille, kevä...
 
Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto Lcty 2010 Vaasa: jari yli koivisto
Lcty 2010 Vaasa: jari yli koivisto
 
101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee101115 triuvare -_pilvee,_pilvee,_pilvee
101115 triuvare -_pilvee,_pilvee,_pilvee
 
Granlund Virtual Property
Granlund Virtual PropertyGranlund Virtual Property
Granlund Virtual Property
 

More from Valtiokonttori / Statskontoret / State Treasury of Finland

More from Valtiokonttori / Statskontoret / State Treasury of Finland (20)

Valtiokonttorin_esittelymateriaali.pptx
Valtiokonttorin_esittelymateriaali.pptxValtiokonttorin_esittelymateriaali.pptx
Valtiokonttorin_esittelymateriaali.pptx
 
Valtiokonttori-pähkinänkuoressa.pptx
Valtiokonttori-pähkinänkuoressa.pptxValtiokonttori-pähkinänkuoressa.pptx
Valtiokonttori-pähkinänkuoressa.pptx
 
Contact Forum 2024 ppt ständille.pptx
Contact Forum 2024 ppt ständille.pptxContact Forum 2024 ppt ständille.pptx
Contact Forum 2024 ppt ständille.pptx
 
Esittelymateriaali 01/2023
Esittelymateriaali 01/2023Esittelymateriaali 01/2023
Esittelymateriaali 01/2023
 
Valtiokonttori pahkinankuoressa
Valtiokonttori pahkinankuoressaValtiokonttori pahkinankuoressa
Valtiokonttori pahkinankuoressa
 
Valtio Expo 2019 - Pilvi tuli jo, oletko valmis?
Valtio Expo 2019 - Pilvi tuli jo, oletko valmis?Valtio Expo 2019 - Pilvi tuli jo, oletko valmis?
Valtio Expo 2019 - Pilvi tuli jo, oletko valmis?
 
Valtio Expo 2019 - #Tietokiri ja analysointipalvelut
Valtio Expo 2019 - #Tietokiri ja analysointipalvelut Valtio Expo 2019 - #Tietokiri ja analysointipalvelut
Valtio Expo 2019 - #Tietokiri ja analysointipalvelut
 
Rintamaveteraanien kuntoutus ja_kotona_asumista_tukevat_palvelut
Rintamaveteraanien kuntoutus ja_kotona_asumista_tukevat_palvelutRintamaveteraanien kuntoutus ja_kotona_asumista_tukevat_palvelut
Rintamaveteraanien kuntoutus ja_kotona_asumista_tukevat_palvelut
 
Tietokiri on alkanut - tule mukaan!
Tietokiri on alkanut - tule mukaan!Tietokiri on alkanut - tule mukaan!
Tietokiri on alkanut - tule mukaan!
 
Valtion laskentatoimenohjaus palveluna
Valtion laskentatoimenohjaus palvelunaValtion laskentatoimenohjaus palveluna
Valtion laskentatoimenohjaus palveluna
 
Valtio Expo 2018: Leanilla kilpailukykyä julkiseen sektoriin
Valtio Expo 2018: Leanilla kilpailukykyä julkiseen sektoriinValtio Expo 2018: Leanilla kilpailukykyä julkiseen sektoriin
Valtio Expo 2018: Leanilla kilpailukykyä julkiseen sektoriin
 
Valtio Expo 2018: Valtion matkavahinkoturva Netta Kokko
Valtio Expo 2018: Valtion matkavahinkoturva Netta Kokko Valtio Expo 2018: Valtion matkavahinkoturva Netta Kokko
Valtio Expo 2018: Valtion matkavahinkoturva Netta Kokko
 
The public administration´s Blockhain Technology Network
The public administration´s Blockhain Technology NetworkThe public administration´s Blockhain Technology Network
The public administration´s Blockhain Technology Network
 
Matkaturvakoulutus 2017
Matkaturvakoulutus 2017Matkaturvakoulutus 2017
Matkaturvakoulutus 2017
 
Sovesta Soteen 18.10.2017, Marja-Liisa Taipale
Sovesta Soteen 18.10.2017, Marja-Liisa TaipaleSovesta Soteen 18.10.2017, Marja-Liisa Taipale
Sovesta Soteen 18.10.2017, Marja-Liisa Taipale
 
Sovesta Soteen 18.10.2017, Sinikka Salo
Sovesta Soteen 18.10.2017, Sinikka SaloSovesta Soteen 18.10.2017, Sinikka Salo
Sovesta Soteen 18.10.2017, Sinikka Salo
 
Sovesta Soteen 18.10.2017, Hanna Nyfors
Sovesta Soteen 18.10.2017, Hanna NyforsSovesta Soteen 18.10.2017, Hanna Nyfors
Sovesta Soteen 18.10.2017, Hanna Nyfors
 
Sovesta Soteen 18.10.2017, Timo Aronkytö
Sovesta Soteen 18.10.2017, Timo AronkytöSovesta Soteen 18.10.2017, Timo Aronkytö
Sovesta Soteen 18.10.2017, Timo Aronkytö
 
Asiakkuusasioiden ajankohtaiset, Netta Kokko
Asiakkuusasioiden ajankohtaiset, Netta KokkoAsiakkuusasioiden ajankohtaiset, Netta Kokko
Asiakkuusasioiden ajankohtaiset, Netta Kokko
 
Voitko hyvin, oletko voimissasi, Irma Kiikkala
Voitko hyvin, oletko voimissasi, Irma KiikkalaVoitko hyvin, oletko voimissasi, Irma Kiikkala
Voitko hyvin, oletko voimissasi, Irma Kiikkala
 

Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula

  • 1. Pilvi- ja kapasiteettipalvelut, virtualisointi – uhat ja mahdollisuudet valtionhallinnossa Tommi Simula Johtava asiantuntija, CISM, CISSP, GSEC Valtiokonttori, Valtion IT-palvelukeskus, Tietoturvapalvelut Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 2. Agenda • Pilvipalveluiden lyhyt oppimäärä • Palvelu- ja tuotantomallit • Hallinnollinen ja sopimuksellinen tietoturvallisuus • Tietoturvaan liittyviä huomioita • Työkaluja ja ohjeita Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 3. Mitä ovat pilvipalvelut? • Pilvipalvelut (cloud services) ovat "pilvessä" tarjottavia palveluita. Palveluiden pääluokat ovat: - SaaS (Software as a Service), - IaaS (Infrastructure as a Service) ja - PaaS (Platform as a Service). - Yleisnimityksenä yleistyy XaaS (Anything as a Service tai Something as a Service). • Pilvilaskennalla (cloud computing) tarkoitetaan tietoteknisten palveluiden hajautusta ja ulkoistusta. • Pilvilaskennassa palveluista maksetaan käytön mukaan, palvelut ovat heti saatavilla ja niiden teho skaalautuu tarpeen mukaan. LÄHDE: Wikipedia Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 6. Palvelumallit SaaS / • ”On-demand software” Software as a • Tuotantovalmis sovellus ja sen käyttämä data • Tyypillinen esimerkki: MS Office 365 Service PaaS / • Middlewarella höystetty palvelin Platform as a • Tyypillinen esimerkki: Amazon RDS Service IaaS / • (Virtualisoitu) laitteisto, levytila ja verkko Infrastructure • Tyypillinen esimerkki: Amazon EC2 as a Service Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 7. Tuotantomallit • Organisaatiolle dedikoitu, organisaation tiloissa • Organisaation tai palveluntarjoajan hallinnoima Private internal • Käytännössä yhtä kuin virtualisoinnin ja kapasiteetinhallinnan hyödyntäminen omassa ympäristössä • Organisaatiolle dedikoitu Private external • Palveluntarjoajan tiloissa ja hallinnoima • Usealle yhteistyötä tekevälle organisaatiolle dedikoitu Community • Organisaation tai palveluntarjoajan tiloissa • Organisaation tai palveluntarjoajan hallinnoima • Ei dedikoitu Public cloud • Palveluntarjoajan tiloissa ja hallinnoima • Yhdistelmä edellisistä Hybrid Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 9. Tuotantomallit pähkinänkuoressa Private/Community Cloud Public Cloud Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 10. Tietojen tai toimintojen ulkoistamisessa huomioitavaa 1. Tunnista, mitä olet ulkoistamassa - Luetteloi tiedot, sovellukset, toiminnot tai prosessit, joita ollaan siirtämässä ulkoiselle palveluntarjoajalle 2. Arvioi siirron kohteiden kriittisyys - Mitä seuraa jos siirrettävien tietojen luottamuksellisuus menetetään? - Mitä seuraa jos palveluntuottajan henkilöstö pääsee käsiksi tietoihin? - Mitä seuraa jos ulkopuolinen pääsee muuttamaan siirrettävää toimintoa tai prosessia? - Mitä seuraa jos siirrettävä toiminto tai prosessi ei toimi odotetulla tavalla? - Mitä seuraa jos siirrettävien tietojen eheys menetetään? - Mitä seuraa jos siirrettävien tietojen saatavuus menetetään? Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 11. Tietojen tai toimintojen ulkoistamisessa huomioitavaa 3. Valitse kyseeseen tulevat tuotantomallit - Private internal / Private external - Community - Public - Hybrid 4. Evaluoi vaihtoehdot esim. riskien arvioinnilla 5. Kartoita potentiaalisten vaihtoehtojen tietovuot - Tietovuokaavio, joka kuvaa tietojen siirrot, sijainnin ja pääsyn tietoihin - Kaavioon mukaan oma organisaatio, palveluntuottaja, loppuasiakkaat sekä muut sidosryhmät 6. Lopullisen päätöksen tekee tietojen tai prosessin omistaja Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 12. Suosituksia tuotantomalleista • Public cloud - Hyvä vaihtoehto julkiselle korkean saatavuuden tiedolle - Ei salassa pidettävälle tiedolle • Private / Community cloud - Mahdollistaa merkittävät kustannussäästöt - ”Lowest common denominator”-efekti – eri tietoturvatason ympäristöt hyvä eriyttää - Varteenotettava vaihtoehto hyvin suunniteltuna ja hallittuna • Hybrid cloud - Käytännön järkevin tuotantomalli: yhdistelmä eri mallien parhaista paloista, kunkin tieto-/palvelukokonaisuuden vaatimuksille räätälöitynä Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 13. Satunnaisia huomioita • Täyttyvätkö tiedon suojaukseen liittyvät ulkoiset vaatimukset? - Esim. Tietoturvatasot, KATAKRI • Missä tiedot sijaitsevat? - Voidaanko mm. taata, että arkaluontoiset henkilötiedot eivät pääse EU- alueen ulkopuolelle? - PSC-todistusten saanti ylläpidon toteuttavan valtion kanssa? • Kenellä pääsy tietoihin? - Onko esim. palveluntarjoajalla pääsy salassa pidettäviin tietoihin? - Kansalliset linjaukset liikenteen salakuuntelusta? • Tietojen elinkaari - Mitä tiedoille tapahtuu esim. toimittajavaihdon tai toimittajan konkurssin yhteydessä? Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 14. Satunnaisia huomioita • Tietojen salaus ei ole hopealuoti - Kenellä pääsy salausavaimiin - Salausavainten hallintaprosessi, vaihdetaanko avaimet säännöllisesti - Onko salausmekanismi auditoitu • Salliiko palveluntarjoaja tai muut asiakkaat kohteen teknisen auditoinnin, erityisesti jos kyseessä public tai community cloud? • Menetetäänkö kontrolli prosessiin tai palveluun? - Teknisiin seikkoihin voidaan vaikuttaa vain sopimusteitse - Rajoitukset palvelumuutoksiin sopimuskaudella Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 15. Hyödyntäminen valtionhallinnossa • TORI-palvelukeskukselle valtiohallinnon hybrid cloud: - Private internal cloud TORI:n konesalissa - Community cloud valtiohallinnon käyttöön (Hansel K&K- kilpailutus) - Public cloud julkisille palveluille • Malli mahdollistaa palvelujen tarjoamisen eri tarpeisiin: - Korotetun ja perustason tietoturvatasojen vaatimuksille - Korotetun ja perustason ICT-varautumisen vaatimuksille Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 16. Yhteenveto • Älä hätiköi! Varmistu, että tiedät täsmälleen, mitä olet hankkimassa, mistä ja miksi. • Huomioi siirrettävien tietojen vaatimukset - Kaikkea ei voi eikä kannata ulkoistaa - Myös salassa pidettävää tietoa voi siirtää, mutta vaatimukset on huomioitava • Esitä toimittajalle tiedon suojaamiseen kohdistuvat vaatimukset hankinnan yhteydessä - Jos toimittaja ei pysty niihin sitoutumaan, siirtoa ei voida tehdä Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 17. Työkaluja ja ohjeita • Cloud Security Alliance https://cloudsecurityalliance.org/research/ - Security Guidance for Critical Areas of Focus in Cloud Computing https://cloudsecurityalliance.org/wp- content/themes/csa/guidance-download-box.php - Cloud Controls Matrix https://cloudsecurityalliance.org/download/cloud-controls- matrix-v1-4/ Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 18. Kommentteja, kysymyksiä? Valtiokonttori, Valtion IT-palvelukeskus,Tietoturvapalvelut • Auditointi- ja tarkastuspalvelut • Asiantuntija- ja konsultointipalvelut • Tietoturvapäällikköpalvelu • Koulutuspalvelut • Tietoturvallisuuden Työkalupakki http://www.valtiokonttori.fi/Public/Default.aspx?nodeid=21701 • Kysy tietoturvallisuudesta http://www.valtiokonttori.fi/Public/default.aspx?nodeid=24747 Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013
  • 19. Kiitos! Tommi Simula Johtava asiantuntija, CISM, CISSP, GSEC Valtiokonttori, Valtion IT-palvelukeskus, Tietoturvapalvelut Tietoturvallisuuden kevätseminaari, Tommi Simula 20.3.2013